Teenager schrieb Malware für Attacke auf US-Einzelhändler

Das IT-Security-Unternehmen IntelCrawler hat die Malware untersucht, die beim Cyber-Angriff auf die US-Einzelhändler Target und Neiman Marcus verwendet wurde. Target hatte am Freitag mitgeteilt, dass Cyberdiebe im Weihnachtsgeschäft Daten von bis zu 70 Millionen Kunden entwendet hatten. Betroffen waren Kredit- und sonstigen Bankkartendaten, Namen, E-Mail- und Lieferadressen sowie Telefonnummern. Bei Neiman Marcus sollen eine Million Kunden betroffen sein.

Bei den Attacken wurde laut IntelCrawler die Malware BlackPOS eingesetzt, die erstmals im März 2013 aufgetaucht ist. Der Autor der Malware hat unter dem Nickname ree4 die Schad-Software mehr als 40 mal an Cyberkriminelle in Osteuropa und andere Länder verkauft, darunter auch an Betreiber von Untergrund Kreditkarten-Shops, wie .rescator, Track2.name und Privateservices.biz.

2.000 US-Dollar für Malware

ree4 verlangte für seine Malware 2.000 US-Dollar oder 50 Prozent der Einnahmen vom Verkauf der mit der Software abgefangenen Kreditkarten-Daten. Auf Wunsch hat ree4 die Malware vor dem Verkauf auch an die Bedürfnisse des Kunden angepasst und modifiziert.

Auf VKontakte, der russischen Facebook-Konkurrenz, hat IntelCrawler einen User mit dem Nickname ree4 gefunden. Der 17-jährige Russe Rinat Shibaev gibt bei seinen Interessen unter anderem Coding an. Über die „Passwort vergessen“-Funktion konnte IntelCrawler bestätigen, dass die E-Mail-Adresse, die von dem Malware-Autor ree4 genutzt wird, mit dem VKontakte-Profil von Shibaev verknüpft ist.

Laut IntelCrawler arbeitet Shibaev eng mit Sergey Taraspov, zusammen, der als sein technischer Support tätig ist. Er soll seine Wurzeln in St. Petersburg haben und in der Untergrund-Szene ein bekannter Malware-Programmierer sein. Das IT-Security-Unternehmen geht davon aus, dass noch andere an BlackOPS beteiligt sind.

Shibaev soll nicht direkt für die Attacken auf Target und Neiman Marcus verantwortlich sein. Die Angriffe sollen von den Cyberkriminellen ausgeführt worden sein, die seine Malware gekauft haben. IntelCrawler vermutet, dass in Kürze weitere Attacken folgen werden, bzw. bereits ausgeführte Angriffe bekannt werden, die mit der Malware BlackOPS bewerkstelligt wurden.