Full image

VIRENDEFINITION

Virentyp: Advanced Persistent Threat (APT)

Was ist Carbanak?

Carbanak bezeichnet eine APT-Kampagne, die es (hauptsächlich) auf Finanzinstitute abgesehen hat. Die Bezeichnung „APT“ ist hierbei nicht ganz korrekt, da der Angriff streng genommen nicht „Advanced“ (also hoch entwickelt) ist. Das Hauptmerkmal der Angreifer ist die „Persistence“, also ihre Hartnäckigkeit.

Sie infiltrieren das Netzwerk des Opfers und suchen darin nach dem System, über das sie Geld abzweigen können. Sobald sie ausreichend Geld gestohlen haben (zwischen 2,5 und 10 Millionen US-Dollar pro Opfer), geben sie das Opfer auf.

Wie unterscheidet sich die Bedrohung von anderen APT-Angriffen?

Der Hauptunterschied zu anderen APT-Angriffen liegt darin, dass das Primärziel der Angreifer nicht etwa Daten sind, sondern Geld.

Die Carbanak-Gruppe, die für die Diebstähle verantwortlich ist, nutzte Techniken aus einer Vielzahl gezielter Angriffe. Die Geschichte zeigt eine neue Phase der Evolution cyberkrimineller Aktivitäten, in der Angreifer es nicht mehr auf die Endbenutzer abgesehen haben, sondern das Geld direkt von Banken stehlen.

Erkennt Kaspersky Lab alle Varianten dieser Malware?

Ja, wir erkennen Carbanak-Proben als Backdoor.Win32.Carbanak und Backdoor.Win32.CarbanakCmd.

Alle Kaspersky-Produkte und -Lösungen erkennen bekannte Carbanak-Versionen. Um den Schutz zusätzlich zu steigern, empfehlen wir, das Proactive Defense Module von Kaspersky Lab zu aktivieren, das in jeder modernen Lösung enthalten ist.

Darüber hinaus können Sie mit diesen Empfehlungen Ihre Sicherheit weiter steigern:

  • Öffnen Sie keine verdächtigen E-Mails – insbesondere solche mit Anhang.
  • Aktualisieren Sie Ihre Software – in dieser Kampagne wurden keine Zero-Day-Exploits eingesetzt.
  • Aktivieren Sie die heuristische Analyse in Ihren Sicherheitslösungen – so werden neue Versionen eher erkannt und rechtzeitig aufgehalten.

Wie erkenne ich eine Eindringung?

In unserem detaillierten technischen Forschungsbericht sind Gefährdungsindikatoren (Indicators of Compromise, IOC) enthalten.

Kaspersky Lab rät Finanzunternehmen dringend, ihre Netzwerke sorgfältig auf Carbanak zu untersuchen und eine etwaige Eindringung umgehend den Strafverfolgungsbehörden zu melden.

Bisher konnten wir zwei Hauptziele der Angreifer identifizieren:

  • Erfassung von Informationen
  • Vorbereitung von anderen Angriffstypen

Bisher traf Regin Opfer in 14 Ländern:

  • Algerien
  • Afghanistan
  • Belgien
  • Brasilien
  • Fidschi
  • Deutschland
  • Iran
  • Indien
  • Indonesien
  • Kiribati
  • Malaysia
  • Pakistan
  • Russland
  • Syrien

Insgesamt zählen wir 27 verschiedene Opfer, obwohl hierbei erwähnt werden sollte, dass sich der Begriff „Opfer“ auf ganze Einrichtungen bezieht, einschließlich ihrer gesamten Netzwerke. Die Anzahl der durch Regin infizierten PCs liegt dementsprechend deutlich höher.

Wird der Angriff von einem Staat finanziert?

In Anbetracht der Komplexität und der Kosten der Regin-Entwicklung ist es wahrscheinlich, dass die Plattform von einem Staat unterstützt wird.

Welches Land steckt hinter Regin?

Bei professionellen Angreifern, wie denen hinter Regin, ist es äußerst schwierig, Angriffe einem Land zuzuschreiben.

Gibt es Gefährdungsindikatoren (Indicators of Compromise, IOC), an denen Opfer die Eindringung erkennen können?

Ja, IOC-Informationen finden Sie in unserem detaillierten technischen Forschungsbericht.

Benötigen Sie Hilfe?
FRAGEN SIE ANNA
FRAGEN SIE ANNA
Anna: Hallo. Ich bin Anna, Ihre virtuelle Assistentin. Wie kann ich Ihnen helfen?

Thanks for helping us improve!
Please take a few moments to complete the survey below.

Anna: Hallo. Ich bin Anna, Ihre virtuelle Assistentin. Wie kann ich Ihnen helfen?

Thanks for helping us improve!
Please take a few moments to complete the survey below.