Die Cyberkriminellen der “FIN8”-Gruppe haben die Möglichkeiten eines digitalen Zugangswerkzeugs mit dem Namen “BADHATCH” für ihre Zwecke erweitert und greifen Unternehmen mit neuen Varianten gezielt an. Die Experten der Bitdefender Labs konnten feststellen, dass die Gruppe nach einer Pause von etwa eineinhalb Jahren in mehreren Ländern wieder aktiv ist. Ins Visier dürfte gezielt der Einzelhandel sowie das Hotel- und Gaststättengewerbe geraten.
Zum Ratgeber: Sicher surfen mit Bitdefender
Gezielter Angriff via schadsoftware
Die Hackergruppe FIN8 ist seit 2016 aktiv und hat sich auf den Diebstahl von Kreditkartendaten von POS-Systemen (Point of Sale, also Kassen- und Kartenlese-Systeme) spezialisiert. Dazu nutzt die Gruppe zahlreiche unterschiedliche Angriffsverfahren, darunter seit 2019 eine funktionsreiche Schadsoftware namens “BADHATCH”. “Spear-Phishing”-Kampagnen der Gruppe zielen außerdem auf den Einzelhandel sowie auf Hotels und Gaststätten ab. Im Gegensatz zu normalen “Phishing”-Angriffen, bei denen möglichst viele Menschen wahllos kontaktiert werden, sind Spear-Phishing-Angriffe besonders auf einzelne Ziele zugeschnitten. Aktuell finden sich auch Versicherungen oder Unternehmen aus der Chemieindustrie unter den Opfern der neuen Variante.
Neue Varianten zum Angriff
Seit April 2020 konnte Bitdefender drei Varianten der fortschrittlichen BADHATCH-Software entdecken. Die Hacker können bei erfolgreichem Angriff Daten zu Kreditkartenvorgängen am Point-of-Sale stehlen. Zu den neuen Funktionalitäten der dritten Generation des Programms gehören unter anderem:
• das unerlaubtes Aufzeichnen von Bildschirminhalten, Proxy-Tunnel und eine Fileless Ausführung,
• sowie ein besserer Schutz gegen Abwehrsoftware. Powershell-Kommandos werden nun mit TLS unter Missbrauch des sslip.io-Dienstes verschlüsselt.
Handlungsempfehlungen
Wie die meisten hartnäckigen und geschickten Cyberkriminellen verbessert auch FIN8 ständig seine Tools und Taktiken, um nicht entdeckt zu werden. Bitdefender empfiehlt, die folgenden Maßnahmen zu ergreifen, um die Auswirkungen von Finanz-Malware zu minimieren:
• Das POS-Netzwerk vom Netzwerk trennen, das von Mitarbeitern oder Gästen genutzt wird.
• Schulungen zum Thema Cybersicherheit für Mitarbeiter durchführen, damit sie Phishing-E-Mails erkennen können.
• E-Mail-Sicherheitslösung anpassen, dass bösartige oder verdächtige Anhänge automatisch entfernt werden.
• Bedrohungsdaten in das bestehende SIEM oder in die Sicherheitskontrollen für relevante Indikatoren der Kompromittierung integrieren.
• Kleine und mittelständische Unternehmen ohne eigenes Sicherheitsteam sollten die Auslagerung von Sicherheitsoperationen an Anbieter von Lösungen für Managed Detection and Response in Betracht ziehen.
Fotos: Getty Images