Unsere Sicherheitsexperten haben eine neue b\u00f6sartige Kampagne aufgedeckt, bei der eine gro\u00dfe Anzahl an Tools eingesetzt wird. Zu den Tools z\u00e4hlen ein Banking-Trojaner, eine Ransomware namens Quoter (die schon vor einiger Zeit von unseren Systemen entdeckt wurde) und legitime Remote-Access-Tools, wie LiteManager, RMS und m\u00f6glicherweise auch andere. Die Cyberkriminellen geh\u00f6ren zur RTM-Gruppe.<\/p>\n
Der Angriff beginnt mit einer Standard-Phishing-Methode: Die Cyberverbrecher schicken eine E-Mail mit einem Anhang, der aussieht wie ein gew\u00f6hnliches Dokument, aber tats\u00e4chlich handelt es sich um den Trojan-Banker.Win32.RTM. Die Verbrecher verwenden Kopfzeilen, die an die Mitarbeiter des Unternehmens gerichtet sind und die Aufmerksamkeit der Empf\u00e4nger erwecken sowie sie dazu verleiten sollen, den Anhang vorbehaltlos zu \u00f6ffnen. Unsere Experten haben folgende Varianten gefunden:<\/p>\n
Der Trojaner ist nicht neu und erscheint seit 2018<\/a> immer wieder in unseren Top 10 der Malware-Familien. Wenn der Empf\u00e4nger auf den Anhang klickt, l\u00e4dt er nicht nur die Malware auf seinem Computer herunter, sondern auch zus\u00e4tzliche Hacking-Tools.<\/p>\n Der n\u00e4chste Schritt besteht darin das Netzwerk m\u00f6glichst unbemerkt zu durchsuchen (Lateral Movement), um die Computer der Buchhaltungsmitarbeiter ausfindig zu machen. \u00dcber diese Computer versuchen die Verbrecher dann das Online-Banking-System zu manipulieren und die richtige Bankverbindung gegen die der Cyberkriminellen auszutauschen. Diese Vorgangsweise ist nicht neu f\u00fcr RTM. Interessanterweise installiert die Gang gleichzeitig auch Quoter, sozusagen als Plan B. Quoter ist ein weiterer Trojaner, den wir als Trojan-Ransom.Win32.Quoter entdeckt haben. Dieser Trojaner schleust Filmzitate (auf Englisch movie quotes) in den Code ein, der zur Verschl\u00fcsselung der Dateien verwendet wird und diesen \u201eQuotes\u201c verdankt er seinen Namen.<\/p>\n Wie es bei modernen Ransomware-Betreibern \u00fcblich ist, stiehlt RTM Informationen und droht damit, diese zu ver\u00f6ffentlichen, wenn die Verbrechergruppe das geforderte L\u00f6segeld nicht p\u00fcnktlich erh\u00e4lt.<\/p>\n Bis jetzt sind unseren Sicherheitsexperten ungef\u00e4hr ca. ein Duzend F\u00e4lle bekannt. Alle Angriffe fanden in Russland statt und die Opfer sind ausschlie\u00dflich Unternehmen, die in der Logistik- oder Finanzbranche t\u00e4tig sind. Die tats\u00e4chliche Anzahl der Opfer ist aber wahrscheinlich h\u00f6her \u2013 der Zeitraum ab der Infizierung der Computer bis zur Aktivierung der Ransomware (Zeitpunkt zu dem der Angriff sp\u00e4testens ans Licht kommt), kann mehrere Monate dauern. In dieser Zeit erforschen die Angreifer das Netzwerk des Opfers und suchen nach Online-Banking-Systemen.<\/p>\n M\u00f6glicherweise werden \u00e4hnliche Angriffe auf Unternehmen folgen, die in anderen Regionen t\u00e4tig sind. (Quoter f\u00fcgt auch Zitate auf Englisch ein, was nicht unbedingt etwas zu bedeuten hat, aber es deutet gewisserma\u00dfen an, dass die Gang international expandieren m\u00f6chte). Detaillierte technische Daten der Kampagne, einschlie\u00dflich einige der b\u00f6sartigen Codeschnipsel und Kompromittierungsindikatoren (IoC), finden Sie im Blogbeitrag<\/a> der Kaspersky-Cybersicherheitsseite Securelist.<\/em><\/p>\n Wie \u00fcblich besteht die erste zu ergreifende Schutzma\u00dfnahme darin die Mitarbeiter zu schulen: Die meisten dieser Angriffe beginnen mit einem Phishing-Angriff. Mitarbeiter, die ausreichend zum Thema Cybersicherheit geschult sind, sind sich der Gefahren bewusst und fallen weniger auf die Standardtricks der Eindringlinge herein, wodurch das Unternehmen vor Cyberangriffen gesch\u00fctzt wird. Sie k\u00f6nnen Remote-Schulungen mithilfe einer Online-Plattform<\/a> organisieren.<\/p>\n Zur rechtzeitigen Entdeckung von Lateral Movements (deutsch: Seitw\u00e4rtsbewegung), bzw. das Erkennen von Eindringlingen im Unternehmensnetzwerk und die Verwendung von legitimen Tools zu b\u00f6sartigen Zwecken, ist es empfehlenswert ein fortschrittliches Tool zu verwenden, das in der Lage ist komplexe Bedrohungen zu erkennen<\/a>.<\/p>\n Dar\u00fcber hinaus sollten alle Computer von Mitarbeitern \u2013 besonders von Mitarbeitern, die mit Banksystemen arbeiten \u2013 mit einer Sicherheitsl\u00f6sung ausgestattet sein, die sowohl bekannte als auch neue Bedrohungen erkennt.<\/p>\nWer steht im Fokus der Cyberkriminellen?<\/h2>\n
Schutz vor dieser Art von Cyberbedrohungen<\/h2>\n