Die Hacker hinter der Gootkit-Malware haben vergessen, ihre Datenbank mit einem Passwort zu sichern
Einige Menschen haben Probleme, sich darüber klar zu werden, wie viel Schaden eine Cybercrime-Operation anrichten kann. Catalin Cimpanu von ZDNet und Bob Diachenko von SecurityDiscovery.com haben sich einige Zeit lang intensiv mit einer Malware befasst, die Informationen stiehlt und Gootkit heißt. Ihre Ergebnisse werden Ihnen hoffentlich dabei helfen, genauer zu verstehen, wie groß der Maßstab ist.
Cimpanu sagte, im Vergleich zu anderen Trojanern wie Emotet und TrickBot sei Gootkits Betrieb "bei weitem nicht so groß". Ein paar Absätze später sagte er jedoch, dass die relativ kleine Operation in letzter Zeit zum Diebstahl von mindestens 15.000 Kreditkarten geführt habe. Diachenko hatte noch erschreckendere Zahlen, die zeigen, dass selbst die kleineren Namen in der Branche ziemlich viel Schaden anrichten können. Aber wie sind Cimpanu und Diachenko auf diese Statistiken gekommen?
Table of Contents
Sogar Hacker können ihre Datenbanken manchmal nicht schützen
Diejenigen von Ihnen, die sich aktiv für Informationssicherheit interessieren, haben wahrscheinlich in der Vergangenheit den Namen Bob Diachenko gehört. Er ist ein Sicherheitsforscher, der bei der Aufdeckung von Dutzenden von Vorfällen geholfen hat, bei denen Gigabyte über Gigabyte vertrauliche Daten in falsch konfigurierten Datenbanken belassen und dem Internet ausgesetzt wurden. In den meisten Fällen versucht Diachenko, mit den Besitzern der undichten Server in Kontakt zu treten und die Informationen zu sichern. Es war verständlich, dass er es nicht eilig hatte, Gootkit-Mitarbeiter über ihren Fehler zu informieren, als er Daten fand, die ihnen gestohlen worden waren. Stattdessen rief er Catalin Cimpanu an und bat um Hilfe bei der Analyse des Lecks.
Der Trojaner schickte alle Daten, die er stahl, an eine MongoDB-Datenbank, die mithilfe von IoT-Suchmaschinen leicht auffindbar war. Es ist unklar, ob die Enthüllung aufgrund einer Fehlkonfiguration der Firewall erfolgte oder weil die Hacker vergessen hatten, ihren Server mit einem Kennwort zu schützen, aber die Tatsache war, dass die Daten jedem zugänglich waren, der wusste, wo er suchen musste. Wie wir bereits erwähnt haben, gab es auch ziemlich viel davon.
Gootkit stiehlt und gibt dann äußerst sensible Informationen weiter
Gootkit begann sein Leben im Jahr 2014 als bescheidener Banktrojaner. Nach der Infektion wird das Surfverhalten des Opfers überwacht und es wird lebendig, wenn der Benutzer versucht, auf seine Online-Banking-Website zuzugreifen. Allmählich entwickelte sich Gootkit jedoch weiter und der Fokus verlagerte sich von Bankdaten zu einem viel breiteren Informationsbereich.
Im Moment kann es für jedes erdenkliche Konto alles von Cookies und Browserverläufen bis hin zu E-Mails, Betriebssystem-Anmeldeinformationen und Kennwörtern filtern. Gootkit macht auch regelmäßig Screenshots und zeichnet jede Menge Informationen auf, die Benutzer in Online-Formulare eingeben. Auf diese Weise konnte es all diese Kreditkartendaten stehlen.
Der Forscher sagt, dass die Datenbanken zusätzlich zu den 15.000 Kreditkarten fast 2,2 Millionen Passwörter, mehr als 750.000 Benutzernamen und mehr als 1,4 Millionen E-Mail-Konten enthielten. Nicht schlecht für eine kleine Malware-Operation, aber leider endeten die durchgesickerten Daten dort nicht. Laut dem Bericht von ZDNet gab es auch gespeicherte Anmeldeinformationen für Dinge wie bulgarische Regierungsbehörden und Kryptowährungsbörsen, die dazu führen könnten, dass noch sensiblere Informationen preisgegeben werden.
Die Hacker haben die Datenbank schnell gesichert
Der Ausbruch von schlecht konfigurierten Servern, bei denen Daten verloren gehen, wird nun zu einer Epidemie. Legitime Organisationen hinterlassen täglich ungeschützte Datenbanken, und es ist klar, dass Cyberkriminelle nicht dagegen gefeit sind. Wenn echte Unternehmen involviert sind, ist es oft schwieriger, mit den Verantwortlichen in Kontakt zu treten und ihnen zu helfen, das Leck zu reparieren, als es sich anhört. Im Gegensatz dazu scheinen die Betreiber von Gootkit viel eher bereit zu sein, zu reagieren.
Am 10. Juli, nur fünf Tage, nachdem Diachenko die undichte Datenbank zum ersten Mal gesehen hatte, nahmen die Hacker sie herunter. Es ist nicht klar, ob sie gehandelt haben, weil sie gesehen haben, dass Diachenko und Cimpanu sich die Daten angesehen haben. Wir haben auch keine Ahnung, ob es jemand anderem gelungen ist, die Informationen anzuzeigen. Was wir wissen ist, dass Diachenko es geschafft hat, die Daten mit den Strafverfolgungsbehörden zu teilen, bevor die Datenbank geschlossen wurde. Hoffentlich hilft es der Polizei, zur Gootkit-Bande zu gelangen.
