Eine aktuelle Untersuchung von Kaspersky enthüllt eine laufende Multi-Malware-Kampagne mit bisher über 10.000 identifizierten Angriffen gegen Unternehmen weltweit. Dabei setzen die Cyberkriminellen Backdoors, Keylogger und Miner ein, um mithilfe neuer schädlicher Skripte die Sicherheitsvorkehrungen ihrer Opfer zu deaktivieren und den Download von Malware zu erleichtern. Das Hauptziel der Angreifer: finanziellen Profit zu machen.
Im April 2023 berichtete das FBI über eine Kampagne, bei der Cyberkriminelle Unternehmen mit Minern, Keyloggern und Backdoors attackiert haben. Die Experten von Kaspersky haben die Kampagne weiter analysiert und festgestellt, dass sie immer noch aktiv ist.
Auch Regierungsstellen betroffen
Die von Kaspersky identifizierten Cyberangriffe erfolgten zwischen Mai und Oktober dieses Jahres und hatten schwerpunktmäßig Regierungsstellen, Landwirtschaftsbetriebe sowie Groß- und Einzelhandelsunternehmen im Visier. Laut Kaspersky-Telemetrie betrafen die mehr als 10.000 Angriffe über 200 Nutzer, die Mehrzahl davon in Russland, Saudi-Arabien, Vietnam, Brasilien und Rumänien. Gelegentlich zielten sie auch auf Systeme in den USA, Marokko und Griechenland.
Trio infernale aus Backdoor, Keylogger und Miner
Kaspersky enthüllte darüber hinaus neue schädliche Skripte, die Systeme infiltrieren, indem sie Schwachstellen von Servern und Arbeitsstationen ausnutzen. Sobald der Zugang gelingt, versucht das Skript den Windows Defender zu manipulieren, um Administratorrechte zu erhalten und die Funktionsweise verschiedener Antiviren-Software zu stören.
Anschließend versucht das Skript eine Backdoor, einen Keylogger sowie Miner von einer Seite herunterzuladen, die inzwischen offline ist. Der Miner greift nun auf die Systemressourcen zu, um verschiedene Kryptowährungen zu minen, wie zum Beispiel Monero (XMR). Währenddessen erfasst der Keylogger die komplette Abfolge der Maus- und Tastaturanschläge des Nutzers. Gleichzeitig etabliert die Backdoor eine Verbindung zu einem C2-Server (Command-and-Control), um Daten zu empfangen und zu übermitteln. Damit kann der Angreifer schließlich die Remote-Kontrolle über das kompromittierte System erlangen.
„Diese Multi-Malware-Kampagne entwickelt sich rasant weiter, indem sie neue Modifikationen einführt. Die Motivation des Angreifers scheint allein der finanzielle Profit unter Einsatz aller verfügbaren Mittel zu sein“, erklärt Vasily Kolesnikov, Sicherheitsexperte bei Kaspersky. „Die Untersuchung unserer Cybersicherheitsexperten deutet darauf hin, dass sich diese nicht auf das Mining von Kryptowährungen beschränken. Stattdessen könnten sie auch den Verkauf gestohlener Login-Daten im Darknet oder die Ausführung fortgeschrittener Szenarien mithilfe der Backdoor-Kapazitäten umfassen.“
Empfehlungen zum Schutz vor Cyberbedrohungen
- Software-Updates aller Geräte stets aktualisieren, um zu verhindern, dass Angreifer Schwachstellen ausnutzen und in das Netzwerk eindringen können.
- Umgehend Patches für neue Sicherheitslücken installieren. Sobald sie heruntergeladen wurden, können Cyberkriminelle die Sicherheitsanfälligkeit nicht mehr ausnutzen.
- Regelmäßig Sicherheits-Audits der IT-Infrastruktur durchführen, um Sicherheitslücken und anfällige Systeme zu entdecken.
- Eine umfassende Endpoint-Lösung verwenden, die mit verhaltensbasierter Erkennung und Anomalie-Kontrolle effektiv vor bekannten und unbekannten Bedrohungen schützt. Die Lösung verfügt über eine Anwendungs- und Webkontrolle, um die Wahrscheinlichkeit zu minimieren, dass Krypto-Miner gestartet werden. Außerdem besitzt sie eine Verhaltensanalyse, die schädliche Aktivitäten schnell erkennen kann sowie Schwachstellen- und Patch-Manager, die vor Krypto-Minern schützen.
- Da die gestohlenen Anmeldedaten im Darknet zum Verkauf angeboten werden könnten, sollte Software verwendet werden, um Online-Quellen zu überwachen und potentielle Bedrohungen schnell zu identifizieren.
Weitere Informationen zur technischen Analyse der Kampagne.