Einem Forscherteam von Proofpoint zufolge ist die „Carbanak-Bande“ wieder aktiv und hat es auf Banken in Europa, dem Mittleren Osten und den USA abgesehen. Man habe Vorbereitungen für diverse Angriffe beobachtet.
Die Carbanak-Bande ist laut Proofpoint bekannt dafür, dass sie Finanzunternehmen infiltriert und Millionen Dollar erbeutet, indem sie die Netzwerke interner Zahlungsprozesse, ATM-Netzwerke und Transaktionen ausspioniert und missbraucht. Im aktuellen Fall wurden Kampagnen im Mittleren Osten, USA und Europa aufgedeckt, die auf die obere Management-Ebene in Finanzunternehmen oder auf finanzielle Entscheider abzielten. Dabei kamen Spear-Phishing-Mails zum Einsatz, die URLs, Dokumente mit Makros oder Exploits enthielten. Sie unterstützten die Aktionen mit der Carbanak-spezifischen Malware Spy.Sekur und gewöhnlichen Remote-Acess-Trojanern (RATs) wie jRAT, Netwire und Cybergate.
Neue Anschläge in Vorbereitung
Am 1. März habe man eine E-Mail entdeckt, die an handverlesene Bankangestellte und Mitarbeiter von Finanzorganisationen, professionelle Dienstleister sowie Software-Händler gerichtet war. Die Zielpersonen waren aus der oberen Führungs- und Entscheidungsebene: Direktoren, Führungskräfte, regionale und überregionale Manager und Betriebsleiter. Die meisten Zielpersonen arbeiten im Mittleren Osten in Ländern wie Libanon, Kuweit, Vereinigte Arabische Emirate und Jemen.
Am 4. März seien noch mehr zielgerichtete E-Mails aufgetaucht, die an Einzelpersonen und Abteilungen wie Support und Verwaltung aus den Branchen Finanzwesen, Massenmedien und andere, scheinbar zufällige Zielpersonen in Brandschutz, Heizungs-, Lüftungs- und Klimatechnik adressiert waren. Diese Personen arbeiteten in Finanz- und Helpdesk-Positionen als Account Manager, Kreditprüfer und im IT-Support. Anders als in der oben beschriebenen Kampagne arbeiten die meisten Zielpersonen in Unternehmen, die ihren Sitz in USA und Europa haben.
Hersteller und Lieferanten als Hintertür
Die Carbanak-Bande stecke seit 2013 hinter einer Reihe von Anschlägen, die meist auf Kampagnen im APT-Modus basieren und unterschiedliche Zielgruppen mit vielfältiger Malware bombardieren. In den beschriebenen Fällen nutzte die Bande neue Exploits, Dokumente mit Makros und Remote-Access-Trojaner, um neue Ziele außerhalb ihrer gewöhnlichen russischen Domains zu attackieren. Sie setzten Kampagnen mit Dateianhängen, URLs, die zu Exploit-Dokumenten verlinken, und Malware ein, um Unternehmen in den USA und dem Mittleren Osten zu attackieren. Außerdem werde die Zielgruppe von Finanz-Institutionen zu scheinbar zufälligen Branchen wie Brandschutz, Heizungs-, Lüftungs- und Klimatechnik ausgedehnt.