Angriffe auf Finanzinstitute ähneln Vorgehen der Sony-Hacker

Symantec hat eine Serie von zielgerichteten Angriffen auf Banken in Polen, Mexiko und Uruguay analysiert. Seit Oktober wurden demnach Einbruchsversuche in Systeme von 27 Geldinstituten in den drei Ländern abgewehrt. Das Vorgehen der Cyberkriminellen erinnert die Forscher an die Hackergruppe Lazarus, die Ende 2014 für den Angriff auf Sony Pictures verantwortlich war.

Aufmerksam wurde Symantec auf die Angriffe durch eine zuvor unbekannte Malware im System einer polnischen Bank. Sie hatte ihre Erkenntnisse über die Schadsoftware mit anderen Geldinstituten geteilt, die daraufhin feststellten, dass sie ebenfalls betroffen sind.

Gegen die Geldinstitute gingen die Hacker mit einem individuell angepassten Exploit Kit vor. Es wurde so konfiguriert, dass es sich in speziell präparierte Websites integrieren lässt und nur Besucher von rund 150 unterschiedlichen IP-Adressen angriff. Die IP-Adressen wiederum gehören 104 Organisationen aus 31 Staaten. Der größte Teil davon sind Banken. Zu den Zielen der Hackern gehören aber auch Telekommunikations- und Internetfirmen.

25 Ziele identifizierten die Forscher alleine in Polen. In den USA waren es knapp 20, gefolgt von Mexico, Brasilien, Chile, Dänemark und Großbritannien. Zu den betroffenen Unternehmen machte Symantec jedoch keine Angaben.

Die Verbindung zur Lazarus-Gruppe ergibt sich vor allem durch ein Hacking-Tool, das wiederum von der Malware „Downloader.Ratankba“ heruntergeladen wird, die über das Exploit Kit auf ein angegriffenes System gelangt. Das Hacking-Tool benutzt Code, den die Forscher von Symantec auch bei der Analyse des Hacking-Tools der Sony-Hacker entdeckt haben.

Loading ...

Darüber hinaus habe die Lazarus-Gruppe schon früher Geldinstitute ins Visier genommen. Vor rund einem Jahr war bekannt geworden, dass die Hacker wohl schon seit 2009 aktiv sind. Erste Spuren hinterließen sie bei Denial-of-Service-Angriffen auf Websites in den USA und Südkorea. Die Forscher fanden Überschneidungen beim verwendeten Code, der Taktik und auch der Infrastruktur. Das trifft laut Symantec auch auf Tools zu, die bei einem Cyberbankraub in Bangladesch im vergangenen Jahr zum Einsatz kamen.

Die Untersuchungen zu den Aktivitäten von Lazarus sind noch nicht abgeschlossen. „Im Lauf der Zeit könnten mehr Beweise über die Identität und Motive der Angreifer auftauchen“, heißt es im offiziellen Symantec-Blog. „Nach einer Serie von Angriffen auf Banken im Jahr 2016 ist dies der jüngste Vorfall, der an die zunehmenden Bedrohungen erinnert, denen Finanzinstitute ausgesetzt sind.“

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Danny Palmer, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago