Archiv der Kategorie: Untergrundwirtschaft

Hive-Ransomware im Rampenlicht

Originalbeitrag von Trend Micro Research

Einige Ransomware-Gruppen, die als Ransomware-as-a-Service (RaaS)-Netzwerke operieren, behaupten, bestimmte Sektoren wie Krankenhäuser oder andere kritische Branchen nicht anzugreifen, um Menschen nicht zu schaden. Das gilt offenbar nicht für Hive. Die Angriffe auf Gesundheitsdienstleister 2021 haben gezeigt, dass die Betreiber keine Rücksicht auf solche humanitären Erwägungen nehmen. Ein Krankenhaus in Missouri wurde von einem Hive-Ransomware-Angriff heimgesucht, drei Wochen nachdem die Gruppe die integrierten Systeme eines Gesundheitsdienstleisters getroffen hatte, wobei drei Krankenhäuser und viele ambulante Kliniken in zwei anderen US-Bundesstaaten betroffen waren. Hive-Ransomware hat sich seit ihrer Entdeckung im Juni 2021 zu einer der aktivsten Familien entwickelt. Um sich gegen diese Bedrohung zu wehren, müssen Unternehmen daher mit den verschiedenen Mechanismen vertraut sein, die die berüchtigte Ransomware-Bande einsetzt.
Weiterlesen

Cyclops Blink-Botnet hat Asus-Router im Visier

Originalartikel von Feike Hacquebord, Stephen Hilt, Fernando Merces, Threat Researchers

Cyclops Blink, ein fortgeschrittenes modulares Botnet, hat offenbar Verbindungen zur APT-Gruppe (Advanced Persistent Threats) Sandworm oder Voodoo Bear und steht laut einer Analyse des britischen National Cyber Security Centre (NCSC) hinter einem kürzlich erfolgten Angriff auf WatchGuard Firebox-Geräte. Wir erhielten eine Variante der Cyclops Blink Malware-Familie, die auf Asus-Router abzielt, und haben die technischen Möglichkeiten dieser Malware-Variante analysiert.
Weiterlesen

Clop im Rampenlicht

Originalartikel von Trend Micro Research

Clop (manchmal auch „Cl0p“) war in den letzten drei Jahren eine der produktivsten Ransomware-Familien. Sie ist dafür berüchtigt, mit mehrstufigen Erpressungstechniken hochrangige Unternehmen in verschiedenen Branchen weltweit kompromittiert zu haben. Dies führte bis November 2021 zu Zahlungen, die auf 500 Millionen US-Dollar geschätzt werden. Die weltweiten Bestrebungen, Ransomware-Kartelle zu zerschlagen, mündeten im Juni 2021 zur Verhaftung von sechs mutmaßlichen Clop-Mitgliedern in der Ukraine. Trotzdem gingen die kriminellen Aktivitäten der Gruppe weiter. Berichten zufolge wurden nur Teile der Ransomware-Operationen beschlagnahmt bzw. abgeschaltet, so die Serverinfrastruktur, die von den Partnern zur Verbreitung der Malware genutzt wurde, und die Kanäle, über die illegale Lösegeldzahlungen in Kryptowährung gewaschen wurden. Wir haben die sich ständig ändernden Strategien dieser Ransomware-Gruppe untersucht und zeigen, wie Unternehmen ihren Schutz vor dieser Bedrohung verstärken können.
Weiterlesen

Der Security-RückKlick 2022 KW 03

von Trend Micro

(Bildquelle: CartoonStock)

Open Source-Exploits könnten immer häufiger zur Gefahr werden, Analyse der Bedrohung für ICS durch verschiedene Malware-Familien, Europol schaltet von Kriminellen genutzten VPN-Dienst ab und Lehrstück, wie XDR bei Angriffen hilft – einige der News der letzten Woche.
Weiterlesen

Der florierende Untergrundmarkt für Access-as-a-Service

Originalartikel von Trend Micro

Netzwerkverteidiger haben oft die Aufgabe, die Abfolge der Ereignisse nachzuvollziehen, die es einem Angreifer ermöglichten, seine Attacke im Netzwerk durchzuführen. Dazu müssen sie bestimmte Fragen stellen: Wie sind die Angreifer eingedrungen? Was haben sie getan, um in das Netz einzudringen? Welche Aktionen haben sie nach dem Eindringen in das Netzwerk durchgeführt, die es ihnen ermöglichten, ihre Zugriffsrechte zu erweitern? Leider sind die Antworten heutzutage nicht mehr so eindeutig, oder fallen gar ganz aus, denn moderne Kriminelle führen ihr Spiel bedeutend raffinierter durch.

In Untergrundforen gibt es ein neues, florierendes Geschäftsmodell, bei dem so genannte Zugangs-Broker gestohlene Anmeldedaten oder direkten Zugang zu Unternehmen verkaufen. Ransomware-Angreifer müssen beispielsweise nicht mehr erst eine Sicherheitslücke ausnutzen oder infektiöse Mails versenden, um sich Zugang zu verschaffen – jetzt können sie sich den Zugang einfach erkaufen.
Weiterlesen