DarkVishnya: Kaspersky Lab warnt Banken vor beispielslosen Cyberüberfällen

Kaspersky Lab warnt Banken und Finanzinstitute vor einer heimtückischen Cybereinbruchsmethode [1]. Dabei schmuggeln die Bankräuber ein Gerät, das von ihnen komplett kontrollierbar ist, in das Gebäude der anvisierten Finanzorganisation und verbinden es anschließend mit dem Unternehmensnetzwerk. Diese Art des digitalen Einbruchs machten die Experten von Kaspersky Lab anlässlich nötiger Vorfallreaktionsuntersuchungen (Incident-Response-Untersuchungen) bei mindestens acht Fällen in Osteuropa zwischen 2017 und 2018 ausfindig. Die Beute beziehungsweise die geschätzten Verluste liegen in zweistelliger Millionenhöhe.

Die Angreifer verwendeten drei verschiedene Gerätearten:

• einen Laptop,

• einen Raspberry Pi (ein Single-Board-Computer in der Größe einer Kreditkarte)

• oder ein Bash Bunny (ein speziell entwickeltes Werkzeug zur automatischen Durchführung von USB-Angriffen), ausgestattet mit einem GPRS-, einem 3G- oder LTE-Modem, das es den Angreifern ermöglichte, aus der Ferne in das Unternehmensnetzwerk der Finanzorganisationen einzudringen.

Sobald die Verbindung stand, versuchten die Cyberkriminellen sich Zugang auf den Webserver zu verschaffen. Das Ziel: Daten, mit denen sie ein RDP (Remote Desktop Protocol) auf einem ausgewählten Computer ausführen konnten, um anschließend Geld und Daten zu stehlen. Diese dateifreie Angriffsmethode der Bankräuber beinhaltete den Einsatz von Remote-Toolkits wie Impacket, winexesvc.exe oder psexec.exe. Im finalen Schritt wurde dann eine Remote Control Software für den Zugriff auf den infizierten Computer verwendet.

„Wir haben in den vergangenen eineinhalb Jahren eine komplett neue Angriffsart auf Banken beobachtet, die äußerst anspruchsvoll und komplex zu entdecken war“, sagt Sergey Golovanov, Sicherheitsexperte bei Kaspersky Lab. „Der wunde Punkt im Unternehmensnetzwerk blieb lange Zeit unbemerkt, da er sich in jedem Büro in jeder Region befinden konnte. Die anschließend ausfindig gemachten, unbekannten Geräte, die von den Tätern eingeschmuggelt und versteckt wurden, waren aus der Ferne nicht auffindbar. Außerdem haben die Cyberkriminellen legitime Programme verwendet, was den Fall weiter verkomplizierte.“  

Wie sich Finanzinstitute schützen können

• Auf die Kontrolle der angeschlossenen Geräte und den Zugriff auf das Unternehmensnetzwerk achten, zum Beispiel mit Hilfe von Kaspersky Endpoint Security for Business [2].

• Die vollständige Beseitigung von Sicherheitslücken gewährleisten, einschließlich solcher, die unsachgemäße Netzwerkkonfigurationen beinhalten. Die Penetration Testing Services von Kaspersky Lab [3] stellen eine geeignete und hocheffiziente Lösung dar, die nicht nur Informationen zu gefundenen Schwachstellen bereitstellt, sondern auch aufzeigt, wie Unternehmen diese Lücken schließen können.

• Spezialisierte Lösungen wie Kaspersky Anti Targeted Attack Platform [4] schützen gegen fortschrittliche Bedrohungen, die alle Arten von Unregelmäßigkeiten erkennen und verdächtige Aktivitäten in einem Netzwerk näher untersuchen und komplexe Angriffe identifizieren und aufdecken.

[1] https://securelist.com/darkvishnya/89169/

[2] https://www.kaspersky.de/small-to-medium-business-security

[3] https://www.kaspersky.de/enterprise-security/security-assessment

[4] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

Nützliche Links:

• Kaspersky-Analyse: https://securelist.com/darkvishnya/89169/

• Kaspersky Endpoint Security for Business: https://www.kaspersky.de/small-to-medium-business-security

• Kaspersky Security Assessment: https://www.kaspersky.de/enterprise-security/security-assessment

• Kaspersky Anti Targeted Attacke Platform: https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform