Mindestens eine halbe Million weltweit – in Hotels, Lebensmittelläden und anderen Geschäften – genutzter Bezahlkarten sind „Nemanja“ zum Opfer gefallen. Nemanja ist eine vor kurzem entdeckte Malware, die rund 1.500 PoS-Geräte (Point of Sale Gerät, wie z.B. EC-Karten-Terminal) infiziert hat.

Das umfangreiche und weltweite Nemanja-Botnet umfasst mehr als 1.478 Hosts in mehr als 35 Ländern weltweit. Davon betroffen sind unter anderem die USA, Großbritannien, Australien, China, Japan, Israel, Italien und einige Entwicklungsländer. Die Gruppe, die hinter der Malware steckt, operiert vermutlich aus Serbien heraus. Die Cybe-Intelligence-Firma IntelCrawler entdeckte Nemanja im März. Andrew Komarov, CEO der Firma, nennt vor allem die US-Staaten New York, Kalifornien, Washington und Colorado als Hauptziel des Angriffs.

„Es ist einer der Fälle, bei denen eine Gruppe von Hackern ihre eigene Malware für gezielte Attacken entwickelt, mit einem sehr klaren Verkaufsschema. Sie fangen Kreditkartendaten von infizierten Geräten ab und verkaufen diese Daten weiter auf dem Schwarzmarkt, mit Hilfe ihrer eigenen Shops und Partner.“

Bisher wird die Software selbst nicht zum Verkauf angeboten.

Falls alle gewonnenen Daten zu derzeitigen Raten verkauft werden, könnte die Gruppe Millionen machen. Dabei beinhaltet ihr Vorgehen die Schaffung falscher Bezahlkarten und Geldwäsche durch die Nutzung der registrierten PoS- und mobilen PoS-Geräte.

Die Infizierung der PoS-Geräte war nicht einfach.

„In einigen Fällen haben die Angreifer einen technischen Weg durch Netzwerkadministrationskanäle gewählt, um die Malware zu installieren. In anderen haben sie auch Insider oder Kuriere genutzt, um die Malware während ihrer Arbeitszeit zu installieren.“

Nemanja unterscheidet sich von anderer RAM-scraping Schadsoftware dadurch, dass sie Keylogging beinhaltet, Lebensmittelmanagement- und Bilanzierungssoftware erkennt sowie auch Optionen zur Selbstlöschung hat. Darüber hinaus beschränkt sich Nemanja nicht nur auf PoS-Geräte. Auch Buchhalter und Rechnungsprüfer der Finanzbranche hat die Software im Visier.

„Mit der Keylogging-Methode warteten sie nur auf technische Mitarbeiter und Supervisoren, um Zugang zu Back Offices zu erhalten. Somit konnten sie Unternehmensnetzwerke sehr tief infiltrieren und schwerwiegende Schäden anrichten.“

Nemanja wurde rund sechs Monate nach der ersten erfolgreichen Infizierung entdeckt.

Diese neuesten Entdeckungen sowie die Vorfälle bei Target und Michaels zeigen, in welche Richtung sich Cyberkriminalität entwickelt. Auch Berichte von ähnlichen Vorfällen bei Trustwave und Verizon bestätigen, dass PoS-Angriffe zunehmen.

Artikel von scmagazine.com, 22.05.2014: ‚Nemanja‘ POS malware compromises 1,500 devices, half a million payment cards, worldwide
Artikel von computerworld.com, 23.05.2014: Researchers find a global botnet of infected PoS systems