Diebe von Kreditkartendaten erweitern ihr Tech-Portfolio

Die Cyberkriminellen der FIN8-Gruppe haben die Möglichkeiten des Backdoor-Toolkits BADHATCH für ihre Zwecke erweitert und greifen Unternehmen mit neuen Varianten gezielt an.

Die Experten der Bitdefender Labs konnten feststellen, dass die Gruppe nach einer Pause von etwa eineinhalb Jahren in mehreren Ländern wieder aktiv ist. Ins Visier dürfte gezielt der Einzelhandel sowie das Hotel- und Gaststättengewerbe geraten.

Anzeige

Die Hackergruppe FIN8 ist seit 2016 aktiv und hat sich laut MITRE auf den Diebstahl von Kreditkartendaten von POS-Systemen spezialisiert. Dazu nutzt die Gruppe zahlreiche unterschiedliche Angriffsvektoren, darunter seit 2019 eine funktionsreiche Malware namens BADHATCH. Spear-Phishing-Kampagnen der Gruppe zielen außerdem auf den Einzelhandel sowie auf Hotels und Gaststätten ab. Aktuell finden sich auch Versicherungen oder Unternehmen aus der Chemieindustrie unter den Opfern der neuen Variante.

Neue Variante

Seit April 2020 konnte Bitdefender drei Varianten der fortschrittlichen Backdoor BADHATCH entdecken. Die Hacker können bei erfolgreichem Angriff Daten zu Kreditkartenvorgängen am Point-of-Sale stehlen. Zu den neuen Funktionalitäten der dritten Generation des Toolkits gehören unter anderem:

  • das unerlaubte Aufzeichnen von Bildschirminhalten, Proxy-Tunnel und eine Fileless Ausführung,
  • sowie ein besserer Schutz gegen Abwehrsoftware. Powershell-Kommandos werden nun mit TLS unter Missbrauch des sslip.io-Dienstes verschlüsselt.

Handlungsempfehlungen

Wie die meisten hartnäckigen und geschickten Cyberkriminellen verbessert auch FIN8 ständig seine Tools und Taktiken, um nicht entdeckt zu werden. Bitdefender empfiehlt, die folgenden Maßnahmen zu ergreifen, um die Auswirkungen von Finanz-Malware zu minimieren:

  • Das POS-Netzwerk vom Netzwerk trennen, das von Mitarbeitern oder Gästen genutzt wird.
  • Schulungen zum Thema Cybersicherheit für Mitarbeiter durchführen, damit sie Phishing-E-Mails erkennen können.
  • E-Mail-Sicherheitslösung anpassen, dass bösartige oder verdächtige Anhänge automatisch entfernt werden.
  • Bedrohungsdaten in das bestehende SIEM oder in die Sicherheitskontrollen für relevante Indikatoren der Kompromittierung integrieren.
  • Kleine und mittelständische Unternehmen ohne eigenes Sicherheitsteam sollten die Auslagerung von Sicherheitsoperationen an Anbieter von Lösungen für Managed Detection and Response in Betracht ziehen.

„Wir fordern Unternehmen in den betroffenen Branchen zu erhöhter Wachsamkeit auf. IT-Teams sollen nach Hinweisen auf kompromittierte Daten suchen“, erklärt Bogdan Botezatu, Leiter der Bedrohungsanalyse bei Bitdefender. „Die neuen Angriffe, die sich als Fileless-Malware gut vor herkömmlichen Signatur-basierten Abwehrtechnologien verstecken, zeigen, wie wichtig Managed-Detection-and-Response-Dienste und Threat Hunting sind. Denn nur fortgeschrittene EDR-Lösungen oder der Blick des menschlichen Analysten erkennen Angriffe frühzeitig oder beheben die Schäden im Ernstfall.“

www.bitdefender.de

 

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.