Kürzlich geleakter Malware-Quellcode stammt nicht von Carbanak

13 Jul 2018

Bisherigen Statements zufolge konnte man davon ausgehen, dass es sich bei dem kürzlich geleakten Quellcode um Quellcode des APTs Carbanak handelte. Eine Analyse von Kaspersky Lab bestätigt jedoch, dass der Code zu einer anderen Finanz-Malware namens Karamanak/Pegasus/Ratopak gehört (nicht zu verwechseln mit der Spyware Pegasus für iOS-Geräte). Zeitstempel deuten darauf hin, dass der Quellcode zwischen 2015 und 2016 geschrieben wurde. Die Virenschreiber waren eindeutig russische Muttersprachler, die es auf Finanzinstitutionen in Russland abgesehen hatten.

Alle Finanz-Malware-Attacken, aber auch alle anderen Angriffe, die sich gegen gut geschützte Organisationen richten, sind unglaublich anspruchsvoll in der Vorbereitung und umfassen zwei maßgebliche Schritte: Infektion und Gelddiebstahl. Obwohl ein Quellcode-Leck Kriminellen beim ersten Schritt behilflich sein könnte, erfordert die zweite Stufe weitaus mehr Planung und Aufwand. Aus diesem Grund ist es eher unwahrscheinlich, dass wir in naher Zukunft von neuen Cyber-Vorfällen, basierend auf diesem Quellcode-Leck, hören werden.

Auf längere Sicht betrachtet sind derartige Lecks allerdings ein großes Problem. Die Erfahrung hat uns gelehrt, dass auch dieses Quellcode-Leck in unbestimmter Zukunft dazu führen wird, dass zahlreiche Cyberkriminelle neue Malware-Varianten daraus entwickeln. Das war beispielsweise auch der Fall, nachdem der Quellcode des Trojaners Zeus im Jahr 2011 geleakt wurde. Langfristig können wir damit rechnen, dass sich neue finanzielle Malwarestämme und kriminelle Gruppen bilden, die an finanziellen Cyberverbrechen beteiligt sind.