Home / News / Cyberbanküberfall 4.0: Malware ermöglicht die spurlose Plünderung von Geldautomaten

Cyberbanküberfall 4.0: Malware ermöglicht die spurlose Plünderung von Geldautomaten

Bildquelle: Pixabay

Als russische Bankangestellte einen ausgeraubten Geldautomaten vorfanden, ohne erkennbare Spuren physischer Gewaltanwendung oder Malware, standen sie vor einem Rätsel. Die Experten von Kaspersky Lab konnten jetzt eigenen Angaben zufolge in einer Untersuchung die Vorgehensweise der Cyberkriminellen aufdecken: nach einem „fileless“ Einbruch ins Banknetzwerk lassen sich mit der Malware ATMitch Geldautomaten in sekundenschnelle und ohne wirklich nachzuverfolgende Spuren ausrauben.

Kaspersky Lab veröffentlichte im Februar 2017 einen Bericht über mysteriöse Attacken gegen Banken, die „fileless“ beziehungsweise dateilos durchgeführt wurden. Dabei griffen Cyberkriminelle Netzwerke von Banken mit im Speicher versteckter Malware an. Es stellte sich damals die Frage nach dem wahren Grund der Attacken. Der ATMitch-Fall vervollständige nun das Bild.

Da die Cyberkriminellen nach dem Angriff alle ausführbaren Malware-Dateien gelöscht hatten, konnten die Forensiker der Bank den Experten von Kaspersky Lab für deren Analyse nur noch zwei verbliebene Dateien übergeben, die Malware-Log-Daten von der Festplatte des Geldautomaten enthielten (kl.txt und logfile.txt).

In den Log-Dateien fanden sich kurze Klartext-Passagen, mit deren Hilfe eine YARA-Regel konstruiert werden konnte, um in öffentlichen Malware-Quellen nach passenden Samples suchen zu können. Nach einem Tag sei es den Experten von Kaspersky Lab gelungen, das Malware-Sample zu identifizieren. Es handelte sich um „tv.dll“ beziehungsweise „ATMitch“ – ein Programm, das bereits zweimal – in Russland und Kasachstan – auftauchte.

Spurloses Plündern von Geldautomaten

Die ATMitch-Malware werde aus der Ferne über die bankinterne Fernwartung auf den Geldautomaten der Bank gespielt und dort ausgeführt. Sobald ATMitch installiert sei und in Verbindung mit einem Geldautomaten stehe, kommuniziere die Malware mit diesem wie eine legitime Software.

Angreifer könnten so bestimmte Befehle ausführen, und beispielsweise Informationen über die Anzahl der im Automaten enthaltenen Geldscheine sammeln. Zudem könnten die Cyberkriminellen per Klick den Befehl zur Ausgabe eines beliebigen Geldbetrags geben, die Scheine entnehmen und umgehend verschwinden: Ein Geldautomatenraub innerhalb von Sekunden. Die Malware-Spuren im Geldautomaten werden im Anschluss gelöscht.

Wer hinter den Angriffen steckt, bleibt offen

Bisher sei noch offen, wer hinter den Angriffen steckt. Der Einsatz von Open-Source-basiertem Exploit-Code, herkömmlichen Windows-Tools und unbekannten Domains mache es fast unmöglich, die verantwortlichen Hintermänner zu bestimmen. Jedoch lasse das im Geldautomaten verwendete „tv.dll“ auf russischsprachige Gruppen schließen. Außerdem verfolgten die Gruppen GCMAN und Carbanak bereits ähnliche Ansätze.

„Die Angreifer sind vielleicht noch immer aktiv, aber keine Panik. Anvisierte Organisationen können dieser Angriffsmethode mit der Expertise von Sicherheitsexperten entgegentreten“, sagt Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. „Das Eindringen in das Netzwerk und das Herausfiltern von Daten gelingt nur mit den dort eingesetzten und legitimen Tools. Nach dem Angriff löschen die Kriminellen alle Spuren, so dass sie nicht mehr identifiziert werden können. Für die Analyse dieser Art von Malware und ihrer Funktionen ist Speicherforensik unerlässlich. Doch wie der von uns beschriebene Fall zeigt, kann mit einer sorgfältigen Vorfallreaktion (Incident Response) auch das perfekte Cyberverbrechen aufgedeckt werden.“

Weitere Informationen zu dateilosen Angriffen und zu YARA-Regeln für die forensische Analyse sind auf https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks abrufbar.

Share

Leave a Reply