Check Point gab heute die Identität des Kriminellen hinter einer Reihe scheinbar staatlich geförderter Cyber-Angriffe auf über 4.000 Unternehmen im Energie-, Bergbau- und Infrastrukturbereich bekannt: Demnach war ein Nigerianer aus der Nähe der Hauptstadt Lagos war der Drahtzieher der Angriffswelle. [...]
Die Kampagne startete im April 2017 und richtete sich gegen einige der größten internationalen Organisationen in der Öl- und Gasindustrie sowie in der Fertigungs-, Bank- und Baubranche. Das weltweite Ausmaß und die anvisierten Organisationen ließen vermuten, dass eine Expertengruppe oder staatlich geförderte Agentur hinter den Angriffen stehen müsste. Die Kampagne ist jedoch die Arbeit eines einzelnen Nigerianers Mitte Zwanzig, der aus der Nähe der Landeshauptstadt Lagos stammt. Sein Facebook-Account ziert das Motto: „Reich werden oder beim Versuch sterben“.
Bei seiner Angriffskampagne setzte er betrügerische E-Mails ein, die scheinbar von dem Öl- und Gasgiganten Saudi Aramco, dem Ölproduzenten mit der weltweit zweitgrößten Tagesfördermenge, stammten und an die Mitarbeiter der Finanzabteilung der Unternehmen gerichtet waren. Diese sollten dazu gebracht werden, Bankdaten des Unternehmens weiterzugeben oder die mit Malware infizierten Anhänge der E-Mails zu öffnen.
Dazu verwendete er NetWire, einen Remote-Access-Trojaner, der die volle Kontrolle über infizierte Maschinen ermöglicht, sowie Hawkeye, ein Keylogging-Programm. Die Kampagne führte zu 14 erfolgreichen Infektionen, in deren Verlauf der Täter Tausende Dollar verdiente.
Großer Schaden durch generische Malware
Maya Horowitz, Threat Intelligence Group Manager bei Check Point, erläutert den Fall: „Obwohl diese Person qualitativ minderwertige Phishing-E-Mails und generische Malware verwendete, die man online ganz leicht finden kann, war er mit seiner Kampagne dennoch in der Lage, viele Organisationen zu infizieren und mehrere Tausend weltweit anzugreifen. Das zeigt genau, wie einfach es für einen relativ unqualifizierten Hacker ist, eine großangelegte Angriffswellen zu starten, die sich über alle Abwehrprogramme, selbst die von großen Unternehmen, hinwegsetzt, und ihm ermöglicht, einen solchen Betrug durchzuführen.“
„Dies macht deutlich, wie notwendig es für Unternehmen ist, ihre Sicherheit zu verbessern, um sich vor Betrügereien durch Phishing- oder Geschäfts-E-Mails zu schützen, und die Mitarbeiter zur Vorsicht beim Öffnen von E-Mails zu erziehen – selbst solche Mails, die von Unternehmen oder Personen stammen, die sie kennen.“
Nachdem die Kampagne entdeckt und ihr Ursprung festgestellt worden war, informierte das Check-Point-Forscherteam die internationalen Strafverfolgungsbehörden sowie die in Nigeria und teilte seine Erkenntnisse mit ihnen.
Schutz durch entsprechende Software
Business E-Mail-Compromise (BEC)-Angriffe haben in den vergangenen 18 Monaten dramatisch zugenommen. Das FBI vermeldete einen Anstieg der Opferzahl von 270 Prozent seit Anfang 2016, was Organisationen in aller Welt von 2013 bis 2016 über 3 Mrd. US-Dollar kostete. Schätzungen zufolge verlieren BEC-Opfer im Durchschnitt 50.000 US-Dollar.
Schutz vor solchen Betrügereien bietet Software, wie z.B.die Anti-Spam- & Email-Sicherheits-Software Blade von Check Point. Ihr mehrdimensionaler Ansatz sichert die E-Mail-Infrastruktur, bietet äußerst genauen Antispam-Schutz und schützt Organisationen vor einer großen Bandbreite an Virus- und Malwarebedrohungen, die über E-Mails verbreitet werden. Darüber hinaus bewahrt der SandBlast-Agent mit Zero Phishing-Technologie Unternehmen vor neuen und unbekannten Phishing-Seiten sowie vor Bedrohungen, die in Dokumenten und Links in E-Mails enthalten sind.
Mehr Informationen über die von dem Kriminellen für die Angriffe auf Organisationen genutzten Techniken gibt es im CheckPoint-Blog.
Be the first to comment