Dyre-Wolf-Malware erbeutet Millionen von Unternehmen

IBM meldet einen laufenden Angriff über den Dyre-Trojaner. Demnach sollen die Kriminellen bereits von mehreren Unternehmen über eine Million Dollar erbeutet haben. Die Angriffswelle, die die IBM-Sicherheitsforscher “Dyre Wolf” getauft haben, basiert neben dem Dyre-Trojaner auch auf Social Engineering. Dabei treten die Hacker auch als Mitarbeiter von Banken auf und erbeuten so Bankinformationen von Unternehmen.

Die ursprüngliche Dyre-Malware ist seit Oktober 2014 bekannt. Inzwischen wurde diese jedoch laut einer jetzt von IBM vorgelegten umfassenden Analyse des Trojaners erheblich weiter entwickelt. Binnen kurzer Zeit stieg die Zahl der Infizierten Systeme von 500 auf fast 3.500 an, so die Experten der IBM-Sicherheitstochter Trusteer.

Diese Verbreitung stammt über eine zweite Malware namens Upatre. Diese sorgt dafür, dass eine große Menge potentieller Opfer Spam-Mails bekommt. Im Anhang dieser Spam-Mails befindet sich ein präparierter Anhang. Wird der geöffnet, wird Dyre automatisch auf dem infizierten System über einen Download installiert.

Dyre leitet dann Mitarbeiter, die auf die Webseite ihrer Hausbank zugreifen wollen, auf eine fingierte Website. Der Nutzer wird hier unter dem Vorwand technischer Schwierigkeiten aufgefordert, sich telefonisch an einen Servicemitarbeiter zu wenden.

Statt eines Bankmitarbeiters aber sprechen die getäuschten Mitarbeiter mit einem Hacker, der aber bereits gut über die Gewohnheiten des Opfer informiert ist. Dann werden Zugangsdaten und Kontoinformationen abgefragt. Die Malware sei in der Lage mehrere Hundert verschiedene Online-Auftritte von Banken zu imitieren.

Firewall-Hersteller erkennen den neuen Dyre-Wolf-Schädling inzwischen, allerdings unter anderem Namen. (Bild: IBM)

Wenn der getäuschte Mitarbeiter das Gespräch beendet, wurde von dem Unternehmenskonto bereits Geld über mehrere Banken und Länder hinweg auf das Konto der Hacker überwiesen. Die Rückverfolgung wird durch das System verschiedener Überweisungen erschwert.

Doch damit nicht genug: Um weitere Spuren zu verwischen, starten die Kriminelle teilweise nach der Transaktion eine DDoS-Attacke auf die IT-Systeme des bestohlenen Unternehmens. Dabei werden die Server mit einer großen Anzahl von Anfragen überlastet und gezielt lahmgelegt. IBM vermutet, dass es sich dabei um ein Manöver handelt, um den illegalen Geldtransfer möglichst lange zu verdunkeln.

“Während sich betrügerische Malware zur Erbeutung von Kontodaten meist gegen Privatpersonen richtet, haben es die Entwickler von Dyre gezielt auf Unternehmen abgesehen”, kommentiert Gerd Rademann, IBM Business Unit Executive Security Systems DACH. “Seit dem ersten Auftreten der Malware im Jahr 2014 hat sie sich enorm entwickelt und ist mittlerweile so ausgereift, dass Cyberkriminelle immer größere Coups damit landen konnten.” Laut IBM liegen die gestohlenen Beträge zwischen 500.000 und 1,5 Millionen Dollar.

“Mit dieser Kampagne sind die Angreifer allen Beteiligten mehrere Schritte voraus”, erklärt John Kuhn, Senior Threat Researcher bei IBM in einem Blog. Auch wenn die Attacke mit einem großen Netz startet, um die potentiellen Opfer zu infizieren, handle es sich doch um eine sehr zielgerichtete Attacke. “Diese Angreifer zielen auf Organisationen, die Online große Summen transferieren”, so Kuhn weiter. “Es gibt keine einfache Erklärung dafür, warum die Angreifer wissen, welche Unternehmen regelmäßig große Summen überweisen, dennoch ist das eine interessante Koinzidenz.” Auch habe sich gezeigt, dass viele Anti-Viren-Lösungen die Malware zunächst nicht entdeckt haben.

Kuhn sieht zudem, dass sich Cybercriminelle immer besser organisieren, über das Deep Web Expertise austauschen und immer häufiger sehr vorsichtige und sehr gezielte Attacken planen, um damit die maximale Ausbeute zu erzielen. Dabei werde auch immer häufiger das schwächste Glied in der Verteidigungslinie der Unternehmen anvisiert: “Der Mitarbeiter.” Daher sollten auch diese ein besonders Training oder eine Schulung bekommen, rät Kuhn.

Dyre Wolf, eine ausgeklügelte Attacke, mit der Angreifer die Zweifaktoren-Authentisierung von Bank-Accounts umgehen und damit in erfolgreichen Attacken zwischen 500.000 und 1,5 Millionen Dollar erzielen. (Bild: IBM)

Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

7 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

8 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

1 Tag ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

1 Tag ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

1 Tag ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago