{"id":19117,"date":"2019-04-29T15:36:50","date_gmt":"2019-04-29T13:36:50","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19117"},"modified":"2022-05-05T14:21:09","modified_gmt":"2022-05-05T12:21:09","slug":"carbanak-source-code-leaked","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/carbanak-source-code-leaked\/19117\/","title":{"rendered":"Quellcode-Leak der ber\u00fcchtigten Carbanak-Malware"},"content":{"rendered":"

Medienberichten zufolge haben Sicherheitsforscher k\u00fcrzlich den Quellcode der ber\u00fcchtigten Malware Carbanak auf dem kostenlosen Open-Source-Portal VirusTotal<\/em> entdeckt. Carbanak gilt derzeit als die bislang erfolgreichste finanzielle Cyberbedrohung, verantwortlich f\u00fcr den Diebstahl von 1 Milliarde Euro bei Finanzinstituten weltweit.<\/p>\n

Unsere Experten von Kaspersky Lab entdeckten und analysierten Carbanak erstmals im Jahr 2014. Im Fokus stand zu diesem Zeitpunkt die Untersuchung zahlreicher miteinander in Verbindung stehender Vorf\u00e4lle, bei denen Geld von diversen Bankautomaten gestohlen worden war \u2013 hierbei handelte es sich um eine internationale, gro\u00df angelegte Kampagne, die darauf abzielte, m\u00f6glichst viel Geld von verschiedenen Banken auf der ganzen Welt zu entwenden. Zu Beginn untersuchten unsere Sicherheitsexperten lediglich Vorf\u00e4lle in Osteuropa, stie\u00dfen jedoch in k\u00fcrzester Zeit auch auf Opfer in den USA, Deutschland und China.<\/p>\n

Wie viele andere Angriffe begann auch diese Kampagne mit Spear Phishing. In diesem Fall waren es zielgerichtete, mit sch\u00e4dlichen Anh\u00e4ngen bewaffnete E-Mails, die eine Backdoor \u2013 basierend auf der Malware Carberp \u2013 installierten. Diese Backdoor gew\u00e4hrte den Angreifern Zugriff auf das gesamte Netzwerk der Zielorganisation und kompromittierte Computer, die ihnen so die M\u00f6glichkeit gaben, Geld zu entwenden.<\/p>\n

Die Kriminellen versuchten, \u00fcber verschiedene Wege an ihre Beute zu gelangen: In einigen F\u00e4llen gaben sie den Automaten die direkte Remote-Anweisung, eine spezifische Geldsumme auszugeben, die dann von den sogenannten Money Mules<\/em> abgehoben wurde. In anderen F\u00e4llen nutzten sie das SWIFT-Netzwerk, um Geld direkt auf ihre eigenen Konten zu \u00fcberweisen. Bis zum Zeitpunkt der Entdeckung Carbanaks war keine der beiden Methoden massiv ausgenutzt worden, sodass die Gr\u00f6\u00dfenordnung und die von Carbanak eingesetzten Technologien sowohl die Finanz- als auch die Cybersicherheitsbranche ersch\u00fctterten.<\/p>\n

Was h\u00e4lt die Zukunft bereit?<\/h2>\n

Seit Carbanaks Entdeckung sind unsere Experten auf mehrere Angriffe gesto\u00dfen (Silence ist einer davon<\/a>), die \u00e4hnliche Taktiken und Verfahren verwendet haben und in diesem Zeitraum auch recht aktiv waren<\/a>. Mit der Ver\u00f6ffentlichung des Carbanak-Quellcodes werden solche Vorf\u00e4lle in Zukunft aber m\u00f6glicherweise wesentlich h\u00e4ufiger auftreten. Unser Forscher, Sergey Golovanov, der diesen Fall bereits von Anfang an untersucht und mitverfolgt hat, \u00e4u\u00dfert sich folgenderma\u00dfen zu dem Vorfall:<\/p>\n

\u201eDie Tatsache, dass der Quellcode der ber\u00fcchtigten Carbanak-Malware auf einer Open-Source-Website verf\u00fcgbar war, ist ein schlechtes Zeichen. Tats\u00e4chlich wurde die Carbanak-Malware selbst zun\u00e4chst auf dem Quellcode der Carberp-Malware aufgebaut, nachdem sie online ver\u00f6ffentlicht wurde. Wir haben allen Grund zu der Annahme, dass sich dieses Szenario nun wiederholen wird und wir uns in Zukunft mit gef\u00e4hrlichen Modifikationen von Carbanak konfrontiert sehen werden. Die gute Nachricht ist, dass sich die Cybersicherheitsbranche seit dem Carberp-Leck stark weiterentwickelt hat und den ge\u00e4nderten Code heute leicht erkennen kann. Wir fordern Unternehmen und Einzelpersonen auf, sich gegen diese und zuk\u00fcnftige Bedrohungen mit einer robusten Sicherheitsl\u00f6sung zu sch\u00fctzen.\u201c<\/p>\n

So sch\u00fctzen Sie sich<\/h2>\n

Um sich vor Bedrohungen wie Carbanak zu sch\u00fctzen, empfehlen wir Ihnen folgende Sicherheitsma\u00dfnahmen:<\/p>\n