Warnung vor neuen Anschlägen der Carbanak-Bande

Forscherteam von Proofpoint entdeckt Vorbereitungen zu Angriffen auf Banken und Finanzinstitutionen

[datensicherheit.de, 24.03.2016] Ein Forscherteam von Proofpoint hat entdeckt, dass die berüchtigte „Carbanak-Bande“ wieder aktiv ist und es auf Banken in Europa, dem Mittleren Osten und den USA abgesehen hat. Proofpoint hat nach eigenen Angaben Vorbereitungen zu diversen Angriffen beobachtet und warnt nun davor, dass die Bande wieder Schäden in Milliardenhöhe anrichten könnte, wenn ihr nicht schnell Einhalt geboten wird.

Einsatz von „Spear-Phishing-Mails“

Die „Carbanak-Bande“ sei bekannt dafür, dass sie Finanzunternehmen infiltriert und Millionen Dollar erbeutet, indem sie die Netzwerke interner Zahlungsprozesse, ATM-Netzwerke und Transaktionen ausspioniert und missbraucht. Im aktuellen Fall seien Kampagnen im Mittleren Osten, in den USA und in Europa aufgedeckt worden, die auf die obere Management-Ebene in Finanzunternehmen oder auf finanzielle Entscheider abzielten. Dabei setzten die Kriminellen „Spear-Phishing-Mails“ ein, die URLs, Dokumente mit Makros oder Exploits enthielten. Sie unterstützten die Aktionen mit der „Carbanak“-spezifischen Malware „Spy.Sekur“ und gewöhnlichen „Remote-Acess-Trojanern“ (RATs) wie „jRAT“, „Netwire“ und „Cybergate“.

Offenbar neue Anschläge in Vorbereitung

Am 1. März 2016 hat Proofpoints Forschungsteam nach eigenen Angaben eine E-Mail entdeckt, die an handverlesene Bankangestellte und Mitarbeiter von Finanzorganisationen, professionellen Dienstleistern sowie Software-Händlern gerichtet gewesen sei. Die Zielpersonen seien auf der oberen Führungs- und Entscheidungsebene angesiedelt: Direktoren, Führungskräfte, regionale und überregionale Manager und Betriebsleiter. Die meisten Zielpersonen arbeiteten im Mittleren Osten – in Ländern wie Libanon, Kuweit, Vereinigte Arabische Emirate und Jemen.
Am 4. März 2016 habe man noch mehr zielgerichtete E-Mails entdeckt, die an Einzelpersonen und Abteilungen wie Support und Verwaltung aus den Branchen Finanzwesen, Massenmedien und andere, scheinbar zufällige Zielpersonen in Brandschutz, Heizungs-, Lüftungs- und Klimatechnik adressiert gewesen seien. Diese Personen arbeiteten in Finanz- und Helpdesk-Positionen als „Account Manager“, Kreditprüfer und „IT-Support“. Anders als in der oben beschriebenen Kampagne arbeiteten die meisten dieser Zielpersonen in Unternehmen, die ihren Sitz in USA und Europa hätten.

Hersteller und Lieferanten dienen als Hintertür

Die „Carbanak-Bande“ stecke seit 2013 hinter einer Reihe von Anschlägen, die meist auf Kampagnen im APT-Modus basierten und unterschiedliche Zielgruppen mit vielfältiger Malware bombardierten. In den beschriebenen Fällen habe die Bande neue „Exploits“ genutzt – Dokumente mit Makros und „Remote-Access-Trojaner“, um neue Ziele außerhalb ihrer gewöhnlichen russischen Domains zu attackieren.
Sie setzten Kampagnen mit Dateianhängen, URLs, die zu „Exploit“-Dokumenten verlinkten, und raffinierte Malware ein, um Unternehmen in den USA und dem Mittleren Osten zu attackieren. Außerdem habe sie ihre Zielgruppe von Finanz-Institutionen zu scheinbar zufälligen Branchen wie Brandschutz, Heizungs-, Lüftungs- und Klimatechnik ausgedehnt. Auf jeden Fall habe sich durch die Datenschutzverletzungen gezeigt, dass Hersteller und Lieferanten den Angreifern als Hintertür zu ihrem wirklichen Ziel dienen könnten.

Abbildung: Proofpoint Germany, München

„Carbanak-Bande“: Attacken auf Banken und Finanzinstitutionen seit 2013