Kürzlich geleakter Malware-Quellcode stammt nicht von Carbanak

Der kürzlich geleakte Quellcode stammt nicht wie vermutet von Carbanak, sondern von einer anderen Finanz-Malware-Familie. Expertenmeinungen zufolge wird das Leck vermutlich einen großen Welleneffekt mit sich bringen.

Bisherigen Statements zufolge konnte man davon ausgehen, dass es sich bei dem kürzlich geleakten Quellcode um Quellcode des APTs Carbanak handelte. Eine Analyse von Kaspersky Lab bestätigt jedoch, dass der Code zu einer anderen Finanz-Malware namens Karamanak/Pegasus/Ratopak gehört (nicht zu verwechseln mit der Spyware Pegasus für iOS-Geräte). Zeitstempel deuten darauf hin, dass der Quellcode zwischen 2015 und 2016 geschrieben wurde. Die Virenschreiber waren eindeutig russische Muttersprachler, die es auf Finanzinstitutionen in Russland abgesehen hatten.

Alle Finanz-Malware-Attacken, aber auch alle anderen Angriffe, die sich gegen gut geschützte Organisationen richten, sind unglaublich anspruchsvoll in der Vorbereitung und umfassen zwei maßgebliche Schritte: Infektion und Gelddiebstahl. Obwohl ein Quellcode-Leck Kriminellen beim ersten Schritt behilflich sein könnte, erfordert die zweite Stufe weitaus mehr Planung und Aufwand. Aus diesem Grund ist es eher unwahrscheinlich, dass wir in naher Zukunft von neuen Cyber-Vorfällen, basierend auf diesem Quellcode-Leck, hören werden.

Auf längere Sicht betrachtet sind derartige Lecks allerdings ein großes Problem. Die Erfahrung hat uns gelehrt, dass auch dieses Quellcode-Leck in unbestimmter Zukunft dazu führen wird, dass zahlreiche Cyberkriminelle neue Malware-Varianten daraus entwickeln. Das war beispielsweise auch der Fall, nachdem der Quellcode des Trojaners Zeus im Jahr 2011 geleakt wurde. Langfristig können wir damit rechnen, dass sich neue finanzielle Malwarestämme und kriminelle Gruppen bilden, die an finanziellen Cyberverbrechen beteiligt sind.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.