bluebit

Carbanak & Cobalt Malware

Polizei verhaftet milliardenschweren Cyber-Bankräuber

von Robert Klatt •

Die vermutlich aus Russland stammende Gruppe hat zwischen 2013 und 2016 über 100 Banken infiziertet und so rund eine Milliarde Euro gestohlen.


0 Kommentare

In den vergangenen Jahren haben die Hintermänner der Carbanak und Cobalt Malware rund eine Milliarde Euro bei virtuellen Bankrauben erbeutet. Laut einer Mitteilung von Europol ist es nun gelungen den mutmaßlichen Anführer der Organisation im spanischen Alicante festzunehmen. Die Bankräuber haben über mehrere Jahre mit ihren beiden Malware-Versionen unterschiedliche Banken gezielt angegriffen und so bis zu 10 Millionen Euro bei einigen Finanzinstituten entwendet. Die umfassenden Ermittlungen erfolgten in Kooperation zwischen der spanischen Polizei, Europol, dem FBI, weiteren Behörden und privaten Unternehmen aus der Sicherheitsbranche.

Trotz der gigantischen Beute verliefen die Angriffe immer nachdem gleichen simplen Schema. Normale Phishing-Mails mit manipulierten Word-Anhängen werden an Bankmitarbeiter verschickt, die dann beim Öffnen der Malware den Hackern Zugriff auf die Infrastruktur der Bank ermöglichten. Das Sicherheitsunternehmen Kaspersky teilte mit, dass die Operation mit der Malware Carbanak bereits im Jahr 2013 gestartet wurde.

Im Jahr 2015 stieg die Gruppe vermutlich aufgrund eines Berichts von Kaspersky auf das Tool Cobalt Strike um, das eigentlich genutzt wird um die Sicherheit von Systeme zu überprüfen. Nachdem die Hacker Zugriff auf einen Banken-Computer erlangt hatte, installierten sie weitere Software, darunter ein Backdoor-Programm zur Spionage, Datendiebstahl und Fernzugriff und eine Software die im Banken-Netzwerk nach Finanztransaktionssystemen sucht. In einigen Fällen wurden so mehrere Hundert Computer infiziert, bis die Hacker schließlich die benötigten Systeme unter ihrer Kontrolle hatten.

Nach Schätzungen der Ermittlungsbehörden hat die Gruppe seit 2013 mehr als 100 Finanzinstitute infiziert, die sich in rund 30 Ländern in Europa, Asien sowie Nord- und Südamerika befinden. Die Schätzungen gehen davon aus, dass rund eine Milliarde Euro dabei entwendet wurden.

An das Geld sind die Hacker dann auf verschiedene Wege gekommen. Sie haben entweder Transaktionen auf eigene Konten durchgeführt, Beträge auf Bankkonten geändert oder sie haben Geldautomaten so manipuliert, dass sie zu einer bestimmten Uhrzeit Geld ausgegeben haben. Die erbeuteten Beträge wurden dann in verschiedene Kryptowährungen umgetauscht.

Analysten von Kaspersky gehen davon aus, dass aufgrund des gigantischen Ausmaßes der Operation Dutzende Personen daran beteiligt sein müssen. Eine Auswertung der verwendeten Malware von infizierten Computern zeigt Artefakte, die daraufhin deuten, dass die Urheber der Malware aus dem russischsprachigen Raum stammen. Die Gruppe suchte jedoch stets nach Muttersprachler, um Banken in verschiedenen Ländern gezielt angreifen zu können.

Im Jahr 2016 hat Kaspersky zwei andere Gruppe entdeckt, die ähnlich operierten. Metel und GCMAN setzen ebenfalls technisch ausgefeilte Methoden ein um verschiedenen Finanzinstitutionen zu infizieren.

0 Kommentare

Kommentar verfassen