Dyre-Wolf-Malware erbeutet Millionen von Unternehmen

IBM meldet einen laufenden Angriff über den Dyre-Trojaner. Demnach sollen die Kriminellen bereits von mehreren Unternehmen über eine Million Dollar erbeutet haben. Die Angriffswelle, die die IBM-Sicherheitsforscher “Dyre Wolf” getauft haben, basiert neben dem Dyre-Trojaner auch auf Social Engineering. Dabei treten die Hacker auch als Mitarbeiter von Banken auf und erbeuten so Bankinformationen von Unternehmen.

Die ursprüngliche Dyre-Malware ist seit Oktober 2014 bekannt. Inzwischen wurde diese jedoch laut einer jetzt von IBM vorgelegten umfassenden Analyse des Trojaners erheblich weiter entwickelt. Binnen kurzer Zeit stieg die Zahl der Infizierten Systeme von 500 auf fast 3.500 an, so die Experten der IBM-Sicherheitstochter Trusteer.

Diese Verbreitung stammt über eine zweite Malware namens Upatre. Diese sorgt dafür, dass eine große Menge potentieller Opfer Spam-Mails bekommt. Im Anhang dieser Spam-Mails befindet sich ein präparierter Anhang. Wird der geöffnet, wird Dyre automatisch auf dem infizierten System über einen Download installiert.

Dyre leitet dann Mitarbeiter, die auf die Webseite ihrer Hausbank zugreifen wollen, auf eine fingierte Website. Der Nutzer wird hier unter dem Vorwand technischer Schwierigkeiten aufgefordert, sich telefonisch an einen Servicemitarbeiter zu wenden.

Statt eines Bankmitarbeiters aber sprechen die getäuschten Mitarbeiter mit einem Hacker, der aber bereits gut über die Gewohnheiten des Opfer informiert ist. Dann werden Zugangsdaten und Kontoinformationen abgefragt. Die Malware sei in der Lage mehrere Hundert verschiedene Online-Auftritte von Banken zu imitieren.

Wenn der getäuschte Mitarbeiter das Gespräch beendet, wurde von dem Unternehmenskonto bereits Geld über mehrere Banken und Länder hinweg auf das Konto der Hacker überwiesen. Die Rückverfolgung wird durch das System verschiedener Überweisungen erschwert.

Doch damit nicht genug: Um weitere Spuren zu verwischen, starten die Kriminelle teilweise nach der Transaktion eine DDoS-Attacke auf die IT-Systeme des bestohlenen Unternehmens. Dabei werden die Server mit einer großen Anzahl von Anfragen überlastet und gezielt lahmgelegt. IBM vermutet, dass es sich dabei um ein Manöver handelt, um den illegalen Geldtransfer möglichst lange zu verdunkeln.

“Während sich betrügerische Malware zur Erbeutung von Kontodaten meist gegen Privatpersonen richtet, haben es die Entwickler von Dyre gezielt auf Unternehmen abgesehen”, kommentiert Gerd Rademann, IBM Business Unit Executive Security Systems DACH. “Seit dem ersten Auftreten der Malware im Jahr 2014 hat sie sich enorm entwickelt und ist mittlerweile so ausgereift, dass Cyberkriminelle immer größere Coups damit landen konnten.” Laut IBM liegen die gestohlenen Beträge zwischen 500.000 und 1,5 Millionen Dollar.

“Mit dieser Kampagne sind die Angreifer allen Beteiligten mehrere Schritte voraus”, erklärt John Kuhn, Senior Threat Researcher bei IBM in einem Blog. Auch wenn die Attacke mit einem großen Netz startet, um die potentiellen Opfer zu infizieren, handle es sich doch um eine sehr zielgerichtete Attacke. “Diese Angreifer zielen auf Organisationen, die Online große Summen transferieren”, so Kuhn weiter. “Es gibt keine einfache Erklärung dafür, warum die Angreifer wissen, welche Unternehmen regelmäßig große Summen überweisen, dennoch ist das eine interessante Koinzidenz.” Auch habe sich gezeigt, dass viele Anti-Viren-Lösungen die Malware zunächst nicht entdeckt haben.

Kuhn sieht zudem, dass sich Cybercriminelle immer besser organisieren, über das Deep Web Expertise austauschen und immer häufiger sehr vorsichtige und sehr gezielte Attacken planen, um damit die maximale Ausbeute zu erzielen. Dabei werde auch immer häufiger das schwächste Glied in der Verteidigungslinie der Unternehmen anvisiert: “Der Mitarbeiter.” Daher sollten auch diese ein besonders Training oder eine Schulung bekommen, rät Kuhn.