Business Security, Schutzprogramme, Verschlüsselung & Datensicherheit

Phishing auf nigerianisch: Angriffs-Welle auf Industrieunternehmen

Eine aktuelle Phishing-Angriffs-Welle auf Industrieunternehmen hat unter anderem Projekt- und Betriebspläne sowie schematische Darstellungen von elektrischen und informationstechnischen Netzwerken im Visier, wie ein Bericht des Industrial Control Systems Cyber Emergency Response Teams von Kaspersky Lab zeigte.

Weltweit über 500 Unternehmen angegriffen

Die Experten von Kaspersky Lab machen auf aktuelle BEC-Angriffe (Business E-Mail Compromise) aufmerksam, die oft in Verbindung mit dem Land Nigeria stehen und versuchen, originäre E-Mail-Konten von Unternehmen zu kapern. Die Angreifer überwachen die Konten in Bezug auf Finanztransaktionen und versuchen diese abzufangen oder umzuleiten.

Im Oktober 2016 konnten die Cybersicherheitsexperten einen Anstieg bezüglich versuchter Malware-Infektionen auf Kunden aus der Industrie feststellen. Insgesamt wurden mehr als 500 angegriffene Unternehmen in 50 Ländern identifiziert, dabei handelt es sich überwiegend um industrielle Unternehmen und große Transport- und Logistikunternehmen.

Angriff via Phishing-Mail

Mittels einer authentisch wirkenden Phishing-Mail, die scheinbar von Lieferanten, Kunden, Handelsorganisationen oder Zustelldiensten stammt, wird versucht, Malware zu verbreiten, die aus mindestens acht verschiedenen Spionage-Trojaner- und Backdoor-Familien stammen. Die auf dem Schwarzmarkt erhältliche Malware wurde in erster Linie dazu entwickelt, vertrauliche Daten zu stehlen und Administrationstools für einen Fernzugriff auf dem infizierten System zu installieren.

Nach erfolgreicher Infektion eines Unternehmenscomputers erstellt die Malware Screenshots der dortigen Korrespondenz oder leitet diese an ein E-Mail-Konto der Angreifer weiter. Finden die Angreifer darin Informationen zu lukrativen Transaktionen, fangen sie die Zahlung über einen Man-in-the-Middle-Angriff ab, indem die eigentlichen Empfängerdaten der Rechnung mit den eigenen ersetzt werden.

Diebstahl technischer Unterlagen

Bei der Untersuchung der Command-and-Control-Server, die in den neuesten Angriffen im Jahr 2017 verwendet wurden, fielen vor allem die Screenshots von Projekt- und Betriebsplänen sowie technischen Zeichnungen und Diagramme von Netzwerken auf. Ebenfalls auffällig ist, dass diese nicht von den üblichen Opfern der Angreifer, wie Projekt-Manager oder Disponenten, gestohlen wurden, sondern von Betreibern, Ingenieuren, Designern und Architekten.

Die schädlichen Dateien kommunizieren in einigen Fällen trotz unterschiedlich eingesetzter Malware-Familien mit demselben Command-and-Control-Server. Hinter den Angriffen könnte damit sowohl eine einzige Gruppe stehen als auch mehrere Gruppen, die zusammenarbeiten. Die meisten Domains sind zudem in Nigeria registriert.

Angriffsziele unklar

Zu den unklaren Hintergründen der Angriffe kommentiert Maria Garnaeva, Senior Security Researcher, Critical Infrastructure Threat Analysis bei Kaspersky Lab:

„Angreifer benötigen derartige Daten nicht für Phishing-Betrug “

„Daher stellt sich die Frage, was sie mit den gestohlenen Daten anfangen? Geschah das Sammeln zufällig oder vorsätzlich – oder wurden die Angreifer von einem Dritten beauftragt? Bisher konnten wir keine der von nigerianischen Cyberkriminellen gestohlenen Daten auf dem Schwarzmarkt wiederfinden. Allerdings ist klar, dass für die angegriffenen Unternehmen eine solche nigerianische Phishing-Attacke neben dem direkten finanziellen Verlust andere, möglicherweise ernsthaftere, Bedrohungen aufwirft.“

Der nächste Schritt der Angreifer könnte sein, Zugang zu den Computern zu erhalten, die Teil eines industriellen Steuerungssystems (ICS, Industrial Control Systems) sind; das Abfangen oder Ändern von Einstellungen könnte hier eine verheerende Wirkung haben.

Tipps für Schutzmaßnahmen von Kaspersky Lab

  • Mitarbeiter im sicheren Umgang mit E-Mails schulen: verdächtige Links oder Anhänge nicht öffnen und den Ursprung der E-Mail genau prüfen. Darüber hinaus sollten Mitarbeiter über die neuesten Methoden der Cyberkriminellen informiert werden.
  • Anfragen genauestens prüfen, die eine Änderung von Bankdetails, Zahlungsmethoden oder dergleichen während einer Transaktion verlangen.
  • Eine Sicherheitslösung auf allen Arbeitsplätzen und Servern sowie Updates ohne Verzögerungen installieren. Sind industrielle Kontrollsysteme vorhanden, sollte hierfür eine spezielle Lösung implementiert werden, die alle Netzwerkaktivitäten überwacht und analysiert.
  • Sämtliche Passwörter auf allen Konten ändern, sollte ein System kompromittiert worden sein.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben