Was IT-Security-Experten den Schlaf raubt

Fortinet entdeckt neue Variante des Snake-Keyloggers in Excel-Dokument

Uhr
von Coen Kaat

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Cryptominern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security.

(Source: Coen Kaat / Netzmedien)
(Source: Coen Kaat / Netzmedien)

Ticker

12.09.2024 - 16:36 Uhr

Fortinet entdeckt neue Variante des Snake-Keyloggers in Excel-Dokument

Der US-amerikanische IT-Security-Anbieter Fortinet hat bei der Analyse einer Phishing-Kampagne etwas Interessantes entdeckt. Den betrügerischen E-Mails war jeweils ein Excel-Dokument angehängt. Dieses Dokument nutzen die Cyberkriminellen, um eine neue Variante des Keyloggers Snake zu verbreiten. Der Schädling ist zuweilen auch als 404 Keylogger oder Krakenkeylogger bekannt. 

Wie für einen Keylogger üblich, ist Snake für das Ausschnüffeln seiner Opfer entwickelt worden. Gemäss der ausführlichen Analyse von Fortinet verfügt der Schädling über viele Features. Dazu zählt die Fähigkeit, in der Zwischenablage, in Webbrowsern und in anderen beliebten Softwareprogrammen gespeicherte Anmeldeinformationen zu stehlen. Ferner kann der Keylogger auch Geräteinformationen auslesen, Tastatureingaben aufzeichnen und Screenshots aufnehmen.

Beim Excel-File handelt es sich angeblich um einen Bankauszug. Dieser soll gemäss dem betrügerischen Schreiben belegen, dass Gelder auf das Konto des Empfängers überwiesen wurden. Das manipulierte Excel-Dokument nutzt gemäss der Analyse die Sicherheitslücke CVE-2017-0199 aus. So lädt das Dokument heimlich eine Datei herunter, wenn man es öffnet. Dies beginnt die Infektion des Rechners.

In der Vergangenheit nutzten die verschiedenen Ausführungen von Snake jeweils unterschiedliche Methoden, um die gestohlenen Daten an die Cyberkriminellen zu schicken: FTP-Server, E-Mails oder auch Telegram-Bots. Diese neue Variante sendet die Daten via dem Simple Mail Transfer Protocol (SMTP) - ein Kommunikationsprotokoll zum Senden und Empfangen von E-Mail-Nachrichten über das Internet. 

Interessierte können die komplette Analyse des neuen Snake-Keyloggers auf der Website von Fortinet lesen.

04.09.2024 - 14:40 Uhr

Die Malware, deren Namen nicht genannt werden darf, nistet sich in Google-Tabellen ein

Da hat Harry Potter wohl nicht alle Horkruxe zerstört: Voldemort lebt und korrumpiert aktuell Google-Tabellen. Nein, es gibt keine Fortsetzung der Bücherreihe über den Zauberjungen. Stattdessen treibt seit August eine neue Malware ihr Unwesen. Der Schädling wurde von dessen Entwicklern “Voldemort” genannt, wie Proofpoint in einem Report schreibt. 

Die Cyberkriminellen geben sich als lokale Steuerbehörden aus, um an Informationen über ihre Opfer zu gelangen. Gemäss Proofpoint attackierten die Kriminellen bis zu 6000 Unternehmen pro Tag in Europa, Asien und den USA. Die Cyberkriminellen scheinen dabei eine besondere Vorliebe zu haben: Über die Hälfte der gezielt angegriffenen Unternehmen sind laut dem Bericht in den Bereichen Versicherungen, Luft- und Raumfahrt, Transport und Bildung tätig.

Die Attacken beginnen mit Phishing-E-Mails; darin behauptet die vermeintliche Steuerbehörde, dass aktualisierte Steuerdokumente vorliegen und verlinkt diese. Klicken die Empfänger aber auf den Link, gelangen sie nicht zu den Dokumenten, sondern auf eine manipulierte Landing-Page. Wer kein Windows-System nutzt, landet in einem leeren Google-Drive-Ordner. Windows-Nutzer werden hingegen mit der Voldemort-Malware infiziert, während sie denken, dass sie lediglich ein PDF geöffnet haben. 

Der Schädling kann eine Reihe von Aktionen ausführen. Der unverzeihliche Fluch Avada Kedavra gehört zwar nicht dazu. Aber Voldemort kann unter anderem Dateien von einem infizierten Gerät zu seinem Command-and-Control-Server laden und umgekehrt. Bei diesem Server handelt es sich interessanterweise um eine Google-Tabelle. Diese wird angefunkt, um neue Befehle zu erhalten und dient zugleich als Datenbank für gestohlene Daten. Um mit der Tabelle zu interagieren, nutzt Voldemort Google-APIs mit einer eingebetteten Client-ID. 

Das heisst, die Cyberkriminellen können auf einen zuverlässigen und hochverfügbaren Kommunikationskanal zugreifen, der zudem für viele Security-Tools wohl unter dem Radar fliegt und nicht als auffällig erkannt wird. Den Datenverkehr zu Google-Diensten zu unterbinden, ist in vielen Unternehmen wohl nicht sinnvoll. 

21.08.2024 - 10:46 Uhr

Echt jetzt? Hollywood-Hacker bilden offenbar nicht die Realität ab

Hacking-Szenen in Hollywood-Filmen würden oft die Dramatik in den Vordergrund stellen und die Genauigkeit vernachlässigen. So komme es, dass die tatsächlichen Cybersicherheitsherausforderungen nicht genau widergespiegelt werden. Zu diesem – erstaunlichen – Resultat kommt eine Studie des Netzwerksicherheitsunternehmens Nordlayer, das zur Nord-Security-Gruppe gehört.

So bemängelt die Studie etwa eine Zeitverzerrung: Komplexe digitale Verstösse würden in Filmen oft schon innert Minuten oder Sekunden erfolgen. Noch häufiger könnten Hacker – als seien sie Magier – jedes System unabhängig von dessen Sicherheitsmassnahmen kompromittieren. Um das Gesehene aufzupeppen, greifen Filme zudem auf "auffällige visuelle Effekte" zurück, um den Hack darzustellen.

Dennoch könnten diese Filme, wenn man sie kritisch betrachte, als wertvolle Lehrmittel dienen, schreibt das Unternehmen. "Entscheidend ist es, dass diese Filme Gesprächsstoff liefern", sagt Andrius Buinovskis, Head of Product bei Nordlayer. "Wählen Sie Filme aus, die diskussionswürdig sind, und lernen Sie aus Hollywoods kreativen Freiheiten, während sie Tatsachen von Fiktion unterscheiden." Filme könnten so einen guten Einstiegspunkt für komplexe Diskussionen liefern.

Für die Studie untersuchte Nordlayer die folgenden Filme:

  • Tron (1982)
  • Hackers (1995)
  • Goldeneye (1995)
  • Independence Day (1996)
  • Mission Impossible (1996)
  • The Matrix (1999)
  • Swordfish (2001)
  • The Core (2003)
  • The Fate of the Furious (2017)
  • The Emoji Movie (2017)

06.08.2024 - 16:51 Uhr

Ransomware-Bande attackiert IT-Spezialisten mit SharpRhino-Malware

Die Hacker der Ransomware-Gruppe "The Hunters International" haben es auf IT-Spezialisten abgesehen. Damit will die Bande Konten mit erhöhten Berechtigungen komprimieren. Einerseits suchen sie so den Weg in Unternehmensnetzwerke. Aber mit dieser Taktik könnten sie andererseits wohl auch Supply-Chain-Attacken erzwingen - um an noch fettere Beute zu gelangen. 

Zu diesem Zweck tarnt die Gruppe ihre "Brechstange" als ein legitimes Open-Source-Scanning-Tool für IT-Mitarbeitende. Die "Brechstange" ist in diesem Fall das neue Schadprogramm SharpRhino. Dieses wurde von Security-Forschenden des Unternehmens Quorum Cyber entdeckt. Gemäss deren Bericht verbreiten die Kriminellen ihre Malware über eine Typosquatting-Website, die sich als Website für Angry IP Scanner ausgibt.

SharpRhino ist ein sogenannter RAT - ein Remote Access Trojan. Also ein Schädling, der es Cyberkriminellen ermöglichen soll, einen infizierten Rechner aus der Ferne zu steuern. Nach der Erstinfektion kann SharpRhino auch genutzt werden, um eine Ransomware in das System einzuschleusen. So können die Kriminellen gespeicherte Daten verschlüsseln, um Opfer zu erpressen.

"The Hunters International" ist - unter diesem Namen - seit Ende 2023 aktiv, wie "Bleepingcomputer" berichtet. Allein im Jahr 2024 attackierte die Gruppe nach eigenen Angaben 134 Unternehmen. Laut dem Bericht von Quorum könnte es sich bei der Bande um ein Rebranding der Ransomware-Gruppe Hive handeln, da der Quellcode der Malware "verblüffende Ähnlichkeiten" aufweist.

27.06.2024 - 12:01 Uhr

Es ist nicht jeder von der CISA, der vorgibt, von der CISA zu sein

Die Cybersecurity and Infrastructure Security Agency (CISA) ist die für IT-Sicherheit zuständige Bundesbehörde der Vereinigten Staaten von Amerika. Sie soll die Sicherheit und Widerstandsfähigkeit der kritischen Infrastruktur der USA gewährleisten und Cyberbedrohungen verhindern. Entsprechend sollte man die Behörde auch ernst nehmen, wenn sie etwas sagt – sofern es wirklich die CISA ist, die spricht.

Wie die CISA selbst warnt, geben sich Betrüger derzeit als die Behörde aus, um ihre Opfer telefonisch einzuschüchtern. Die Scammer behaupten, von fragwürdigem Verhalten der potenziellen Opfer zu wissen. Der Einschüchterungsversuch soll jeweils darauf abzielen, dass das Opfer den Kriminellen Geld überweist. Eine vergleichbare Warnung hatte die CISA schon Ende 2019 veröffentlicht.

Wer Grund hat, davon auszugehen, dass er oder sie gerade nicht mit der richtigen CISA telefoniert, solle kein Geld überweisen, sich die Telefonnummer notieren und sofort auflegen. Anschliessend solle man die notierte Nummer den Behörden melden. Die CISA erinnert in der Warnung daran, dass ihre Mitarbeitenden Unternehmen niemals mit der Bitte kontaktierten würden, Geld, Bargeld oder Krypto­währungen zu überweisen oder Geschenkkarten zu verwenden. Ausserdem würde sie Unternehmen niemals anweisen, das Gespräch geheim zu halten.

25.06.2024 - 14:34 Uhr

FBI macht Lockbit-Opfern Hoffnung mit sichergestellten Schlüsseln

Das Federal Bureau of Investigation (FBI) hat mehr als 7000 Decryption Keys für die Ransomware Lockbit sichergestellt. Eine Ransomware verschlüsselt nach der Infektion von Hardware sämtliche oder ausgewählte Dateien; für die Herausgabe verlangen die Betreiber der Erpresserprogramme ein Lösegeld. Eine Zahlung führt allerdings nicht immer dazu, dass man die Daten tatsächlich zurückerhält. Mit den sichergestellten Schlüsseln muss man dieses Risiko gar nicht erst eingehen und auch keiner kriminellen Organisation eine Finanzspritze geben. Hat man den richtigen Schlüssel, kann man die chiffrierten Daten wieder freigeben.

 

 

Der stellvertretende Direktor der Cyberabteilung des FBI, Bryan Vorndran, gab dies im Juni an einer Cybersecurity-Konferenz in Boston bekannt, wie "Bleepingcomputer" berichtet. Das FBI kontaktiere nun bekannte Lockbit-Opfer, um bei der Entschlüsselung der Daten zu helfen. Zugleich ermutige das FBI auch alle, die vermuten, dass sie ein Opfer dieser Gruppe waren, sich bei der Behörde zu melden. Vorndran sprach in diesem Zusammenhang von einer "anhaltenden Störung des Betriebs" der Lockbit-Gruppe.

Bislang scheint in diesem Jahr die Cybersecurity tatsächlich die Oberhand zu gewinnen. Im Februar hatte Europol 34 Lockbit-Server im Rahmen der Operation Chronos heruntergefahren. Kurz darauf kündigte die Gruppe bereits die nächsten Attacken an. Im Juni verhaftete die ukrainische Polizei zudem einen mutmasslichen Verschlüsselungsspezialisten, der an den Schadprogrammen Lockbit und Conti entwickelt haben soll, wie Sie hier lesen können. Noch hat Lockbit seinen Biss nicht verloren; für Siegeshymnen ist es also noch zu früh.

04.06.2024 - 10:34 Uhr

Apple hat über 7 Milliarden US-Dollar an ­betrügerischen Zahlungen blockiert

Das kalifornische Unternehmen Apple klopft sich selbst auf die Schulter: Nach eigenen Angaben verhinderte es seit 2020 mehr als 7 Milliarden US-Dollar an potenziell betrügerischen Transaktionen. Im Jahresvergleich geht die Summe aktuell zurück. So blockierte Apple 2023 rund 1,8 Milliarden Dollar an potenziell betrügerischen Transaktionen; im Vorjahr waren es noch 2 Milliarden.

Zwischen 2020 und 2023 identifizierte Apples Technologie zur Betrugsbekämpfung ausserdem mehr als 14 Millionen gestohlene Kreditkarten. Die Transaktionen mit diesen Karten wurden blockiert und im Zusammenhang damit wurden auch 3,3 Millionen Konten gesperrt.

2023 wies das Unternehmen zudem mehr als 1,7 Millionen App-Einreichungen aus verschiedenen Gründen zurück. 375 000 Einreichungen seien aufgrund von Datenschutzverletzungen abgelehnt worden, 248 000 weitere, weil sie Spam, Kopien oder irreführend seien, 98 000 weil sie möglicherweise betrügerisch seien, 40 000 weil es sich dabei um Lockangebote handle und 38 000 weil sie verborgene oder nicht dokumentierte Features enthalten würden.

29.05.2024 - 16:46 Uhr

Falscher IT-Support verbreitet Ransomware Black Basta

Die Quick-Assist- beziehungsweise Schnellhilfe-Anwendung von Microsoft soll eigentlich Hilfesuchende rasch mit hilfsbereiten Personen vernetzen. In Windows 11 ist sie vorinstalliert. Mit dem Tool kann man ein Windows- oder macOS-Gerät über eine Remoteverbindung für eine andere Person freigeben. Hierfür müssen beide Parteien einen Schlüssel teilen.

Eigentlich ist die Anwendung etwa dafür gedacht, dass Mitarbeitende möglichst rasch IT-Support von ihren Unternehmen erhalten. Allerdings erleichtert die Schnellhilfe auch Scammern das Leben. Die Betrüger geben sich als IT-Support aus und erhalten so vollen Zugriff auf die Geräte ihrer Opfer.

Genau davor warnt Microsoft derzeit selbst auf seiner Website. Eine cyberkriminelle Gruppierung, die der Konzern als Storm-1811 bezeichnet, missbraucht demnach das Tool derzeit, um die Ransomware Black Basta zu verbreiten. Die Social-Engineering-Attacken beginnen mit Voice-Phishing; dabei versuchen die Scammer ihre Opfer zu überzeugen, ihnen Zugriff auf ihre Rechner zu geben.

In einigen Fällen werden die Nutzer mit Spam-E-Mails bombardiert und dann gefragt, ob sie Hilfe bei der Behebung des Problems wünschen. Abgesehen von der Schnellhilfe würden die Cyberkriminellen auch andere Remote-Monitoring-and-Management-Tools einsetzen, darunter etwa Screenconnect und Netsupport Manager.

Microsoft untersuche derzeit die Verwendung der Schnellhilfe bei diesen Angriffen und arbeite daran, die Transparenz und das Vertrauen zwischen Helfern und Sharern zu verbessern, heisst es auf der Website des Konzerns. Eine mögliche Neuerung wäre etwa, Warnmeldungen in Quick Assist einzubauen, um vor möglichen Betrügereien beim technischen Support zu warnen.

24.04.2024 - 09:49 Uhr

Tool rüstet Raspberry Pi zu Cybercrime-Werkzeug für Anfänger auf

Wie viel kostet es, um aus einem Raspberry Pi ein Werkzeug für Cyberattacken zu machen? 80 US-Dollar pro Monat oder 700 Dollar für eine lebenslange ­Lizenz. Für diesen Preis können Cyberkriminelle in spe über Telegram die Software Geobox erwerben.

Sicherheitsexperten von Resecurity entdeckten Geobox bei der Untersuchung eines Online-Banking-Diebstahls, wie die Firma mitteilt. Demnach war darin ein vermögender Kunde eines führenden Fortune-100-Finanzinstituts verwickelt. Darauffolgend erwarb die Security-Firma selbst das Geobox-Tool, um dieses zu untersuchen.

 

 

Gemäss Resecurity handelt es sich bei Geobox um ein "äusserst leistungsfähiges Tool", das den Strafverfolgungsbehörden die Verfolgung und Ermittlung erschweren kann. Die Software für den Einplatinencomputer spezialisiert sich auf Betrug und Anonymisierung. Zum Funktionsumfang zählt unter anderem GPS Spoofing, die Umgehung von Anti-Fraud-Features und Traffic Routing über anonymisierte Proxys. Ferner könne das Tool etwa auch WebRTC-IP- und Wi-Fi-MAC-Adressen maskieren, um die echte IP-Adresse der Cyberkriminellen zu verbergen.

Das Ganze ist verpackt in einem sehr benutzerfreundlichen Interface. Dieses sei auch für unerfahrene Cyberkriminelle leicht zu bedienen. Vor allem, da eine beiliegende Bedienungsanleitung klare und detaillierte Anweisungen bereitstellt. Zwar sind keine der Features von Geobox revolutionär. Aber die Benutzerfreundlichkeit gekoppelt mit der Tatsache, dass es auf der verbreiteten Hardware von Raspberry Pi läuft, könnten Geobox zu einem Einstiegstool für viele Ersttäter machen.

19.04.2024 - 10:05 Uhr

Latrodectus - der jüngste Schädling der ­IcedID-Entwickler

Der Banking-Trojaner IcedID hat für kurze Zeit die Malware-Rankings in der Schweiz angeführt. Ende 2022 war der Schädling einige Monate lange an der Spitze der "Most Wanted"-Liste von Check Point - bis er im Januar 2023 von Qbot abgelöst wurde. Und was macht IcedID nun? Einer der Rädelsführer hinter der Malware bekannte sich vor Gericht schuldig. Aber seine IcedID-Kollegen waren auch ohne ihn eifrig am Werk: Die Sicherheitsexperten von Proofpoint entdeckten nämlich eine neue Malware, die wohl von denselben Entwicklern stammt: Latrodectus.

Proofpoint beschreibt Latrodectus als einen aufstrebenden Downloader mit verschiedenen Sandbox-Umgehungsfunktionen. Erste Untersuchungen schienen darauf hinzudeuten, dass es sich um eine neue Va­riante von IcedID handelte. Weitere Untersuchungen zeigten jedoch, dass es eine neue Malware sein muss. Den Namen fanden die Sicherheitsexperten im Code des Schädlings. Latrodectus ist übrigens eine Gattung von Kugelspinnen, zu der auch die Schwarze Witwe gehört.

Zu den deutlichsten Hinweisen, dass eine Verbindung zwischen IcedID und Latrodectus besteht, gehört die genutzte Infrastruktur. Einerseits ist die Wahl von C2-Hosts ähnlich. Und andererseits verbindet sich Latrodectus zu einer mit IcedID assoziierten Backend-­Infrastruktur. Diese kam bereits bei früheren IcedID-Operationen zum Einsatz, wie Proofpoint schreibt.

11.04.2024 - 09:40 Uhr

"TheMoon" infiziert 6000 Asus-Router in nur 72 Stunden

Sicherheitsexperten von Black Lotus Labs haben eine neue Version des Malware-Botnets "TheMoon" entdeckt. Die aktuellste Kampagne begann Anfang März 2024. In nur 72 Stunden hatte es über 6000 Asus-Router infiziert, wie "Bleepingcomputer" berichtet.

Das Schadprogramm hatte es auf veraltete und nicht aktualisierte Router für kleine Büros und Homeoffices sowie auf IoT-Geräte in 88 Ländern abgesehen. Seitdem verlangsamte sich die Ausbreitung etwas. Wie die Malware in die Geräte eindringt, sagen die Sicherheitsexperten nicht. Vermutlich nutze sie dafür bereits publizierte Schwachstellen aus, heisst es im Bericht.

Zu den häufigen Anzeichen für eine Infektion zählen Verbindungsprobleme, Überhitzung sowie verdächtige Veränderungen bei den Einstellungen.Infizierte Geräte werden zu einem als "Faceless" bekannten Proxy-Dienst verknüpft. Dieser leitet den Netzwerkverkehr seiner Kunden über kompromittierte Geräte weiter. Die Kunden zahlen nur mit Kryptowährungen und ihre Identität wird nicht überprüft.

Obwohl die beiden eng verbandelt sind, scheinen "TheMoon" und der Faceless-Proxy-Dienst doch ­separate Operationen zu sein. So werden etwa nicht alle infizierten Geräte Teil des Proxy-Dienstes.

"TheMoon" treibt übrigens schon länger sein Unwesen. Das Botnet wurde erstmals 2014 gesichtet. Damals nutzte es eine Schwachstelle in Geräten des Herstellers Linksys aus, um diese zu kapern.

18.03.2024 - 10:14 Uhr

Von Lucifer besessene Apache-Server ­schürfen unfreiwillig Kryptowährungen

Aqua Securitys Team Nautilus hat vor einer neuen Krypto-Mining-Kampagne gewarnt. Die verantwortliche Malware ist unter dem Namen Lucifer bekannt, wie das Unternehmen mitteilt. Die Cyberkriminellen hinter dem diabolischen Schädling zielen damit auf Apache-Server ab.

Lucifer hat es besonders auf die Software-Libraries Hadoop und Druid abgesehen. Um diese zu infizieren, nutzen die Cyberkriminellen laut Mitteilung bestehende Fehlkonfigurationen und Schwachstellen aus – darunter die schon seit 2021 bekannte Druid-Sicherheitslücke CVE-2021-25646.

Ist ein System infiziert, zapfen die Angreifer die Rechenleistung der von Lucifer besessenen Server ab. Die gekaperten Maschinen werden genutzt, um nach der Kryptowährung Monero zu schürfen. Zu diesem Zweck installiert Lucifer den Crypto-Miner XMRig. So verdienen sich die Cyberkriminellen eine goldene Nase, während die Opfer auf den Strom- und Wartungskosten sitzenbleiben für Server, die sie nicht oder nicht zu 100 Prozent nutzen können.

Nach eigenen Angaben entdeckte das Unternehmen Lucifer-Angriffe, die bereits im Juli 2023 stattfanden. Dabei handle es sich wohl um Testläufe, vermutet das Unternehmen. Nach diesen Tests stieg die Anzahlen Attacken: Allein im Februar dieses Jahres registrierte Aqua Security laut Mitteilung 3000 verschiedene Angriffe.

13.03.2024 - 17:46 Uhr

Magnet Goblin attackiert Linux- und Windows-Server

Eine Hackergruppe namens Magnet Goblin macht derzeit Jagd auf öffentlich zugängliche Linux- und Windows-Server. Dabei bedient sich die Gruppe bei öffentlich bekannten Schwachstellen, die kürzlich gepatcht wurden, wie Check Point, das Unternehmen, das Magnet Goblin entdeckte, mitteilt. Das heisst, die Hacker versuchen das – idealerweise sehr kurze – Zeitfenster zwischen der Veröffent­lichung eines Patches und dessen Einspielen auf betroffene Systeme zu erwischen.

Auch bei Schwachstellen, die ohne Machbarkeitsnachweis veröffentlicht werden, sei es teilweise sehr einfach, herauszufinden, wie man sie ausnutzt. In anderen Fällen könnte Magnet Goblin anhand der Patches einen Exploit rekonstruieren. Manchmal vergingen nur wenige Tage, bevor Magnet Goblin nach der Bekanntgabe einer Schwachstelle diese bereits ausnutzen, wie Check Point in einem Bericht zur Hackergruppe schreibt.

 

 

Zu den Lösungen, die Magnet Goblin ausnutzt, gehören Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE-2023-41265, CVE-2023-41266, CVE-2023-48365) und Magento (CVE-2022-24086).

Die Hackergruppe nutzt die Sicherheitslücken, um eigens entwickelte Schadprogramme auf den infizierten Systemen zu installieren. Die Gruppe greift Windows- und Linux-Systeme an. Laut Check Point hat Magnet Goblin finanzielle Motive.

13.03.2024 - 17:30 Uhr

Ransomware-Gruppe Blackcat versucht, ­eigene Partner zu beschwindeln

Mit ihrem jüngsten Streich hat es die Ransomware-as-a-Service-Gruppe Blackcat für einmal nicht auf unschuldige Opfer abgesehen. Stattdessen versucht die Gruppe wohl gerade, die eigenen Partner übers Ohr zu hauen. Wie "Bleepingcomputer" berichtet, steckt die auch als ALPHV bekannte Gruppe gerade mitten in einem Exit Scam.

In einem Hacker­forum behaupteten die Cyberkriminellen, dass sie den Betrieb einstellen, weil ihnen verschiedene Strafverfolgungsbehörden auf den Fersen seien. "Wir können offiziell erklären, dass uns das FBI über den Tisch gezogen hat", zitiert der Bericht einen Administrator der Gruppe. Gegenüber "Bleepingcomputer" bestätigten jedoch Europol und die NCA, die nationale Kriminalpolizei des Vereinigten Königreichs, dass sie an keiner Aktion gegen Blackcat beteiligt gewesen seien. Beide werden jedoch in einem gefälschten Banner erwähnt, das auf den Websites der Gruppe über deren Beschlagnahmung informiert.

Die Gruppe hingegen versicherte dem Onlineportal, dass ihre Infrastruktur beschlagnahmt worden sei. Derweil gibt es auch Meldungen von Blackcat-Partnern, die behaupten, sie hätten ihren Anteil an den ergaunerten Lösegeldern nicht erhalten.

So oder so: Die Blackcat-Infrastruktur wurde schrittweise heruntergefahren. Den Source Code ihrer Ransomware bieten die Cyberkriminellen für 5 Millionen US-Dollar zum Verkauf an.

12.02.2024 - 11:30 Uhr

So fängt man sich mit Youtube-Tutorials zu gecrackter Software Malware ein

Fortiguard Labs warnt vor einer Malware-Kam­pagne auf Youtube, die Fahrt aufgenommen hat. Die Opfer werden über Videos angelockt, die Anleitungen für gecrackte Softwareprogramme zeigen, wie "Golem" berichtet.

In die Videobeschreibungen setzten die Cyberkriminellen Links zu File-Sharing-Websites. Um die wahren Absichten der Kriminellen zu verstecken, wurden die Links mit Onlinediensten wie TinyURL gekürzt. Statt der gecrackten Software laden sich die Opfer über diese Links die Malware Lumma herunter. Das Schadprogramm kann sensible Daten von infizierten Systemen stehlen; dazu zählen System- und Browserdaten sowie Zugangsdaten für Kryptowallets. Die gestohlenen Daten übermittelt der Infostealer an einen der rund ein Dutzend Command-and-Control-Server, die von den Cyberkriminellen kontrolliert werden.

Die Videos wurden bereits Anfang 2023 auf der Videoplattform hochgeladen. Nach eigenen Angaben registrierte Fortiguard Labs aber Ende Dezember eine erhöhte Aktivität. Dies messen die Sicherheitsexperten an der Anzahl der Kontaktaufnahmen infizierter Rechner mit den Servern. In der Schweiz sind gemäss dem Bericht des Unternehmens zwar keine Fälle bekannt; die Malware fand aber unter anderem auch im benachbarten Deutschland und Italien eine nicht bezifferte Anzahl Opfer.

12.02.2024 - 09:29 Uhr

Mastodon stopft Lücke, die zu Account-­Übernahmen führt

Der Open-Source-Mikroblogging-Dienst Mastodon hat eine Sicherheitslücke behoben. Die Social-Media-Plattform zählt aktuell 12 Millionen Nutzerinnen und Nutzer. Die Sicherheitslücke wird mit einem CVSS-Wert von 9,4 als "kritisch" eingestuft.

Mastodon ermöglicht die Konfiguration des LDAP-Netzwerkprotokolls für die Authentifizierung, wie es in der Beschreibung der Schwachstelle (CVE-2024-23832) heisst. Aufgrund der unzureichenden Herkunftsüberprüfung in allen Mastodon-Versionen können sich Angreifer als ein beliebig entferntes Konto ausgeben und es übernehmen.

 

 

Die Schwachstelle ist ab Version 4.2.5 behoben. Um zu verhindern, dass Cyberkriminelle die Schwachstelle ausnutzen, hält sich Mastodon bezüglich technischer Details noch zurück. Diese will der Mikroblogging-Dienst erst am 15. Februar bekannt geben. Dies soll den Administratoren etwas Zeit geben, die Aktualisierung auf ihren Servern auszurollen.

Übrigens: Mastodon ist nicht die Social-Media-Plattform der Band Mastodon, stattdessen erhielt sie ihren Namen vom amerikanischen Mammut Mastodon. Dies hinderte die Band jedoch nicht daran, ein Bisschen Spass mit der ganzen Verwirrung um die unterschiedlichen Mastodons zu haben:

23.01.2024 - 18:12 Uhr

Skrupellose Schein-Samariter geben Ransomware-Opfern falsche Hoffnungen

Ransomware. Datenverlust. Erpressung. Wer Opfer einer Erpressersoftware wurde, ist wohl für jede Hilfe dankbar, die angeboten wird. Das wissen die Cyberkriminellen allerdings ebenfalls - und sie wissen das auch auszunutzen. Die Sicherheitsspezialisten von Arctic Wolf Networks beschreiben zwei aktuelle Fälle, in denen unbekannte Bedrohungsakteure dies demonstrierten.

Arctic Wolf untersuchte mehrere Fälle, bei denen der Spuk für die Opfer nicht mit dem Ransomware-Befall endete. Seit Oktober 2023 untersuchte das Unternehmen mehrere Fälle, bei denen die Opfer nach der ersten Infektion für weitere Erpressungsversuche kontaktiert wurden. 

Zwei Fälle hebt das Security-Unternehmen besonders hervor. In den beiden Fällen gaben die Bedrohungsakteure vor, ein Sicherheitsforscher zu sein und den attackierten Organisationen helfen zu wollen. Sie boten an, sich in die Serverinfrastruktur der ursprünglich beteiligten Ransomware-Gruppen zu hacken, um die gestohlenen Daten zu löschen. 

Im ersten Fall gab der skrupellose Schein-Samariter vor, von einer Firma namens "Ethical Side Group" zu sein. Im zweiten Fall kam das Angebot von einer Person, die sich "xanonymoux" nannte. Arctic Wolf geht aber davon aus - mit "mässiger Zuversicht" - dass die angeblichen Hilfsangebote jeweils von denselben Cyberkriminellen stammten.

Arctic Wolf schliesst dies unter anderem aus stilistischen Analysen der Kommunikation zwischen den Organisationen. Das Unternehmen fand 10 identische Phrasen in den ersten Mails von "xanonymoux" und der "Ethical Side Group". Ferner erfolgte die Kommunikation jeweils über den Peer-to-Peer-Messenger Tox, der geforderte Betrag war derselbe (5 Bitcoin) und auch der Aufbau der Kommunikation wies Ähnlichkeiten auf. 

Ob der betrügerische Retter in der Not mit der Erlaubnis oder sogar im Auftrag der ursprünglichen Ransomware-Banden operierte, ist nicht klar.
 

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Cryptominern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security. Die archivierten Blogeinträge von 2018 bis 2023 finden Sie hier

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
rE6QrAZr

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter