Carbanak: Kriminelle sollen Millionen durch Bankhacks erbeutet haben

Hacker sollen angeblich Hunderte Millionen US-Dollar von über 100 Banken in 30 Ländern erbeutet haben. Kaspersky Lab berichtet, dass dabei die Rechner von Bankangestellten durch Malware über E-Mail-Links verseucht und dann ihre PCs ausspioniert und fernbedient worden seien.

Artikel veröffentlicht am ,
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen.
Ein Bankraub des 21. Jahrhunderts funktioniert ohne Waffen. (Bild: epSos.de/CC BY 2.0)

Es soll ein Bankbetrug im großen Stil gewesen sein. Innerhalb mehrerer Jahre sollen Kriminelle Banken weltweit um bis zu eine Milliarde US-Dollar geschädigt haben. Dabei wurden gezielt die PCs von Bankangestellten angegriffen, wie Kaspersky Lab berichtet. Interpol, Europol und andere Ermittlungsbehörden sind an der Aufklärung beteiligt. Die New York Times hatte zuerst über den "virtuellen Bankraub" berichtet.

  • Weltweit sind Banken von Carbanak getroffen worden. (Bild: Kaspersky Lab)
  • Die Spuren, die Carbanak hinterließ (Bild: Kaspersky Lab)
  • So gingen die Cybergangster vor. (Bild: Kaspersky Lab)
So gingen die Cybergangster vor. (Bild: Kaspersky Lab)

Die Kriminellen sollen seit zwei Jahren tätig gewesen und Teil einer Bande sein, deren Mitglieder aus Russland, der Ukraine, weiteren Teilen Europas sowie China stammen.

In Ermittlerkreisen wird die Gruppierung Carbanak genannt. Sie attackierte nicht Heimanwender und ihre Homebanking-Aktivitäten oder Geldautomaten-Transaktionen, sondern die Banken selbst, die nach Angaben von Kaspersky Labs ihren Sitz in Deutschland und in der Schweiz sowie in Russland, den USA, China, Ukraine, Kanada, Hongkong, Taiwan, Rumänien, Frankreich, Spanien, Norwegen, Indien, Großbritannien, Polen, Pakistan, Nepal, Marokko, Island, Irland, Tschechien, Brasilien, Bulgarien und Australien haben.

Pro Schadenvorgang sollen bis zu 10 Millionen US-Dollar erbeutet worden sein. Jeder Angriff soll nach den Informationen von Kaspersky Labs, die den "Überfall" publik gemacht haben, etwa 2 bis 4 Monate gedauert haben. Dabei mussten die Täter mehrere Hürden überwinden. Zum einen musste erst einmal der passende Mitarbeiter ausfindig gemacht werden, sein Rechner durch eine E-Mail infiziert, dann das Netzwerk mit Hilfe der Malware überwacht, das Verhalten der Mitarbeiter ausspioniert und schließlich der eigentliche Betrug durchgeführt werden.

Spear-Phishing und Videoüberwachung gegen Bankangestellte

Die Methode nennt sich Spear-Phishing und erfordert erheblich mehr Aufwand als eine normale Phishing-Attacke, weil sie zielgerichtet auf das Opfer zugeschnitten wurde. Dabei wird Vertrauen zur Zielperson aufgebaut und ein E-Mailverkehr initiiert, der letztlich dazu dient, dass ein Link zu einer Malware angeklickt wird, die den Kriminellen dann weitere Möglichkeiten gibt, ihren eigentlichen Angriff durchzuführen.

Nach Informationen von Kaspersky Labs wurde dann der für die Videoüberwachung zuständige Rechner der Administratoren aufgespürt und übernommen, um die Bildschirme der Angestellten einzusehen. Dabei wurde auch eine Remote-Desktop-Funktion verwendet. Die Kriminellen konnten die Arbeitsweise der Bankangestellten erkennen und imitieren. So kam es auch zu dem Eindruck, die Bank sei gar nicht angegriffen worden.

Kriminelle überwachen Bankangestellte

Die Kriminellen konnten so Online-Banking- oder internationale E-Payment-Systeme nutzen, um Geld abzuzweigen und auf die Konten anderer Banken zu überweisen. Selbst in Buchhaltungssystemen wurde gearbeitet: Die Angreifer erhöhten Saldi und überwiesen danach die "überschüssigen" Mittel auf andere Konten. So wurde der ursprüngliche Kontobetrag gar nicht angetastet. Auch Geldautomaten sollen angewiesen worden sein, zu bestimmten Zeiten Auszahlungen vorzunehmen. Genaue Details wurden - wohl auch aus Gründen der Geheimhaltung - nicht veröffentlicht. Unklar ist, wie die Sicherheitssysteme der Banken überwunden und vor allem die interne Kontrolle so lange überlistet werden konnte.

"Diese Attacken unterstreichen wieder einmal, dass Kriminelle jede Schwachstelle in jedem System ausnutzen werden. Klar wird zudem: Es gibt keine Branche, die immun gegen Attacken ist. Sicherheitsabläufe müssen ständig überprüft werden", so Sanjay Virmani, Direktor des Interpol Digital Crime Centre.

Nach Angaben des Sicherheitsunternehmens sind Spuren von Carbanak im Verzeichnis "\Windows\catalogue" zu finden. Dort befindet sich das Tool Paexec. Zudem sollen sich Dateien mit der Erweiterung ".bin" in den Verzeichnissen "all users\%AppData%\Mozilla" oder in "c:\ProgramData\Mozilla" befinden. Dazu ist eine svchost.exe in "Windows\System32\com\catalogue" oder "Windows\Syswow64\com\catalogue" zu finden. In den aktiven Diensten sollte der Admin ebenfalls nachsehen. Dort versucht sich ein Dienst zu tarnen, der an vollkommen reguläre Namen von Diensten ein "sys" anhängt. Läuft der vollkommen normale Dienst "aspnet" wird beispielsweise eine Instanz von "aspnetsys" gestartet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


__destruct() 16. Feb 2015

Was meinst du damit? Ich habe gerade in einem golem.de-Artikel das Wort "Havana" auch mit...

mg4711 16. Feb 2015

Die im Artikel beschriebenen Ordner sehen irgendwie falsch aus: "all users\%AppData...

thinkagain 16. Feb 2015

Regierung die beteuert Terrorismus das ist klar. Mehr Überwachung. Aufstachlung. Neue...

DaObst 16. Feb 2015

Finanzterrorismus? Dafür müssen wir keinem Russen oder Chinesen was in die Schuhe...



Aktuell auf der Startseite von Golem.de
Intel Core i9-14900KS
Intel ist wahnsinnig geworden - zum Glück!

Um den Core i9-14900KS zur schnellsten Allround-CPU zu machen, hat Intel den Weg der Vernunft scheinbar vollständig verlassen. Doch dahinter stecken gute Neuigkeiten für Intel-Kunden.
Ein IMHO von Martin Böckmann

Intel Core i9-14900KS: Intel ist wahnsinnig geworden - zum Glück!
Artikel
  1. Streaming: Twitch verbietet Popos als Leinwand
    Streaming
    Twitch verbietet Popos als Leinwand

    Auf Hinterteile projizierte Streams sind auf Twitch künftig verboten: Der zu Amazon gehörende Dienst geht gegen einen absurden Trend vor.

  2. FTX-Gründer: Sam Bankman-Fried zu 25 Jahren Haft verurteilt
    FTX-Gründer
    Sam Bankman-Fried zu 25 Jahren Haft verurteilt

    Der Richter betonte die Dreistigkeit der Handlungen von Bankman-Fried. Doch die Haftstrafe für den früheren Chef der Kryptobörse FTX liegt weit unter der Forderung der Anklage.

  3. Truth Social: Warum Trumps kleines Netzwerk Milliarden wert wurde
    Truth Social
    Warum Trumps kleines Netzwerk Milliarden wert wurde

    Donald Trumps verlustbringender Twitter-X-Klon Truth Social wird nach seinem Börsengang mit 9 Milliarden US-Dollar bewertet. Es ist eine Spekulationsblase - und eine Investition in eine potenzielle Trump-Präsidentschaft.
    Ein Bericht von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Palit 4070 Super 579,95€ • Xbox-Controller ab 39,99€ • AVM Fritzbox + Repeater -30% • DVDs & Blu-rays -31% • EA -75% • Ubisoft -50% • MindStar: AMD Ryzen 9 7900 339€, MSI RTX 4080 Super Ventus 3X OC 1.099€ • Gratis-Zugaben PS5 Slim & Nintendo Switch OLED beim TV-Kauf [Werbung]
    •  /