Anzeige

Hacker

Die Cyberkriminellen der FIN8-Gruppe haben die Möglichkeiten des Backdoor-Toolkits BADHATCH für ihre Zwecke erweitert und greifen Unternehmen mit neuen Varianten gezielt an.

Die Experten der Bitdefender Labs konnten feststellen, dass die Gruppe nach einer Pause von etwa eineinhalb Jahren in mehreren Ländern wieder aktiv ist. Ins Visier dürfte gezielt der Einzelhandel sowie das Hotel- und Gaststättengewerbe geraten.

Die Hackergruppe FIN8 ist seit 2016 aktiv und hat sich laut MITRE auf den Diebstahl von Kreditkartendaten von POS-Systemen spezialisiert. Dazu nutzt die Gruppe zahlreiche unterschiedliche Angriffsvektoren, darunter seit 2019 eine funktionsreiche Malware namens BADHATCH. Spear-Phishing-Kampagnen der Gruppe zielen außerdem auf den Einzelhandel sowie auf Hotels und Gaststätten ab. Aktuell finden sich auch Versicherungen oder Unternehmen aus der Chemieindustrie unter den Opfern der neuen Variante.

Neue Variante

Seit April 2020 konnte Bitdefender drei Varianten der fortschrittlichen Backdoor BADHATCH entdecken. Die Hacker können bei erfolgreichem Angriff Daten zu Kreditkartenvorgängen am Point-of-Sale stehlen. Zu den neuen Funktionalitäten der dritten Generation des Toolkits gehören unter anderem:

  • das unerlaubte Aufzeichnen von Bildschirminhalten, Proxy-Tunnel und eine Fileless Ausführung,
  • sowie ein besserer Schutz gegen Abwehrsoftware. Powershell-Kommandos werden nun mit TLS unter Missbrauch des sslip.io-Dienstes verschlüsselt.

Handlungsempfehlungen

Wie die meisten hartnäckigen und geschickten Cyberkriminellen verbessert auch FIN8 ständig seine Tools und Taktiken, um nicht entdeckt zu werden. Bitdefender empfiehlt, die folgenden Maßnahmen zu ergreifen, um die Auswirkungen von Finanz-Malware zu minimieren:

  • Das POS-Netzwerk vom Netzwerk trennen, das von Mitarbeitern oder Gästen genutzt wird.
  • Schulungen zum Thema Cybersicherheit für Mitarbeiter durchführen, damit sie Phishing-E-Mails erkennen können.
  • E-Mail-Sicherheitslösung anpassen, dass bösartige oder verdächtige Anhänge automatisch entfernt werden.
  • Bedrohungsdaten in das bestehende SIEM oder in die Sicherheitskontrollen für relevante Indikatoren der Kompromittierung integrieren.
  • Kleine und mittelständische Unternehmen ohne eigenes Sicherheitsteam sollten die Auslagerung von Sicherheitsoperationen an Anbieter von Lösungen für Managed Detection and Response in Betracht ziehen.


„Wir fordern Unternehmen in den betroffenen Branchen zu erhöhter Wachsamkeit auf. IT-Teams sollen nach Hinweisen auf kompromittierte Daten suchen“, erklärt Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender. „Die neuen Angriffe, die sich als Fileless-Malware gut vor herkömmlichen Signatur-basierten Abwehrtechnologien verstecken, zeigen, wie wichtig Managed-Detection-and-Response-Dienste und Threat Hunting sind. Denn nur fortgeschrittene EDR-Lösungen oder der Blick des menschlichen Analysten erkennen Angriffe frühzeitig oder beheben die Schäden im Ernstfall.“

www.bitdefender.de

 


Artikel zu diesem Thema

Whitepaper EDR on Premises?
Mär 31, 2021

EDR on Premises?

Endpoint Detection and Response (EDR) war bis vor wenigen Jahren großen Unternehmen mit…
Email Security
Mär 09, 2021

Spam, Malware und Phishing: Was ist zu tun, damit E-Mails sicherer werden?

Viele haben gedacht, die E-Mail würde aussterben und durch Messenger & Co. ersetzt. Doch…
Ransomware
Feb 20, 2021

Unterschiedliche Auswirkungen von Ransomware-Attacken

Ransomware-Angriffe haben im vergangenen Jahr weltweit stark zugenommen. Aufgrund der…

Weitere Artikel

Virus

Einer von vier E-Mail-Kompromittierungsangriffen nutzt Lookalike-Domains

Die neuesten Daten zu BEC-Betrügereien zeigen, wie böswillige Akteure eine Mischung aus Gmail-Konten, einer Zunahme gestohlener Überweisungen und einer Verlagerung auf Lohnabzweigungen nutzen.
Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.