- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Angriffskampagne mit betrügerischen E-Mails


Check Point-Forscher decken internationale Cyberangriff-Kampagne auf
Ein Nigerianer aus der Nähe der Landeshauptstadt Lagos war der Drahtzieher einer Angriffswelle auf über 4.000 Unternehmen im Öl- & Gassektor, im Bergbau und Bauwesen sowie im Transportbereich

- Anzeigen -





Check Point Software Technologies gab die Identität des Kriminellen hinter einer Reihe scheinbar staatlich geförderter Cyber-Angriffe auf über 4.000 Unternehmen im Energie-, Bergbau- und Infrastrukturbereich bekannt. Die Kampagne startete im April 2017 und richtete sich gegen einige der größten internationalen Organisationen in der Öl- und Gasindustrie sowie in der Fertigungs-, Bank- und Baubranche. Das weltweite Ausmaß und die anvisierten Organisationen ließen vermuten, dass eine Expertengruppe oder staatlich geförderte Agentur hinter den Angriffen stehen müsste. Die Kampagne ist jedoch die Arbeit eines einzelnen Nigerianers Mitte Zwanzig, der aus der Nähe der Landeshauptstadt stammt. Sein Facebook-Account ziert das Motto: "Reich werden oder beim Versuch sterben".

Bei seiner Angriffskampagne setzte er betrügerische E-Mails ein, die scheinbar von dem Öl- und Gasgiganten Saudi Aramco, dem Ölproduzenten mit der weltweit zweitgrößten Tagesfördermenge, stammten und an die Mitarbeiter der Finanzabteilung der Unternehmen gerichtet waren. Diese sollten dazu gebracht werden, Bankdaten des Unternehmens weiterzugeben oder die mit Malware infizierten Anhänge der E-Mails zu öffnen.

Dazu verwendete er NetWire, einen Remote-Access-Trojaner, der die volle Kontrolle über infizierte Maschinen ermöglicht, sowie Hawkeye, ein Keylogging-Programm. Die Kampagne führte zu 14 erfolgreichen Infektionen, in deren Verlauf der Täter Tausende Dollar verdiente.

Maya Horowitz, Threat Intelligence Group Manager bei Check Point, erläutert den Fall: "Obwohl diese Person qualitativ minderwertige Phishing-E-Mails und generische Malware verwendete, die man online ganz leicht finden kann, war er mit seiner Kampagne dennoch in der Lage, viele Organisationen zu infizieren und mehrere Tausende weltweit anzugreifen. Das zeigt genau, wie einfach es für einen relativ unqualifizierten Hacker ist, eine groß angelegte Angriffswellen zu starten, die sich über alle Abwehrprogramme, selbst die von großen Unternehmen, hinwegsetzt, und ihm ermöglicht, einen solchen Betrug durchzuführen."

"Dies macht deutlich, wie notwendig es für Unternehmen ist, ihre Sicherheit zu verbessern, um sich vor Betrügereien durch Phishing- oder Geschäfts-E-Mails zu schützen, und die Mitarbeiter zur Vorsicht beim Öffnen von E-Mails zu erziehen - selbst solcher Mails, die von Unternehmen oder Personen stammen, die sie kennen."

Nachdem die Kampagne entdeckt und ihr Ursprung festgestellt worden war, informierte das Check Point-Forscherteam die internationalen Strafverfolgungsbehörden und die in Nigeria und teilte seine Erkenntnisse mit ihnen.

Business E-Mail Compromise (BEC)-Angriffe haben in den vergangenen 18 Monaten dramatisch zugenommen. Das FBI vermeldete einen Anstieg der Opferzahl von 270 Prozent seit Anfang 2016, was Organisationen in aller Welt von 2013 bis 2016 über 3 Milliarden US-Dollar kostete. Schätzungen zufolge verlieren BEC-Opfer im Durchschnitt 50.000 US-Dollar. (Check Point Software Technologies: ra)

eingetragen: 04.10.17
Home & Newsletterlauf: 25.10.17


Check Point Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Hauptziel: Kreditkarteninformationen

    Der europäische Security-Software-Hersteller Eset hat einen alten Bekannten im Google Play Store entdeckt: Der auf den Namen BankBot getaufte Trojaner fiel den Eset-Forschern das erste Mal Anfang 2017 in die Hände. Jetzt hat er klammheimlich seinen Weg zurück in den Google Play Store gefunden. Getarnt als Spiel "Jewels Star Classic" des Entwicklers "GameDevTony" schlich sich die Banking-Malware in den Android App-Store ein. Wie so oft nutzten die Entwickler der Malware auch hier Namen bekannter Spielereihen wie Jewels Star. Die betrügerische App wurde insgesamt über 5.000 Mal heruntergeladen, bevor sie auf Hinweis von Eset aus dem Google Play Store entfernt wurde.

  • Spear Phishing-Mails an Arbeitnehmer

    FireEye veröffentlichte Details zu einer neuen iranischen Hackergruppe mit potenziell zerstörerischen Fähigkeiten. FireEye bezeichnet die Gruppe mit dem Namen APT33 (APT = Advanced Persistent Threat). Die Analyse von FireEye zeigt, dass APT33 seit mindestens 2013 Cyberspionage betreibt und wahrscheinlich für die iranische Regierung arbeitet. Diese Informationen stammen aus aktuellen Untersuchungen von Mandiant und FireEye iSIGHT Threat Intelligence-Analysen. Folgende Informationen über die Aktivitäten, die Fähigkeiten und mögliche Beweggründe von APT33 wurden dabei aufgedeckt: APT33 nahm branchenübergreifend Organisationen ins Visier, die ihren Hauptsitz in den Vereinigten Staaten, Saudi-Arabien und Südkorea haben. Die Gruppe zeigte besonderes Interesse an Luftfahrtunternehmen, die sowohl im militärischen als auch im zivilen Bereich tätig sind, sowie an Energieversorgungsunternehmen mit Verbindungen zur petrochemischen Produktion.

  • Die Rückkehr der PBot-Malware

    Angriffe auf Webanwendungen und DDoS-Attacken (Distributed Denial of Service) sind wieder auf dem Vormarsch. Das zeigen die neu veröffentlichten Daten im "State of the Internet"-Sicherheitsbericht für das 2. Quartal 2017 von Akamai Technologies, Inc. Konkret konnten die Experten von Akamai das erneute Auftreten der PBot-DDoS-Malware nachweisen. Diese Schadsoftware verursachte die größte DDoS-Attacke im vergangenen 2. Quartal. Im Fall von PBot nutzten Cyberkriminelle einen Jahrzehnte alten PHP-Code, um den größten von Akamai gemessenen DDoS-Angriff des 2. Quartals 2017 zu erzielen. Den Angreifern gelang es dabei, ein kleines DDoS-Botnet zu erstellen, das einen DDoS-Angriff mit 75 Gigabit pro Sekunde (Gbit/s) durchführte. Obwohl das PBot-Botnet mit 400 Nodes relativ klein war, konnte es dennoch eine erhebliche Menge an Angriffs-Traffic generieren.

  • Angriffskampagne mit betrügerischen E-Mails

    Check Point Software Technologies gab die Identität des Kriminellen hinter einer Reihe scheinbar staatlich geförderter Cyber-Angriffe auf über 4.000 Unternehmen im Energie-, Bergbau- und Infrastrukturbereich bekannt. Die Kampagne startete im April 2017 und richtete sich gegen einige der größten internationalen Organisationen in der Öl- und Gasindustrie sowie in der Fertigungs-, Bank- und Baubranche. Das weltweite Ausmaß und die anvisierten Organisationen ließen vermuten, dass eine Expertengruppe oder staatlich geförderte Agentur hinter den Angriffen stehen müsste. Die Kampagne ist jedoch die Arbeit eines einzelnen Nigerianers Mitte Zwanzig, der aus der Nähe der Landeshauptstadt stammt. Sein Facebook-Account ziert das Motto: "Reich werden oder beim Versuch sterben".

  • Verbreitung über Malvertising

    Eset hat einen speziellen Fall von Krypto-Mining entdeckt, welcher das Schürfen von Krypto-Währungen direkt über das JavaScript eines Web-Browsers ermöglicht. Diese CPU-intensive Aufgabe ist in der Regel von der Mehrheit der Werbenetzwerke verboten, weil sie die Nutzererfahrung erheblich beeinträchtigt. Schon seit geraumer Zeit nutzten Cyberkriminelle den Vorteil von Krypto-Währungen, um Profite zu generieren. Allerdings verwenden sie in der Regel Malware oder potenziell unerwünschte Anwendungen, die sie auf den Computern ihrer Opfer installieren. Um mit Krypto-Mining Geld zu verdienen, müssen "Schürfer" ihre Rechnerleistung zur Verfügung stellen. Die Entwickler des nun untersuchten JavaScripts nutzen hierfür allerdings die Rechnerleistung ihrer Opfer.