Über unsMediaKontaktImpressum
15. Februar 2015

Milliardenraub durch Cyberdiebe

Etwa eine Milliarde US-Dollar haben Cyberdiebe bei Banken gestohlen. Die Angreifer sind noch immer aktiv.

Kaspersky Lab gab jetzt den vermutlich aktuell größten Bankraub bekannt - obwohl Bankraub nicht der richtige Begriff ist, denn ein Raub ist in der Kriminologie die Bezeichnung für ein Vermögensdelikt, das durch Gewaltanwendung begangen wird. Und Gewalt war nicht im Spiel. Vielmehr wurde durch ein ausgeklügeltes System und eine nur schwer zu enttarnende Schad-Software das Geld nicht von Kunden, sondern direkt von den Banken gestohlen.

Dahinter steckt die so genannte "Carbanak"-Gang, deren Ziele aktuell in Deutschland und der Schweiz, in Russland, den USA, Kanada, China und Ukraine, Hong Kong, Taiwan, Norwegen, Frankreich und Spanien, Rumänien, Indien, Großbritannien, Polen, Pakistan, Marokko, Nepal, Island, Indien, Irland, Brasilien, Tschechien, Bulgarien und Australien liegen.

In nur zwei Jahren soll die Gang rund eine Milliarde US-Dollar von Banken entwendet haben. Die Cyberdiebe ginge äußerst geschickt vor. Nach der Infizierung ließen sich die Täter zwischen zwei und vier Monaten Zeit. Zunächst wurde ein Computer im Unternehmensnetzwerk einer Bank infiziert. Anschließend wurde eine Überwachungssoftware implementiert und über diese das Verhalten der Angestellten studiert. Erst danach erfolgte der Angriff. Die großen Summen konnten gerade dadurch übernommen werden, dass das Verhalten der Bankmitarbeiter so genau nachgestellt wurde, dass die Transaktionen wie ein standardmäßiger Vorgang aussahen.

Zusätzlich konnten Geldautomaten unter eigene Kontrolle gebracht werden: Remote wurden diese angewiesen, Bargeld zu einem bestimmten Zeitpunkt auszuzahlen. Interessant ist, dass die verwendete Bank-Software keine Rolle spielte.

Kaspersky Lab rät allen Banken und Finanzinstituten, schnellstmöglich ihre Netzwerke auf Malware von Carbanak zu prüfen und bei einem Fund die Strafverfolgungsbehörden einzuschalten.

Was Sie prüfen sollten

  • Dateien mit der Datei-Erweiterung .bin im Verzeichnis \All Users\%AppData%\Mozilla sowie c:\ProgramData\Mozilla
  • Die Datei svchost.exe in Windows\System32\com
  • Services, die mit "sys" enden, die einen zweiten Service ohne diese Endung duplizieren

Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.

botMessage_toctoc_comments_9210