Ende März wurde der mutmaßliche Kopf der berüchtigten Carbanak-Bande festgenommen. Die Cyberbank-Räuber haben über zielgerichtete Angriffsmethoden Finanzinstitute weltweit ausgeraubt.
„Der aktuelle Erfolg im Kampf gegen die Carbanak-Cyberkriminellen ist für die gesamte Industrie eine sehr gute Nachricht. Er zeigt, wie wichtig das Teilen von Informationen zwischen Staaten ist, insbesondere im Kampf gegen Cyberkriminalität“, sagt Sergey Golovanov, Principal Security Researcher des Global Research and Analysis Team von Kaspersky Lab.
Die Geschichte hinter der Carbanak-Gruppe – und ihren Nachahmern
Im Jahr 2015 deckten Kaspersky Lab, Interpol, Europol und eine Reihe weiterer Strafverfolgungsbehörden den Carbanak-Fall auf Basis eines im Jahr 2013 entdeckten Cybervorfalls auf. Zu dieser Zeit nutzte die Gruppe eine Reihe von Tools, darunter ein Programm namens Carbanak. Nach der Veröffentlichung der Ergebnisse von Kaspersky Lab im Jahr 2015 passte die Gruppe ihre Tools an – so nutzte die Gruppe nun die Cobalt-Strike-Malware – sowie Namen der verwendeten Server und der Infrastruktur.
Die Gruppe verwendete Social-Engineering-Techniken wie Phishing-E-Mails mit bösartigen Anhängen (zum Beispiel Word-Dokumente mit eingebetteten Exploits), um Mitarbeiter von Finanzinstituten anzugreifen. Sobald ein Opfer infiziert ist, installieren die Angreifer ein Backdoor-Programm, das für Spionage, Datendiebstahl und für die Fernverwaltung des infizierten Systems ausgelegt ist; zudem sucht das Programm nach Finanztransaktionssystemen.
Zum Zeitpunkt der Entdeckung schätzten Kaspersky-Experten, dass die Carbanak-Gruppe bis zu einer Milliarde US-Dollar gestohlen hatte. Seit dem Jahr 2013 hat die Gruppe mehr als 100 Banken, E-Payment-Systeme und andere Finanzorganisationen in mindestens 30 Ländern in Europa, Asien, Nord- und Südamerika sowie anderen Regionen attackiert.
Basierend auf der erfolgreichen Carbanak-Analyse entdeckte Kaspersky Lab im Jahr 2016 zwei Gruppen, die sehr ähnlich wie Carbanak agierten: Metel und GCMAN. Die beiden Gruppen attackierten Finanzorganisationen mit verdeckter Aufklärungsarbeit im APT-Stil und angepasster Malware sowie mit legitimer Software und neuen, innovativen Systemen zur Geld-Auszahlung. Andere Akteure nutzen ebenfalls Techniken, Taktiken und Verfahren nach dem Vorbild von Carbanak, zum Beispiel Lazarus und Silence.
Angesichts des internationalen Ausmaßes der Aktivitäten dieser Akteure geht Kaspersky Lab davon aus, dass Dutzende Menschen an dieser Cybercrime-Aktivität beteiligt sind. Entdeckte Artefakte in den bösartigen Dateien und Computern der Opfer deuten darauf hin, dass die Urheber der Malware Carbanak russischsprachig sind. Um weltweit cyberkriminelle Aktivitäten durchzuführen, war die Gruppe in der Regel auf der Suche nach Muttersprachlern.
Quelle: Kaspersky Labs GmbH
Interview mit Claudia Zimmermann
