News

BEC-Attacken auf Unternehmen aus Industrie, Transport und Logistik

28.06.2017 - Eine aktuelle Phishing-Angriffs-Welle auf Industrieunternehmen hat unter anderem Projekt- und Betriebspläne sowie schematische Darstellung von elektrischen und informationstechnisc...

Eine aktuelle Phishing-Angriffs-Welle auf Industrieunternehmen hat unter anderem Projekt- und Betriebspläne sowie schematische Darstellung von elektrischen und informationstechnischen Netzwerken im Visier. Das geht aus einem Bericht des Industrial Control Systems Cyber Emergency Response Teams von Kaspersky Lab hervor. Die Angriffe dauern an. Was die Angreifer mit diesen Informationen vorhaben, ist derzeit unklar.

Kaspersky Lab machen auf aktuelle BEC-Angriffe (Business E-Mail Compromise) aufmerksam, die oft in Verbindung mit dem Land Nigeria stehen und versuchen, originäre E-Mail-Konten von Unternehmen zu kapern. Die Angreifer überwachen die Konten in Bezug auf Finanztransaktionen und versuchen diese abzufangen oder umzuleiten. Im Oktober 2016 konnten die Cybersicherheitsexperten einen Anstieg bezüglich versuchter Malware-Infektionen auf Kunden aus der Industrie feststellen. Insgesamt wurden mehr als 500 angegriffene Unternehmen in 50 Ländern identifiziert, dabei handelt es sich überwiegend um industrielle Unternehmen und große Transport- und Logistikunternehmen.

Mittels einer authentisch wirkenden Phishing-Mail, die scheinbar von Lieferanten, Kunden, Handelsorganisationen oder Zustelldiensten stammt, wird versucht, Malware zu verbreiten, die aus mindestens acht verschiedenen Spionage-Trojaner- und Backdoor-Familien stammen. Die auf dem Schwarzmarkt erhältliche Malware wurde in erster Linie dazu entwickelt, vertrauliche Daten zu stehlen und Administrationstools für einen Fernzugriff auf dem infizierten System zu installieren.

Nach erfolgreicher Infektion eines Unternehmenscomputers erstellt die Malware Screenshots der dortigen Korrespondenz oder leitet diese an ein E-Mail-Konto der Angreifer weiter. Finden die Angreifer darin Informationen zu lukrativen Transaktionen, fangen sie die Zahlung über einen Man-in-the-Middle-Angriff ab, indem die eigentlichen Empfängerdaten der Rechnung mit den eigenen ersetzt werden.

Bei der Untersuchung der Command-and-Control-Server, die in den neuesten Angriffen im Jahr 2017 verwendet wurden, fielen vor allem die Screenshots von Projekt- und Betriebsplänen sowie technischen Zeichnungen und Diagramme von Netzwerken auf. Ebenfalls auffällig ist, dass diese nicht von den üblichen Opfern der Angreifer, wie Projekt-Manager oder Disponenten, gestohlen wurden, sondern von Betreibern, Ingenieuren, Designern und Architekten.

Die schädlichen Dateien kommunizieren in einigen Fällen trotz unterschiedlich eingesetzter Malware-Familien mit demselben Command-and-Control-Server. Hinter den Angriffen könnte damit sowohl eine einzige Gruppe stehen als auch mehrere Gruppen, die zusammenarbeiten. Die meisten Domains sind zudem in Nigeria registriert.

„Angreifer benötigen derartige Daten nicht für Phishing-Betrug “, so Maria Garnaeva, Senior Security Researcher, Critical Infrastructure Threat Analysis bei Kaspersky Lab. „Daher stellt sich die Frage, was sie mit den gestohlenen Daten anfangen? Geschah das Sammeln zufällig oder vorsätzlich – oder wurden die Angreifer von einem Dritten beauftragt? Bisher konnten wir keine der von nigerianischen Cyberkriminellen gestohlenen Daten auf dem Schwarzmarkt wiederfinden. Allerdings ist klar, dass für die angegriffenen Unternehmen eine solche nigerianische Phishing-Attacke neben dem direkten finanziellen Verlust andere, möglicherweise ernsthaftere, Bedrohungen aufwirft.“

Der nächste Schritt der Angreifer könnte sein, Zugang zu den Computern zu erhalten, die Teil eines industriellen Steuerungssystems (ICS, Industrial Control Systems) sind; das Abfangen oder Ändern von Einstellungen könnte hier eine verheerende Wirkung haben.

Tipps für Schutzmaßnahmen von Kaspersky Lab

  • Mitarbeiter im sicheren Umgang mit E-Mails schulen: verdächtige Links oder Anhänge nicht öffnen und den Ursprung der E-Mail genau prüfen. Darüber hinaus sollten Mitarbeiter über die neuesten Methoden der Cyberkriminellen informiert werden.
  • Anfragen genauestens prüfen, die eine Änderung von Bankdetails, Zahlungsmethoden oder dergleichen während einer Transaktion verlangen.
  • Eine Sicherheitslösung auf allen Arbeitsplätzen und Servern sowie Updates ohne Verzögerungen installieren. Sind industrielle Kontrollsysteme vorhanden, sollte hierfür eine spezielle Lösung implementiert werden, die alle Netzwerkaktivitäten überwacht und analysiert.
  • Sämtliche Passwörter auf allen Konten ändern, sollte ein System kompromittiert worden sein.

Weitere Informationen zur Vorgehensweise und wie man sich davor schützt, finden sich unter https://securelist.com/nigerian-phishing-industrial-companies-under-attack/78565/

Weitere Informationen zu Bedrohungen von Industrial Control Systemen finden sich unter https://ics-cert.kaspersky.com/

Nützliche Links:

•    Kaspersky Lab ICS CERT: https://ics-cert.kaspersky.com/

•    Kaspersky Industrial CyberSecurity: https://www.kaspersky.de/enterprise-security/industrial

•    Kaspersky Security Solutions for Enterprise: https://www.kaspersky.de/enterprise-security

Kontakt

Kaspersky Labs GmbH

Despag-Straße 3
85055 Ingolstadt
Deutschland