Cyberattacke lässt sich um 25 Dollar mieten

Dass Würmer, Trojaner und andere Malware bequem im Netz gekauft werden können, ist nicht neu. Dass die Kriminellen ihre Dienste mehr oder weniger offen bewerben und noch dazu eine hübsche Plattform mit Abonnement-Optionen für Windows, Linux, Mac und Android anbieten, sorgt selbst unter Sicherheitsexperten für Staunen. Kaspersky-Forscher haben eine dieser Plattformen aufgedeckt, über die das Adwind Remote Access Tool (RAT), auch bekannt unter AlienSpy, Rutas, Unrecom, Sockrat, JSocket und jRat angeboten wurde. Über 400.000 User wurden mit der Malware attackiert, viele auch in Deutschland und den USA.

Bequemes Abo-Modell

Wie die von Kaspersky auf dem Security Analyst Summit 2016 präsentierten Screenshots zeigen, wurden 6 Abonnements von "Basic" bis "Ultimate" angeboten. Der Einsteigertarif kostet 25 Dollar und erlaubt die Nutzung der Malware für 15 Tage, das Jahresabo kostet 300 Dollar. Mit dem Malware-Tool, das rein Java-basiert ist und daher für Virenscanner kaum bzw. nur schwer zu entdecken war, konnten Angreifer nicht nur Dateien vom infizierten Computer abziehen, sondern auch Passwörter aus Browsern, Outlook, Messenger-Programmen und Download-Manager stehlen.

Darüber hinaus können per Keylogger Tastatureingaben mitverfolgt werden, das Tool erkennt, ob Sicherheitssoftware installiert ist und schneidet den Videofeed inklusive Ton der Webcam mit. Auf Android kann der Versand und Empfang von SMS sowie die Installation von Programmen torpediert bzw. verändert werden. Kaspersky zufolge könnte die Plattform von nur einem einzigen Individuum betrieben werden, der aus dem Service etwa 200.000 Dollar pro Jahr lukriert. Die aktuellste Version der Abo-Plattform stammt aus dem Sommer 2015, die Malware selbst geht auf das Jahr 2011 oder 2012 zurück.

Angriffe auf der ganzen Welt

Die Malware wird im Normalfall für gezielte Angriffe eingesetzt, vor allem Banken, aber auch Fabriken, Behörden, Telkos und kleinere Unternehmen sind betroffen. Allein von August 2015 bis Jänner 2016 konnte Kaspersky 68.000 User ausfindig machen, bei denen Adwind RAT im System zu finden war. Die ursprüngliche Infektion erfolgt meist über E-Mail, indem User auf ein verpacktes .JAR-File klicken, das sich meist als Datei mit .DOC- oder .RTF-Endung tarnt. Neben Russland sind auch verhältnismäßig viele User in den USA, Deutschland, Italien, der Türkei, Indien und den Vereinigten Arabischen Emirate betroffen.