VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Überfall SparschweinVor einem Jahr warnte Kaspersky Lab davor, dass Cyberkriminelle mit ähnlichen Methoden wie nationalstaatlich unterstützte APT-Attacken (Advanced Persitent Threats) Banken ausrauben könnten. 

Jetzt bestätigt das Unternehmen die Rückkehr von Carbanak als Carbanak 2.0 und enthüllt darüber hinaus zwei weitere Gruppen, die in diesem Stil operieren: Metel und GCMAN. Die Gruppen attackieren Finanzinstitute mit vorangehenden, verdeckten APT-typischen Aufklärungsprojekten und maßgeschneiderter Malware. Zudem setzen die Gruppen legale Software sowie neue, innovative Schemata ein, um Barauszahlungen oder Überweisungen zu tätigen.

Die Metel-Gruppe verwendet ein besonders ausgeklügeltes Angriffsschema. Die erste Infektion findet über gefährliche Anhänge in Spear-Phishing-E-Mails sowie über Schwachstellen im Browser des Opfers (Niteris-Exploit-Pack) statt. Anschließend können über legale Software-Werkzeuge (beispielsweise Pentesting-Tools) diejenigen Rechner identifiziert werden, die bestimmte Arten des Zahlungsverkehrs abwickeln können. Der besondere Trick: Die Angreifer können Auszahlungen an einem Bankautomaten rückabwickeln. So erscheint das Guthaben des Kontos der verwendeten Bankkarte zunächst nicht belastet. In den bislang beobachteten Fällen fuhren Kriminelle nachts in russischen Städten herum und leerten Geldautomaten unterschiedlicher Banken. Dabei nutzten sie wiederholt die selben Bankkarten der kompromittierten Bank.

„Heutzutage werden die aktiven Phasen einer Cyberattacke immer kürzer. Sobald die Angreifer im Einsatz einer bestimmten Methode genügend geübt sind, benötigen sie nur wenige Tage, um sich das zu nehmen, was sie wollen und dann zu verschwinden“, kommentiert Sergey Golovanov, Principal Security Researcher beim Global Research & Analysis Team von Kaspersky Lab.

Bislang wurden keine Attacken der Metel-Gruppe außerhalb von Russland festgestellt, jedoch ist die Gruppe immer noch aktiv, die Ermittlungen laufen. Es besteht Grund zur Annahme, dass die Gruppe sich nicht nur auf den russischen Raum beschränken wird. Kaspersky Lab ruft daher alle Banken auf, ihre Netzwerke auf das Vorhandensein der Metel-Malware zu überprüfen.

GCMAN: Diebstahl im Minutentakt

Die zweite Gruppe GCMAN operiert mindestens ebenso heimlich. Kaspersky Lab beobachtete Fälle, in denen Angriffe sogar ohne Einsatz von Malware, sondern über legitime und Pentesting-Tools (wie Putty, VNC und Meterpreter) durchgeführt wurden. Im Netzwerk der Finanzorganisation arbeiten sich die Cyberkriminellen zu jenem Rechner vor, der Geld an digitale Währungsdienste überweist, ohne dass ein anderes Banksystem davon etwas mitbekommt [4].

In einem von Kaspersky Lab beobachteten Fall hielten sich die Cyberkriminellen eineinhalb Jahre im Netzwerk auf, bevor es zu einem aktiven Diebstahl kam. Es wurden Geldbeträge von etwa 200 US-Dollar transferiert. Ein Betrag, der in Russland die Obergrenze für anonyme Überweisungen darstellt. Ein zeitbasierter Prozess verschickte im Minutentakt ein maliziöses Skript, das wiederum eine Zahlung an ein digitales Währungskonto eines so genannten Money Mules auslöste. Die Transaktionsaufträge wurden direkt an das sogenannte „Upstream Payment Gateway“ versendet und tauchten innerhalb der internen Banksysteme nirgends auf.

Carbanak 2.0 greift nicht nur Banken an

Carbanak 2.0 ist schließlich die neue Dimension der Carbanak-APT. Carbanak 2.0 greift jedoch nicht nur Banken an, sondern dehnt seinen Aktionsradius auch auf Buchhaltungsabteilungen anderer Unternehmen aus, indem die Gruppe deren Finanztransaktionen manipuliert.

Kaspersky_Infographics_GCMAN

So analysierten die Experten von Kaspersky Lab einen Fall, bei dem die Carbanak-2.0-Gang in eine Finanzinstitution eindrang und anschließend Informationen über die Eigentümerverhältnisse eines großen Unternehmens änderte. Die Informationen wurden so modifiziert, dass der Name eines Money Mule als Anteilseigner des Unternehmens auftauchte.

„Die im Jahr 2015 verdeckten Angriffe auf Finanzinstitute enthüllen einen besorgniserregenden Trend. Cyberkriminelle machen sich die Methoden von APT-Attacken immer mehr zu nutze. Die Carbanak-Gang war offenbar nur die erste Gruppe in einer Reihe von vielen weiteren. Die Cyberkriminellen lernen schnell, integrieren neue Techniken in ihre Operationen und greifen immer mehr die Banken direkt an. Die Logik dahinter ist einfach: dort liegt das Geld“, warnt Golovanov. „Unser Ziel ist es, aufzuzeigen, wie die Gangster genau zuschlagen. Wenn Banken von den GCMAN-Attacken hören, sollten sie ihre Server fürs Online-Banking überprüfen. Bei Carbanak hingegen empfehlen wir eine genauere Kontrolle jener Datenbanken, die Informationen über die Inhaber der Konten enthalten.“

Die Produkte von Kaspersky Lab entdecken und blockieren die Malware der Bedrohungsakteure wie Carbanak 2.0, Metel und GCMAN. Das Unternehmen veröffentlicht auch die Kompromittierungsindikatoren (IOC; Indicators of Compromise) und weitere Daten, die Organisationen dabei helfen, nach Angriffsspuren dieser Gruppen in ihren Unternehmensnetzen zu suchen.

Kaspersky_Infographics_Carbanak

Kaspersky Lab bittet alle Unternehmen ihre Netze nach Anzeichen der Carbanak-, Metel- oder GCMAN-Malware zu scannen, gegebenenfalls zu desinfizieren und den Vorfall an Ermittlungsbehörden zu melden.

Weitere Informationen:

Mehr zu Metel, GCMAN und Carbanak 2.0 sind hier verfügbar. Dort können auch am Ende des Blogtextes ein von Kaspersky Lab erstellte Solution Paper mit Kompromittierungsindikatoren und Schutzempfehlungen abgerufen werden. 

GRID LIST
Hacker im Visir

Drittanbieter-Software im Fokus von Hackern – was können MSP tun?

Der traditionelle Ansatz der IT lautet: Wenn dein Betriebssystem gepatcht ist, dann ist…
KI Security

Falsche Abwehrstrategie zwingt die IT-Sicherheitsbranche in Aufrüstspirale

Anbieter von Sicherheitssoftware vermarkten den Einsatz von KI in ihren Produkten als…
Tb W190 H80 Crop Int E6b1eed76833e40b6dff0a1070b0694f

Cyber-Kriminelle nutzen Fake-App für Malware

Im vergangenen Monat haben Cyber-Kriminelle mithilfe einer gefälschten App des…
Tb W190 H80 Crop Int Db461ec563234e57f2cba9109df3ec5f

Kryptowährungen im Überblick

Seit 2010 ist der Vormarsch der sogenannten Kryptowährungen nicht mehr aufzuhalten. Dabei…
Ransomware Lösegeld

Ransomware: Warnung vor Lösegeldzahlung

Cyberkriminelle „kidnappen“ Daten und Computer von Organisationen und Einzelpersonen. Der…
Tb W190 H80 Crop Int C47c64413dabc5f83c8af1202d07c3d8

Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security