Trotz Festnahme der FIN7-Anführer: Angriffe gehen weiter

9 Mai 2019

Im vergangenen Jahr wurden die mutmaßlichen Anführer der berüchtigten Fin7 – besser auch unter dem Namen Carbanak-Cybergang bekannt – festgenommen; Obwohl die Gruppe seitdem als aufgelöst gilt, stoßen unsere Experten aktuell noch immer auf Anzeichen, die auf ihre fortbestehende Aktivität hindeuten. Darüber hinaus wächst die Anzahl der untereinander verknüpften Gruppen, die ähnliche Toolkits und dieselbe Infrastruktur verwenden, stetig. Im Anschluss finden Sie eine Liste der wichtigsten Instrumente und Tricks sowie Ratschläge zum Schutz Ihres Unternehmens.

FIN7

FIN7 greift hauptsächlich Unternehmen an, um sich Zugang zu Finanzdaten oder der PoS-Infrastruktur einer Organisation zu verschaffen. Dabei funktioniert die Gruppe über raffinierte Spear-Phishing-Kampagnen in Verbindung mit ausgefeilten Social-Engineering-Techniken. So tauschen die Angreifer beispielsweise über einen bestimmten Zeitraum zunächst völlig harmlose Nachrichten mit den Opfern aus, bevor sie die schädlichen Dokumente schließlich im Anhang versenden.

In den meisten Fällen verwendeten die Angreifer bösartige Dokumente mit Makros, um Malware auf den Computern der Opfer zu installieren; Die Planung verschiedener Tasks sorgte dann für ihren Fortbestand. Empfangene Module – bei denen es sich hauptsächlich um Module zum Sammeln von Informationen, zum Download zusätzlicher Malware, zur Aufnahme von Screenshots oder zum Speichern einer weiteren Instanz derselben Malware in der Registrierungsdatenbank handelt – wurden dann im Systemspeicher selbst ausgeführt.

CobaltGoblin-/Carbanak-/EmpireMonkey-Gruppe

Andere kriminelle Gruppen verwenden zwar ähnliche Tools und Techniken, nehmen allerdings andere Zielobjekte ins Visier – in diesem Fall Banken und Entwickler von Banking- und Geldverarbeitungssoftware. Der Carbanak-Gruppe (sowie auch der CobaltGoblin-Gruppe aka EmpireMonkey) geht es bei den Angriffen hauptsächlich darum, in den Netzwerken der Opfer Fuß zu fassen und dann interessante Endpunkte mit Informationen zu finden, die dann zu Geld gemacht werden können.

AveMaria-Botnetz

AveMaria ist ein neues Botnetz, das zum Informationsdiebstahl verwendet wird. Nach der Infektion eines Gerätes, sammelt es alle möglichen Anmeldeinformationen von verschiedener Software und Programmen: Browser, E-Mail-Clients, Messenger usw. Darüber hinaus fungiert es als Keylogger.

Um die Nutzlast zu liefern, verwenden die Kriminellen sowohl Spear Phishing/Social Engineering als auch schädliche Anhänge in E-Mail-Nachrichten. Aufgrund der bestehenden Ähnlichkeiten in den Methoden und der C&C-Infrastruktur (Command & Control), vermuten unsere Experten eine enge Verbindung zu FIN7. Ein weiteres Indiz, das für diese Verknüpfung spricht, ist die Zielverteilung der hinter den Angriffen stehenden Cyber-Gruppen: 30% der anvisierten Ziele waren kleine bis mittelständische Unternehmen (Zulieferer oder Dienstleister größerer Unternehmen); bei weiteren 21% handelte es sich um verschiedene Produktionsunternehmen.

CopyPaste

Unsere Experten haben eine Reihe von Aktivitäten entdeckt, die unter dem Decknamen CopyPaste auf Finanzorganisationen und -unternehmen in einem afrikanischen Land abzielen. Auch hier verwendeten die Akteure verschiedene Methoden und Tools, die denen von FIN7 sehr ähnlich sind. Es besteht allerdings die Möglichkeit, dass diese Cyberkriminellen lediglich Open-Source-Veröffentlichungen verwendet haben und tatsächlich nicht mit FIN7 in Verbindung gebracht werden können.

Weitere technische Details finden Sie in unserem Beitrag auf Securelist.com.

So schützen Sie sich

  • Verwendung Sie Sicherheitslösungen mit dedizierter Funktionalität, um Phishing-Versuche zu erkennen und zu blockieren. Unternehmen können ihre lokalen E-Mail-Systeme mit gezielten Anwendungen innerhalb einer Security Suite wie Kaspersky Endpoint Security für Business schützen.
    • Führen Sie regelmäßige Sicherheits-Awareness-Trainings für Mitarbeiter ein und vermitteln Siepraktische Fähigkeiten. Programme wie die Kaspersky Automated Security Awareness Platform helfen dabei, diese Fähigkeiten zu verbessern und simulierte Phishing-Angriffe durchzuführen.
    • Alle oben genannten Gruppen profitieren in hohem Maße von ungepatchten Systemen in Unternehmensumgebungen. Verwenden Sie daher immer eine solide Patch-Strategie und eine Sicherheitslösung wie Kaspersky Endpoint Security for Business, die kritische Software automatisch patchen kann.