Warnung vor gezielten Cyber-Angriffen

Nach Erkenntnissen des BfV starteten die Angriffe vermutlich bereits im Jahre 2016. Die Attribution der aktuellen Cyberangriffe führt zur WinNTI Gruppierung als deren Urheber. Doch bereits seit Jahren spioniert diese professionelle Hackergruppe weltweit Unternehmen aus. Erste Angriffe mit älteren Versionen der eingesetzten Schadsoftware wurden bereits im Jahr 2013 detektiert.

Der Begriff WinNTI bezeichnet sowohl eine konkrete Angreifer-Gruppierung, als auch eine ausgefeilte Schadsoftware deren Ziel es ist, den dauerhaften Zugriff auf dem kompromittierten System zu erlangen und Cyber-Spionage zu betreiben.

Hat die Schadsoftware einen Computer infiziert, verhält sie sich zunächst passiv und wartet auf Steuerbefehle. Danach greifen die Hacker aus der Ferne auf die betroffenen IT-Systeme und -Netzwerke zu und spionieren die Unternehmen gezielt aus.

Die aktuelle Angriffswelle zeigt, dass die WinNTI Gruppierung in der Lage ist, ihre Aktivitäten an aktuelle Sicherheitsmaßnahmen der Netzwerke ihrer Ziele anzupassen und sich entsprechend zu tarnen. Die Historie der WinNTI Hacker-Gruppierung zeigt auch, wie fließend die Grenzen zwischen Cyber-Kriminalität und Cyber-Spionage sind. Das BfV hat mit dem beiliegenden Cyber-Brief (Link) einen technischen Bericht über die Bedrohung durch WinNTI veröffentlicht.

Dieser Cyber-Brief enthält aktuelle Detektionsregeln und technische Indikatoren (Indicators of Compromise), um eine mögliche Infektion feststellen zu können. Außerdem wird die Funktionsweise der aktuellsten Variante der WinNTI -Malware dargestellt.

Bei Rückfragen steht Ihnen der Verfassungsschutz Rheinland-Pfalz gerne zur Verfügung. Sie erreichen die Ansprechpartner per Mail unter wirtschaftsschutz@mdi.rlp.de.