Gut versteckte Malware bei Firmen in Österreich entdeckt

Es ist eine neue Malware, die nicht so leicht entdeckt werden kann, weil sie kaum spuren auf der Festplatte hinterlässt. Die Datei, die sich durch weit verbreitete Tools für Penetrationstests und Administratoren einschleust, versteckt sich nur kurz im Speicher von Windows-Rechnern, um sich dann rasch wieder selbst zu löschen. Trotzdem kann die Malware enormen Schaden verursachen: Im Banken-Bereich können Angreifer damit etwa Geldautomaten befehlen, Bargeld auszuspucken. Auch Remote-Zugriffe auf Netzwerke sind damit jederzeit möglich.

Laut den Sicherheitsforschern Kaspersky wurde die Malware bereits in mehr als 140 Unternehmensnetzwerken in unterschiedlichen Wirtschaftsbereichen gefunden: vornehmlich Banken, Telekommunikationsunternehmen und Regierungsorganisationen. Die meisten Opfer stammen aus den USA, Frankreich, Ecuador, Kenia, Großbritannien und Russland, aber auch einige wenige deutsche und österreichische Zielobjekte konnten ausgemacht werden. Insgesamt wurden Angriffe in 40 Ländern registriert.

Angreifer sind noch aktiv

Bisher ist unklar, wer hinter den Angriffen steckt, schreibt Kaspersky in einer Presseaussendung. Klar ist aber, dass die Angreifer noch aktiv sind. Der Einsatz von Open Source Exploit Code, herkömmlichen Windows-Tools und unbekannten Domains macht es fast unmöglich, die verantwortlichen Hintermänner zu bestimmen – oder herauszufinden, ob es sich um eine einzige Gruppe handelt oder um mehrere, die dieselben Werkzeuge verwenden. Bekannte Gruppen, die einen ähnlichen Ansatz verfolgen, sind GCMAN und Carbanak.

„Die Entschlossenheit der Angreifer, ihre Aktivitäten zu verstecken und so die Entdeckung und eine Incident Response extrem zu erschweren, zeigt den neuesten Trend antiforensischer Techniken und speicherbasierter Malware“, so Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. „Speicherforensik wird deshalb für die Analyse von Malware und deren Funktionen besonders wichtig.“