Attackverktyget Magnitude används för att automatisera olika typer av attacker. Bland de första som använde Magnitude var botnätet Cutwail. Det skedde i samband med att ett av de då värsta verktygen, Blackhole, togs ned.
Cutwail arbetade framför allt med att infektera datorer med den skadliga koden Game Over Zeus via Pinterest-baserade nätfiskekampanjer.
Genom att flytta till Magnitude fick Cutwail en chans att snabbt återhämta sig efter att Blackhole blev nedtaget.
– Exploateringsverktyg är en av de främsta metoderna idag för att distribuera skadlig kod som infekterar användare över hela världen, säger Trustwaves forskningschef Ziv Mador, till amerikanska tidningen CSO.
Därmed har den här typen av attackverktyg etablerat nya affärsmodeller för cyberkriminella, enligt RSA:s talesperson för First Watch, Alex Cox.
– De kan sänka priset för tjänsten och arbeta i större skala, vilket är attraktivt för köparna som inte behöver sätta upp en egen infrastruktur, säger han.
Att attackverktygen har gått från doldis-status till bred användning beror på att cyberkriminella blir mer och mer tekniskt bevandrade, samtidigt som kraven på kunskaper sjunker och tillgängligheten på attackverktyg och botnät ökar.
Användes mot Yahoo
Magnitude användes tidigare i år i en attack mot Yahoo. En annons lades på Yahoos sajt. som använde annonser för att dirigera om besökare till domäner med Magnitudes sidor, varifrån det gick att skicka skadlig kod via Java. Förutom attacker med skadliga mjukvaror som Zeus, Andromeda, Necurs, Zusy och Ngrbot så användes injektioner med annonsklick.
De flesta ttackerna härrör från början av 2014, med de tidigaste går tillbaka till december 2013.
Enligt säkerhetsexperter på Cisco är Yahoo-incidenten en del i ett större attackmönster, med 21 871 värdbaserade system på 393 domäner.
I februari upptäckte analytiker på Webroot en ökning av antalet infekterade Wordpress-sajter med som fungerade som avstamp till Magnitude-baserade infektioner.
Magnitude står idag för 31 procent av "marknaden" för attackverktyg. Enda sättet att få tillgång till Magnitude i en kampanj är via kontakter, vilket skapar ett skyddande nätverk kring huvudpersonerna bakom Magnitude, som tros befinna sig i Ryssland.
Personen eller personerna bakom Magnitude får en del av de aktuella kampanjernas trafik. Andelen beror på den totala trafikvolymen, och en vanlig betalning ligger på runt 5-20 procent.
Magnitudes operatör installerar sin egen skadliga kod, som ofta skiljer sig från vad kunderna använder. De som agerar bakom Magnitude är ett clearinginstitut för kampanjtrafik och drar in uppemot 3 miljoner dollar per år enbart genom att upprätthålla en infrastruktur.
Magnitudes kunder driver trafik till Magnitudes sidor. Ju större trafik, desto mindre tar operatören för att få ut sin andel. För att driva så mycket trafik som möjligt till landningssidorna initierar förövarna spamkampanjer. Därför är attackerna mot Yahoo, Wordpress och PHP.net viktiga, då de genererar trafik med minsta möjliga ansträngning.
Minimal administration krävs
Magnitude är skapad för minimal administration, men ger mängder av olika analysmöjligheter, exempelvis när det gäller antivirusupptäckter, betalningar, sårbarheter och svartlistningar. Egna data kan laddas upp för bearbetning, samt att det finns tillgång till supportguider för kampanjhantering och säkerhet.
Vissa länder är uteslutna, exempelvis några mindre länder i Asien, Östafrika, Sydamerika och tidigare Ryssland, som har utlämningsavtal med Ryssland, där Magnitudes högste ansvarige tros befinna sig.
Under en månad har Trustwaves analytiker sett Magnitude försöka attackera 1,1 miljoner system, med 210 000 lyckade infektioner. De flesta offren är vanliga användare, men även företag drabbas. USA är det mest drabbade landet, följt av Iran, Vienam, Argentina, Indien och Turkiet. Framför allt så har Magnitude lyckats emot sårbarheter i Internet Explorer.
Många av de sajter som har attackeras har internetanvändare på gamla system, som sällan eller aldrig gör programuppdateringar, exempelvis internetcafeer eller publika internetställen.
"Cyberbrottsindustrin har mognat"
Magnitude har minst 211 unika skadliga program i rotation, där varje måltavla ofta får minst fem eller sex av dem riktade emot sig. I den senaste Magnitude-kampanjen användes Alureon (TDSS), en känd trojan som används för finansiella data, och stjäl användarnamn och lösenord. Ett annat exempel på associerade program är CryptoWall, som är ett lösenordskrävande program är en av källorna till Magnitudes intäkter. Andra program som är associerade är trojanen Necurs, bakdörrsmjukvaran Nymaim, samt Simda, som används för att döda säkerhetsprogram.
– Det är imponerande att se hur cyberbrottsindustrin har mognat, säger Mador. Hela Magnitude framgång bygger på dess storskalighet.
Personerna bakom Magnitude kan köra hela operationen från enda server, men kan skalas upp och ned hur som helst.
Magnitude blev känt i oktober 2013, när verktyget användes i en attack mot PHP.net. Google flaggade för att dess utvecklingsplattform hade drabbats av skadlig kod och administratörerna avslöjade att deras servrar hade blivit hackade.
Besökarna leddes till Magnitude via en skadlig Javascript-fil med sårbarheter för bland annat Java och Adobe Flash.
Attackerna skedde i stor skala mot legitima sajter som gav intryck av säkerhet, där besökarna dirigerades till Magnitude.
Analytiker på Trustwave har fått koll på Magnitude genom att få tillgång till de servrarna som kontrollerar attackverktygets infrastruktur. Åtta servrar har analyserats, samtliga i Stobritanninen, med myndigheternas kännedom.
