Empfohlen, 2019

Tipp Der Redaktion

Cyberkriminelle übernehmen Spionagetechniken, um Online-Banküberfälle durchzuführen

Die Zeiten, in denen heimliche, persistente und fortgeschrittene Malware nur mit Cyberspionage in Verbindung gebracht wurde, sind vorbei. Kriminelle verwenden jetzt ähnliche Bedrohungen und Techniken, um Millionen von Dollars von Finanzinstituten zu stehlen.

Im vergangenen Jahr wurden Forscher des Sicherheitsanbieters Kaspersky Lab zu ungewöhnlichen Diebstählen von 29 Banken und anderen Organisationen in Russland eingeladen, die zur Entdeckung von drei neue anspruchsvolle Angriffskampagnen. Ihre Ergebnisse wurden am Montag während des jährlichen Security Analyst Summit des Unternehmens vorgestellt.

Eine Gruppe von Angreifern nutzt ein modulares Malware-Programm namens Metel oder Corkow, um Computersysteme von Banken zu infizieren und ATM-Transaktionen rückgängig zu machen. Während einer einzigen Nacht stahl die Bande Millionen Rubel von einer russischen Bank mit Hilfe dieses schwer zu erkennenden Transaktions-Rollback-Tricks.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Die Metel-Angreifer beginnen durch das Senden von Spear-Phishing-Mails mit bösartigen Links an die Mitarbeiter von Banken und anderen Finanzinstituten. Sobald sie Computer in diesen Organisationen kompromittieren, bewegen sie sich seitlich in den Netzwerken, um die Systeme zu identifizieren, die Transaktionen steuern.

Sobald dies erreicht ist, automatisieren sie das Zurücksetzen von ATM-Transaktionen für bestimmte von der Institution ausgestellte Debitkarten. Während der Nacht fahren die Angreifer durch verschiedene Städte und ziehen Geld von den Geldautomaten anderer Banken ab. In den Systemen der kartenausgebenden Bank werden die Transaktionen jedoch automatisch storniert, so dass sich die Kontostände nicht ändern.

Die Kaspersky-Forscher haben festgestellt, dass sie die Malware von Metel auf Computern von 30 Finanzinstituten aus Russland entdeckt haben. Sie glauben jedoch, dass die Aktivitäten der Gruppe weit verbreiteter sind und Finanzorganisationen aus der ganzen Welt betreffen könnten.

Eine zweite Gruppe, die auch auf Banken und Finanzinstitute abzielt, verwendet ein Malware-Programm namens GCMAN, das über E-Mails mit bösartigen Programmen verteilt wird RAR-Archive und die sich als Microsoft Word-Dokumente tarnen.

Ähnlich wie einige Cyberspionage-Gruppen verwenden die GCMAN-Angreifer legitime Systemverwaltungs- und Penetrationstest-Tools wie Putty, VNC und Meterpreter für die laterale Bewegung innerhalb von Netzwerken. Die Gruppe identifiziert Server, die Finanztransaktionen verarbeiten, und erstellt Cron-Jobs (geplante Aufgaben), um Übertragungen an mehrere E-Währungs-Services zu automatisieren, typischerweise an Wochenenden. In einem Fall fanden die Kaspersky-Forscher Skripte, die Transaktionen mit einer Rate von $ 200 pro Minute initiierten.

Auch die GCMAN-Gruppe zeichnet sich durch ihre Geduld aus. In einem Fall wartete er anderthalb Jahre vom ersten Punkt des Kompromisses bis zum Beginn des Geldabbaus. Während dieser Zeit sondierten die Mitglieder 70 interne Hosts, kompromittierten 56 Accounts und verwendeten 139 verschiedene IP-Adressen, hauptsächlich mit Tor-Exit-Knoten und kompromittierten Home-Routern.

Wie bei Metel identifizierten die Kaspersky-Forscher nur GCMAN-Opfer in Russland insbesondere drei Finanzinstitute. Es ist jedoch wahrscheinlich, dass die Reichweite der Gruppe über das Land hinausreicht.

Die dritte Gruppe ist nicht neu, ist aber eine, die nach der Veröffentlichung im Februar 2015 für etwa fünf Monate verstummte. Bis dahin hatte die Cybercime-Bande benutzt ein benutzerdefiniertes Malware-Programm namens Carbanak, das Millionen von Dollar von Hunderten von Finanzinstituten in mindestens 30 Ländern stehlen soll.

Die Gruppe ist mit einer neuen Version der Malware - Carbanak 2.0 - zurückgekehrt und hat begonnen Budgetierung und Buchhaltung zu planen auch in nichtfinanziellen Organisationen.

"In einem bemerkenswerten Fall nutzte die Carbanak 2.0-Gruppe ihren Zugang zu einem Finanzinstitut, das Informationen über Aktionäre speichert, um die Besitzdetails eines großen Unternehmens zu ändern", sagten die Forscher von Kaspersky in einem Blogpost. "Die Informationen wurden geändert, um einen Geldmulti als Aktionär des Unternehmens zu benennen, der ihre IDs anzeigt. Es ist unklar, wie sie diese Informationen in Zukunft nutzen wollen."

Kaspersky Lab hat für die verwendeten Tools Kompro- misse zur Kompromittierung veröffentlicht von allen drei Gruppen, so dass Organisationen auf der ganzen Welt ihre eigenen Netzwerke nach möglichen Kompromissen durchsuchen können.

Top