{"id":6930,"date":"2016-02-08T13:43:15","date_gmt":"2016-02-08T13:43:15","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=6930"},"modified":"2017-09-27T15:00:38","modified_gmt":"2017-09-27T13:00:38","slug":"carbanak-und-mehr-banken-sehen-sich-neuen-angriffen-gegenueber","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/carbanak-und-mehr-banken-sehen-sich-neuen-angriffen-gegenueber\/6930\/","title":{"rendered":"Carbanak und mehr: Banken sehen sich neuen Angriffen gegen\u00fcber"},"content":{"rendered":"

\"asp_full-768x495\"<\/p>\n

Vor einem Jahr warnte Kaspersky Lab davor, dass Cyberkriminelle mit \u00e4hnlichen Methoden wie nationalstaatlich unterst\u00fctzte APT-Attacken (Advanced Persitent Threats) Banken ausrauben k\u00f6nnten. Jetzt best\u00e4tigt das Unternehmen die R\u00fcckkehr von Carbanak als Carbanak 2.0 und enth\u00fcllt dar\u00fcber hinaus zwei weitere Gruppen, die in diesem Stil operieren: Metel und GCMAN. Die Gruppen attackieren Finanzinstitute mit vorangehenden, verdeckten APT-typischen Aufkl\u00e4rungsprojekten und ma\u00dfgeschneiderter Malware. Zudem setzen die Gruppen legale Software sowie neue, innovative Schemata ein, um Barauszahlungen oder \u00dcberweisungen zu t\u00e4tigen.<\/p>\n

\"Kaspersky_Infographics_Comic_Metel\"<\/p>\n

\n

Die Metel-Gruppe verwendet ein besonders ausgekl\u00fcgeltes Angriffsschema. Die erste Infektion findet \u00fcber gef\u00e4hrliche Anh\u00e4nge in Spear-Phishing-E-Mails sowie \u00fcber Schwachstellen im Browser des Opfers (Niteris-Exploit-Pack) statt. Anschlie\u00dfend k\u00f6nnen \u00fcber legale Software-Werkzeuge (beispielsweise Pentesting-Tools) diejenigen Rechner identifiziert werden, die bestimmte Arten des Zahlungsverkehrs abwickeln k\u00f6nnen. Der besondere Trick: Die Angreifer k\u00f6nnen Auszahlungen an einem Bankautomaten r\u00fcckabwickeln. So erscheint das Guthaben des Kontos der verwendeten Bankkarte zun\u00e4chst nicht belastet. In den bislang beobachteten F\u00e4llen fuhren Kriminelle nachts in russischen St\u00e4dten herum und leerten Geldautomaten unterschiedlicher Banken. Dabei nutzten sie wiederholt die selben Bankkarten der kompromittierten Bank.<\/p>\n

\"Kaspersky_Infographics_Comic_Metel2<\/p>\n

\u201eHeutzutage werden die aktiven Phasen einer Cyberattacke immer k\u00fcrzer. Sobald die Angreifer im Einsatz einer bestimmten Methode gen\u00fcgend ge\u00fcbt sind, ben\u00f6tigen sie nur wenige Tage, um sich das zu nehmen, was sie wollen und dann zu verschwinden\u201c, kommentiert Sergey Golovanov, Principal Security Researcher beim Global Research & Analysis Team von Kaspersky Lab.<\/p>\n

Bislang wurden keine Attacken der Metel-Gruppe au\u00dferhalb von Russland festgestellt, jedoch ist die Gruppe immer noch aktiv, die Ermittlungen laufen. Es besteht Grund zur Annahme, dass die Gruppe sich nicht nur auf den russischen Raum beschr\u00e4nken wird. Kaspersky Lab ruft daher alle Banken auf, ihre Netzwerke auf das Vorhandensein der Metel-Malware zu \u00fcberpr\u00fcfen.<\/p>\n

Kaspersky Lab findet neue Tricks und Trittbrettfahrer der ber\u00fcchtigten Cyber-Bankr\u00e4uber<\/p>Tweet<\/a><\/blockquote>\n

GCMAN: Diebstahl im Minutentakt<\/strong>
\nDie zweite Gruppe GCMAN operiert mindestens ebenso heimlich. Kaspersky Lab beobachtete F\u00e4lle, in denen Angriffe sogar ohne Einsatz von Malware, sondern \u00fcber legitime und Pentesting-Tools (wie Putty, VNC und Meterpreter) durchgef\u00fchrt wurden. Im Netzwerk der Finanzorganisation arbeiten sich die Cyberkriminellen zu jenem Rechner vor, der Geld an digitale W\u00e4hrungsdienste \u00fcberweist, ohne dass ein anderes Banksystem davon etwas mitbekommt.<\/p>\n

\"Kaspersky_Infographics_GCMAN\"<\/p>\n

In einem von Kaspersky Lab beobachteten Fall hielten sich die Cyberkriminellen eineinhalb Jahre im Netzwerk auf, bevor es zu einem aktiven Diebstahl kam. Es wurden Geldbetr\u00e4ge von etwa 200 US-Dollar transferiert. Ein Betrag, der in Russland die Obergrenze f\u00fcr anonyme \u00dcberweisungen darstellt. Ein zeitbasierter Prozess verschickte im Minutentakt ein malizi\u00f6ses Skript, das wiederum eine Zahlung an ein digitales W\u00e4hrungskonto eines so genannten Money Mules ausl\u00f6ste. Die Transaktionsauftr\u00e4ge wurden direkt an das sogenannte \u201eUpstream Payment Gateway\u201c versendet und tauchten innerhalb der internen Banksysteme nirgends auf.<\/p>\n

\u00a0<\/p>\n

Carbanak 2.0 greift nicht nur Banken an<\/strong>
\nCarbanak 2.0 ist schlie\u00dflich die neue Dimension der Carbanak-APT. Carbanak 2.0 greift jedoch nicht nur Banken an, sondern dehnt seinen Aktionsradius auch auf Buchhaltungsabteilungen anderer Unternehmen aus, indem die Gruppe deren Finanztransaktionen manipuliert.<\/p>\n

\"Kaspersky_Infographics_Carbanak\"<\/p>\n

So analysierten die Experten von Kaspersky Lab einen Fall, bei dem die Carbanak-2.0-Gang in eine Finanzinstitution eindrang und anschlie\u00dfend Informationen \u00fcber die Eigent\u00fcmerverh\u00e4ltnisse eines gro\u00dfen Unternehmens \u00e4nderte. Die Informationen wurden so modifiziert, dass der Name eines Money Mule als Anteilseigner des Unternehmens auftauchte.<\/p>\n

\"Sergey_Golovanov\"<\/p>\n

\u201eDie im Jahr 2015 verdeckten Angriffe auf Finanzinstitute enth\u00fcllen einen besorgniserregenden Trend. Cyberkriminelle machen sich die Methoden von APT-Attacken immer mehr zu nutze. Die Carbanak-Gang war offenbar nur die erste Gruppe in einer Reihe von vielen weiteren. Die Cyberkriminellen lernen schnell, integrieren neue Techniken in ihre Operationen und greifen immer mehr die Banken direkt an. Die Logik dahinter ist einfach: dort liegt das Geld\u201c, warnt Golovanov. \u201eUnser Ziel ist es, aufzuzeigen, wie die Gangster genau zuschlagen. Wenn Banken von den GCMAN-Attacken h\u00f6ren, sollten sie ihre Server f\u00fcrs Online-Banking \u00fcberpr\u00fcfen. Bei Carbanak hingegen empfehlen wir eine genauere Kontrolle jener Datenbanken, die Informationen \u00fcber die Inhaber der Konten enthalten.\u201c<\/p>\n

Die Produkte von Kaspersky Lab entdecken und blockieren die Malware der Bedrohungsakteure wie Carbanak 2.0, Metel und GCMAN. Das Unternehmen ver\u00f6ffentlicht auch die Kompromittierungsindikatoren (IOC; Indicators of Compromise) und weitere Daten, die Organisationen dabei helfen, nach Angriffsspuren dieser Gruppen in ihren Unternehmensnetzen zu suchen.<\/p>\n

Kaspersky Lab bittet alle Unternehmen ihre Netze nach Anzeichen der Carbanak-, Metel- oder GCMAN-Malware zu scannen, gegebenenfalls zu desinfizieren und den Vorfall an Ermittlungsbeh\u00f6rden zu melden.<\/p>\n

Mehr zu Metel, GCMAN und Carbanak 2.0 sind hier auf Securelist<\/a> verf\u00fcgbar.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Vor einem Jahr warnte Kaspersky Lab davor, dass Cyberkriminelle mit \u00e4hnlichen Methoden wie nationalstaatlich unterst\u00fctzte APT-Attacken (Advanced Persitent Threats) Banken ausrauben k\u00f6nnten. Jetzt best\u00e4tigt das Unternehmen die R\u00fcckkehr von Carbanak<\/p>\n","protected":false},"author":19,"featured_media":6931,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[522,1331,1858,1857,223,1653,1859],"class_list":{"0":"post-6930","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apt","9":"tag-carbanak","10":"tag-carbanak2-0","11":"tag-metel","12":"tag-online-banking","13":"tag-security","14":"tag-thesas2016"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/carbanak-und-mehr-banken-sehen-sich-neuen-angriffen-gegenueber\/6930\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6930","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=6930"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6930\/revisions"}],"predecessor-version":[{"id":10973,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6930\/revisions\/10973"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/6931"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=6930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=6930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=6930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}