{"id":18592,"date":"2019-02-21T10:11:24","date_gmt":"2019-02-21T08:11:24","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18592"},"modified":"2019-11-22T12:10:17","modified_gmt":"2019-11-22T10:10:17","slug":"financial-trojans-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/financial-trojans-2019\/18592\/","title":{"rendered":"Cyberkriminelle haben Finanzbuchhalter im Visier"},"content":{"rendered":"

Unsere Experten haben beobachtet, dass sich Cyberkriminelle in letzter Zeit aktiv auf KMUs konzentrieren und Nutzern mit Verantwortung f\u00fcr die Finanzbuchhaltung dabei ganz besondere Aufmerksamkeit schenken. Warum sie diese Wahl getroffen haben, ist mehr als logisch \u2013 die Akteure sind auf der Suche nach einem direkten Zugang zu den Finanzen eines Unternehmens. Die j\u00fcngste Manifestation dieses Trends ist ein Anstieg der Trojaneraktivit\u00e4t, insbesondere von Buhtrap und RTM. Sie haben unterschiedliche Funktionen und Verbreitungsm\u00f6glichkeiten, verfolgen jedoch den gleichen Zweck \u2013 die Pl\u00fcnderung von Unternehmenskonten.<\/p>\n

Beide Bedrohungen sind besonders f\u00fcr Unternehmen relevant, die in der IT-Branche, im Rechtsdienst und in der Kleinproduktion t\u00e4tig sind. M\u00f6glicherweise kann dies auf die deutlich geringeren Sicherheitsbudgets dieser Unternehmen, im Vergleich zu den verf\u00fcgbaren Geldmitteln der im Finanzsektor t\u00e4tigen Unternehmen, zur\u00fcckgef\u00fchrt werden.<\/p>\n

RTM<\/h2>\n

RTM infiziert Opfer f\u00fcr gew\u00f6hnlich via Phishing-Mail. Im Betreff der Nachricht werden hierbei h\u00e4ufig gel\u00e4ufige Gesch\u00e4ftskorrespondenzen imitiert (einschlie\u00dflich Phrasen wie „R\u00fccksendeanfrage“, „Dokumentkopien der vergangenen Monate“ oder „Zahlungsaufforderung“). Das \u00d6ffnen eines Links oder Anhangs f\u00fchrt zu einer sofortigen Infektion, die den Verantwortlichen vollen Zugriff auf das infizierte System verleiht.<\/p>\n

Im Jahr 2017 konnten unsere Systeme 2376 Benutzer registrieren, die von RTM attackiert wurden. Im vergangenen Jahr 2018 waren es bereits 130.000 Opfer. Das Tempo der Attacken scheint sich auch 2019 fortzusetzen. Bereits mehr als 30.000 Nutzer wurden bisher im Jahresverlauf attackiert. Derzeit k\u00f6nnen wir RTM als einen der aktivsten Finanztrojaner bezeichnen.<\/p>\n

Und auch wenn die meisten Angriffsziele bisher in Russland lagen, gehen unsere Experten davon aus, dass der Trojaner in naher Zukunft auch grenz\u00fcberschreitend agieren wird.<\/p>\n

Buhtrap<\/h2>\n

Die erste Begegnung mit Buhtrap wurde bereits im Jahr 2014 registriert. Damals war dies der Name einer Gruppe von Cyberkriminellen, die pro erfolgreichen Angriff auf russische Finanzinstitute mindestens 150.000 US-Dollar entwenden konnte. Nachdem 2016 der Quellcodes ihrer Tools ver\u00f6ffentlicht wurden, wurde der Name Buhtrap f\u00fcr den Finanztrojaner verwendet.<\/p>\n

Buhtrap tauchte Anfang 2017 in der TwoBee-Kampagne erneut auf und diente hier in erster Linie der Verbreitung von Malware. Im M\u00e4rz letzten Jahres geriet der Trojaner in die Schlagzeilen, als er sich in mehreren gro\u00dfen Nachrichtendiensten verbreitete, deren Hauptseiten von den Akteure mit Skripts versehen wurden, die einen Exploit f\u00fcr Internet Explorer in den Browsern der Besucher ausf\u00fchrten.<\/p>\n

Einige Monate sp\u00e4ter, im Juli 2017, grenzten die Cyberkriminellen ihre Zielgruppe ein und legten ihren Fokus auf eine bestimmte Benutzergruppe: Finanzbuchhalter, die in kleinen und mittelst\u00e4ndischen Unternehmen t\u00e4tig sind. Aus diesem Grund haben die Kriminellen spezifische Websites mit Informationen, die speziell auf diese Zielgruppe ausgerichtet sind, erstellt.<\/p>\n

Insgesamt konnten unsere Schutzsysteme bereits mehr als 5.000 Buhtrap-Angriffsversuche, 250 davon seit Anfang 2019, verhindern.<\/p>\n

Wie auch beim letzten Mal verbreitet sich Buhtrap \u00fcber in Nachrichtendiensten eingebettete Exploits. Auch dieses Mal z\u00e4hlen Nutzer von Internet Explorer zur Risikogruppe des Trojaners. Der IE verwendet ein verschl\u00fcsseltes Protokoll zum Download von Malware infizierter Websites, wodurch die Analyse zus\u00e4tzlich erschwert und es der Malware erm\u00f6glicht wird, bei einigen Sicherheitsl\u00f6sungen eine Sicherheitswarnung zu vermeiden. In diesem Fall wird noch immer eine Schwachstelle ausgenutzt, die bereits 2018 offengelegt wurde.<\/p>\n

Infolge einer Infektion bieten sowohl Buhtrap als auch RTM uneingeschr\u00e4nkten Zugriff auf kompromittierte Workstations. Auf diese Weise k\u00f6nnen Cyberkriminelle die Dateien, die zum Datenaustausch zwischen Buchhaltungs- und Bankensystemen verwendet werden, nach Belieben \u00e4ndern, da diese \u00fcber keine zus\u00e4tzlichen Schutzma\u00dfnahmen verf\u00fcgen. Kaspersky Lab sch\u00e4tzt, dass die Angreifer innerhalb von zwei Jahren eine Vielzahl an illegalen Transaktionen durchgef\u00fchrt haben, die jede bis zu 15.000 US-Dollar umfasst.<\/p>\n

Das k\u00f6nnen Sie tun<\/h2>\n

Um Ihr Unternehmen vor derartigen Bedrohungen zu sch\u00fctzen, empfehlen wir Ihnen, dem Schutz von Computern, die Zugriff auf Finanzsysteme haben, besondere Aufmerksamkeit zu schenken. Nat\u00fcrlich m\u00fcssen auch alle anderen Ger\u00e4te gesch\u00fctzt werden. Hier einige praktische Tipps und Ma\u00dfnahmen:<\/p>\n