Industrieunternehmen von Finanzbetrug betroffen

2 Aug 2018

Unsere Forscher haben eine weitere Phishing-Kampagne entdeckt, die es darauf abgesehen hat, Geld von Firmenkonten zu stehlen. Diesmal griffen die Kriminellen vor allem Produktionsunternehmen an. Normalerweise sind Angriffe auf solche Unternehmen mit Cyberspionage oder Sabotage verbunden. Nicht aber in diesem Fall – es scheint, als habe sich eine Gruppe Cyberkrimineller lediglich daran erinnert, dass derartige Unternehmen über jede Menge Geld verfügen.

Gutes altes Phishing

Diese Angriffe werden nicht mithilfe ausgefallener Tools durchgeführt, sondern mit dem Einsatz standardmäßiger Phishing-Methoden: Schadsoftware wird über E-Mails verteilt, die als kommerzielle Angebote und andere Finanzdokumente getarnt sind.

Das charakteristische Unterscheidungsmerkmal dieser Angriffe ist das hohe Vorbereitungsniveau, denn die Betrüger adressieren einen spezifischen Mitarbeiter mit Vor- und Nachnamen und kennen die Unternehmensposition dieser Person sowie den allgemeinen Unternehmensfokus. Darüber hinaus sehen alle Informationen über die Quelle des Angebots auf den ersten Blick vollkommen legitim aus.

In einigen Fällen fügen die Phisher den E-Mails bösartige Anhänge hinzu, in anderen Fällen wiederum, senden sie Links zu schädlichen Websites. Eines haben aber alle E-Mails gemeinsam: Sie veranlassen das Opfer, Tools herunterzuladen, die von den Hackern zu ihrem eigenen Nutzen verwendet werden. So wurde beispielsweise mindestens einem Empfänger mitgeteilt, dass sein Unternehmen für die Teilnahme an einer öffentlichen Ausschreibung ausgewählt wurde. Für die Teilnahme musste der Mitarbeiter die legitime Anwendung Seldon 1.7 installieren. Zwar enthielt der E-Mail-Anhang tatsächlich eine archivierte Ausführungsdatei der Software, auf dem Gerät wurde allerdings gleichzeitig auch Malware installiert.

Eine weitere E-Mail enthielt eine schädliche PDF-Datei in Form eines Zahlungsauftrags für einen Autoverkauf. Die Nachricht wurde sehr detailliert verfasst und enthielt reale Firmennamen mit echten Steuernummern sowie eine Fahrgestellnummer, die dem angegebenen Modell auch tatsächlich entsprach.

Legitime Software

Die Kriminellen nutzten für ihre Angriffe legitime Remote-Verwaltungsanwendungen – entweder TeamViewer oder Remote-Manipulator-System (RMS). Diese Programme wurden verwendet, um Zugriff auf das Gerät zu erhalten, und dann nach Informationen über aktuelle Einkäufe sowie Finanz- und Buchhaltungssoftware zu suchen. Die Angreifer benutzten dann verschiedene Betrugsmaschen, um das Geld des Unternehmens zu stehlen; beispielsweise indem sie die Bankdaten ersetzten.

Um möglichst lange auf das System zugreifen zu können, verwenden die Hacker verschiedene Methoden, um verdächtige Informationen sowohl vor den Besitzern der Geräte als auch vor Sicherheitslösungen zu verbergen.

Zusätzliches Arsenal

Wenn nötig, werden zusätzliche Tools auf das kompromittierte Gerät geladen, um zum Beispiel übergeordnete Berechtigungen zu erhalten und zusätzliche Informationen zu sammeln. Diese Anwendungen können Daten stehlen (von Anmeldeinformationen bis hin zu jeder auf dem Gerät gespeicherten Datei), Screenshots erstellen, Videos vom Bildschirm machen, das Geschehen im Büro über das Mikrofon des Geräts abhören, Anmeldedaten von anderen Geräten im lokalen Netzwerk sammeln, usw.

Auf diese Weise sind die Kriminellen theoretisch in der Lage, deutlich mehr als nur die Gesellschaftsmittel zu stehlen. Sie können beispielsweise vertrauliche Informationen über das Unternehmen, die Kunden und Partner entwenden, Mitarbeiter ausspionieren, Audio- und Videoaufzeichnungen von allem, was auf und um den infizierten Computer herum passiert, machen, oder ein kompromittiertes System für weitere Angriffe verwenden.

Wer läuft Gefahr?

Momentan haben Kriminelle bereits versucht, etwa 800 Computer zu infizieren, die zu mindestens 400 Unternehmen verschiedener Branchen gehören: Produktion, Öl und Gas, Metallurgie, Engineering, Energie, Bauwesen, Bergbau und Logistik. Die Phishing-Kampagne ist seit Oktober 2017 aktiv.

So können Sie sich schützen

Diese Phishing-Kampagne zeigt erneut, dass selbst legitime Tools gefährlich sein können und auch die besten Schutzlösungen vollkommen nutzlos sind, wenn selbst erfahrene Mitarbeiter einem sorgfältig durchdachten Phishing-Angriff zum Opfer fallen. Um Ihr Unternehmen zu schützen, empfehlen wir Folgendes:

  • Ihre Mitarbeiter sollten bestens über Informationssicherheit Bescheid wissen. Kaspersky Lab bietet Schulungs- und Trainingskurse an, die nicht nur das nötige Fachwissen vermitteln, sondern darüber hinaus auch neue Verhaltensmuster bilden.
  • Verwenden Sie moderne Schutztechnologien, die nicht nur das Verhalten verdächtiger, sondern auch legitimer Programme – zum Beispiel von Kaspersky Endpoint Security für Unternehmen – überprüfen und bewerten.