Check Point deckte die Identität eines Kriminellen hinter einer Reihe scheinbar staatlich geförderter Cyber-Angriffe auf. Die Kampagne startete im April 2017 und richtete sich gegen einige der größten Organisationen in der Öl- und Gasindustrie sowie in der Fertigungs-, Bank- und Baubranche.
Das weltweite Ausmaß und die anvisierten Organisationen ließen vermuten, dass eine Expertengruppe oder staatlich geförderte Agentur hinter den Angriffen stehen müsste. Die Kampagne ist jedoch die Arbeit eines einzelnen Nigerianers Mitte Zwanzig, der aus der Nähe der Landeshauptstadt Lagos stammt. Sein Facebook-Account ziert das Motto: „Reich werden oder beim Versuch sterben“.
Bei seiner Angriffskampagne setzte er betrügerische E-Mails ein, die scheinbar von dem Öl- und Gasgiganten Saudi Aramco, dem Ölproduzenten mit der weltweit zweitgrößten Tagesfördermenge, stammten und an die Mitarbeiter der Finanzabteilung der Unternehmen gerichtet waren. Diese sollten dazu gebracht werden, Bankdaten des Unternehmens weiterzugeben oder die mit Malware infizierten Anhänge der E-Mails zu öffnen.
Dazu verwendete er NetWire, einen Remote-Access-Trojaner, der die volle Kontrolle über infizierte Maschinen ermöglicht, sowie Hawkeye, ein Keylogging-Programm. Die Kampagne führte zu 14 erfolgreichen Infektionen, in deren Verlauf der Täter Tausende Dollar verdiente.
Maya Horowitz, Threat Intelligence Group Manager bei Check Point, erläutert den Fall: „Obwohl diese Person qualitativ minderwertige Phishing-E-Mails und generische Malware verwendete, die man online ganz leicht finden kann, war er mit seiner Kampagne dennoch in der Lage, viele Organisationen zu infizieren und mehrere Tausende weltweit anzugreifen.“
„Das zeigt genau, wie einfach es für einen relativ unqualifizierten Hacker ist, eine großangelegte Angriffswellen zu starten, die sich über alle Abwehrprogramme hinwegsetzt, und ihm ermöglicht, einen solchen Betrug durchzuführen.“
Nachdem die Kampagne entdeckt und ihr Ursprung festgestellt worden war, informierte das Check Point-Forscherteam die internationalen Strafverfolgungsbehörden und die in Nigeria und teilte seine Erkenntnisse mit ihnen.
Business E-Mail Compromise-Angriffe haben in den vergangenen 18 Monaten dramatisch zugenommen. Das FBI vermeldete einen Anstieg der Opferzahl von 270 Prozent seit Anfang 2016, was Organisationen in aller Welt von 2013 bis 2016 über 3 Milliarden US-Dollar kostete. Schätzungen zufolge verlieren BEC-Opfer im Durchschnitt 50.000 US-Dollar.
Die Anti-Spam- & Email-Sicherheits-Software Blade von Check Point schützt Kunden davor, Opfer solcher Betrügereien zu werden. Ihr mehrdimensionaler Ansatz sichert die E-Mail-Infrastruktur, bietet äußerst genauen Antispam-Schutz und schützt Organisationen vor einer großen Bandbreite an Virus- und Malwarebedrohungen, die über E-Mails verbreitet werden.
Darüber hinaus bewahrt der SandBlast-Agent mit Zero Phishing-Technologie Unternehmen vor neuen und unbekannten Phishing-Seiten sowie vor Bedrohungen, die in Dokumenten und Links in E-Mails enthalten sind.