Kaspersky-Analyse: über 1.500 Organisationen weltweit attackiert; die drittmeisten in Deutschland
Kaspersky Lab warnt vor einer neuen Angriffswelle des Remote Access Tools (RAT) Adwind. Das multifunktionale Backdoor-Programm kam bei Attacken gegen 1.500 Organisationen aus mehr als 100 Ländern und Gebieten weltweit zum Einsatz. Bei den am häufigsten attackierten Ländern liegt Deutschland auf dem dritten Platz. Die Angriffe richteten sich gegen unterschiedlichste Industriezweige.
Die Opfer von Adwind erhalten E-Mails, die im Namen der HSBC Advising Service (von der Domain mail.hsbcnet.hsbc.com) verschickt werden und eine Zahlungsanweisung als Anhang enthält. Von dieser E-Mail-Domain ausgehende Aktivitäten können laut Kaspersky Lab bis in das Jahr 2013 zurückverfolgt werden.
Der Anhang enthält Malware, die sich, nachdem der anvisierte Nutzer den ZIP-Datei-Anhang (enthält eine JAR-Datei) geöffnet hat, selbst installiert und anschließend versucht, mit einem Command-and-Control-Server (C&C) zu kommunizieren. Die Malware ermöglicht den Angreifern fast die vollständige Kontrolle über kompromittierte Geräte sowie den Diebstahl vertraulicher Informationen auf den infizierten Computern.
Laut dem Kaspersky Security Network [1] stammen die meisten Opfer aus Malaysia (5,05 Prozent), Großbritannien (4,84 Prozent) und Deutschland (4,63 Prozent) [2]. Auch gab es – allerdings weniger – Opfer in Österreich und der Schweiz.
Die Experten von Kaspersky Lab weisen darauf hin, dass aufgrund der hohen Anzahl attackierter Unternehmen, die Angreifer mit industriespezifischen Mailing-Listen arbeiten könnten. Berücksichtigt man die Anzahl der Entdeckungen, konzentrieren sich die Angreifer wohl eher auf breitangelegte und umfangreiche Attacken als auf ausgeklügelte Angriffe.
Kaspersky Lab: Adwind-Malware mit Vorgeschichte
Im Jahr 2016 veröffentlichte Kaspersky Lab Informationen über Attacken, die über das Adwind Remote Access Tool durchgeführt wurden [3]. Es handelt sich dabei um ein plattformübergreifendes und multifunktionales Malware-Programm, das auch als AlienSpy, Frutas, Unrecom, Sockrat, JSocket und jRat bekannt ist. Die Malware wird über eine einzige Malware-as-a-Service-Plattform verbreitet. Eine der Hauptfunktionen, die Adwind RAT kennzeichnet, ist die offene Verbreitung über Bezahldienste, bei denen der Kunde eine Gebühr für den Einsatz der Malware bezahlt.
Gemäß den Untersuchungen von Kaspersky Lab wurden zwischen 2013 und 2016 verschiedene Versionen der Adwind-Malware bei Attacken gegen mindestens 443.000 Privatnutzer, kommerzielle und nichtkommerzielle Organisationen weltweit eingesetzt.
Weitere Details zu Adwind finden sich im Adwind FAQ aus dem Jahr 2016 unter https://securelist.com/blog/research/73660/adwind-faq/.
[1] Die Analyse von Kaspersky Lab basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter http://www.kaspersky.com/images/KESB_Whitepaper_KSN_ENG_final.pdf abrufbar ist.
[2] siehe Grafik http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Downloads/PDFs/Kaspersky_Grafik_Top10_Laender.JPG
