Phishing-Attacken gegen Industrieunternehmen haben Konjunktur

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Phishing-Attacken gegen Industrieunternehmen haben Konjunktur

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Eine aktuelle Phishing-Angriffs-Welle auf Industrieunternehmen hat unter anderem Projekt- und Betriebspläne sowie schematische Darstellung von elektrischen und informationstechnischen Netzwerken im Visier. Das geht aus einem Bericht des Industrial Control Systems Cyber Emergency Response Teams von Kaspersky Lab hervor [1]. Die Angriffe dauern an. Was die Angreifer mit diesen Informationen vorhaben, ist derzeit unklar.

infographics_nigerian_phishing_1_map_v05

Eine aktuelle Phishing-Angriffs-Welle auf Industrieunternehmen hat unter anderem Projekt- und Betriebspläne sowie schematische Darstellung von elektrischen und informationstechnischen Netzwerken im Visier. Das geht aus einem Bericht des Industrial Control Systems Cyber Emergency Response Teams von Kaspersky Lab hervor [1]. Die Angriffe dauern an. Was die Angreifer mit diesen Informationen vorhaben, ist derzeit unklar.

Die Experten von Kaspersky Lab machen auf aktuelle BEC-Angriffe (Business E-Mail Compromise) [2] aufmerksam, die oft in Verbindung mit dem Land Nigeria stehen und versuchen, originäre E-Mail-Konten von Unternehmen zu kapern. Die Angreifer überwachen die Konten in Bezug auf Finanztransaktionen und versuchen diese abzufangen oder umzuleiten. Im Oktober 2016 konnten die Cybersicherheitsexperten einen Anstieg bezüglich versuchter Malware-Infektionen auf Kunden aus der Industrie feststellen. Insgesamt wurden mehr als 500 angegriffene Unternehmen in 50 Ländern identifiziert, dabei handelt es sich überwiegend um industrielle Unternehmen und große Transport- und Logistikunternehmen.

Sie wirken echt

Mittels einer authentisch wirkenden Phishing-Mail, die scheinbar von Lieferanten, Kunden, Handelsorganisationen oder Zustelldiensten stammt, wird versucht, Malware zu verbreiten, die aus mindestens acht verschiedenen Spionage-Trojaner- und Backdoor-Familien stammen. Die auf dem Schwarzmarkt erhältliche Malware wurde in erster Linie dazu entwickelt, vertrauliche Daten zu stehlen und Administrationstools für einen Fernzugriff auf dem infizierten System zu installieren.

Nach erfolgreicher Infektion eines Unternehmenscomputers erstellt die Malware Screenshots der dortigen Korrespondenz oder leitet diese an ein E-Mail-Konto der Angreifer weiter. Finden die Angreifer darin Informationen zu lukrativen Transaktionen, fangen sie die Zahlung über einen Man-in-the-Middle-Angriff ab, indem die eigentlichen Empfängerdaten der Rechnung mit den eigenen ersetzt werden.

Ingenieure im Fokus

Bei der Untersuchung der Command-and-Control-Server, die in den neuesten Angriffen im Jahr 2017 verwendet wurden, fielen vor allem die Screenshots von Projekt- und Betriebsplänen sowie technischen Zeichnungen und Diagramme von Netzwerken auf. Ebenfalls auffällig ist, dass diese nicht von den üblichen Opfern der Angreifer, wie Projekt-Manager oder Disponenten, gestohlen wurden, sondern von Betreibern, Ingenieuren, Designern und Architekten.

Die schädlichen Dateien kommunizieren in einigen Fällen trotz unterschiedlich eingesetzter Malware-Familien mit demselben Command-and-Control-Server. Hinter den Angriffen könnte damit sowohl eine einzige Gruppe stehen als auch mehrere Gruppen, die zusammenarbeiten. Die meisten Domains sind zudem in Nigeria registriert.

„Angreifer benötigen derartige Daten nicht für Phishing-Betrug “, so Maria Garnaeva, Senior Security Researcher, Critical Infrastructure Threat Analysis bei Kaspersky Lab. „Daher stellt sich die Frage, was sie mit den gestohlenen Daten anfangen? Geschah das Sammeln zufällig oder vorsätzlich – oder wurden die Angreifer von einem Dritten beauftragt? Bisher konnten wir keine der von nigerianischen Cyberkriminellen gestohlenen Daten auf dem Schwarzmarkt wiederfinden. Allerdings ist klar, dass für die angegriffenen Unternehmen eine solche nigerianische Phishing-Attacke neben dem direkten finanziellen Verlust andere, möglicherweise ernsthaftere, Bedrohungen aufwirft.“

Der nächste Schritt der Angreifer könnte sein, Zugang zu den Computern zu erhalten, die Teil eines industriellen Steuerungssystems (ICS, Industrial Control Systems) sind; das Abfangen oder Ändern von Einstellungen könnte hier eine verheerende Wirkung haben.

Tipps für Schutzmaßnahmen von Kaspersky Lab

Mitarbeiter im sicheren Umgang mit E-Mails schulen: verdächtige Links oder Anhänge nicht öffnen und den Ursprung der E-Mail genau prüfen. Darüber hinaus sollten Mitarbeiter über die neuesten Methoden der Cyberkriminellen informiert werden.

Anfragen genauestens prüfen, die eine Änderung von Bankdetails, Zahlungsmethoden oder dergleichen während einer Transaktion verlangen.

Eine Sicherheitslösung auf allen Arbeitsplätzen und Servern sowie Updates ohne Verzögerungen installieren [3]. Sind industrielle Kontrollsysteme vorhanden, sollte hierfür eine spezielle Lösung implementiert werden, die alle Netzwerkaktivitäten überwacht und analysiert [4].

Sämtliche Passwörter auf allen Konten ändern, sollte ein System kompromittiert worden sein.

Weitere Informationen zur Vorgehensweise und wie man sich davor schützt, finden sich unter https://securelist.com/nigerian-phishing-industrial-companies-under-attack/78565/

Weitere Informationen zu Bedrohungen von Industrial Control Systemen finden sich unter https://ics-cert.kaspersky.com/

[1] https://securelist.com/nigerian-phishing-industrial-companies-under-attack/78565/

[2] https://de.wikipedia.org/wiki/CEO_Fraud

[3] https://www.kaspersky.de/enterprise-security

[4] https://www.kaspersky.de/enterprise-security/industrial

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Die Roqqio Commerce Cloud wurde auf ihre Datensicherheit getestet und ehat jetzt erneut das Prüfzeichen „Geprüfter Datenschutz Systemprüfung“ vom TÜV Saarland erhalten.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Fashion commerce

Wann jetzt handeln gefragt ist

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.