Cyberkriminelle infiltrieren Transportunternehmen gezielt über Ladebörsen – digitale Marktplätze, auf denen Frachtmakler und Versender ihre Dienste anbieten. Nachdem sie Zugriff auf diese Plattformen verschaffen, senden sie manipulierte E-Mails an Transportunternehmen mit bösartigen Dateien. Die Proofpoint-Forscher errichteten eine kontrolierte Test-Umgebung, um diese Kampagnen im Detail zu untersuchen.
Besonders bemerkenswert ist die Raffinesse der Angreifer: Sie installieren mehrere Fernzugriff-Tools parallel – in der untersuchten Kampagne mindestens vier Instanzen von ScreenConnect – um ihre Kontrolle zu sichern, falls einzelne Tools erkannt und deaktiviert werden. Das letzte installierte ScreenConnect-Tool offenbarte eine neue Strategie: Die Cyberkriminellen nutzen ein automatisiertes Script, das ein externes Zertifizierungssystem abfragt. Dies ermöglicht es ihnen, alle installierten Komponenten mit einem von Windows als vertrauenswürdig eingestuften Zertifikat zu signieren.
“Das war eine neue Fähigkeit, auf die wir zufällig gestoßen sind”, erklärte Proofpoint-Forscher Ole Villadsen. Diese sogenannte “Signing-as-a-Service”-Lösung stellt eine Reaktion auf Sicherheitsmaßnahmen von ScreenConnect dar, die bestehende Zertifikate widerrufen und neue Installationen signieren lassen. Die Angreifer umgehen diese Beschränkungen durch ein automatisiertes Signatur-System, das nicht nur die Installer, sondern auch alle Komponenten-Dateien neu signiert.
Doch Frachtdiebstahl ist nicht das einzige Ziel dieser Cyberkriminellen. Sie führen umfangreiche Scans durch, um Kryptowährungs-Wallets und PayPal-Konten zu lokalisieren. PowerShell-Scripts durchsuchen infizierte Geräte nach Zugangspunkten zu Banken, Geldtransferdiensten und Online-Buchhaltungssoftware. Auch Fuel-Card-Provider werden gezielt durchsucht.
“Sie kennen die Transportbranche sehr gut und wissen, wie man diesen Sektor zielgerichtet angreift”, so Villadsen. “Aber sie sind auch Cyberkriminelle, die jede Möglichkeit nutzen, um Geld aus einer kompromittierten Workstation zu extrahieren.”
Proofpoint-Forscher verfolgen etwa ein Dutzend verschiedener Gruppen, die die Transportbranche in Nord- und Südamerika sowie Europa angreifen. Ein besonderes Problem: Die Mehrheit der Transportunternehmen sind kleine Betriebe mit weniger als zehn Lastkraftwagen, die oft keine robusten Cybersicherheitsverteidigungen haben. Durch Angriffe auf Ladebörsen können Hacker Dutzende oder sogar Hunderte von Transportunternehmen gleichzeitig infiltrieren und ihre Frachten stehlen.