Fin7-Hacking-Gruppe griff über 130 Unternehmen an
14. Mai 2019Nach der Verhaftung mehrerer mutmaßlicher Anführer der berüchtigten Fin7- beziehungsweise Carbanak-Cybergang im Jahr 2018 galt die Gruppe als aufgelöst. Die Experten von Kaspersky Lab haben jedoch eine Reihe neuer Angriffe derselben Akteure entdeckt, die GRIFFON-Malware einsetzt. Demnach könnte Fin7 die Anzahl der Gruppen, die unter demselben Schirm operieren, ausgeweitet haben – mit noch komplexeren Methoden. So gründete FIN7 eigens ein Fake-Unternehmen, das offiziell wie ein legitimer Sicherheitsanbieter auf der Suche nach Fachkräften auftrat, die dann beim Diebstahl finanzieller Vermögenswerte helfen sollten.
Es wird angenommen, dass Fin7 seit Mitte 2015 hinter Angriffen auf den amerikanischen Einzelhandels-, Restaurant- und Gastgewerbesektor steckt. Die Gruppe arbeitete eng mit der berüchtigten Carbanak-Gang zusammen, mit der sie auch Tools und Methoden teilte. Während sich Carbanak vor allem auf Banken konzentrierte, hatte Fin7 hauptsächlich Unternehmen im Visier und entwendete vermutlich Millionenbeträge aus den finanziellen Vermögenswerten der Opfer, darunter Zugangsdaten für Kartenzahlungen oder Kontoinformationen auf Computern der Finanzabteilungen. Sobald die Bedrohungsakteure die gewünschten Informationen in ihre Hände bekamen, überwiesen sie Geld auf Offshore-Konten.
Eine Analyse von Kaspersky Lab zeigt nun, dass die Gruppe ihre Aktivitäten – trotz der Festnahme der angeblichen Anführer – fortgesetzt hat. So führte sie im Laufe des Jahres 2018 ausgefeilte Spear-Phishing-Kampagnen durch und verbreitete zielgerichtet über maßgeschneiderte E-Mails Malware an die anvisierten Opfer. In verschiedenen Fällen tauschten die Angreifer über einen Zeitraum von mehreren Wochen Nachrichten mit den Opfern aus, bevor sie die schädlichen Dokumente schließlich im Anhang versendeten. Kaspersky Lab schätzt, dass bis Ende 2018 möglicherweise mehr als 130 Unternehmen auf diese Weise attackiert wurden.
Die Sicherheitsexperten stellten zudem fest, dass auch andere kriminelle Gruppen unter dem Dach von Fin7 operierten. Aufgrund der Verwendung gemeinsamer Infrastruktur sowie derselben Taktiken, Techniken und Verfahren (TTPs) scheint eine Zusammenarbeit von Fin7 mit dem AveMaria-Botnetz und der CobaltGoblin-Gruppe (aka EmpireMonkey), die vermutlich hinter Banküberfällen in Europa und Zentralamerika stecken, wahrscheinlich.
Gemäß der Analyse von Kaspersky Lab hat Fin7 sogar ein falsches Unternehmen gegründet, das sich als legitimer Cybersicherheitsanbieter mit russlandweiten Niederlassungen ausgibt. Die Unternehmens-Website ist auf demselben Server registriert, den Fin7 als Command and Control Center (C&C) verwendet. Ahnungslose freiberufliche Sicherheitsforscher, Programmentwickler und weitere IT-Experten sollten über legitime Online-Job-Seiten rekrutiert werden. Einige, die in den Niederlassungen des Fake-Unternehmens arbeiteten, wussten wohl nicht, dass sie in Cybercrime-Geschäfte verwickelt waren, da sie ihre dortige Anstellung sogar in ihren Lebensläufen aufführten. (rhh)