Geldautomat
Foto: © Usien, wikimedia

Cyberbanküberfall 4.0

Erst dateiloser Bankeinbruch, dann spurlose Plünderung von Geldautomaten

Von Florian Schafroth

Als Bankangestellte einen ausgeraubten Geldautomaten vorfanden, ohne erkennbare Spuren physischer Gewaltanwendung oder Malware, standen sie vor einem Rätsel. Die Experten von Kaspersky Lab konnten jetzt in einer zeitaufwendigen Untersuchung die Vorgehensweise der Cyberkriminellen aufdecken: nach einem „fileless“ Einbruch ins Banknetzwerk lassen sich mit der Malware ATMitch Geldautomaten in sekundenschnelle und ohne wirklich nachzuverfolgende Spuren ausrauben [1].

Kaspersky Lab veröffentlichte im Februar 2017 einen Bericht über mysteriöse Attacken gegen Banken, die „fileless“ beziehungsweise dateilos durchgeführt wurden. Dabei griffen Cyberkriminelle Netzwerke von Banken mit im Speicher versteckter Malware an [2]. Es stellte sich damals die Frage nach dem wahren Grund der Attacken. Der ATMitch-Fall vervollständigt nun das Bild.

Da die Cyberkriminellen nach dem Angriff alle ausführbaren Malware-Dateien gelöscht hatten, konnten die Forensiker der Bank den Experten von Kaspersky Lab für deren Analyse nur noch zwei verbliebene Dateien übergeben, die Malware-Log-Daten von der Festplatte des Geldautomaten enthielten (kl.txt und logfile.txt).

In den Log-Dateien fanden sich kurze Klartext-Passagen, mit deren Hilfe eine YARA-Regel konstruiert werden konnte, um in öffentlichen Malware-Quellen nach passenden Samples suchen zu können [3]. Nach einem Tag gelang es den Experten von Kaspersky Lab, das Malware-Sample zu identifizieren. Es handelte sich um „tv.dll“ beziehungsweise „ATMitch“ – ein Programm, das bereits zweimal – in Russland und Kasachstan – auftauchte.

Spurloses Plündern von Geldautomaten

Die ATMitch-Malware wird aus der Ferne über die bankinterne Fernwartung auf den Geldautomaten der Bank gespielt und dort ausgeführt. Sobald ATMitch installiert ist und in Verbindung mit einem Geldautomaten steht, kommuniziert die Malware mit diesem wie eine legitime Software.

Angreifer können so bestimmte Befehle ausführen, und beispielsweise Informationen über die Anzahl der im Automaten enthaltenen Geldscheine sammeln. Zudem können die Cyberkriminellen per Klick den Befehl zur Ausgabe eines beliebigen Geldbetrags geben, die Scheine entnehmen und umgehend verschwinden: Ein Geldautomatenraub innerhalb von Sekunden. Die Malware-Spuren im Geldautomaten werden im Anschluss gelöscht [4].

Wer hinter den Angriffen steckt, bleibt offen

Bisher ist noch offen, wer hinter den Angriffen steckt. Der Einsatz von Open-Source-basiertem Exploit-Code, herkömmlichen Windows-Tools und unbekannten Domains macht es fast unmöglich, die verantwortlichen Hintermänner zu bestimmen. Jedoch lässt das im Geldautomaten verwendete „tv.dll“ auf russischsprachige Gruppen schließen. Außerdem verfolgten die Gruppen GCMAN und Carbanak [5] bereits ähnliche Ansätze.

„Die Angreifer sind vielleicht noch immer aktiv, aber keine Panik. Anvisierte Organisationen können dieser Angriffsmethode mit der Expertise von Sicherheitsexperten entgegentreten“, Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. „Das Eindringen in das Netzwerk und das Herausfiltern von Daten gelingt nur mit den dort eingesetzten und legitimen Tools. Nach dem Angriff löschen die Kriminellen alle Spuren, so dass sie nicht mehr identifiziert werden können. Für die Analyse dieser Art von Malware und ihrer Funktionen ist Speicherforensik unerlässlich. Doch wie der von uns beschriebene Fall zeigt, kann mit einer sorgfältigen Vorfallreaktion (Incident Response) auch das perfekte Cyberverbrechen aufgedeckt werden.“

Die Lösungen von Kaspersky Lab entdecken Angriffe mit den oben genannten Taktiken, Techniken und Verfahren. Weitere Details zu ATMitch sind unter https://securelist.com/blog/sas/77918/atmitch-remote-administration-of-atms verfügbar.

Weitere Informationen zu dateilosen Angriffen und zu YARA-Regeln für die forensische Analyse sind auf https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks abrufbar.

Für Kunden der Kaspersky Intelligence Services [6] wurden technische Details, einschließlich der Kompromittierungsindikatoren (IoC) bereitgestellt.

Quellen:

[1] https://securelist.com/blog/sas/77918/atmitch-remote-administration-of-atms

[2] http://newsroom.kaspersky.eu/de/texte/detail/article/unsichtbare-angriffe-im-speicher-versteckte-malware-greift-unternehmen-in-40-laendern-an und https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/

[3] Mit auf Suchstrings basierenden YARA-Regeln können durch die Beziehungen zwischen Textpassagen und ähnlich geartetem, verdächtigen Verhalten bei anderen Systemen oder Netzwerken Malware-Samples gefunden, gruppiert und kategorisiert werden.

[4] siehe Infografik http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_Infographics_ATMitch.png

[5] http://www.kaspersky.com/de/about/news/virus/2016/Carbanak_und_mehr_Banken_sehen_sich_neuen_Angriffen_gegenuber

[6] https://www.kaspersky.de/enterprise-security/intelligence-service

 

WannaCry-Attacke

Für Acronis-Kunden kein Grund zum Heulen

Acronis True Image 2017 und Acronis Backup 12 Advanced schützen vor Zero-Day-Attacken wie WannaCry, ohne dass ein Update nötig ist. Tipps, wie man nicht zum Erpressungsopfer wird.

Die weltweite Attacke der Erpresser-Malware WannaCry hat am Freitag zahlreiche Unternehmen und andere Anwender erschüttert. Mehr als 200.000 Rechner wurden in 99 Ländern angegriffen und deren Daten unzugänglich gemacht, unter anderem von Krankenhäusern und Telekommunikationsanbietern. In Deutschland war beispielsweise die Deutsche Bahn von dem Ransomware-Schädling infiziert. Den Betroffenen sollten zwischen 300 und 600 US-Dollar zahlen, um ihre Daten entschlüsseln zu können. Die Hacker, die derzeit noch unbekannt sind, stellten darüber hinaus ein Ultimatum: Sämtliche Daten des Users würden gelöscht, sollte keine Zahlung erfolgen.

Die Gefahr, die von dieser Ransomware-Version ausgeht, ist nach wie vor sehr hoch: Zum einen waren am Freitag bereits viele Unternehmensrechner nicht mehr aktiv und laufen nun Gefahr, am Montagmorgen infiziert zu werden, zum anderen verhält sich WannaCry wie ein Wurm und kann sich leicht weiterverbreiten, da es eine Schwachstelle des SMB-Protokolls nutzt. Darüber hinaus gibt es derzeit keinen frei verfügbaren Entschlüsselungscode. Experten befürchten weitere Angriffe.

Acronis, ein weltweit führendes Unternehmen für Data Protection und Datenspeicherung in der hybriden Cloud, hat seine Backup-Software sowohl für Consumer als auch für Unternehmen gegen ebensolche Bedrohungen abgesichert. Die Funktion Active Protection erkennt ungewollte Aktionen auf dem Rechner und blockt diese ab. Beschädigte Dateien werden sofort aus dem Backup wiederhergestellt, so dass der Anwender bzw. der Computer keinerlei Schaden erleidet. Heuristische Mustererkennung macht es möglich, dass nicht nur bekannte Schadsoftware, sondern eben auch völlig neue Varianten von Active Protection entdeckt werden.

„Viele Anwender und Unternehmen denken sich, dass ihnen eine solche Attacke nicht passiert“, erklärt Nikolay Grebennikov, Vice President Engineering bei Acronis. „Fakt ist, dass jeder angreifbar ist. So wurde die spanische Telefonica zum Beispiel von einer sehr aggressiven Version des Wcry angegriffen. Im letzten Jahr wurden rund 47 Prozent der Unternehmen weltweit von Ransomware attackiert und diese Zahl steigt weiter an. Unternehmen und öffentliche Einrichtungen müssen sich die Frage stellen, wie sie ihre Daten vor einem Ransomware-Angriff schützen können. Die Antwort ist einfach: Mit einer zuverlässigen Backup-Lösung, die auch Ransomware-Schutz umfasst.“

Acronis integriert den Ransomware-Schutz in seiner Consumer Backup-Software True Image 2017 NG und auch in der Unternehmenslösung Acronis Backup 12 Advanced.

Mit ein paar Tipps sicher vor Datenerpressung

Ransomware-Angriffe scheinen unvermeidbar. Deswegen sollte sich jeder Anwender und jedes Unternehmen gegen mögliche Angriffe durch Schadsoftware wappnen. Dafür reichen ein paar einfache Maßnahmen, die sich einfach umsetzen lassen.

  1. Halten Sie das Betriebssystem immer auf dem aktuellen Stand. Updates sind dafür konzipiert, die neusten bekannten Schädlinge abzuwehren und Schwachstellen zu schließen.
  2. Öffnen Sie keine Mails von Unbekannten oder angehängte Dateien, deren Quelle Sie nicht kennen. Nach wie vor ist das die populärste Verbreitungsart von Ransomware.
  3. Sichern Sie Ihre Daten durch regelmäßige Backups. Die Intervalle der Backups hängen davon ab, wie viele neue Daten Sie pro Tag erzeugen und auf wie viele Sie bei einem Datenverlust verzichten können, ohne Ihr Geschäft zu schädigen. Das Backup sollte die Betriebssysteminformationen umfassen. Darüber hinaus müssen auch die Backup-Daten abgesichert sein, denn einige Ransomware-Versionen attackieren auch diese Daten.
  4. Nutzen Sie sichere Cloud-Angebote für zusätzliche Sicherheit. Angebote wie Acronis Cloud Storage können zusätzlichen Schutz bieten und weitere Backup-Versionen extern vorhalten.

Am wichtigsten ist es allerdings, Unternehmen und Privatnutzer von Rechnern über die Gefahren von Ransomware zu informieren. Denn nur informierte Anwender können sich nach entsprechenden Lösungen umsehen, die ihre Daten effektiv schützen.

Über Acronis Active Protection

Acronis Active Protection ist eine innovative Technologie, die Echtzeit-Schutz von Daten- und Backup-Software gegen Ransomware Bedrohungen bietet. Modernste Verhaltensheuristiken erkennen und verhindern neue und bereits bekannte Ransomware-Angriffe. Somit wird der Schutz von Backups erhöht und die benötigte Dauer zur Wiederherstellung der Daten reduziert.

PM

Weitere Informationen:
Acronis True Image 2017 New Generation
Acronis Active Protection