Olympic Vision Business Email Compromise-Kampagne

Originalartikel von Ryan Flores, Threat Research Manager

Das FBI schätzt den Durchschnittsschaden infolge von Business Email Compromise (BEC) auf 130.000 $ pro Unternehmen. Das liegt daran, dass Mitarbeiter sich mit aktuellen Social Engineering-Strategien nicht auskennen und dass die Netzwerke nicht genügend geschützt sind gegen die Bedrohungen.

Das zeigt sich auch in einer derzeitigen BEC-Kampagne, die Unternehmen in den USA, dem Mittleren Osten und in Asien im Visier hat. Einzelheiten dazu bietet der Originaleintrag.


Bild 1. Geografische Verteilung der von der aktuellen BEC-Kampagne betroffenen Unternehmen

Asien/Pazifischer Raum Europa und Mittlerer Ostent Nordamerika
China
Indien
Indonesien
Malaysia
Thailand
Deutschland
Iran
Irak
Niederlande
Qatar
Saudiarabien
Slowakei
Spanien
Vereinigte Arabische Emirate
Großbritannien
Zimbabwe
Kanada
USA

Tabelle 1. Von Olympic Vision BEC betroffene Länder

BEC hat sich in den letzten Jahren zu einer großen Bedrohung für Unternehmen entwickelt, sodass sogar das FBI Unternehmen in einer öffentlichen Erklärung davor warnte. Wie schon er Name erahnen lässt, besteht die Taktik darin, die geschäftliche Mail eines Unternehmens zu kompromittieren, vor allem Konten von Mitarbeitern, die mit der Überweisung von Finanzmitteln zu tun haben. Die Cyberkriminellen nutzen ihren Zugang zu den Mail-Konten der Mitarbeiter, um Beträge auf von ihnen kontrollierten Konten umzuleiten.

BEC-Angriffe sind dafür bekannt, Social Engineering-Köder einzusetzen. So gab ein Angreifer vor, ein Geschäftsführungsmitglied einer Firma zu sein, und wies den Buchhalter unter Vortäuschung eines vertraulichen Geschäfts an, Geldbeträge auf das Konto des Angreifers zu überweisen.

Bild 2. Mail eines Cyberkriminellen bei einem BEC-Angriff an das Konto eines Opfers

Der durchschnittliche Schaden durch BEC ist erheblich und der Profit für die Cyberkriminellen ist sehr hoch im Vergleich zu den Ausgaben für den Angriff. Häufig genügt der Einsatz eines Allerwelts-Backdoors, der weniger als 50$ kostet, sowie eine grundlegende Online-Recherche zum Unternehmen und den Mitarbeitern.

In besagtem Angriff etwa nutzte der Cyberkriminelle einen Keylogger namens Olympic Vision und schickte diesen als Mailanhang an seine Ziele. Trend Micros Überwachung von BEC-Angriffen zeigte, dass solche Mails häufig eine Nachricht mit einer dringenden Aufgabe enthalten, sodass das Opfer die angehängte Datei öffnet.

Bild 3. Mail von BEC-Betrügern, die den Empfänger davon überzeugt, einen Backdoor zu installieren

Bild 4. BEC-Betrüger überzeugt Opfer, Geld auf ein von ihm kontrolliertes Konto zu überweisen

Olympic Vision ist die vierte Schadsoftware nach Predator Pain, Limitless und HawkEye, die in Business Email Compromise-Kampagnen eingesetzt wird. Ähnlich den Vorgängern ist auch Olympic Vision fähig, eine Vielfalt an Informationen zu stehlen. Sie ist billig zu haben, ein Toolkit gibt es für 25$. Weitere Einzelheiten gibt das technische Whitepaper Olympic Vision.

Trend Micros Sicherheitsforscher verfolgten den Weg des eingesetzten Olympic Vision Keyloggers zurück und konnten die Identitäten der Hintermänner finden: Es waren nigerianische Cyberkriminelle, einer agierte von Lagos aus und der andere aus Kuala Lumpur. Auch die HawkEye BEC-Kampagne im letzten Jahr wurde von zwei Nigerianern betrieben. Trend Micro arbeitet mit den Polizeibehörden zusammen, um den Kriminellen das Handwerk zu legen.

Schutz vor Business Email Compromise

Um Mitarbeiter gegen Social Engineering-Taktiken zu wappnen, sollten entsprechende Schulungen durchgeführt werden. Aber auch der Einsatz von Lösungen, die dazu beitragen, BEC-bezogene Mails zu erkennen und zu blocken, ist von zentraler Bedeutung.

Unternehmen, die Trend Micros Produkte einsetzen, sind vor dieser Bedrohung geschützt. Die Olympic Vision-Varianten und BEC-bezogene Mails werden von den Endpoint- und Mail-Sicherheitsfunktionen der Trend Micro Smart Protection Suites und Network Defense-Lösungen geblockt.

Darüber hinaus ist die Einführung einiger Best Practices zu empfehlen, so etwa der vernünftige Umgang mit Mail (sorgfältiges Prüfen eingehender Mails und Überprüfen der Absender). Weitere Informationen dazu: Battling Business Email Compromise Fraud: How Do You Start?

Weitere BEC Malware

Informationen liefern die Beiträge zu früherer Erforschung von BEC:

Zusätzliche Analysen von Jaaziel Carlos, Junestherry Salvador, Lord Remorin und Joey Costoya

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*