(Bild: Pablo Wilson / Shutterstock.com)

Mit Attacken auf Banken machte die Gruppe FIN7, auch Carbanak genannt, Beute. Nun wurden drei Verdächtige verhaftet, die hochrangige Mitglieder sein sollen.

Drei mutmaßliche Mitglieder der Cybercrime-Bande FIN7, auch bekannt als Carbanak, sind laut dem US-Justizministerium festgenommen worden. Dmytro F. (44), Fedir H. (33) und Andrii K. (30) wurden in Spanien, Polen und Deutschland von lokalen Polizeibehörden verhaftet. Die weltweit operierende Bande soll mit raffinierten Phishing-Attacken und Schadsoftware in zahllose Rechner und Netzwerke eingedrungen sein, Millionen von Kredit- und Debitkartendaten gestohlen und weiterverkauft sowie Geldautomaten und Buchungssysteme manipuliert haben.

Bei über 100 Finanzunternehmen in 40 Ländern soll die Gruppe für insgesamt rund eine Milliarde Euro Schaden gesorgt haben. Die drei Verhafteten müssen sich in den USA wegen Vorwürfen wie bandenmäßigem Betrug, Computer-Hacking und schwerwiegendem Identitätsdiebstahl verantworten.

Tarnfirma mit Opfern in der Kundenliste

Zwei der Verhaftungen fanden der Mitteilung der US-Behörden nach bereits im Januar 2018 statt. F. wurde in Bielsko-Biala in Polen in Gewahrsam genommen – er soll ein Team von Hackern bei Angriffen auf die Systeme der Opfer geführt haben. H. wurde in Dresden festgenommen, er soll als Administrator Server und Kommunikationskanäle der Gruppe betreut und ebenfalls eine Führungsrolle in der Gruppe innegehabt haben. Im Juni wurde K. verhaftet – auch er habe ein Team von Hackern geführt. K. sitzt derzeit in Spanien in Haft und wartet auf seine Auslieferung in die USA.

Laut den US-Behörden nutzte die Gruppe auch eine eigene Tarnfirma namens Combi Security, angeblich mit Standorten in Moskau, Haifa und Odessa. Darüber sollen unter anderem Hacker für die Bande rekrutiert worden sein. Offiziell bot Combi Security Dienstleistungen wie etwa Penetrationstests an – einige der Firmen, die von der Gruppe aufs Korn genommen wurden, sollen sogar in der vermeintlichen Kundenliste des Webauftritts der Firma geführt worden sein.

Es ist nicht die erste Verhaftung mutmaßlicher Mitglieder der FIN7-Gruppe. Erst im März hatte die Polizei in Spanien einen Mann verhaftet, der unter Verdacht steht, Kopf der Bande zu sein.

Bankraub 2.0

2015 hatten Interpol, Europol, Kaspersky Lab und andere Institutionen den bisher größten Cyber-Raubzug aufgedeckt. Über gezielte Phishing-Attacken hätten sich Angreifer Zugriff auf die Computer von Bankangestellten verschafft und die Rechner mit Schadsoftware "Carbanak" und "Cobalt" infiziert. Über die Computer der Administratoren hatten sie Kontrolle über Überwachungskameras und Geldtransfersysteme. Cobalt allein soll es den Dieben ermöglicht haben, je Raubzug bis zu 10 Millionen Euro mitgehen zu lassen.

Die Kriminellen hatten laut Europol ihre Aktivitäten Ende 2013 aufgenommen, indem sie Finanztransaktionen und Geldautomaten-Netzwerke mit Hilfe der Malware Anunak angegriffen haben. Bis Ende 2014 hatten sie über 50 russische Banken und 5 Bezahlsysteme beraubt und dabei rund 25 Millionen Dollar erbeutet. Die Kriminellen entwickelten Anunak weiter zu einer Software, die unter dem Namen Carbanak bekannt und bis 2016 eingesetzt wurde. Die nächst höhere Entwicklungsstufe der Software wird Cobalt genannt.

Alle Attacken seien anfangs ähnlich abgelaufen. Die Kriminellen hatten Bankmitarbeitern Phishing-E-Mails mit der schädlichen Software im Anhang zugeschickt. Wenn diese von den Bankmitarbeitern angeklickt wurde, konnten die Kriminellen die infizierten Computer fernsteuern und auf interne Netzwerke der betroffenen Banken oder die Server zugreifen, die Geldautomaten steuern. Mit diesem Wissen konnten die Kriminellen auf Beutezug gehen, also beispielsweise einen Geldautomaten so steuern, dass er zu einem bestimmten Zeitpunkt Geld ausspuckte, das dann von Handlangern der Bande eingesammelt wurde. (axk)