Die meisten Infektionen wurden in Thailand, Indien sowie den USA festgestellt; allerdings sind auch Deutschland und Österreich von Attacken betroffen. Grabit ist noch aktiv und hat bereits über 10.000 Dateien entwendet.
Wie es von den Kaspersky – Experten heißt ist Grabit ein Beispiel dafür, dass nicht nur Großunternehmen im Focus von Cyber – Kriminellen stehen.
Die Grabit-Angreifer versenden E-Mails mit einem angeblichen Microsoft-Word-Anhang. Sobald ein Mitarbeiter den Anhang herunterlädt, wird über einen gehackten Remote-Server ein Spionageprogramm auf seinem System installiert. Es kommen ein Keylogger von HawkEye sowie ein Konfigurationsmodul inklusive zahlreicher Fernwartungs-Tools (Remote Administration Tools) zum Einsatz.
Die Ausbeute der Keylogger ist beachtlich. So war ein von Kaspersky Lab analysiertes Keylogger-Programm von nur einem Command-and-Control-Server (C&C-Server) in der Lage, 2.887 Passwörter, 1.053 E-Mails und 3.023 Nutzernamen von 4.928 verschiedenen infizierten Systemen zu stehlen – neben Bankkonten wurden auch Daten von Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn und Twitter entwendet.
Bei Grabit sind einerseits keine großen Anstrengungen zu erkennen, die eigenen Aktivtäten zu verbergen. So untergraben etliche eingesetzte Schädlinge die eigene Sicherheit, indem sie denselben Hosting-Server und zum Teil sogar dieselben Zugangsdaten nutzen. Andererseits setzen die Hintermänner auch starke Verschleierungstechniken ein, um ihren Code vor Sicherheitsexperten zu verbergen. Kaspersky Lab geht daher davon aus, dass hinter der Spionageoperation eine lose Gruppierung steht, bei der einige Teile eher technisch versiert und somit schwerer aufzuspüren sind als andere. Zudem deuten Analysen darauf hin, dass nicht alle Codes vom selben Malware-Programmierer geschrieben wurden.
Kaspersky Lab mit Sicherheitstipps
Mit folgenden Sicherheitstipps von Kaspersky Lab schützen sich Unternehmen und Organisationen vor Grabit:
Ein Anzeichen für eine mögliche Infizierung ist, wenn der Systembereich „C:\Benutzer\\AppData\Roaming\Microsoft“ ausführbare Dateien enthält.
Die Windows-System-Konfigurationen sollte keine „grabit1.exe“-Datei enthalten. Man sollte daher “msconfig“ ausführen und sicher gehen, dass dort mögliche „grabit1.exe“-Dateien gelöscht sind.
Niemals Anhänge öffnen oder auf Links klicken, die von unbekannten Personen kommen. Ist ein Anhang nicht zu öffnen, niemals an andere Nutzer weiterleiten. Im Zweifelsfall den IT-Beauftragen einschalten.
Fortschrittliche IT-Sicherheitslösungen wie Kaspersky Endpoint Security for Business einsetzen und bei verdächtigen Prozessen speziellen Sicherheitsrichtlinien folgen.
Die Lösungen von Kaspersky Lab erkennen und schützen vor allen Grabit-Varianten.
Wie es von den Kaspersky – Experten heißt ist Grabit ein Beispiel dafür, dass nicht nur Großunternehmen im Focus von Cyber – Kriminellen stehen.
Die Grabit-Angreifer versenden E-Mails mit einem angeblichen Microsoft-Word-Anhang. Sobald ein Mitarbeiter den Anhang herunterlädt, wird über einen gehackten Remote-Server ein Spionageprogramm auf seinem System installiert. Es kommen ein Keylogger von HawkEye sowie ein Konfigurationsmodul inklusive zahlreicher Fernwartungs-Tools (Remote Administration Tools) zum Einsatz.
Die Ausbeute der Keylogger ist beachtlich. So war ein von Kaspersky Lab analysiertes Keylogger-Programm von nur einem Command-and-Control-Server (C&C-Server) in der Lage, 2.887 Passwörter, 1.053 E-Mails und 3.023 Nutzernamen von 4.928 verschiedenen infizierten Systemen zu stehlen – neben Bankkonten wurden auch Daten von Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn und Twitter entwendet.
Bei Grabit sind einerseits keine großen Anstrengungen zu erkennen, die eigenen Aktivtäten zu verbergen. So untergraben etliche eingesetzte Schädlinge die eigene Sicherheit, indem sie denselben Hosting-Server und zum Teil sogar dieselben Zugangsdaten nutzen. Andererseits setzen die Hintermänner auch starke Verschleierungstechniken ein, um ihren Code vor Sicherheitsexperten zu verbergen. Kaspersky Lab geht daher davon aus, dass hinter der Spionageoperation eine lose Gruppierung steht, bei der einige Teile eher technisch versiert und somit schwerer aufzuspüren sind als andere. Zudem deuten Analysen darauf hin, dass nicht alle Codes vom selben Malware-Programmierer geschrieben wurden.
Kaspersky Lab mit Sicherheitstipps
Mit folgenden Sicherheitstipps von Kaspersky Lab schützen sich Unternehmen und Organisationen vor Grabit:
Ein Anzeichen für eine mögliche Infizierung ist, wenn der Systembereich „C:\Benutzer\
Die Windows-System-Konfigurationen sollte keine „grabit1.exe“-Datei enthalten. Man sollte daher “msconfig“ ausführen und sicher gehen, dass dort mögliche „grabit1.exe“-Dateien gelöscht sind.
Niemals Anhänge öffnen oder auf Links klicken, die von unbekannten Personen kommen. Ist ein Anhang nicht zu öffnen, niemals an andere Nutzer weiterleiten. Im Zweifelsfall den IT-Beauftragen einschalten.
Fortschrittliche IT-Sicherheitslösungen wie Kaspersky Endpoint Security for Business einsetzen und bei verdächtigen Prozessen speziellen Sicherheitsrichtlinien folgen.
Die Lösungen von Kaspersky Lab erkennen und schützen vor allen Grabit-Varianten.
