Autor des Blackhole-Exploit-Kits in Russland verhaftet

Ferdinand Thommes
15 Kommentare

Der unter dem Alias „Paunch“ bekannte vermutliche Autor des Blackhole-Exploit-Kit wurde gestern von russischen Ermittlern verhaftet. Der Verhaftete gilt als einer der ganz Großen im Geschäft mit Malware. Sein Exploit-Kit, das 1.500 US-Dollar pro Jahr kostete, reagierte oft innerhalb von Stunden auf neue Sicherheitslücken.

Die russischen Behörden informierten Europol über die Verhaftung des Verdächtigen, dessen Identität noch nicht bekannt ist. Zusammen mit ihm sollen auch weitere Verdächtige gefasst worden sein. Das im Jahr 2010 erstmals aufgetauchte Blackhole-Kit infiziert Rechner von Opfern in der Mehrzahl der Fälle auf zwei Wegen. Völlig legitime Webseiten werden so präpariert, dass beim Besuch der Seite im Hintergrund Malware auf den Rechner des Anwenders geladen wird. Der zweite Infektionsweg versteckt sich als Link in harmlos wirkenden E-Mails. Einmal auf dem Rechner des Opfers, versucht Malware gemeinhin, finanziell relevante Daten zu kopieren, Passwörter abzugreifen und Tastaturanschläge zu protokollieren und alle gesammelten Daten an einen entfernten Server der Cyberkriminellen zu senden.

Die russischen Behörden vermuten, „Paunch“ habe mit seinem weit verbreiteten Exploit-Kit Millionen verdient. Das Exploit-Kit wurde sehr regelmäßig aktualisiert und blieb so den Antiviren-Programmen meist einen entscheidenden Schritt voraus. Der jetzt Verhaftete soll sein Kit nicht selbst gegen potenzielle Opfer eingesetzt haben. Sein Geschäftsmodell setzte auf die Vermietung des Exploit-Kits, das er auf eigenen Servern vorhielt und zu Tagespreisen von 70 US-Dollar bis hin zu 1.500 US-Dollar pro Jahr zur Verfügung stellte. Das Kit verfügt über eine eingängige grafische Oberfläche, mit der die Täter ohne besondere Kenntnisse gezielt ihren eigenen Malware-Cocktail mixen können.

Blackhole GUI
Blackhole GUI (Bild: Rt.com)

Den Höhepunkt seiner Verbreitung erreichte Blackhole im Jahr 2012, als zu einem Zeitpunkt über einige Java-Exploits 91 Prozent aller Infektionen von dem Exploit-Kit ausgegangen sein sollen. Insgesamt war Blackhole nach Angaben von Antivirensoftware-Hersteller AVG 2012 an rund 50 Prozent aller Malware-Infektionen beteiligt. Nachdem Blackhole Ende 2012 drohte, von Nachahmern wie etwa WhiteHole oder Neutrino überflügelt zu werden, lobte „Paunch“ 100.000 US-Dollar für neue Sicherheitslücken in populärer Software aus.

Malware-Brief mit infektiösem Link
Malware-Brief mit infektiösem Link (Bild: Rt.com)

Laut AVG ist derzeit Blackhole nur noch auf Platz 28 der Verteiler von Malware und ist für etwa ein Prozent aller Infektionen verantwortlich. Allerdings gibt es hierzu von verschiedenen Seiten sehr unterschiedliche Aussagen. Erste Auswirkungen der Verhaftung sind laut dem Blog von MalwareBytes aber bereits jetzt zu spüren. So ist die Seite crypt.am, die Blackhole zur Verschlüsselung benutzte, offline. Außerdem ist, wie Sicherheitsforscher Kafeine, der Blackhole seit langem beobachtet, berichtet, eine Java-Datei, die „Paunch“ täglich ein bis zwei Mal aktualisiert hat, seit mehreren Tagen unverändert.

Experten erwarten mehrere Szenarien, ausgelöst durch die Verhaftung. Mieter der Software werden zu anderen Exploit-Kits migrieren, bevor sie schnell an Aktualität verliert. Erste entsprechende Anzeichen gibt es bereits. Wer die Software auf eigenen Servern hostet, hat etwas mehr Einfluss und kann, entsprechende Kenntnisse vorausgesetzt, das Kit auf einem aktuellen Stand halten. Wie sich die Verhaftung des vermutlichen Autors von Blackhole auf die Szene und auf die Verbreitung von Malware auswirkt, wird erst eine Analyse in einigen Monaten enthüllen.