"Carbanak-Gang"

Milliardenhacker steigen spurlos in Bank-PCs ein

(Bild: thinkstockphotos.de)

Vor zwei Jahren sorgte eine Hackergruppe für Aufsehen, die bei einem ausgeklügelten Cyber-Coup eine Milliarde US-Dollar bei Banken auf der ganzen Welt erbeutete. Danach wurde es jedoch wieder ruhig um die sogenannte "Carbanak-Gang" - bis jetzt. Der russische IT-Sicherheitskonzern Kaspersky hat ein alarmierendes neues Lebenszeichen der Hacker entdeckt: infizierte Bankcomputer, auf denen zunächst nichts auf eine Infektion hindeutete.

Kasperskys Virenjäger wurden hinzugezogen, als eine Bank Unregelmäßigkeiten in ihrem Netzwerk entdeckte, aber keine Infektion auf ihren Computern nachweisen konnte, berichtet das IT-Portal "Heise Security".

Die Spezialisten entdeckten tatsächlich eine Infektion - allerdings nicht dort, wo man sie zunächst vermutet hatte. Hackern ist es offenbar gelungen, die Windows-Registrierung der PCs zu korrumpieren und ihren Schadcode ausschließlich im Arbeitsspeicher laufen zu lassen.

(Bild: APA/dpa/Nicolas Armer)

Antivirensoftware ist überfordert
Virenscanner können solche Infektionen kaum entdecken. Sie scannen auf der Festplatte nach verdächtigen Dateien, die in diesem Fall aber komplett ausblieben, weil sich die ganze Infektion in der Windows-Registry und im RAM abspielte.

Mit dieser Masche sollen sich die Hacker - Kaspersky hat die Milliardenhacker der Carbanak-Gang oder die Hackergruppe GCMAN im Verdacht - Zugang in über hundert Firmennetzwerke in 40 Ländern verschafft haben. Im Visier der Hacker seien vor allem Finanz- und Telekomfirmen, heißt es in dem Bericht. Das passt zum Verdacht, die Carbanak-Gang stecke hinter der Attacke. Immerhin hat sie sich schon in der Vergangenheit auf Hacks der Finanzbranche spezialisiert.

(Bild: APA/EPA/Daniel Naupold)

Spuren in der Registry verraten Infektion
Dass der Fokus der Hacker auf Unternehmen liegt, heißt freilich nicht zwangsläufig, dass Privatleute nicht Opfer einer dateilosen Vireninfektion werden können. Im konkreten Fall gibt es allerdings Anzeichen in der Windows-Registrierung. Kaspersky erklärt auf seiner Website, welche Einträge in der Registry für eine Infektion sprechen.

Schädlinge, die sich nicht als Datei auf der Festplatte einnisten, sondern sich in der Windows-Registry vor Virenscannern verstecken, sind per se nichts Neues und schon seit mindestens drei Jahren bekannt. Bisher wurden solche Spionage-Tools aber nicht im großen Stil genutzt. Das scheint sich nun zu ändern.

Lesen Sie auch:

• Cyberbankräuber erbeuteten eine Milliarde Dollar
• Die Milliardenhacker sind wieder auf Beutezug
• Angst vor Hackern und Fake-News überschattet 2017