Threat Context Monthly: Executive Intelligence Briefing für November 2024
Willkommen zur monatlichen Blogserie Threat Context Monthly, in der wir eine umfassende Zusammenfassung der wichtigsten Cybersecurity-Nachrichten und Bedrohungsinformationen von KrakenLabs, dem Cyber Threat Intelligence Team von Outpost24, bieten.
Threat-Actor des Monats: Reimann Team
„Reimann Team“ ist eine finanziell motivierte Cybercrime-Gruppe, die sich auf den Erwerb, die Verarbeitung und den Verkauf von Logs beliebter Online-Plattformen spezialisiert hat.
Reimann Team wurde erstmals im Juni 2020 beobachtet und ist ein gut etabliertes Traffer-Team, dessen Einzugsgebiet sich über mehrere Regionen erstreckt, vor allem auf die USA, Kanada, Europa und Asien. Sie nehmen stark gefragte Konten wie Steam, Fortnite, Minecraft, Riot Games, PayPal und Amazon ins Visier.
Zu ihren Techniken gehören Phishing, das Abgreifen von Zugangsdaten und eine auf Telegram basierende Infrastruktur, die das Sammeln und Weiterverkaufen von Logs durch Bots automatisiert. Die Tools, die den Mitgliedern angeboten werden, erleichtern die reibungslose Verarbeitung von Logs, die automatisierte Verteilung und den Verkauf, wobei die „Reimann Logs Cloud“ regelmäßige Updates frischer Logs liefert.
Die Hauptquelle für die Logs von Reimann ist RedLine Stealer, eine weit verbreitete Malware zum Diebstahl von Zugangsdaten, die zur Kompromittierung von Benutzeraccounts von Plattformen wie Glücksspieldiensten, Finanzinstituten und sozialen Medien verwendet wird. Bei der „Operation Magnus“ der Strafverfolgungsbehörden gegen RedLine- und Meta-Infostealer wurde der Benutzername „REIMANN“ in einem Video, das über die Operation veröffentlicht wurde, als RedLine-VIP-Benutzer aufgeführt.
Die Infrastruktur des Teams sorgt für einen konstanten Strom frischer Logs, und sie schaffen Anreize für Händler mit einer 50-prozentigen Umsatzbeteiligung und Boni. Reimanns Rekrutierungskonzept konzentriert sich auf Anreize für neue Traffer, die auf Basis ihrer Log-Beiträge bezahlt werden. Darüber hinaus beschränkt die Gruppe den Zugang zu Logs auf zahlende Mitglieder und verbietet alle Wiederverkäufer, die versuchen, Logs außerhalb des freigegebenen Bereichs zu vertreiben.
Unter dem Namen REIMANN ist der Bedrohungsakteur in den russischsprachigen Untergrundforen Zelenka Guru und BHF aktiv, die als primäre Werbeplattformen für ihre Dienstleistungen und Rekrutierungsbemühungen dienen.
Bedrohung im Spotlight: Operation Magnus
Ende Oktober 2024 arbeiteten das US-Justizministerium, das FBI und Europol zusammen mit anderen Strafverfolgungsbehörden in einer koordinierten internationalen Aktion, die als Operation Magnus bekannt wurde, daran, die Operationen der Infostahler RedLine und META zu stören.
Die Strafverfolgungsbehörden beschlagnahmten drei Server und zwei Domänen, die zum Hosten und Verbreiten von RedLine und META verwendet wurden. Durch diese Beschlagnahmungen wurden die Distributionskanäle der Malware unterbrochen, indem wichtige Knotenpunkte in ihrer Infrastruktur zerschlagen wurden. Außerdem wurden Telegram-Kanäle, die den Verkauf und die Betreuung der Malware ermöglichten, abgeschaltet.
Bei der Operation wurden über 1.200 mit Malware infizierte Server in zahlreichen Ländern aufgedeckt. Die belgischen Behörden haben daraufhin die entsprechenden Übertragungskanäle abgeschaltet, während ESET ein Tool zur Verfügung gestellt hat, mit dem potenzielle Opfer überprüfen können, ob ihre Daten kompromittiert wurden, und eine Anleitung zum Selbstschutz erhalten.
Maxim Rudometov, ein russischer Staatsbürger, wurde verhaftet und wegen Betrugs, Geldwäsche und Device-Fraud angeklagt, weil er META entwickelt und davon profitiert haben soll. Bei einer Verurteilung drohen ihm bis zu 35 Jahre Gefängnis.
Einer der wichtigsten Aspekte der Operation Magnus ist, dass die Strafverfolgungsbehörden ein Video auf der offiziellen Website veröffentlicht haben, in dem die Namen von VIP-Benutzern des Redline-Infostealers aufgelistet sind – wobei VIP dem Video zufolge „Very Important to the Police“ bedeutet.
Diese Liste löste unter den Nutzern in den Untergrundforen große Besorgnis aus. Einige bestätigten die Legitimität der im Video aufgeführten Spitznamen, die auf mögliche rechtliche Konsequenzen nicht nur für die Entwickler und Verkäufer von RedLine, sondern auch für die Kunden hinwiesen, die das Programm zur Durchführung von Datendiebstahlkampagnen nutzten. Die Angst vor einer Enttarnung hat in der Welt der Cyberkriminellen große Wellen geschlagen und zu Diskussionen über strengere operative Sicherheitsmaßnahmen geführt.
Der Erfolg der Operation löste auch heftige Kritik innerhalb der cyberkriminellen Community aus. Viele Benutzer verurteilten den RedLine-Entwickler offen für unzureichende OPSEC-Praktiken, die sie für den Erfolg der Operation und ihre anschließende Aufdeckung verantwortlich machten.
Diese Kritik regte weitere Diskussionen darüber an, wie die individuelle und allgemeine Sicherheit verbessert werden kann. Die Benutzer des Forums diskutierten Strategien, um der Enthüllung zu entgehen und ein ähnliches Schicksal wie das ihrer Kollegen zu vermeiden, und erforschten neue Methoden zur Verschleierung ihrer Online-Identitäten und -Aktivitäten.
KrakenLabs Highlights
Gesetzgebung
Rechtsschutz für Sicherheitsforscher: Das Bundesjustizministerium hat einen Gesetzesentwurf zur Änderung des Strafgesetzbuches und zum rechtlichen Schutz von Sicherheitsanalysten mit wohlwollenden Absichten, die Sicherheitsschwachstellen entdecken und diese verantwortungsvoll an Hersteller und Behörden melden, vorgelegt. Mehr erfahren →
Rechtsstreit gegen einen Cybersicherheitsanbieter: Delta Air Lines verklagt CrowdStrike wegen Fahrlässigkeit im Zusammenhang mit einem Software-Update, das zu einem größeren IT-Ausfall führte, der Flüge und den Kundenservice beeinträchtigte. CrowdStrike bestreitet die Vorwürfe und führt als Grund die veralteten Systeme von Delta an. Erfahren Sie mehr →.
Trend
Identitätsbasierte Angriffe: Im dritten Quartal 2024 nahmen identitätsbasierte Angriffe stark zu. 25 % der Vorfälle betrafen den Diebstahl von Anmeldedaten mittels Passwort-Spraying und Brute-Force-Angriffen. Eine besonders erfolgreiche Technik für den Diebstahl von Anmeldedaten ist Adversary-in-the-Middle (AitM), bei der die Opfer ihre Anmeldedaten auf gefälschten Anmeldeseiten eingeben, nachdem sie auf tückische Links geklickt haben. Erfahren Sie mehr →
Typosquatting-Angriff: Forscher haben einen böswilligen Typosquatting-Angriff gegen eine beliebte SSH-Automation Library in Python entdeckt. Das schädliche Paket, das AWS-Anmeldedaten exfiltriert, ist seit 2021 auf PyPI verfügbar und wurde insgesamt mehr als 37.000 Mal heruntergeladen.
Erfahren Sie mehr →
Kreditkartendaten werden auf Threads zum Verkauf angeboten: Gestohlene Kreditkarteninformationen werden auf Metas Threads zum Verkauf angeboten, wobei in einigen Beiträgen Karteninhaberdaten wie CVV und Ablaufdatum angezeigt werden. Kriminelle nutzen Umfragen, um zu überprüfen, ob die gestohlenen Karten funktionieren, und leiten die Follower auf Telegram weiter, um weitere Details abzufragen. Erfahren Sie mehr →
Bedrohungslandschaft für 2025: Googles Prognose für Cyber-Bedrohungen im Jahr 2025 sagt den zunehmenden Einsatz von künstlicher Intelligenz für ausgeklügelte Phishing-, Vishing- und Social-Engineering-Angriffe sowie Desinformationskampagnen voraus. Darüber hinaus werden Ransomware und Infostealer-Malware weiterhin weit verbreitet sein, da die Einstiegshürden für weniger versierte Angreifer weiter sinken werden. Erfahren Sie mehr →
Ransomware
Neue Technik von Black Basta: Die Ransomware Black Basta wurde dabei beobachtet, wie sie sich als IT-Support auf Microsoft Teams ausgab, um Benutzer dazu zu bringen, ihre Anmeldedaten anzugeben.
Erfahren Sie mehr →.
Updates zum Threat Context-Modul in diesem Monat:
Threat-Actors: DarkRaaS, Satanic, FlyingYeti, UN5820, APT-C-60, Core Werewolf, STORM-0817, Storm-0940, Reimann Team, APT73, Patr1ck, AdaGrabber, PlayBoy Locker und Kairos
Tools: CloudScout, MDeployer, MS4Killer, Mamba 2FA, SteelFox, Interlock, iNARi, AdaStealer, NPPSPY, FRP
und viele weitere!
Erfahren Sie mehr über Treat Compass von Outpost24
Threat Compass ist die modulare Cyber Threat Intelligence-Lösung von Outpost24, die darauf ausgelegt ist, externe Bedrohungen für Ihr Unternehmen zu erfassen und Ihnen die nötigen Informationen zur Abwehr zur Verfügung zu stellen. Jedes Threat Compass-Modul wird von unserem erstklassigen internen Analystenteam, den KrakenLabs, unterstützt. Die Lösung hilft Unternehmen, gezielte Bedrohungen zu erkennen und die Reaktionszeit auf Vorfälle zu verkürzen.