Zahlreiche Banken verlieren Millionen durch Cyberangriffe

Onlinebetrüger erweitern ihren Geschäftsbereich: Neuerdings können Cyberkriminelle Geld direkt von Banken stehlen. Wie ist das möglich?

Im Jahr 2015 wurden erstmals zahlreiche Banken zum unmittelbaren Opfer von Onlinediebstahl. Mehreren Hackergruppierungen war es gelungen, sich Advanced Packaging Tools und Techniken zu eigen zu machen und tief in die „Taschen“ von mindestens 29 großen, russischen Banken zu greifen.

Die betroffenen Banken baten Kaspersky Lab um Unterstützung und unser globales Recherche- und Analyseteam (GReAT) hat sich an die Arbeit gemacht. Die Ermittlungen haben drei voneinander unabhängige Hackergruppen aufgetan, die einen finanziellen Schaden von mehreren Millionen verursacht haben. Auf dem Security Analyst Summit 2016 haben Experten von GReAT einen Untersuchungsbericht veröffentlicht. Aus Sicherheitsgründen werden die Namen der Opfer nicht genannt.

Geldautomaten im Visier

Der Bankingtrojaner Metel (auch bekannt unter dem Namen Corkow) wurde erstmals im Jahr 2011 entdeckt: Zu dieser Zeit hatte es die Schadsoftware auf Nutzer von Onlinebanking-Systemen abgesehen. Im Jahr 2015 änderten die kriminellen Entwickler von Metel die Strategie und nahmen Banken – oder genauer gesagt Geldautomaten – ins Visier. Mit ihrem Knowhow machten die Onlinekriminellen herkömmliche Kreditkarten zu Kreditkarten, mit denen unbegrenzt Geld abgehoben werden kann. Das ist wie eine eigene Druckmaschine für Banknoten, nur noch besser.

Wie haben sie das bewerkstelligt?

Die Onlinekriminellen infizierten sukzessive die Computer von Bankangestellten – entweder über Spear-Phishing-Mails mit bösartigen ausführbaren Dateien oder über Sicherheitslücken im Browser. Nachdem sie sich Zugriff auf das Netzwerk verschafft hatten, haben sie legitime Software benutzt, um andere PCs zu hacken, bis es ihnen gelungen ist, direkt auf Finanzaktionen zuzugreifen. Betroffen waren beispielsweise PCs von Mitarbeitern aus dem Callcenter oder dem Serviceteam.

Wenn die Kriminellen nun Geldbeträge vom betroffenen Kreditinstitut über den Geldautomat einer anderen Bank abhoben, wurden die Finanztransaktionen über die infizierten Systeme automatisch rückgängig gemacht. Der Kontostand blieb demnach unverändert, so dass die Onlinediebe beliebige Geldsummen abheben konnten – einzige Obergrenze: die verfügbare Menge an Bargeld im Automaten. Die Kriminellen leerten auf diese Weise mehrere Bankautomaten.

Unseres Wissens nach besteht die Bande aus bis zu zehn Mitgliedern. Ein Teil des Teams spricht Russisch und wir haben keine Systeminfektionen außerhalb Russlands detektiert. Die Hackerbande ist nach wie vor aktiv und hält Ausschau nach neuen Opfern.

Gerissene Kriminelle

Onlinekriminellen der Gruppierung GCMAN ist es auf ähnliche Weise gelungen auf die Systeme von Finanzinstitutionen zuzugreifen, aber anstatt Bankautomaten auszurauben haben sie Geldbeträge zu digitalen Währungsanbietern überwiesen.

Um sich Zugriff auf das Netzwerk zu verschaffen, haben die Mitglieder von GCMAN Spear-Phishing-Mails mit schadhaften Anhängen verschickt. Sie sind so zu den Geräten der Personalabteilung und der Buchhaltung vorgedrungen und haben darauf gewartet, dass sich der Systemadministrator einloggt. In einigen Fällen haben sie ihre Wartezeit verkürzt, indem sie einen Systemabsturz von Microsoft Word verursacht haben oder von 1C – einer in Russland weit verbreiteten Buchhaltungssoftware. Wenn der betroffene Mitarbeiter sich Hilfe vom Systemadministrator geholt hat, konnten die Kriminellen dessen Passwort stehlen.

Die Mitglieder von GCMAN haben im nächsten Schritt im Firmennetzwerk der betroffenen Bank nach einer Vorrichtung gesucht, die ohne Aufsehen zu erregen Geldbeträge zu digitalen Währungsanbietern überweisen kann. In einigen Fällen haben die Kriminellen hierfür sogar legitime Software verwendet oder herkömmliche Penetration-Testing-Tools wie Putty, VNC und Meterpreter.

Diese Transaktionen wurden über einen Cron-Skript ausgeführt, der minütlich kleine Summen überwiesen hat – in Höhe von etwa $200 pro Transaktion, da dies die Obergrenze für anonyme Überweisungen in Russland ist. Die überaus umsichtige Vorgehensweise der Onlinediebe ist beachtlich. In einem Fall konnten die Kriminellen auf diese Weise eineinhalb Jahre unbemerkt in einem Netzwerk agieren und still und heimlich viele Geräte und Konten knacken.

Unseres Wissens nach besteht GCMAN nur aus einer oder zwei Mitgliedern, die Russisch sprechen.

Carbanak ist zurück

Die Gruppe Carbanak ist seit 2013 im Internet aktiv. Hin und wieder tauchen sie ab – nur um wenig später mit einer neuen Strategie Hackerangriffe durchzuführen. In jüngster Zeit hat Carbanak sein Spektrum an Opferprofilen erweitert: Sie nehmen jetzt Finanzabteilungen jedweder Organisationen ins Visier, nicht mehr ausschließlich Banken. Die Gruppe hat weltweit bereits mehrere Millionen von verschiedenen Unternehmen gestohlen. Danach wurde es ruhig um Carbanak, aber vor vier Monaten sind sie mit einem neuen Plan zurückgekommen.

Für ihre Hackerangriffe benutzen die Kriminellen APT-ähnliche Funktionen und Methoden. Über Spear-Phishing-Kampagnen infizieren sie zunächst das Firmennetzwerk: Indem ein Mitarbeiter auf einen E-Mail-Anhang klickt, wird die von Carbanak entwickelte Malware installiert.

Sobald ein Computer infiziert ist, versuchen die Kriminellen auf das Konto des Systemadministrators zuzugreifen, um dann mit den gestohlenen Zugangsdaten den Domaincontroller zu hacken und Geld von Bankkonten zu stehlen oder Daten zu ändern, die über einen Firmenbesitzer gespeichert wurden.

Unseres Wissens nach ist Carbanak eine internationale Gruppe, der Kriminelle aus Russland, China, der Ukraine und anderen europäischen Länder angehören. Die Bande besteht aus zahlreichen Mitgliedern. Weitere Informationen über Carbanak sind in diesem Blogpost zu lesen.

Ich arbeite in einer Bank. Welche Schutzmaßnahmen sollte ich treffen?

Wer für ein Finanzinstitut arbeitet, sollte wachsam sein. Wie die oben genannten Beispiele zeigen, kann es leicht passieren, dass man unfreiwillig Onlinekriminellen Türen öffnet. Nicht auszudenken, welche Konsequenzen das haben würde. Wir empfehlen daher einige Schuzmaßnahmen zu treffen – mehr dazu in den folgenden Artikeln:

Abschließend möchten wir darauf hinweisen, dass die Sicherheitslösungen von Kaspersky Lab alle bekannten, von Carbanak, Metel und GCMAN entwickelten Schadprogramme detektieren und entschärfen.

Tipps