Tool rüstet Raspberry Pi zu Cybercrime-Werkzeug für Anfänger auf

News

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Cryptominern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security.

(Source: Coen Kaat / Netzmedien)

Ticker

24.04.2024 - 09:49 Uhr

Tool rüstet Raspberry Pi zu Cybercrime-Werkzeug für Anfänger auf

Wie viel kostet es, um aus einem Raspberry Pi ein Werkzeug für Cyberattacken zu machen? 80 US-Dollar pro Monat oder 700 Dollar für eine lebenslange Lizenz. Für diesen Preis können Cyberkriminelle in spe über Telegram die Software Geobox erwerben.

Sicherheitsexperten von Resecurity entdeckten Geobox bei der Untersuchung eines Online-Banking-Diebstahls, wie die Firma mitteilt. Demnach war darin ein vermögender Kunde eines führenden Fortune-100-Finanzinstituts verwickelt. Darauffolgend erwarb die Security-Firma selbst das Geobox-Tool, um dieses zu untersuchen.

Gemäss Resecurity handelt es sich bei Geobox um ein "äusserst leistungsfähiges Tool", das den Strafverfolgungsbehörden die Verfolgung und Ermittlung erschweren kann. Die Software für den Einplatinencomputer spezialisiert sich auf Betrug und Anonymisierung. Zum Funktionsumfang zählt unter anderem GPS Spoofing, die Umgehung von Anti-Fraud-Features und Traffic Routing über anonymisierte Proxys. Ferner könne das Tool etwa auch WebRTC-IP- und Wi-Fi-MAC-Adressen maskieren, um die echte IP-Adresse der Cyberkriminellen zu verbergen.

Das Ganze ist verpackt in einem sehr benutzerfreundlichen Interface. Dieses sei auch für unerfahrene Cyberkriminelle leicht zu bedienen. Vor allem, da eine beiliegende Bedienungsanleitung klare und detaillierte Anweisungen bereitstellt. Zwar sind keine der Features von Geobox revolutionär. Aber die Benutzerfreundlichkeit gekoppelt mit der Tatsache, dass es auf der verbreiteten Hardware von Raspberry Pi läuft, könnten Geobox zu einem Einstiegstool für viele Ersttäter machen.

19.04.2024 - 10:05 Uhr

Latrodectus - der jüngste Schädling der IcedID-Entwickler

Der Banking-Trojaner IcedID hat für kurze Zeit die Malware-Rankings in der Schweiz angeführt. Ende 2022 war der Schädling einige Monate lange an der Spitze der "Most Wanted"-Liste von Check Point - bis er im Januar 2023 von Qbot abgelöst wurde. Und was macht IcedID nun? Einer der Rädelsführer hinter der Malware bekannte sich vor Gericht schuldig. Aber seine IcedID-Kollegen waren auch ohne ihn eifrig am Werk: Die Sicherheitsexperten von Proofpoint entdeckten nämlich eine neue Malware, die wohl von denselben Entwicklern stammt: Latrodectus.

Proofpoint beschreibt Latrodectus als einen aufstrebenden Downloader mit verschiedenen Sandbox-Umgehungsfunktionen. Erste Untersuchungen schienen darauf hinzudeuten, dass es sich um eine neue Variante von IcedID handelte. Weitere Untersuchungen zeigten jedoch, dass es eine neue Malware sein muss. Den Namen fanden die Sicherheitsexperten im Code des Schädlings. Latrodectus ist übrigens eine Gattung von Kugelspinnen, zu der auch die Schwarze Witwe gehört.

Zu den deutlichsten Hinweisen, dass eine Verbindung zwischen IcedID und Latrodectus besteht, gehört die genutzte Infrastruktur. Einerseits ist die Wahl von C2-Hosts ähnlich. Und andererseits verbindet sich Latrodectus zu einer mit IcedID assoziierten Backend-Infrastruktur. Diese kam bereits bei früheren IcedID-Operationen zum Einsatz, wie Proofpoint schreibt.

11.04.2024 - 09:40 Uhr

"TheMoon" infiziert 6000 Asus-Router in nur 72 Stunden

Sicherheitsexperten von Black Lotus Labs haben eine neue Version des Malware-Botnets "TheMoon" entdeckt. Die aktuellste Kampagne begann Anfang März 2024. In nur 72 Stunden hatte es über 6000 Asus-Router infiziert, wie "Bleepingcomputer" berichtet.

Das Schadprogramm hatte es auf veraltete und nicht aktualisierte Router für kleine Büros und Homeoffices sowie auf IoT-Geräte in 88 Ländern abgesehen. Seitdem verlangsamte sich die Ausbreitung etwas. Wie die Malware in die Geräte eindringt, sagen die Sicherheitsexperten nicht. Vermutlich nutze sie dafür bereits publizierte Schwachstellen aus, heisst es im Bericht.

Zu den häufigen Anzeichen für eine Infektion zählen Verbindungsprobleme, Überhitzung sowie verdächtige Veränderungen bei den Einstellungen.Infizierte Geräte werden zu einem als "Faceless" bekannten Proxy-Dienst verknüpft. Dieser leitet den Netzwerkverkehr seiner Kunden über kompromittierte Geräte weiter. Die Kunden zahlen nur mit Kryptowährungen und ihre Identität wird nicht überprüft.

Obwohl die beiden eng verbandelt sind, scheinen "TheMoon" und der Faceless-Proxy-Dienst doch separate Operationen zu sein. So werden etwa nicht alle infizierten Geräte Teil des Proxy-Dienstes.

"TheMoon" treibt übrigens schon länger sein Unwesen. Das Botnet wurde erstmals 2014 gesichtet. Damals nutzte es eine Schwachstelle in Geräten des Herstellers Linksys aus, um diese zu kapern.

18.03.2024 - 10:14 Uhr

Von Lucifer besessene Apache-Server schürfen unfreiwillig Kryptowährungen

Aqua Securitys Team Nautilus hat vor einer neuen Krypto-Mining-Kampagne gewarnt. Die verantwortliche Malware ist unter dem Namen Lucifer bekannt, wie das Unternehmen mitteilt. Die Cyberkriminellen hinter dem diabolischen Schädling zielen damit auf Apache-Server ab.

Lucifer hat es besonders auf die Software-Libraries Hadoop und Druid abgesehen. Um diese zu infizieren, nutzen die Cyberkriminellen laut Mitteilung bestehende Fehlkonfigurationen und Schwachstellen aus – darunter die schon seit 2021 bekannte Druid-Sicherheitslücke CVE-2021-25646.

Ist ein System infiziert, zapfen die Angreifer die Rechenleistung der von Lucifer besessenen Server ab. Die gekaperten Maschinen werden genutzt, um nach der Kryptowährung Monero zu schürfen. Zu diesem Zweck installiert Lucifer den Crypto-Miner XMRig. So verdienen sich die Cyberkriminellen eine goldene Nase, während die Opfer auf den Strom- und Wartungskosten sitzenbleiben für Server, die sie nicht oder nicht zu 100 Prozent nutzen können.

Nach eigenen Angaben entdeckte das Unternehmen Lucifer-Angriffe, die bereits im Juli 2023 stattfanden. Dabei handle es sich wohl um Testläufe, vermutet das Unternehmen. Nach diesen Tests stieg die Anzahlen Attacken: Allein im Februar dieses Jahres registrierte Aqua Security laut Mitteilung 3000 verschiedene Angriffe.

13.03.2024 - 17:46 Uhr

Magnet Goblin attackiert Linux- und Windows-Server

Eine Hackergruppe namens Magnet Goblin macht derzeit Jagd auf öffentlich zugängliche Linux- und Windows-Server. Dabei bedient sich die Gruppe bei öffentlich bekannten Schwachstellen, die kürzlich gepatcht wurden, wie Check Point, das Unternehmen, das Magnet Goblin entdeckte, mitteilt. Das heisst, die Hacker versuchen das – idealerweise sehr kurze – Zeitfenster zwischen der Veröffentlichung eines Patches und dessen Einspielen auf betroffene Systeme zu erwischen.

Auch bei Schwachstellen, die ohne Machbarkeitsnachweis veröffentlicht werden, sei es teilweise sehr einfach, herauszufinden, wie man sie ausnutzt. In anderen Fällen könnte Magnet Goblin anhand der Patches einen Exploit rekonstruieren. Manchmal vergingen nur wenige Tage, bevor Magnet Goblin nach der Bekanntgabe einer Schwachstelle diese bereits ausnutzen, wie Check Point in einem Bericht zur Hackergruppe schreibt.

Zu den Lösungen, die Magnet Goblin ausnutzt, gehören Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE-2023-41265, CVE-2023-41266, CVE-2023-48365) und Magento (CVE-2022-24086).

Die Hackergruppe nutzt die Sicherheitslücken, um eigens entwickelte Schadprogramme auf den infizierten Systemen zu installieren. Die Gruppe greift Windows- und Linux-Systeme an. Laut Check Point hat Magnet Goblin finanzielle Motive.

13.03.2024 - 17:30 Uhr

Ransomware-Gruppe Blackcat versucht, eigene Partner zu beschwindeln

Mit ihrem jüngsten Streich hat es die Ransomware-as-a-Service-Gruppe Blackcat für einmal nicht auf unschuldige Opfer abgesehen. Stattdessen versucht die Gruppe wohl gerade, die eigenen Partner übers Ohr zu hauen. Wie "Bleepingcomputer" berichtet, steckt die auch als ALPHV bekannte Gruppe gerade mitten in einem Exit Scam.

In einem Hackerforum behaupteten die Cyberkriminellen, dass sie den Betrieb einstellen, weil ihnen verschiedene Strafverfolgungsbehörden auf den Fersen seien. "Wir können offiziell erklären, dass uns das FBI über den Tisch gezogen hat", zitiert der Bericht einen Administrator der Gruppe. Gegenüber "Bleepingcomputer" bestätigten jedoch Europol und die NCA, die nationale Kriminalpolizei des Vereinigten Königreichs, dass sie an keiner Aktion gegen Blackcat beteiligt gewesen seien. Beide werden jedoch in einem gefälschten Banner erwähnt, das auf den Websites der Gruppe über deren Beschlagnahmung informiert.

Die Gruppe hingegen versicherte dem Onlineportal, dass ihre Infrastruktur beschlagnahmt worden sei. Derweil gibt es auch Meldungen von Blackcat-Partnern, die behaupten, sie hätten ihren Anteil an den ergaunerten Lösegeldern nicht erhalten.

So oder so: Die Blackcat-Infrastruktur wurde schrittweise heruntergefahren. Den Source Code ihrer Ransomware bieten die Cyberkriminellen für 5 Millionen US-Dollar zum Verkauf an.

12.02.2024 - 11:30 Uhr

So fängt man sich mit Youtube-Tutorials zu gecrackter Software Malware ein

Fortiguard Labs warnt vor einer Malware-Kampagne auf Youtube, die Fahrt aufgenommen hat. Die Opfer werden über Videos angelockt, die Anleitungen für gecrackte Softwareprogramme zeigen, wie "Golem" berichtet.

In die Videobeschreibungen setzten die Cyberkriminellen Links zu File-Sharing-Websites. Um die wahren Absichten der Kriminellen zu verstecken, wurden die Links mit Onlinediensten wie TinyURL gekürzt. Statt der gecrackten Software laden sich die Opfer über diese Links die Malware Lumma herunter. Das Schadprogramm kann sensible Daten von infizierten Systemen stehlen; dazu zählen System- und Browserdaten sowie Zugangsdaten für Kryptowallets. Die gestohlenen Daten übermittelt der Infostealer an einen der rund ein Dutzend Command-and-Control-Server, die von den Cyberkriminellen kontrolliert werden.

Die Videos wurden bereits Anfang 2023 auf der Videoplattform hochgeladen. Nach eigenen Angaben registrierte Fortiguard Labs aber Ende Dezember eine erhöhte Aktivität. Dies messen die Sicherheitsexperten an der Anzahl der Kontaktaufnahmen infizierter Rechner mit den Servern. In der Schweiz sind gemäss dem Bericht des Unternehmens zwar keine Fälle bekannt; die Malware fand aber unter anderem auch im benachbarten Deutschland und Italien eine nicht bezifferte Anzahl Opfer.

12.02.2024 - 09:29 Uhr

Mastodon stopft Lücke, die zu Account-Übernahmen führt

Der Open-Source-Mikroblogging-Dienst Mastodon hat eine Sicherheitslücke behoben. Die Social-Media-Plattform zählt aktuell 12 Millionen Nutzerinnen und Nutzer. Die Sicherheitslücke wird mit einem CVSS-Wert von 9,4 als "kritisch" eingestuft.

Mastodon ermöglicht die Konfiguration des LDAP-Netzwerkprotokolls für die Authentifizierung, wie es in der Beschreibung der Schwachstelle (CVE-2024-23832) heisst. Aufgrund der unzureichenden Herkunftsüberprüfung in allen Mastodon-Versionen können sich Angreifer als ein beliebig entferntes Konto ausgeben und es übernehmen.

Die Schwachstelle ist ab Version 4.2.5 behoben. Um zu verhindern, dass Cyberkriminelle die Schwachstelle ausnutzen, hält sich Mastodon bezüglich technischer Details noch zurück. Diese will der Mikroblogging-Dienst erst am 15. Februar bekannt geben. Dies soll den Administratoren etwas Zeit geben, die Aktualisierung auf ihren Servern auszurollen.

Übrigens: Mastodon ist nicht die Social-Media-Plattform der Band Mastodon, stattdessen erhielt sie ihren Namen vom amerikanischen Mammut Mastodon. Dies hinderte die Band jedoch nicht daran, ein Bisschen Spass mit der ganzen Verwirrung um die unterschiedlichen Mastodons zu haben:

23.01.2024 - 18:12 Uhr

Skrupellose Schein-Samariter geben Ransomware-Opfern falsche Hoffnungen

Ransomware. Datenverlust. Erpressung. Wer Opfer einer Erpressersoftware wurde, ist wohl für jede Hilfe dankbar, die angeboten wird. Das wissen die Cyberkriminellen allerdings ebenfalls - und sie wissen das auch auszunutzen. Die Sicherheitsspezialisten von Arctic Wolf Networks beschreiben zwei aktuelle Fälle, in denen unbekannte Bedrohungsakteure dies demonstrierten.

Arctic Wolf untersuchte mehrere Fälle, bei denen der Spuk für die Opfer nicht mit dem Ransomware-Befall endete. Seit Oktober 2023 untersuchte das Unternehmen mehrere Fälle, bei denen die Opfer nach der ersten Infektion für weitere Erpressungsversuche kontaktiert wurden.

Zwei Fälle hebt das Security-Unternehmen besonders hervor. In den beiden Fällen gaben die Bedrohungsakteure vor, ein Sicherheitsforscher zu sein und den attackierten Organisationen helfen zu wollen. Sie boten an, sich in die Serverinfrastruktur der ursprünglich beteiligten Ransomware-Gruppen zu hacken, um die gestohlenen Daten zu löschen.

Im ersten Fall gab der skrupellose Schein-Samariter vor, von einer Firma namens "Ethical Side Group" zu sein. Im zweiten Fall kam das Angebot von einer Person, die sich "xanonymoux" nannte. Arctic Wolf geht aber davon aus - mit "mässiger Zuversicht" - dass die angeblichen Hilfsangebote jeweils von denselben Cyberkriminellen stammten.

Arctic Wolf schliesst dies unter anderem aus stilistischen Analysen der Kommunikation zwischen den Organisationen. Das Unternehmen fand 10 identische Phrasen in den ersten Mails von "xanonymoux" und der "Ethical Side Group". Ferner erfolgte die Kommunikation jeweils über den Peer-to-Peer-Messenger Tox, der geforderte Betrag war derselbe (5 Bitcoin) und auch der Aufbau der Kommunikation wies Ähnlichkeiten auf.

Ob der betrügerische Retter in der Not mit der Erlaubnis oder sogar im Auftrag der ursprünglichen Ransomware-Banden operierte, ist nicht klar.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.