Deutschland und Österreich sind vom »Grabit«-Befall noch unterrepräsentiert (Quelle: Kaspersky Lab, Mai 2015)Zwar wurden die meisten Infektionen der neuen Cyberspionage-Kampagne »Grabit« in Thailand, Indien sowie den USA festgestellt, trotzdem warnt Kaspersky Lab vor Infizierungen auch in Deutschland und Österreich. Denn die Attacke hat es in erster Linie auf kleine und mittelständische Unternehmen (KMU) und Organisationen aus den Bereichen Chemie, Nanotechnologie, Bildung, Landwirtschaft, Medien und Bauwesen abgesehen. Erste Infektionen wurden bereits in Deutschland und Österreich registriert. Grabit hat laut Kaspersky bereits über 10.000 Dateien entwendet.

»Die meisten von uns identifizierten Spionagekampagnen richten sich gegen Großunternehmen, Regierungsorganisationen und andere hochrangige Ziele. Kleine und mittelständische Firmen scheinen eher selten Zielobjekte von Cyberspionageattacken zu sein«, sagt Ido Noar, Senior Security Researcher bei Kaspersky Lab. »Grabit führt uns allerdings vor Augen, dass innerhalb der Cyberwelt nicht nur die großen Fische, sondern Organisationen jeglicher Größe attackiert werden können, deren Geld, Informationen oder politischer Einfluss für Dritte interessant sein könnte.«

Anzeige

So geht ein Grabit-Malware-Angreifer vor

Die Grabit-Angreifer versenden E-Mails mit einem angeblichen Microsoft-Word-Anhang. Sobald ein Mitarbeiter den Anhang herunterlädt, wird über einen gehackten Remote-Server ein Spionageprogramm auf seinem System installiert. Es kommen ein Keylogger von HawkEye sowie ein Konfigurationsmodul inklusive zahlreicher Fernwartungs-Tools (Remote Administration Tools) zum Einsatz.

Die Ausbeute der Keylogger ist beachtlich. So war ein von Kaspersky Lab analysiertes Keylogger-Programm von nur einem Command-and-Control-Server (C&C-Server) in der Lage, 2.887 Passwörter, 1.053 E-Mails und 3.023 Nutzernamen von 4.928 verschiedenen infizierten Systemen zu stehlen – neben Bankkonten wurden auch Daten von Outlook, Facebook, Skype, Google Mail, Pinterest, Yahoo, LinkedIn und Twitter entwendet.

Grabit verbirgt sich nicht besonders aktiv

Interessant bei Grabit ist, dass einerseits keine großen Anstrengungen zu erkennen sind, die eigenen Aktivitäten zu verbergen. So untergraben etliche eingesetzte Schädlinge die eigene Sicherheit, indem sie denselben Hosting-Server und zum Teil sogar dieselben Zugangsdaten nutzen. Andererseits setzen die Hintermänner auch starke Verschleierungstechniken ein, um ihren Code vor Sicherheitsexperten zu verbergen.

Kaspersky Lab geht daher davon aus, dass hinter der Spionageoperation eine lose Gruppierung steht, bei der einige Teile eher technisch versiert und somit schwerer aufzuspüren sind als andere. Zudem deuten Analysen darauf hin, dass nicht alle Codes vom selben Malware-Programmierer geschrieben wurden.

Das müssen Sie bei Grabit-Befall tun

► Ein Anzeichen für eine mögliche Infizierung ist, wenn der Systembereich »C:\Benutzer\\AppData\Roaming\Microsoft« ausführbare Dateien enthält.
► Die Windows-System-Konfigurationen sollte keine »grabit1.exe«-Datei enthalten. Man sollte daher »msconfig« ausführen und sicher gehen, dass dort mögliche grabit1.exe-Dateien gelöscht sind.

Und um von Grabit, und natürlich auch anderer Malware, nicht befallen zu werden, gilt der altbekannte Rat: Öffnen Sie niemals Anhänge oder klicken Sie niemals auf Links, die von unbekannten Personen kommen. Ist ein Anhang nicht zu öffnen, niemals an andere Nutzer weiterleiten. Im Zweifelsfall den IT-Beauftragen einschalten, betont Kaspersky Lab. Darüber hinaus verweist der Sicherheitsexperte darauf, dass alle Lösungen von Kaspersky Lab – wie zum Beispiel »Kaspersky Endpoint Security for Business« – Grabit erkennen und vor allen Grabit-Varianten schützen.