#theSAS2019

Trotz Festnahme der FIN7-Anführer: Angriffe gehen weiter

Trotz der Festnahme der mutmaßlichen Anführer der Cybergang FIN7, konnten unsere Experten eine Reihe neuer Angriffe derselben Akteure entdecken.

Marvin the Robot
9 Mai 2019

Im vergangenen Jahr wurden die mutmaßlichen Anführer der berüchtigten Fin7 – besser auch unter dem Namen Carbanak-Cybergang bekannt – festgenommen; Obwohl die Gruppe seitdem als aufgelöst gilt, stoßen unsere Experten aktuell noch immer auf Anzeichen, die auf ihre fortbestehende Aktivität hindeuten. Darüber hinaus wächst die Anzahl der untereinander verknüpften Gruppen, die ähnliche Toolkits und dieselbe Infrastruktur verwenden, stetig. Im Anschluss finden Sie eine Liste der wichtigsten Instrumente und Tricks sowie Ratschläge zum Schutz Ihres Unternehmens.

FIN7

FIN7 greift hauptsächlich Unternehmen an, um sich Zugang zu Finanzdaten oder der PoS-Infrastruktur einer Organisation zu verschaffen. Dabei funktioniert die Gruppe über raffinierte Spear-Phishing-Kampagnen in Verbindung mit ausgefeilten Social-Engineering-Techniken. So tauschen die Angreifer beispielsweise über einen bestimmten Zeitraum zunächst völlig harmlose Nachrichten mit den Opfern aus, bevor sie die schädlichen Dokumente schließlich im Anhang versenden.

In den meisten Fällen verwendeten die Angreifer bösartige Dokumente mit Makros, um Malware auf den Computern der Opfer zu installieren; Die Planung verschiedener Tasks sorgte dann für ihren Fortbestand. Empfangene Module – bei denen es sich hauptsächlich um Module zum Sammeln von Informationen, zum Download zusätzlicher Malware, zur Aufnahme von Screenshots oder zum Speichern einer weiteren Instanz derselben Malware in der Registrierungsdatenbank handelt – wurden dann im Systemspeicher selbst ausgeführt.

CobaltGoblin-/Carbanak-/EmpireMonkey-Gruppe

Andere kriminelle Gruppen verwenden zwar ähnliche Tools und Techniken, nehmen allerdings andere Zielobjekte ins Visier – in diesem Fall Banken und Entwickler von Banking- und Geldverarbeitungssoftware. Der Carbanak-Gruppe (sowie auch der CobaltGoblin-Gruppe aka EmpireMonkey) geht es bei den Angriffen hauptsächlich darum, in den Netzwerken der Opfer Fuß zu fassen und dann interessante Endpunkte mit Informationen zu finden, die dann zu Geld gemacht werden können.

AveMaria-Botnetz

AveMaria ist ein neues Botnetz, das zum Informationsdiebstahl verwendet wird. Nach der Infektion eines Gerätes, sammelt es alle möglichen Anmeldeinformationen von verschiedener Software und Programmen: Browser, E-Mail-Clients, Messenger usw. Darüber hinaus fungiert es als Keylogger.

Um die Nutzlast zu liefern, verwenden die Kriminellen sowohl Spear Phishing/Social Engineering als auch schädliche Anhänge in E-Mail-Nachrichten. Aufgrund der bestehenden Ähnlichkeiten in den Methoden und der C&C-Infrastruktur (Command & Control), vermuten unsere Experten eine enge Verbindung zu FIN7. Ein weiteres Indiz, das für diese Verknüpfung spricht, ist die Zielverteilung der hinter den Angriffen stehenden Cyber-Gruppen: 30% der anvisierten Ziele waren kleine bis mittelständische Unternehmen (Zulieferer oder Dienstleister größerer Unternehmen); bei weiteren 21% handelte es sich um verschiedene Produktionsunternehmen.

CopyPaste

Unsere Experten haben eine Reihe von Aktivitäten entdeckt, die unter dem Decknamen CopyPaste auf Finanzorganisationen und -unternehmen in einem afrikanischen Land abzielen. Auch hier verwendeten die Akteure verschiedene Methoden und Tools, die denen von FIN7 sehr ähnlich sind. Es besteht allerdings die Möglichkeit, dass diese Cyberkriminellen lediglich Open-Source-Veröffentlichungen verwendet haben und tatsächlich nicht mit FIN7 in Verbindung gebracht werden können.

Weitere technische Details finden Sie in unserem Beitrag auf Securelist.com.

So schützen Sie sich

Verwendung Sie Sicherheitslösungen mit dedizierter Funktionalität, um Phishing-Versuche zu erkennen und zu blockieren. Unternehmen können ihre lokalen E-Mail-Systeme mit gezielten Anwendungen innerhalb einer Security Suite wie Kaspersky Endpoint Security für Business schützen.
• Führen Sie regelmäßige Sicherheits-Awareness-Trainings für Mitarbeiter ein und vermitteln Siepraktische Fähigkeiten. Programme wie die Kaspersky Automated Security Awareness Platform helfen dabei, diese Fähigkeiten zu verbessern und simulierte Phishing-Angriffe durchzuführen.
• Alle oben genannten Gruppen profitieren in hohem Maße von ungepatchten Systemen in Unternehmensumgebungen. Verwenden Sie daher immer eine solide Patch-Strategie und eine Sicherheitslösung wie Kaspersky Endpoint Security for Business, die kritische Software automatisch patchen kann.

Kaspersky-Studie über digitale Geheimnisse und Privatsphäre

Für 76 Prozent der Deutschen ist die Wahrung von Geheimnissen wichtiger denn je.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Trotz Festnahme der FIN7-Anführer: Angriffe gehen weiter

FIN7

CobaltGoblin-/Carbanak-/EmpireMonkey-Gruppe

AveMaria-Botnetz

CopyPaste

So schützen Sie sich

ShadowHammer: Neue Details

ShadowHammer: Schädliche Updates für Laptops der Marke ASUS

Kaspersky-Studie über digitale Geheimnisse und Privatsphäre

Tipps

Werbung im Dienste von… Geheimdiensten

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie