Mitte 2019 wurde in den Medien über Cyberangriffe auf mehrere deutsche DAX-Konzerne berichtet, die durch die Cyberangreifergruppe WinNTIverübt worden sein sollen. Nach Erkenntnissen der Cyberabwehr des Bundesamtes für Verfassungsschutz starteten die Angriffe vermutlich bereits im Jahre 2016.
Durchgeführt wurden die Angriffe mit verschiedenen Varianten der gleichnamigen Malware WinNTI in der Version 3. Diese Version der Schadsoftware ist bereits seit 2013 im Einsatz, die neuesten Varianten wurden durch den Akteur im Jahr 2017 entwickelt. Die Cyberabwehr des Bundesamtes für Verfassungsschutz geht von einer anhaltenden Angriffswelle durch den Akteur auf die deutsche Wirtschaft aus.
Vor diesem Hintergrund sollen die wesentlichen Analyseergebnisse der Öffentlichkeit zur Verfügung gestellt werden. Dieser Cyber-Brief enthält aktuelle Detektionsregeln und technische Indikatoren (Indicators of Compromise), um eine mögliche Infektion durch WinNTIfeststellen zu können.1 Außerdem wird die Funktionsweise der aktuellsten Variante der WinNTI-Malware dargestellt.
Den Cyberbrief können Sie hier nachlesen.