Sicherheitsexperten einer Bank fielen auf, dass im Netzwerk etwas nicht stimmt — ohne dass über Security Software Nachweise von Malware oder Trojanern zu finden waren. Kaspersky Lab wurde beauftragt, dieser unidentifizierbaren Infektion auf den Grund zu gehen. Kaspersky fand auf mehreren Windows-Rechnern „dateilose Infektionen“.
Laut heise.de fielen — technisch gesehen— Meterpreter-Payloads im RAM auf, die einen Metasploit-Exploit platzierten. Der Payload startete demzufolge eine Powershell, die über WinAPI-Aufrufe Speicher beanspruchte und diesen mit Tools wie Meterpreter und Mimikatz fütterte. Nicht zuletzt sollten die Cyberkriminellen auch Admin-Tools verwendet haben.
Banken, Telekom und Regierungsorganisationen Ziel der Cyberangriffe
So ganz neu ist die Windows-Registry-Angriffstechnik nicht — bereits 2014 hatte ein Virenforscher namens Kafein über Windows Powershell Techniken berichtet. Damals zielten dateilose Infektionen noch wahllos auf Privatanwender und Professionals — nun sind Firmennetze das bevorzugte Ziel. Laut Kaspersky sollen bereits 100 Firmen in 40 Ländern von Powershell-Angriffen in der Registry betroffen sein. Die Grafik unten illustriert die Verbreitung, auch nach Branchen. Im Securelist-Blog zeigt Kaspersky auf, wie Unternehmen prüfen können, ob ihre Netzwerke und Windows-Rechner von einer dateilosen Infektion betroffen sind.
Kaspersky unterstellt den Hacker-Gruppen GCMAN und Carbanak, Urheber der Attacken gewesen zu sein. Keine unbekannte Hackergruppe: Trojaner-Info berichtete darüber, dass Carbanak Anfang 2016 eine Milliarde Dollar von Banken erpresst hatte. Der Clou: Die russische Gruppe soll die Arbeitsmethoden der Banker imitiert haben.
