Seit Oktober 2016 wurden von bislang Unbekannten mit einem individuell angepassten und in präparierte Websites integrieren Exploit Kit gezielt ausgewählte Besucher dieser Websites angegriffen. Die Schadsoftware wurde nur aktiv, wenn der Besucher von einer von rund 150 unterschiedlichen IP-Adressen aus auf die Webseite kam. Diese IP-Adressen gehören 104 Organisationen aus 31 Ländern, größtenteils Banken, aber auch Telekommunikations- und Internetfirmen. Das geht aus einer jetzt von Symantec vorgelegten Analyse hervor. Demnach wurden Einbruchsversuche in Systeme von 27 Geldinstituten in Polen, Mexiko und Uruguay erfolgreich abgewehrt.
Das Vorgehen der Angreifer erinnert die Symantec-Forscher an die Hackergruppe Lazarus, die für den Angriff auf Sony Pictures Ende 2014 verantwortlich ist. Eine erste Spur fand Symantec durch Angriffe mit einer bis dahin unbekannten Malware auf eine polnische Bank. Sie tauschte ihre Erkenntnisse über die Schadsoftware mit anderen Geldinstituten aus, die daraufhin feststellten, dass sie ebenfalls betroffen waren.
Im Laufe der Nachforschungen fanden die Experten alleine in Polen 25 angegriffene Einrichtungen, in den USA 20 weitere. Auch gegen Firmen in Mexico, Brasilien, Chile, Dänemark und Großbritannien waren die Angreifer aktiv.
Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.
Die Verbindung zu der Lazarus genannten Gruppe sehen die Sicherheitsforscher vor allem wegen eines Hacking-Tools. Es wird von der Malware “Downloader.Ratankba” heruntergeladen, die über das Exploit Kit auf ein angegriffenes System gelangt. Dieses Hacking-Tool verwendet Code, den die Forscher von Symantec auch bei der Analyse des Sony-Hack entdeckt haben.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Die Lazarus-Gruppe habe schon früher Geldinstitute ins Visier genommen. Erste Spuren hinterließen sie bei Denial-of-Service-Angriffen auf Websites in den USA und Südkorea. Die Forscher fanden Gemeinsamkeiten beim verwendeten Code, der Taktik und der Infrastruktur. Das trifft laut Symantec auch auf Tools zu, die bei einem erfolgreichen Angriff auf eine Bank in Bangladesch im vergangenen Jahr benutzt wurde. Die Untersuchungen zu den nun aufgedeckten Aktivitäten dauern noch an.
[mit Material von Stefan Beiersmann, ZDNet.de]