Cyber-Crime: Crypto-Trojaner, Betrugsmails & mehr (20.2.2016)

Zum Wochenende fasse ich mal wieder einige Meldungen aus dem Umfeld der Cyber-Kriminalität zusammen. Crypto-Trojaner, Betrugsmails und Trojaner haben mal wieder reiche Ernte gehalten. Hier die Übersicht.


Anzeige

Stuxnet: Großer Masterplan und dann drückt jemand zu früh den Knopf

Stuxnet war ja ein Schädling (Wurm), der Steuerungsanlagen von Siemens, bevorzugt im Iran, befiel. Lange war vermutet worden, dass dieser von (US und israelischen) Geheimdiensten entwickelt wurde, um die Infrastruktur der iranischen Atomanlagen zu stören. Ein Dokumentarfilm stellt nun die These auf, dass Stuxnet Teil eines viel größeren Programms war, um einen Cyberangriff auf den Iran zu fahren. Als die USA Skupel, auf Grund der nicht abschätzbaren Folgen, bekam, hätten israelische Geheimdienstler eine modifizierte Fassung eingeschleust und aktiviert. Bei Interesse findet ihr bei heise.de einen deutschsprachigen Artikel.

US-Krankenhaus zahlt Lösegeld

Die Woche hatte ich über einen Fall von Erpressungssoftware berichtet (Hollywood-Klinik nach Ransomware-Angriff offline), der eine Klinik in den USA lahm legte. Obwohl man in solchen Fällen nicht zahlen soll, um die Geldströme auszutrocknen, haben die Krankenhausbetreiber wohl 40 Bitcoins (ca. 15.000 Euro) locker gemacht, um die Daten wieder zu bekommen. (via)

Ein "Support" der Poseidon-Gruppe, den Du nicht ablehnen kannst

Unternehmen der Finanzbranche, Medien, PR-Agenturen und staatliche Stellen stehen im Fokus einer unbekannten Gruppe von Online-Kriminellen, als Poseidon-Gruppe bezeichnet. Diese infiltrieren die Netzwerke der Unternehmen und  deren Rechner mit maßgeschneiderten Trojanern. Danach melden sich die Kriminellen als "Support" bei den Unternehmen und bieten einen "Support" als Sicherheitsberater an. Geht das Unternehmen nicht darauf ein, gibt es die Drohung, die vom Unternehmen erbeuteten Daten für eigene Zwecke zu missbrauchen. Details, die von Kaspersky aufgedeckt wurden, hat heise.de in diesem Artikel aufbereitet.

Phishing-Mail an die Chefbuchhalterin – weg sind die Millionen

Über eine andere Betrugsmasche berichtet heise Security hier: Cyberkriminelle haben sich wohl in jüngster Zeit Millionen per Mail von deutschen Unternehmen erschlichen. Die Zeitschrift Capital berichtet hier, dass sich die Betrüger in die Firmennetzwerke einhacken und Korrespondenzen ausspähen. Dann wird eine gefälschte E-Mail, angeblich vom Vorstandschef an einen Buchhalter (meist in Tochterfirmen) geschickt. Diese ist in perfektem Deutsch gehalten und weist diese an, eine größere Summe für eine geplante Firmenübernahme zu überweisen. Da die Aktion absolut vertraulich sei, dürfe mit niemandem darüber geredet werden. Scheint zu klappen, ein Mitarbeiter des Spezialversicherer Euler Hermes berichtet von Beträgen zwischen 750.000 bis 15,5 Millionen Euro, die abgezogen wurden.


Anzeige

Meine Meinung: Ich finde es unglaublich! Meine Industrietätigkeit ist zwar über 22 Jahre her. Aber da musste jede Büroklammer durch drei übergeordnete Instanzen genehmigt werden und ohne Kostenstelle ging da nix. Und da gibt es DAX-Konzerne, die mal freifliegend Millionen per Buchhaltung transferieren? Ich glaube, ich falle langsam aus der Welt – aber die großen Bosse, die alles besser wissen, kriegen jetzt die eigene Speise zu kosten …

Corkow-Trojaner manipuliert russischen Rubelkurs

Bei Corkow handelt es sich um einen Banking-Trojaner – und deren Urheber ist es wohl gelungen, den Rubelkurs zu manipulieren und damit Gewinne zu machen. Der Bericht findet sich bei Bloomberg. Eine Analyse des Trojaners gibt es hier. Von Tenable Network liegt mir folgende Info vor:

Hacker konnten kürzlich das System einer Bank in Kasachstan mit dem Trojaner Corkow (auch als Metel bekannt) infizieren. Ziel des Angriffes war es, den Wechselkurs des Rubel zu beeinflussen, was für kurze Zeit auch gelang.

Diese Attacke ist ein äußerst interessant da die Hacker sowohl verstehen müssen, wie ein Banking-Computer gehackt werden kann, als auch, wie derart umfangreiche Transaktionen durchzugeführt werden können. Dies deutet darauf hin, dass die Angreifer wohl bereits vorher Kenntnisse über die Systeme hatten oder sie diese bereits zuvor angegriffen haben, um mehr über die Abläufe beim Kauf von Währungen zu erfahren.

Interessant ist auch, dass die Regierung keine Manipulation der Wechselkurse feststellen konnte und nicht mit den Ergebnissen der Ermittler einverstanden ist.

Vogel-Strauß Politik funktioniert auch in Russland gut.

BKA-Trojaner: Neue Variante, nicht mehr entfernbar

Bei Android-user.de warnt man in diesem Artikel vor einer neueren Variante des BKA-Trojaners, der auf Erotik- und Filesharing-Seiten lauert und auch Android-Geräte befällt. Offenbar gibt es eine neue Variante, die sich nicht mehr so einfach entfernen lässt.

Banking-Trojaner Dridex schlägt wieder zu

Die Info ging mir von Proofpoint zu – der Text ist etwas sperrig, aber der Sinn ist zu erfassen. Die Proofpoint-Forscher haben eine neue Dridex-Kampagne analysiert, die einige ungewöhnliche Merkmale aufweist. Dridex-Angriffe laufen schon immer individualisiert ab, wobei Millionen angepasster Mails keine Seltenheit sind. Die neue Kampagne verbindet aber drei unterschiedliche Methoden zur Verbreitung der Schadsoftware miteinander, um deren Erfolgrate zu erhöhen.

Die eigentliche Schadsoftware heißt Dridex botnet ID 220 und richtet sich vor allem gegen Bankkunden in Großbritannien, Australien und Frankreich. Es wird eine Mail mit einer Rechnung für ein Toilettenhäuschen mit Anhang verschickt. Die Zielgruppe und das Botnet sind nicht neu, die Kombination der Vektoren hingegen schon.

Bei dieser Kampagne wurden Microsoft Word- und Excel-Anhänge mit bösartigen Makros, gezippte, als PDF-Dokumente getarnte JavaScript-Anhänge und dokumentbasierte Exploits verschickt. Letztere laden automatisch Dridex herunter, sobald sie auf einem angreifbaren System geöffnet werden. In jeder E-Mail tritt nur je einer dieser Vektoren auf. Das bedeutet, dass die Akteure im Lauf der Kampagne eine Rotation mit ihnen durchführen.

Die Forscher von Proofpoint schließen daraus, dass die Dridex-Akteure immer einfallsreicher bei der Wahl der Angriffsvektoren werden, mit deren Hilfe sie ihre Nutzlasten überbringen, und neue Wege erkunden, diese vor Antivirus-Software und anderen Schutzprogrammen zu verbergen. Details zu Dridex finden sich in diesem Proofpoint-Blog-Beitrag – wobei mich das Ganze etwas wundert, berichtet trendmicro im November 2015 in diesem Blog-Beitrag, dass das Botnet ausgeschaltet worden sei.

Benutzer sollten sich an die Regel erinnern, keine ungewöhnlichen Anhänge zu öffnen, denn Neugier kann großen Schaden anrichten. Und hier liest man, dass die Locky-Urheber die Dridex-Ansätze nachahmen.

Achtung: Krypto-Trojaner Locky wütet – 5.000 Infektionen pro Stunde

Der Krypto-Trojaner Locky wütet aktuell unter deutschsprachigen Nutzern und fällt wohl mit 5.000 Infektionen pro Stunde ziemlich aus dem Rahmen. Neu ist, dass der Erpressungstrojaner mit deutschen Meldungen aufwartet. Sobald er aktiv wird, verschlüsselt er Dateien und fordert zur Zahlung eines Lösegelds auf.

Der Trojaner verschlüsselt dabei alle erreichbaren Dateien auf den angeschlossenen Festplatten, NAS-Laufwerken und Online-Speichern oder Netzwerkfreigaben. Laut diesem heise.de-Bericht wurde auch ein Fraunhofer-Institut infiziert. Die Verbreitung erfolgt wohl über Makros in Office-Dokumenten und der Schädling wird durch Virenscanner aktuell wohl noch nicht erkannt. Es ist auch kein Weg zur Entschlüsselung der Dateien bekannt. Hier berichtete heise.de dass die Malware wohl eine zeitlang inaktiv auf dem System schlummerte und dann koordiniert bei vielen Benutzern aktiv wurde.  Ein weiterer Artikel findet sich bei ZDnet.de.

Abschließend noch einige weitere Splitter

Berliner Behörden arbeiten fleißig mit veralteten Internet Explorer-Versionen (arm aber sexy und doof). Und der US-Finanzminister macht Druck auf die EU, die gegen Steuervergünstigungen für Apple und Amazon Untersuchungen eingeleitet haben. Da weiß man, was man davon zu halten hat. Zumindest Microsofts Chefjurist ist er Meinung, dass "wir" gute Gesetze für das Netz brauchen. Und im Hinblick auf die Backdoor in iOS-Geräten, die die US-Justiz fordert, hat Buzzfeed hier einige Insights. Offenbar wurde die ID 24 Stunden, nachdem das Gerät in Händen der Behörden war, geändert. Vorher hätte es "Möglichkeiten gegeben" die Daten über vier verschiedene Methoden auszulesen.

Ähnlich Artikel:
Crypto-Trojaner die Erste: Win.Trojan.Ramnit
Hollywood-Klinik nach Ransomware-Angriff offline
Crypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Cyber-Crime: Crypto-Trojaner, Betrugsmails & mehr (20.2.2016)

  1. Nobody sagt:

    Die bösen Buben werden anscheinend immer raffinierter und cleverer.

  2. Herr IngoW sagt:

    Es geht auch analog! Letzte Woche hat meine Frau im Betreib eine Rechnung vom Amt bekommen bzgl. diverser Eintragungen in ein Register.
    Soweit so gut, die Kontonummer auf der Rechnung gehörte zu einer Bank die in Tschetschenien! ansässig ist!
    Gott sei dank haben sie es ja rechtzeitig bemerkt!
    Die haben da ganz schön Stress (alles noch genauer zu kontrollieren) wegen den ganzen Betrügern überall. (Es sind nicht nur E-Mails).
    Zwei E-Mails hatte ich auch schon (vom Drucker und weis ich noch von wem aber direkt an meiner Adresse) mit diesen Anhängen (Datei-Endung *.xlsm, *.docm, im Symbol der Dateien ist ein "Ausrufungszeichen" "!" das sind Dokumente mit Makros).

  3. Pixelkrieger sagt:

    Wer Interesse hat, kann sich gerne folgendes sehr informatives Video bei You Tube von "SemperVideo" anschauen. Er zeigt dort wie genau eine Infektion verläuft und das der Trojaner über gehackte Server verteilt wird.
    Link zum Video auf You Tube:
    https://www.youtube.com/watch?v=331Fzhc_6nM&list=UUCI6C8hD-hTZi2JEmS7zvQw&index=1

    Ein hoffentlich unverschlüsseltes Wochenende wünscht Euch Pixelkrieger

  4. Von Locky gibt es zwischenzeitlich weitere Varianten, die per JavaScript den Schadcode nachladen oder den Schädling per Fax-Anhang zu verbreiten suchen.

    Neue Masche: Krypto-Trojaner Locky über Javascript-Dateien verbreitet
    Neue Virenwelle: Krypto-Trojaner Locky tarnt sich als Fax

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.