Finanzdienstleistungen und Versicherungen

Cyberbedrohungen für die Finanz- und Versicherungsbranche

Unternehmen in der Finanz- und Versicherungsbranche sind Cyberbedrohungen durch folgende Angreifer ausgesetzt:

  • Organisierte Cyberkriminelle, die nach Bankkontodaten oder anderen Informationen suchen, um diese zu verkaufen und betrügerische Überweisungen vorzunehmen.
  • Hacktivisten, die ihr Opfer durch Störungen bloßstellen wollen, um gegen seine Unternehmenspolitik oder seine Aktivitäten zu protestieren und auf diese aufmerksam zu machen.
  • APT-Gruppen (Advanced Persistent Threat)1, die ihren staatlichen Auftraggebern einen Einblick in den Betrieb bestimmter Unternehmen oder Zugang zu potenziell vertraulichen Kundendaten verschaffen möchten.
finance

Bedrohungslage und Branchenprognose

Unternehmen in der Finanz- und Versicherungsbranche werden wahrscheinlich auch in Zukunft ein wichtiges Ziel für Cyberkriminelle, Hacktivisten und APT-Gruppen bleiben. Zukünftige Bedrohungsaktivitäten gegen diese Branchen dürften unter anderem durch folgende Faktoren beeinflusst werden:

  • Kundenservices und mobile Anwendungen, die eine persönliche Finanzverwaltung ermöglichen, sind ein wahrscheinliches Ziel für den Diebstahl von Anmeldedaten. Cyberkriminelle könnten die Apps anderer Anbieter als Ziel auswählen, vor allem, wenn diese eine große Menge an Anmeldedaten speichern und im Vergleich zu größeren Banken über unzureichende Schutzmaßnahmen verfügen.
  • Bots und andere auf dem Schwarzmarkt erhältliche Standardtools erleichtern Angreifern das Infiltrieren der Netzwerke lukrativer Opfer aus der Finanzbranche. Wir haben bereits Cyberangriffe untersucht, bei denen die Kriminellen Citadel-Infektionen nutzten, um eigene Malware zu installieren, sich im Netzwerk auszubreiten und Finanzdaten zu stehlen.
  • Die Verstrickung in Kontroversen könnte ebenfalls eine erhöhte Aktivität von Hacktivisten nach sich ziehen. Sie möchten die Aufmerksamkeit auf die Probleme lenken und die in ihren Augen verantwortlichen Unternehmen an den Pranger stellen. Angriffe können jedoch auch in einem vollkommen anderen Zusammenhang stehen: Vorfälle im Finanzwesen sind sehr medienwirksam und erscheinen Hacktivisten daher möglicherweise als besonders geeignet, um Aufmerksamkeit zu erregen.
  • Zunehmende Spannungen oder Konflikte zwischen Ländern könnten Angriffe verschiedener APT-Gruppen zur Folge haben, die ihrer Regierung einen Vorteil verschaffen möchten.
Wir haben mindestens 15 APT-Gruppen identifiziert, die Unternehmen aus den folgenden Teilsektoren ins Visier nehmen:
  • Vermögensverwaltung
  • Betreiber von Geldautomaten
  • Herstellung von Geldautomaten & anderen Self-Service-Terminals
  • Banken & Genossenschaftsbanken
  • Anbieter von Kreditauskünften
  • Elektronische Zahlungssysteme
  • Finanzplaner & Investmentberater
  • Finanzdienstleistungen, Recht & staatliche Software
  • Verarbeitung von Finanztransaktionen
  • Wertpapierhändler
  • Versicherungen & Maklerbüros
  • Investmentfirmen
  • Hypothekenbanken
  • Sach- und Personenversicherer
  • Risikokapital
Bei Finanzdienstleistern und Versicherungen entwendete Daten:
  • Datensätze über Empfänger von Zahlungen
  • Geschäfts- & strategische Pläne & Ziele
  • Handbücher & Richtlinien für Mitarbeiter
  • Lebensläufe von Mitarbeitern
  • Material für Mitarbeiterschulungen
  • Veranstaltungsbezogene Dokumente
  • Finanzdokumente
  • Rechnungen
  • Organigramme
  • Preisinformationen
  • Anleitungen & Schulungsmaterialien für Produkte
  • Wiederholt ausgeführte Berichte
  • Softwarebeschreibungen & -konfigurationen
  • Leistungsbeschreibungen

Cyberkriminelle greifen Kartenmanagementsystem einer Bank an

Vor Kurzem führten wir eine Untersuchung bei einer Bank durch, die unbefugte Kontoabhebungen mit gefälschten Kreditkarten an Bankautomaten in Osteuropa bemerkt hatte. Die Angreifer waren in das Kartenmanagementsystem der Bank eingedrungen und hatten versucht, 150.000 Dollar von Kundenkonten abzuheben. Sie verschafften sich Zugriff auf das Netzwerk der Bank, als ein Mitarbeiter eine Website mit einem browserbasierten Exploit aufrief, der eine Backdoor im System des Mitarbeiters installierte. Die Angreifer entwendeten die Anmeldedaten dieses Mitarbeiters und missbrauchten sie, um in das Kartenmanagementsystem der Bank einzudringen und den Kontostand sowie die Auszahlungslimits bestimmter Kunden zu erhöhen. Anschließend änderten sie die PINs dieser Konten, um mit scheinbar legitimen Anmeldedaten die neue Maximalsumme abheben zu können.

top5-finance

WICHTIGSTE MALWARE

WITCHCOVEN ist ein Skript, das Informationen über die Betriebssysteme, Browser und Anwendungen der Besucher einer bestimmten Website erfasst. Wir vermuten, dass APT-Angreifer dieses Skript zum Footprinting nutzen. Mit dieser Methode erstellen Hacker ein Profil von Unternehmen und ihren Computersystemen.
XtremeRAT ist ein frei verfügbares Remote Access Tool (RAT), mit dem das Hoch- und Herunterladen von Dateien, das Interagieren mit der Windows-Registry, das Manipulieren von Prozessen und Diensten sowie das Erfassen von Daten wie Audio- und Videoaufnahmen möglich ist.
Gh0stRAT ist ein Remote Access Tool (RAT), das einem frei verfügbaren Quellcode entstammt. Es kann Bildschirm- und Audioaufnahmen durchführen, Webcams einschalten, Prozesse auflisten und beenden, eine Befehlsshell öffnen, Ereignisprotokolle löschen sowie Dateien erstellen, manipulieren, löschen, ausführen und übertragen.
CANNONFODDER ist eine Malware für Datendiebstahl. Sie generiert eine schädliche Microsoft Word-Datei und entwendet so Anmeldedaten für den Internet Explorer, Mozilla Firefox sowie Google Chrome. Außerdem installiert sie einen Keylogger. Sie arbeitet im Interaktiv-Modus, sodass der Angreifer das Zielsystem unentdeckt untersuchen und Daten ausschleusen kann.
Hussarini ist eine funktionsreiche Backdoor, die von zahlreichen vermutlich in China ansässigen APT-Gruppen verwendet wird.

WICHTIGSTE CRIMEWARE

Upatre ist ein Downloader, der häufig über Spam-E-Mails, Drive-by-Downloads oder Exploits übertragen wird und weitere Malware auf ein infiziertes System herunterlädt. Bei bislang untersuchten Angriffen wurde Upatre zur Verbreitung verschiedenster Arten von Malware genutzt, darunter zum Beispiel Zbot, Dyre, Rovnix, CryptoLocker und Necurs.
Ruskill ist ein kommerzielles Crimeware-Kit, das in illegalen Foren vertrieben wird. Ruskill kann genutzt werden, um gekaperte Endpunkte in einem Botnetz zusammenzufassen und für DDoS-Angriffe (Distributed Denial of Service) zu missbrauchen.
Zeus (oder auch Zbot, Citadel, Gameover) bezeichnet eine Gruppe von Trojanern, die in erster Linie entwickelt wurden, um Onlinebanking-Anmeldedaten zu stehlen. Zeus unterstützt verschiedenste weitere Funktionen, darunter die ferngesteuerte Ausführung von Shellbefehlen.
Jenxcus (oder auch njw0rm, njworm) ist eine Weiterentwicklung des gängigen Tools njRAT. Es infiziert Wechseldatenträger, um Anmeldedaten zu stehlen. Oft wird es über schädliche Links in E-Mails oder Drive-by-Downloads auf kompromittierten Websites übertragen.
Fareit ist ein Trojaner für den Datendiebstahl, der infizierte Systeme ebenfalls für DDoS-Angriffe missbrauchen und weitere Arten von Malware herunterladen kann.

1 Unserer Einschätzung nach agieren Advanced Persistent Threat-Angreifer (APT-Angreifer) im Auftrag einer Regierung, für die sie Daten stehlen oder Netzwerke infiltrieren. Zudem zeichnen sie sich durch Beharrlichkeit und den Einsatz eines breiten Spektrums an Tools und Taktiken aus.