1665120

Zwei Exploit-Kits aus derselben Quelle

10.01.2013 | 16:01 Uhr |

Das weit verbreitete Blackhole Exploit Kit und das sehr viel teurere Cool Kit stammen von dem selben Anbieter. Während das eine Massenware zum günstigen Preis bietet, soll das andere exklusive Exploits für noch nicht gestopfte Sicherheitslücken enthalten.

Das Blackhole Exploit Kit gehört zu den am weitesten verbreiteten Angriffsbaukästen im Web. Viele kompromittierte Websites werden damit präpariert und liefern Malware an die Besucher aus, indem sie bekannte Sicherheitslücken, etwa in Java, ausnutzen. Ein Grund für die Beliebtheit dürfte der recht günstige Preis sein: 700 US-Dollar im Quartal, 1500 Dollar für ein Jahr. Dafür erhalten Online-Kriminelle eine Sammlung gut abgehangener Exploits für Lücken, gegen die es längst Updates gibt.

Anders das Cool Exploit Kit : es kostet 10.000 Dollar im Monat. Dafür sollen die kriminellen Kunden exklusive Exploits für Sicherheitslücken erhalten, die noch nicht allgemein bekannt sind und gegen die es noch keine Updates gibt.

Der Sicherheitsforscher Brian Krebs berichtet, beide Angriffsbaukästen stammten aus der selben Quelle, von einem russischen Anbieter, der sich "Paunch" nennt. Wie Krebs aus Untergrundforen erfahren haben will, haben Paunch und sein Team nach eigenen Angaben 100.000 Dollar investiert, um Informationen über und Demo-Exploits für neue Browser-Schwachstellen einzukaufen.

Die Zahl der Kunden für das Cool Kit dürfte preisbedingt deutlich niedriger liegen als beim Blackhole Kit, doch das Sicherheitsunternehmen Blue Coat meldet in seinem Blog , dass Cool Kit derzeit die größeren Zuwachsraten aufweist, was neu entdeckte, damit präparierte Websites betrifft.

Laut Brian Krebs nutzen zurzeit nur zwei Gruppen Online-Krimineller das Cool Kit. Eine davon verbreitet auf diese Weise so genannte Ransomware, also erpresserische Schädlinge wie den so genannten "BKA-Trojaner" . Symantec schätzt, dass die Bande damit etwa 30.000 Dollar "Lösegelder" pro Tag kassiert.

Der beste Schutz vor Schädlingen, die auf diesem Wege verbreitet werden, ist die Reduzierung der Angriffsfläche, die man den Tätern bietet. Dazu gehört das zeitnahe Einspielen der neusten Sicherheits-Updates für jegliche Software, die eine Verbindung mit dem Browser oder dem Internet hat. Außerdem sollten Sie nicht unbedingt nötige Plug-ins aus dem Browser entfernen. Dazu kann etwa das Java Plug-in JRE gehören, für das jetzt ein neuer Exploit aufgetaucht sein soll, der auch die neueste Version Java 7 Update 10 betrifft.

0 Kommentare zu diesem Artikel
1665120