Willkommen zur monatlichen Blogserie Threat Context Monthly, in der wir eine umfassende Zusammenfassung der wichtigsten Cybersecurity-Nachrichten und Bedrohungsinformationen von KrakenLabs, dem Cyber Threat Intelligence Team von Outpost24, bieten.

Threat-Actor des Monats: Volcano Demon (Ransomware)

„Volcano Demon“ ist eine neue Ransomware-Gruppe, die den Schwerpunkt auf sogenannten Double-Extortion-Angriffe legt. Dabei nutzen Sie sowohl traditionelle als auch innovative Methoden, um Ihre Opfer zu erpressen oder mit ihnen zu verhandeln.

Die Gruppe kompromittiert ihre Opfer mit Hilfe erbeuteter Admin-Credentials aus dem Netzwerk und verschlüsseln dann die Daten. Darüber hinaus exfiltrieren sie angeblich auch die Daten der Opfer und drohen damit, sie der Öffentlichkeit, Kunden oder Partnern zugänglich zu machen.

Volcano Demon betreibt bisher keine eigene Data Leak Site (DLS), und es ist nicht bislang noch nicht ersichtlich, wie die exfiltrierten Daten im Falle eines Falles an die Öffentlichkeit gelangen sollen. Zusätzlich zu der Lösegeldforderung auf den Geräten der Opfer rufen sie von unbekannten Rufnummern aus die Geschäftsleitung und IT-Führungskräfte an, um über die Zahlung zu verhandeln.

Toolkit von Volcano Demon

Volcano Demon nutzen LukaLocker, eine C++-Ransomware, die sowohl Windows- als auch Linux-Server angreifen kann, um die Daten ihrer Opfer zu verschlüsseln. Diese Ransomware ermöglicht eine vollständige oder teilweise Verschlüsselung und fügt die Dateierweiterung .nba zu den verschlüsselten Dateien, sowie eine Lösegeldforderung hinzu.

Opfer

Aufgrund der Abwesenheit einer DLS ist es schwierig, deren Opfer zu identifizieren, aber Sicherheitsanalysten berichteten von mindestens zwei erfolgreichen Angriffen auf Produktions- und Logistikunternehmen. Die Analysten von Outpost24 KrakenLabs haben drei Muster in öffentlichen Sandboxes analysiert.

Bedrohung im Spotlight: Desinformationskampagne zu den Olympischen Sommerspielen in Paris (Storm-1679 + Storm-1099)

Im Sommer 2023 gab es in den sozialen Medien eine Täuschungskampagne mit dem Titel „Olympics Has Fallen“, die von pro-russischen Telegram-Kanälen verbreitet wurde. Diese fingierte Dokumentation mit KI-generiertem Ton, der die Stimme von Tom Cruise imitierte, verurteilte das Internationale Olympische Komitee (IOC) und markierte den Beginn einer konzertierten Aktion von mit Russland verbundenen Akteuren, um das IOC und die bevorstehenden Olympischen Spiele 2024 in Paris zu untergraben.

Im Vorfeld der Veranstaltung deckten Forscher ein Netz russischer Influencekampagnen auf, die auf das IOC, Präsident Macron und die Spiele selbst abzielten sowie sozioökonomische Probleme in Frankreich hervorhoben, um soziale Unruhen zu schüren. Angeführt von pro-russischen Gruppen wie „Storm-1679“ und „Storm-1099“ (auch bekannt als „Doppelgänger“), setzten diese Kampagnen ausgeklügelte Taktiken ein, um Angst vor möglicher Gewalt zu verbreiten. Beide Gruppen sind seit 2023 aktiv und folgen einer prorussischen Agenda. In der Vergangenheit richteten sich auch die Operationen beider Gruppen direkt oder indirekt gegen die Ukraine.

Sie nutzen soziale Medien und Messaging-Plattformen, um über gefälschte Profile, Beiträge und Anzeigen Desinformation zu verbreiten. Darüber hinaus nutzen sie KI für GAN-generierte Profilbilder, mehrsprachige Inhalte und die Nachahmung von Stimmen bekannter Personen, um ihre Reichweite und Glaubwürdigkeit zu erhöhen. Besonders besorgniserregend war ihre Instrumentalisierung des Israel-Palästina-Konflikts, indem sie Drohungen militanter Gruppen fabrizierten und gefälschte Graffiti in Paris in Umlauf brachten, um von der Teilnahme an den Spielen abzuschrecken und die Besorgnis der Öffentlichkeit über diese zu schüren.

KrakenLabs Highlights

Malware

Distribution: Angreifer nutzen zunehmend Cloud-Dienste für die Speicherung von Malware, Verteilung von Payloads und der Verwaltung von Command-and-Control-Servern. Botnets wie UNSTABLE und Condi sind ein Paradebeispiel für diesen Trend, indem sie Cloud-Ressourcen nutzen, um Malware über verschiedene Geräte zu verbreiten. Erfahren Sie mehr →.

Distribution: Nachdem Microsoft im Jahr 2022 Makros in Office deaktiviert hat, sind die Angreifer auf verschiedene Dateitypen ausgewichen. Die neue GrimResource-Technik nutzt eine Windows-XSS-Schwachstelle mit bösartigen MMC-Dateien aus, um Code auszuführen. So wird Cobalt Strike seit Juni aktiv verbreitet, ohne dass Antivirenprogramme dies erfassen können. Erfahren Sie mehr →.

Underground Activity

Datenlecks: Ein Nutzer mit dem Namen „ctf“ hat in einem Untergrundforum eine neue Sammlung an Passwörtern mit dem Namen „Rockyou2024“ veröffentlicht, die angeblich über 9,9 Milliarden Einträge enthält. Die Analysten von Outpost24 haben die Datenbank analysiert und herausgefunden, dass es sich bei der angeblich neuen Datenbank um eine Zusammenstellung aus einer alten Datenbank (Rockyou2021) und neuen Daten aus minderwertigen Quellen handelt. Trotz des großen Medieninteresses dürfte dieser Datensatz nur ein geringes bis gar kein Risiko für Kunden darstellen. Erfahren Sie mehr →.

Neue Bedrohungen

Supply-Chain-Angriffe: Forscher konnten einen der jüngsten Supply-Chain-Angriffe, an denen verschiedene CDN-Dienste (Polyfill, BootCDN, Bootcss und Staticfile) beteiligt waren, einer einzigen Organisation zuordnen und die Kampagne bis Juni 2023 zurückverfolgen. Zu dieser Schlussfolgerung gelangten sie aufgrund einer geleakten Datei mit vertraulichen Informationen, die in einem GitHub-Repository gefunden wurde, das mit einer Domain aus dem Polyfill-Fall im Zusammenhang steht. Erfahren Sie mehr →.

Schwachstellen: Nach der Analyse einer von der Open Source Security Foundation zusammengestellten Liste kritischer Projekte sind die Strafverfolgungsbehörden zu dem Schluss gekommen, dass Memory-Safety-Vulnerabilities zu den häufigsten Sicherheitslücken in Software gehören und sowohl Softwareherstellern als auch Verbrauchern erhebliche Kosten für Patches, Incident Response und sonstige Maßnahmen verursachen. Erfahren Sie mehr →.

Updates zum Threat Context-Modul in diesem Monat:

Threat-Actors: UTA0137, SneakyChef, Cloak, SEIDR CORP, Rodrigo4, Velvet Ant, Ph0enix, Hunt3r Kill3rs, Unfurling Hemlock, Eldorado, Volcano demon, Cicada3301, etc.

Tools: Oyster, Diamorphine, SpiceRAT, Medusa rootkit, Hyena Stealer, Nightingale, Xctdoor, Neptune Stealer, Eldorado ransomware, LukaLocker, Typez Stealer, etc.

und vieles mehr!

Erfahren Sie mehr über Treat Compass von Outpost24

Threat Compass ist die modulare Cyber Threat Intelligence-Lösung von Outpost24, die darauf ausgelegt ist, externe Bedrohungen für Ihr Unternehmen zu erfassen und Ihnen die nötigen Informationen zur Abwehr zur Verfügung zu stellen. Jedes Threat Compass-Modul wird von unserem erstklassigen internen Analystenteam, den KrakenLabs, unterstützt. Die Lösung hilft Unternehmen, gezielte Bedrohungen zu erkennen und die Reaktionszeit auf Vorfälle zu verkürzen.