Cybersecurity-Forscher haben eine besorgniserregende Taktik identifiziert: Akteure in der Gruppe hinter der Ransomware bekannt als Crazy nutzen legitime Überwachungs- und Remote-Support-Tools, um auf Unternehmensnetzwerken zu bauen, gehen unbemerkt und bereiten sich auf die Freisetzung von Verschlüsselung. Diese Strategie wird im Detail von Huntres, kombiniert Mitarbeiter-Monitoring-Software mit Fernzugriff-Kunden, um einen doppelten Zugriffspfad zu schaffen, den das Opfer leicht mit normaler administrativer Aktivität verwechseln kann.
In mehreren analysierten Vorfällen haben die Angreifer das kommerzielle Produkt Net Monitor für professionelle Mitarbeiter eingesetzt, indem sie den Agenten mit dem Windows Installer (msiexec.exe) installieren und in einigen Fällen Komponenten direkt von der Website des Entwicklers herunterladen. Sobald Sie aktiv sind, können Sie den Desktop in Echtzeit anzeigen, Dateien verschieben und Remote-Befehle ausführen, die den Eindringlingen die interaktive Kontrolle sehr ähnlich wie ein legitimer Administrator bietet. Die Verwendung des offiziellen Installers erschwert die Erkennung, da die Signale den gültigen Installationen ähneln.
Als Redundanz brachten die Betreiber auch den SpleHelp-Tool-Client mit PowerShell-Befehlen ein, um die Binärdatei manchmal umzubenennen, um wie ein Teil von Visual Studio (z.B. vhost.exe) oder sogar als OneDrive-Service innerhalb von ProgramData (z.B. C:\\ Programm) zu aussehen. Daten\ OneDriveSvc\\ OneDriveSvc.exe). Die Angreifer haben diese alternative Nutzlast ausgeführt, auch wenn das Überwachungsmittel entfernt wurde.
Der Intrusionsrekord zeigt auch Versuche, lokale Privilegien zu erhöhen (z.B. durch Aktivierung des Administratorkontos mit dem net-Benutzer-Administrator / aktiven Befehl: ja) und Aktionen, um das native Antivirus zu schwächen, mit Versuchen, Dienste zu stoppen und zu löschen, die mit Windows Defender verbunden sind. Es identifizierte auch Alarmregeln, die in SimpleHelp konfiguriert wurden, um über Kryptomoneda-bezogene Aktivität zu warnen (Schlüsselwörter wie Metamask, Exodus, Geldbeutel, Etherscan, Bsccan, Binance u.a.) und Verbindungen über Remote Access Tools (RDP, AnyDesk, TeamViewer, VNC) zu überwachen. Diese Signale weisen darauf hin, dass die Angreifer nicht nur ansomware implementieren wollten, sondern auch Kryptoaktiv zu identifizieren und auszufiltern, wenn die Gelegenheit entstanden ist.
Die gleichzeitige Verwendung von mehreren entfernten Werkzeugen ermöglicht Eindringlinge Fehlertoleranz: Wird eine Zugangstür entdeckt oder blockiert, bleibt eine andere verfügbar. Huntress beobachtet technische Muster, die zwischen den Vorkommnissen geteilt werden - wie derselbe Dateiname (vhost.exe) und die sich überschneidende C2 -, was darauf hindeutet, dass ein einzelner Bediener oder eine Gruppe Komponenten in verschiedenen Opfern wiederverwendet hat. Das konkrete Ergebnis war zumindest eine Infektion mit der Crazy Ansomware, obwohl Taktiken in breiteren Kampagnen angewendet werden können.
Diese Art von Missbrauch ist nicht außergewöhnlich: Cyberkriminellen haben lange Gebrauch von legitimen Remote-Management-Tools genommen, weil sie weniger Alarm erzeugen und sind schwieriger vom tatsächlichen administrativen Verkehr zu unterscheiden. Die Verwendung von engagierten Anmeldeinformationen in SSL VPNs war der Einstiegspunkt in den untersuchten Fällen, der die Bedeutung der Sicherstellung des Fernzugriffs mit robusten Bedienelementen unterstreicht.
Was können Organisationen tun, um dieses Risiko zu reduzieren? Erstens reduziert die Anwendung der Multifaktor-Authentifizierung (MFA) auf alle Remote Access-Dienste und VPNs drastisch die Wahrscheinlichkeit, dass gestohlene Anmeldeinformationen ein anfängliches Engagement ermöglichen; es ist eine wiederkehrende Empfehlung in Cyber-Sicherheitsführern wie der US Cyber Security and Infrastructure Agency Stop Ransomware Initiative. Vereinigte Staaten (CISA) https: / / www.cisa.gov / stopransomware.
Aus technischer Sicht ist es angebracht, Steuerungen zu ermöglichen, die es schwierig machen, stille Software zu installieren und nicht autorisierte Skripte auszuführen: Anwendungssteuerungsmechanismen (AppLocker oder Windows Defender Application Control), Schutz vor Antiviren-Manipulation, und Richtlinien, die die Verwendung von msiexec und Download / Extraktion von PowerShell ohne Überwachung einschränken. Microsoft bietet praktische Dokumentation zum PowerShell-Schutz und zur Registrierung sowie zur Microsoft Defender Handle Protection Konfiguration https: / / learn.microsoft.com.
Telemetrie und Überwachung sind eine weitere kritische Verteidigungslinie: Sicherheitsteams sollten Remote Agent und Support-Einrichtungen (z.B. proaktive Suche nach verdächtigen Prozessen und Routen wie ProgramData\ OneDriveSvc\ OneDriveSvc.exe oder ausführbar mit unerwarteten Namen ähnlich vhost.exe) prüfen, die Protokolle für msiexec und PowerShell-Privilegien überprüfen und Alarme für Änderungen in Sicherheitseinstellungen oder anomale anzeigen. In diesen Kampagnen können gut konfigurierte EDR-Lösungen sowohl Verhaltens- als auch Verpflichtungsindikatoren erkennen.
Nicht weniger wichtig ist die Netzsegmentierung und die Einschränkung von Privilegien: separate kritische Vermögenswerte, Vermeidung der weit verbreiteten Nutzung von Konten mit persistenten lokalen Privilegien und regelmäßige Überprüfung des administrativen Zugangs. Durch die regelmäßige, isolierte und verifizierte Sicherung können Sie die Operationen nach einem Ransomware-Angriff wiederherstellen, ohne zu erpressen.
Um die Tools, die die Angreifer nutzen, besser zu verstehen, kann die Website des SpleHelp-Anbieters konsultiert werden. http://www.simplehelp.com / und der Net Monitor des Entwicklers für Mitarbeiter http://www.netmonitsoft.com/. Die Forschung von Huntress sammelt technische Details und Beispiele der Telemetrie, die dazu beitragen können, Teams in ihren Umgebungen nach ähnlichen Mustern zu suchen: Huntress Bericht.
Kurz gesagt, der Missbrauch von legitimer Software erfordert einen Gedankenwechsel: Es ist nicht mehr genug, "malicious"-Tools auf schwarzen Listen zu blockieren; es ist notwendig, die legitime Verwendung von administrativen Tools zu überwachen, die Zugriffskontrollen zu verschärfen und die Sichtbarkeit zu erhöhen, um zu erkennen, wann diese Gewinne für schädliche Zwecke verwendet werden. Die Kombination von präventiven Maßnahmen - MFA, Anwendungssteuerung, Segmentierung und Backup - mit schneller Erkennungs- und Antwortkapazität ist die beste Verteidigung gegen diese zunehmenden Stealth-Operationen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...