SECURITY23. Juni 2017

Dridex, Ursnif, Gootkit, CEO-Fraud – Banking-Trojaner: Schweiz im Visier – Deutschland ‘holt auf’

Werner Thalmeier, Director Systems Engineering EMEA ProofpointProofpoint

Da sich die Verluste und Kosten, die weltweit durch Cyber-Kriminalität verursacht werden, mittlerweile auf mehrere Milliarden Euro pro Jahr belaufen, ist es nicht verwunderlich, dass Unternehmen zunehmend besorgt darüber sind, dass sie das nächste Opfer eines großangelegten Cyber-Angriffs werden könnten. Es scheint kein Tag zu vergehen, an dem nicht über neue Formen der Cyber-Kriminalität berichtet wird oder darüber, dass es Hackern erneut gelungen ist, Finanzinformationen aus Unternehmen zu entwenden oder gar einen hohen Geldbetrag zu stehlen. Die Cyber-Kriminalität ist allgegenwärtig, und es sind keine Anzeichen eines Rückgangs zu erkennen.

von Werner Thalmeier, Director Systems Engineering EMEA Proofpoint

Proofpoint zufolge sind Banking-Trojaner eine der Bedrohungen, denen die Unternehmenskunden großer deutscher und schweizerischer Banken am häufigsten ausgesetzt sind. Bei Banking-Trojanern handelt es sich um Malware, die darauf ausgelegt ist, vertrauliche Bankinformationen von Kunden zu stehlen.

Die Schadsoftware wird für gewöhnlich im Rahmen gezielter E-Mail-Kampagnen verschickt.

Doch selbst, wenn Bankkunden in das Visier von Banking-Trojanern geraten, heißt das nicht, dass die Bank selbst kompromittiert wurde.”

Es bedeutet vielmehr, dass die Verteiler der Malware die Kunden dieser Bank aktiv ins Visier nehmen, um betrügerische Transfers zu tätigen und andere Arten des Diebstahls zu begehen. In deutschsprachigen Regionen treten zwei Banking-Trojaner besonders häufig in den Posteingängen der Bankkunden in Erscheinung – Dridex und Ursnif.

Dridex zielt derzeit auf Schweizer

Dridex gehört zweifellos zu den sich am schnellsten verbreitenden Trojanern weltweit. Wie andere Banking-Trojaner auch, ist die Malware darauf ausgelegt, sich zwischen den Computer eines Opfers und dessen Online-Banking-Webseiten zu schalten, um unternehmensbezogene Daten wie Benutzernamen und Passwörter zu stehlen. Das Ziel besteht darin, Zugriff auf das jeweilige Bankkonto zu erhalten, Geld zu stehlen und betrügerische Transaktionen durchzuführen. Die Malware ist weltweit für Verluste in Millionenhöhe verantwortlich. Zu einem der berüchtigsten Angriffe kam es im Oktober 2015, als es Hackern gelang, über 20 Millionen Pfund von britischen Bankkonten zu stehlen.

Laut Proofpoint findet derzeit auch eine regelrechte Welle gezielter Dridex-Angriffe statt, die sich gegen Kunden großer schweizerischer Geldinstitute richten. Der für diese Angriffe verwendete Dridex-Banking-Trojaner zielt auf große Anwendungen ab, die auf den Zielcomputern laufen. Mit dieser Methode können die Dridex-Betreiber ein System schnell und effektiv auf interessante Software hin untersuchen, die sich für den Diebstahl von finanziellen Mitteln ausnutzen lassen können.

Andere Komponenten stellen Keylogging-Funktionen für bestimmte Prozesse bereit. Anhand dieser Funktionen können Angreifer zusätzliche Malware auf einem infizierten Computer platzieren, wenn sie einen interessanten Client identifiziert haben.”

Autor Werner Thalmeier, Proofpoint
Werner Thalmeier ist Director Systems Engineering EMEA bei Proofpoint. Er verfügt über mehr als 20 Jahre Erfahrung im Bereich Web- und E-Mail-Sicherheit sowie langjährige Expertise in der Zusammenarbeit mit Kunden, Technologie-Partnern und Resellern sowie im Management und Ingenieurwesen. Vor seinem Start bei Proofpoint war Herr Thalmeier verantwortlich für die Security Produktstrategie und das Produktmanagement verschiedener anderer Hersteller.

Ursnif – “nur” gegen schweizerische IP-Adressen

Dabei ist Dridex kein Einzelfall, denn auch beim Ursnif-Banking-Trojaner hat Proofpoint in der Schweiz einen Anstieg der gegen Bankkunden gerichteten Angriffe verzeichnet. Der Ursnif-Banking-Trojaner ist zwar längst nicht so berüchtigt wie Dridex, jedoch birgt er keineswegs weniger Risiken. Genau wie Dridex wird auch Ursnif im Rahmen gezielter E-Mail-Kampagnen mit schadhaften Dokumentenanhängen verschickt. Wenn Mitarbeiter diese Dokumente öffnen und die Makros aktivieren, werden anfällige PCs dadurch mit Ursnif infiziert. Der Angreifer, der diese Makros verschickt, hat mehrere interessante neue Überprüfungen implementiert, die Sandboxes identifizieren sollen. Researcher- und Sicherheitsanbietersysteme nutzen diese, um Malware basierend auf ihrem Verhalten zu erkennen. Bei einer solchen Überprüfung bestätigt das Makro, dass mindestens 50 Prozesse auf dem System des Opfers laufen. In Sandboxes laufen normalerweise deutlich weniger Prozesse, um die Effizienz zu erhöhen. Bei der zu geringen Anzahl laufender Prozesse wird die bösartige Payload nicht ausgeführt. Interessanterweise wird die Payload nur dann heruntergeladen, wenn das Opfer eine schweizerische IP-Adresse besitzt.

Auch wenn Europa derzeit mit einem anhaltenden finanziellen Druck zu kämpfen hat, dürfte der relative Wohlstand der deutschsprachigen Regionen eine Erklärung für den aktuellen Anstieg der Malware-Volumen und -Vielfalt, insbesondere in Deutschland und der Schweiz, sein. Hier wurden mittels interessant klingenden Nachrichten und Lockdokumenten verschiedene Arten von Banking-Trojanern verbreitet, darunter Varianten wie Ursnif, Dridex oder Gootkit.

Das beste Mittel: Daher ist in einem ständigen Prozess auf die Einhaltung von IT-Sicherheitsvorgaben und Compliance-Richtlinien zu bestehen und das Personal regelmäßig darauf hin zu trainieren beziehungsweise zu sensibilisieren.”

Intelligente E-Mail-Filter gegen CEO-Betrugsmasche

Nahezu jedes Unternehmen und jede Organisation hat heutzutage Firewalls, Anti-Viren-Software und andere Lösungen implementiert, um Schadsoftware zu erkennen. Doch geht dies an einer Form der Bedrohung komplett vorbei, dem sogenannten CEO-Fraud, auch als CEO-Betrugsmasche bekannt.

Dabei geht es darum, mit individualisierten Mails eines scheinbar berechtigen Absenders, beispielsweise des CEO, den Empfänger im Unternehmen zu einer Aktion zu bewegen wie Geld zu überweisen, persönliche Daten oder geistiges Eigentum wie Patente zu versenden. Doch der Absender wird von Cyber-Kriminellen nur vorgetäuscht. Folgt der Mitarbeiter daher der gefälschten Anweisung, sind schnell mal ein paar Millionen Euro oder vertrauliche Daten in den Händen der Betrüger.

Hier sind die IT-Verantwortlichen gefordert, in Lösungen und Prozesse zu investieren, die diese Bedrohung deutlich entschärft.

profit image/bigstock.com

So helfen intelligente E-Mail-Filter, die die Mails nicht nur auf schädlichen Code, sondern auf bestimmte Formulierungen und Textbausteine untersuchen. Optimaler Weise können diese Filter verdächtige Mails dann zur genaueren Untersuchung unter Quarantäne stellen, so dass der Empfänger diese Mail immer noch lesen kann, aber gleichzeitig gewarnt ist, dass vielleicht mit dieser Nachricht ein inhaltliches Problem vorliegen kann. Wichtig ist dabei, dass die Filter unterschiedliche Betrugsversuche erkennen können und etwa nicht nur auf den Aspekt „Überweisung“ beschränkt sind. Gleichzeitig sollten diese Filter auch URLs in Emails überprüfen können, um gegebenenfalls auch Webseiten zu filtern, die mit Schadsoftware infiziert sein könnten.

Schwachstelle ist immer noch der Mensch – Schulung und Training hilft!

Ergänzt werden sollte diese erweiterte Sicherheitsinfrastruktur unbedingt durch begleitende Prozesse und Trainings der Mitarbeiter, um deren Sensibilisierung für CEO-Fraud zu steigern und im Fall der Fälle auch lieber einmal mehr die Berechtigung einer Anweisung zu überprüfen, anstatt leichtgläubig plötzlich eilige Überweisungen an zweifelhafte Empfänger zu tätigen.

Denn Schutz tut not – immerhin sind Angriffe dieser Art allein im letzten Quartal des Vorjahres um 45 Prozent gestiegen.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert