Cyberkriminelle haben Finanzbuchhalter im Visier

Wir konnten eine Aktivitätssteigerung von Trojanern feststellen, die es hauptsächlich auf Finanzbuchhalter kleiner und mittelständischer Unternehmen abgesehen haben.

Unsere Experten haben beobachtet, dass sich Cyberkriminelle in letzter Zeit aktiv auf KMUs konzentrieren und Nutzern mit Verantwortung für die Finanzbuchhaltung dabei ganz besondere Aufmerksamkeit schenken. Warum sie diese Wahl getroffen haben, ist mehr als logisch – die Akteure sind auf der Suche nach einem direkten Zugang zu den Finanzen eines Unternehmens. Die jüngste Manifestation dieses Trends ist ein Anstieg der Trojaneraktivität, insbesondere von Buhtrap und RTM. Sie haben unterschiedliche Funktionen und Verbreitungsmöglichkeiten, verfolgen jedoch den gleichen Zweck – die Plünderung von Unternehmenskonten.

Beide Bedrohungen sind besonders für Unternehmen relevant, die in der IT-Branche, im Rechtsdienst und in der Kleinproduktion tätig sind. Möglicherweise kann dies auf die deutlich geringeren Sicherheitsbudgets dieser Unternehmen, im Vergleich zu den verfügbaren Geldmitteln der im Finanzsektor tätigen Unternehmen, zurückgeführt werden.

RTM

RTM infiziert Opfer für gewöhnlich via Phishing-Mail. Im Betreff der Nachricht werden hierbei häufig geläufige Geschäftskorrespondenzen imitiert (einschließlich Phrasen wie „Rücksendeanfrage“, „Dokumentkopien der vergangenen Monate“ oder „Zahlungsaufforderung“). Das Öffnen eines Links oder Anhangs führt zu einer sofortigen Infektion, die den Verantwortlichen vollen Zugriff auf das infizierte System verleiht.

Im Jahr 2017 konnten unsere Systeme 2376 Benutzer registrieren, die von RTM attackiert wurden. Im vergangenen Jahr 2018 waren es bereits 130.000 Opfer. Das Tempo der Attacken scheint sich auch 2019 fortzusetzen. Bereits mehr als 30.000 Nutzer wurden bisher im Jahresverlauf attackiert. Derzeit können wir RTM als einen der aktivsten Finanztrojaner bezeichnen.

Und auch wenn die meisten Angriffsziele bisher in Russland lagen, gehen unsere Experten davon aus, dass der Trojaner in naher Zukunft auch grenzüberschreitend agieren wird.

Buhtrap

Die erste Begegnung mit Buhtrap wurde bereits im Jahr 2014 registriert. Damals war dies der Name einer Gruppe von Cyberkriminellen, die pro erfolgreichen Angriff auf russische Finanzinstitute mindestens 150.000 US-Dollar entwenden konnte. Nachdem 2016 der Quellcodes ihrer Tools veröffentlicht wurden, wurde der Name Buhtrap für den Finanztrojaner verwendet.

Buhtrap tauchte Anfang 2017 in der TwoBee-Kampagne erneut auf und diente hier in erster Linie der Verbreitung von Malware. Im März letzten Jahres geriet der Trojaner in die Schlagzeilen, als er sich in mehreren großen Nachrichtendiensten verbreitete, deren Hauptseiten von den Akteure mit Skripts versehen wurden, die einen Exploit für Internet Explorer in den Browsern der Besucher ausführten.

Einige Monate später, im Juli 2017, grenzten die Cyberkriminellen ihre Zielgruppe ein und legten ihren Fokus auf eine bestimmte Benutzergruppe: Finanzbuchhalter, die in kleinen und mittelständischen Unternehmen tätig sind. Aus diesem Grund haben die Kriminellen spezifische Websites mit Informationen, die speziell auf diese Zielgruppe ausgerichtet sind, erstellt.

Insgesamt konnten unsere Schutzsysteme bereits mehr als 5.000 Buhtrap-Angriffsversuche, 250 davon seit Anfang 2019, verhindern.

Wie auch beim letzten Mal verbreitet sich Buhtrap über in Nachrichtendiensten eingebettete Exploits. Auch dieses Mal zählen Nutzer von Internet Explorer zur Risikogruppe des Trojaners. Der IE verwendet ein verschlüsseltes Protokoll zum Download von Malware infizierter Websites, wodurch die Analyse zusätzlich erschwert und es der Malware ermöglicht wird, bei einigen Sicherheitslösungen eine Sicherheitswarnung zu vermeiden. In diesem Fall wird noch immer eine Schwachstelle ausgenutzt, die bereits 2018 offengelegt wurde.

Infolge einer Infektion bieten sowohl Buhtrap als auch RTM uneingeschränkten Zugriff auf kompromittierte Workstations. Auf diese Weise können Cyberkriminelle die Dateien, die zum Datenaustausch zwischen Buchhaltungs- und Bankensystemen verwendet werden, nach Belieben ändern, da diese über keine zusätzlichen Schutzmaßnahmen verfügen. Kaspersky Lab schätzt, dass die Angreifer innerhalb von zwei Jahren eine Vielzahl an illegalen Transaktionen durchgeführt haben, die jede bis zu 15.000 US-Dollar umfasst.

Das können Sie tun

Um Ihr Unternehmen vor derartigen Bedrohungen zu schützen, empfehlen wir Ihnen, dem Schutz von Computern, die Zugriff auf Finanzsysteme haben, besondere Aufmerksamkeit zu schenken. Natürlich müssen auch alle anderen Geräte geschützt werden. Hier einige praktische Tipps und Maßnahmen:

  • Schulen Sie Mitarbeiter, vor allem Verantwortliche für die Buchhaltung, gezielt, damit sie Phishing-Angriffe erkennen.
  • Installieren Sie Die neusten Patches und Updates für verwendete Software.
  • Verbieten Sie die Installation von Programmen aus unbekannten Quellen.

Setzen Sie eine robuste Sicherheitslösung für Unternehmen mit Verhaltensanalyse ein, wie Kaspersky Endpoint Security for Business.

 

Tipps