Im vergangenen Jahr wurden die mutma\u00dflichen Anf\u00fchrer der ber\u00fcchtigten Fin7 \u2013 besser auch unter dem Namen Carbanak-Cybergang bekannt \u2013 festgenommen; Obwohl die Gruppe seitdem als aufgel\u00f6st gilt, sto\u00dfen unsere Experten aktuell noch immer auf Anzeichen, die auf ihre fortbestehende Aktivit\u00e4t hindeuten. Dar\u00fcber hinaus w\u00e4chst die Anzahl der untereinander verkn\u00fcpften Gruppen, die \u00e4hnliche Toolkits und dieselbe Infrastruktur verwenden, stetig. Im Anschluss finden Sie eine Liste der wichtigsten Instrumente und Tricks sowie Ratschl\u00e4ge zum Schutz Ihres Unternehmens.<\/p>\n
FIN7 greift haupts\u00e4chlich Unternehmen an, um sich Zugang zu Finanzdaten oder der PoS-Infrastruktur einer Organisation zu verschaffen. Dabei funktioniert die Gruppe \u00fcber raffinierte Spear-Phishing-Kampagnen in Verbindung mit ausgefeilten Social-Engineering-Techniken. So tauschen die Angreifer beispielsweise \u00fcber einen bestimmten Zeitraum zun\u00e4chst v\u00f6llig harmlose Nachrichten mit den Opfern aus, bevor sie die sch\u00e4dlichen Dokumente schlie\u00dflich im Anhang versenden.<\/p>\n
In den meisten F\u00e4llen verwendeten die Angreifer b\u00f6sartige Dokumente mit Makros, um Malware auf den Computern der Opfer zu installieren; Die Planung verschiedener Tasks sorgte dann f\u00fcr ihren Fortbestand. Empfangene Module \u2013 bei denen es sich haupts\u00e4chlich um Module zum Sammeln von Informationen, zum Download zus\u00e4tzlicher Malware, zur Aufnahme von Screenshots oder zum Speichern einer weiteren Instanz derselben Malware in der Registrierungsdatenbank handelt \u2013 wurden dann im Systemspeicher selbst ausgef\u00fchrt.<\/p>\n
Andere kriminelle Gruppen verwenden zwar \u00e4hnliche Tools und Techniken, nehmen allerdings andere Zielobjekte ins Visier \u2013 in diesem Fall Banken und Entwickler von Banking- und Geldverarbeitungssoftware. Der Carbanak-Gruppe (sowie auch der CobaltGoblin-Gruppe aka EmpireMonkey) geht es bei den Angriffen haupts\u00e4chlich darum, in den Netzwerken der Opfer Fu\u00df zu fassen und dann interessante Endpunkte mit Informationen zu finden, die dann zu Geld gemacht werden k\u00f6nnen.<\/p>\n
AveMaria ist ein neues Botnetz, das zum Informationsdiebstahl verwendet wird. Nach der Infektion eines Ger\u00e4tes, sammelt es alle m\u00f6glichen Anmeldeinformationen von verschiedener Software und Programmen: Browser, E-Mail-Clients, Messenger usw. Dar\u00fcber hinaus fungiert es als Keylogger.<\/p>\n
Um die Nutzlast zu liefern, verwenden die Kriminellen sowohl Spear Phishing\/Social Engineering als auch sch\u00e4dliche Anh\u00e4nge in E-Mail-Nachrichten. Aufgrund der bestehenden \u00c4hnlichkeiten in den Methoden und der C&C-Infrastruktur (Command & Control), vermuten unsere Experten eine enge Verbindung zu FIN7. Ein weiteres Indiz, das f\u00fcr diese Verkn\u00fcpfung spricht, ist die Zielverteilung der hinter den Angriffen stehenden Cyber-Gruppen: 30% der anvisierten Ziele waren kleine bis mittelst\u00e4ndische Unternehmen (Zulieferer oder Dienstleister gr\u00f6\u00dferer Unternehmen); bei weiteren 21% handelte es sich um verschiedene Produktionsunternehmen.<\/p>\n
Unsere Experten haben eine Reihe von Aktivit\u00e4ten entdeckt, die unter dem Decknamen CopyPaste auf Finanzorganisationen und -unternehmen in einem afrikanischen Land abzielen. Auch hier verwendeten die Akteure verschiedene Methoden und Tools, die denen von FIN7 sehr \u00e4hnlich sind. Es besteht allerdings die M\u00f6glichkeit, dass diese Cyberkriminellen lediglich Open-Source-Ver\u00f6ffentlichungen verwendet haben und tats\u00e4chlich nicht mit FIN7 in Verbindung gebracht werden k\u00f6nnen.<\/p>\n
Weitere technische Details finden Sie in unserem Beitrag auf Securelist.com.<\/a><\/p>\n \u00a0<\/p>\n","protected":false},"excerpt":{"rendered":" Trotz der Festnahme der mutma\u00dflichen Anf\u00fchrer der Cybergang FIN7, konnten unsere Experten eine Reihe neuer Angriffe derselben Akteure entdecken.<\/p>\n","protected":false},"author":40,"featured_media":19197,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[3252,522,3290,1332,3253],"class_list":{"0":"post-19196","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-thesas2019","10":"tag-apt","11":"tag-fin7","12":"tag-sas","13":"tag-sas-2019"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fin7-still-exists\/19196\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fin7-still-exists\/14529\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fin7-still-exists\/18404\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fin7-still-exists\/17302\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fin7-still-exists\/22727\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fin7-still-exists\/5967\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fin7-still-exists\/26904\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fin7-still-exists\/11707\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fin7-still-exists\/11796\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fin7-still-exists\/10702\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fin7-still-exists\/23195\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fin7-still-exists\/18376\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/thesas2019\/","name":"#theSAS2019"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19196","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=19196"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19196\/revisions"}],"predecessor-version":[{"id":20842,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19196\/revisions\/20842"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/19197"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=19196"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=19196"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=19196"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}So sch\u00fctzen Sie sich<\/h2>\n
\n
\n\u2022 F\u00fchren Sie regelm\u00e4\u00dfige Sicherheits-Awareness-Trainings f\u00fcr Mitarbeiter ein und vermitteln Siepraktische F\u00e4higkeiten. Programme wie die Kaspersky\u00a0Automated Security Awareness Platform<\/a> helfen dabei, diese\u00a0F\u00e4higkeiten zu verbessern und simulierte Phishing-Angriffe durchzuf\u00fchren.
\n\u2022 Alle oben genannten Gruppen profitieren in hohem Ma\u00dfe von ungepatchten Systemen in Unternehmensumgebungen. Verwenden Sie daher immer eine solide Patch-Strategie und eine Sicherheitsl\u00f6sung wie Kaspersky Endpoint Security for Business<\/a>, die kritische Software automatisch patchen kann.<\/li>\n<\/ul>\n\n