In den letzten Monaten haben wir gesehen, dass bestimmte Bands von Ransomware sich von bekannten Taktiken zu subtileren Methoden entwickelt und auf Social Engineering ausgerichtet. Eines der auffallendsten Beispiele kommt von LeakNet, einer Operation, die Ende 2024 erschien und nun seine Art des Zugriffs auf Netzwerke ändert: Statt sich so viel auf gestohlene Konten im Schwarzmarkt zu verlassen, setzt sie auf Tricks, die das Opfer dazu bringen, Befehle von ihrer eigenen Hand auszuführen.
Der Star-Mechanismus, den LeakNet realisiert hat, ist bekannt als Klicken Sie auf. Im Wesentlichen kompromittieren Angreifer legitime Websites und verwenden sie, um falsche Kontrollen - zum Beispiel CAPTCHA-Typ Verifikationen - zeigen, die den Benutzer dazu bewegen, einen Befehl in die Run Windows-Box zu kopieren und einzufügen. Dieser Befehl ruft in der Regel msiexec.exe auf, einen scheinbar harmlosen Installer zu starten, aber es löst tatsächlich eine Malware-Lastkette aus. Die Attraktion des Tricks ist doppelt: Vertrauen in legitime Seiten wird ausgenutzt und viele der Netzwerksignale, die den Verkehr von eigenen schädlichen Infrastrukturen erkennen würden, werden vermieden. ReliaQuest dokumentiert diese Änderung und ihre Analyse ist eine empfohlene Lesung für diejenigen, die die Technik vertiefen wollen ( Relia Bericht Quest)
Ein weiteres Schlüsselstück des Technologie-Puzzles ist die Aufnahme eines Loaders basierend auf Den Haag, die moderne Ausführung für JavaScript und TypeScript. Anstatt sichtbare Dateien auf dem Datenträger zu hinterlassen, wird der auf Base64 kodierte Loader direkt im Speicher abgelegt, kontaktiert externe Server, um spätere Stadien herunterzuladen und gibt einen Umfragezyklus ein, der es erlaubt, neue Anweisungen zu bringen, ohne zu viele persistente Beweise zu hinterlassen. Um Deno zu verstehen und warum Angreifer es als "Laufzeit" verwenden, bietet die offizielle Website Dokumentation und technische Details ( Deno.land)
Dieser Ansatz passt zu einer breiteren Strategie: Durch die Ausgabe von Intermediären, die den ersten Zugang verkaufen, reduziert LeakNet die Kosten pro Opfer und erhöht seine Skalenkapazität. Darüber hinaus, weil die Lieferung aus zuverlässigen, aber engagierten Seiten gemacht wird, haben Verteidigungen, die sich auf den Ruf traditioneller Domains oder Netzwerkmuster verlassen, weniger Platz, um Einbruch auf Zeit zu identifizieren. WatchGuard und andere Tracker haben bereits seit seinem Auftritt im November 2024 Aufzeichnungen von LeakNet gemacht ( Profil von WatchGuard)
Wenn der Schauspieler es schafft, seinen Code auszuführen, die Post-Operationskette, die ReliaQuest beschreibt, neigt dazu, sich zu wiederholen: der Loader startet eine bösartige DLL mittels DLL ide-loading, legitime Instrumente wie P.Exec um sich seitlich über das Netzwerk zu bewegen, werden aktive Anmeldeinformationen und Tickets mit Befehlen wie klinisch den Zugriff auf bestehende Dienste zu beschleunigen, und schließlich gefilterte Daten und verschlüsselte Systeme. Microsoft bietet Informationen über PsExec und seine legitime Verwendung, die helfen kann, kontextualisieren, warum dieses Tool attraktiv für Angreifer ist ( PsExec Dokumentation), und Microsoft selbst dokumentiert den klist Befehl, der verwendet wird, um Anmeldeinformationen ( klist in Microsoft-Dokumentation)
Das Exfiltrate erhält auch besondere Aufmerksamkeit: Anstelle der Verwendung von klar böswilligen Kanälen wurde LeakNet mit S3 Eimer um gestohlene Daten zu speichern, nutzen, dass der Verkehr zu Cloud-Diensten oft legitim erscheint und somit unbemerkt bleiben. Die besten Registrierungs- und Überwachungspraktiken in Amazon S3 sind daher ein wichtiger Verteidigungsfaktor ( Reiseführer für Amazon S3)
Nicht alle Intrusionen, von denen die Nachrichtenzentren sprechen, folgen genau dem gleichen ClickFix-Skript: ReliaQuest hat auch Versuche aufgenommen, in denen die Angreifer über Microsoft Teams Phishing benutzten, um Mitarbeiter zu täuschen und sie zu einer Reihe von Ladungen zu führen, die wieder auf einem Deno-basierten Ladegerät endeten. Diese Sorte schlägt zwei Möglichkeiten vor: entweder LeakNet hat sein Input-Vektor-Repertoire bewusst erweitert, oder die BYOR-Technik - "Erbringen Sie Ihre eigene Laufzeit", bringen Sie Ihre eigene Laufzeit - wird von anderen Gruppen übernommen. Unabhängig von der Urheberschaft zeigt das Ergebnis auf allgemeinere Beobachtungen des Ransomware-Panoramas: Laut Google Threat Intelligence Group bleiben Schwachstellen in VPNs und Firewalls eine häufige Ursache für den ersten Zugriff und Datendiebstahl in Ransomware-Vorfällen steigt ( Google-Bericht)
Für diejenigen, die Netzwerke verteidigen, ist die gute Nachricht, dass dieser Satz von Taktiken nicht völlig unauffindbar ist: Die LeakNet-Operation zeigt eine relativ konstante Nachkommitment-Sequenz, die konkrete Fenster zur Erkennung und Antwort öffnet, bevor Massenverschlüsselung auftritt. Überwachung ungewöhnlicher Prozesse, die msiexec starten. exe aus Web-Kontexten, die Identifizierung von Deno-Instanzen, die verdächtig laufen, die Überwachung von Seitenbewegungen mit PsExec und die Suche nach anomalen Zugriffen oder bis zu S3-Buckets sind Maßnahmen, die einen Unterschied machen können. Darüber hinaus bleibt die Benutzererziehung - so dass es keine Befehle, die Webseiten angeben, auch wenn sie verifiziert scheinen - eine kritische Verteidigungslinie.
Auf einer breiteren Ebene zeigt das Ökosystem der Ransomware kontrastierende Spannungen: zum einen die Widerstandsfähigkeit der Operationen und ihre kontinuierliche Anpassung; zum anderen bedeutet dies, dass die Gesamtrentabilität des Rettungsgeschäfts abnimmt, was einige Akteure dazu treibt, Ziele oder Taktiken zu ändern, um Volumen oder Effizienz zu maximieren. Aktuelle Marktanalysen und Vorfallreaktionen besprechen diese Dynamik und ihre Auswirkungen auf Erpressungstrends ( Coveware Analyse)
Wenn es einen praktischen Abschluss gibt, ist es, dass die Verteidigung muss sich an die Mischung aus hochentwickelten Social Engineering und legitime Werkzeuge für feindliche Zwecke wiederverwendet anpassen. Leak Nets Verschiebung auf ClickFix und Denos Gedächtnisausführung ist eine Erinnerung daran, dass die Sicherheit sowohl technisch als auch menschlich ist: Verstärkung von Konfigurationen, Anwenden von Patches in exponierter Infrastruktur, Segmentierung von Netzwerken, Vorsprechen und Alarmierung von anormalem Verhalten in Laufzeiten und Cloud-Diensten, und das Halten von Menschen über Betrugstaktiken sollte eine Priorität sein. Die Berichte ReliaQuest und Drago bieten Karten und Beispiele, die dazu beitragen, die Bedrohung in der Tiefe zu verstehen ( Drago Analyse)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Mini Shai-Hulud: der Angriff, der die Abhängigkeiten in Massenintrusionsvektoren verwandelte
Zusammenfassung des Vorfalls: GitHub untersucht unbefugten Zugriff auf interne Repositories, nachdem der als TeamPCP bekannte Schauspieler den angeblichen Quellcode und interne ...
Sicherheitsalert: CVE-2026-45829 stellt Chroma DB zur Remote-Code-Ausführung ohne Authentifizierung
Ein kritischer Fehler in der ChromaDB Python API - die beliebte Vektorbasis, die für die Wiederherstellung während der LLM-Inferenz verwendet wird - erlaubt nicht authentifizier...
Trapdoor: der Maldumping-Betrieb, der Android-Apps in eine automatische illegale Einkommensfabrik verwandelte
Cybersecurity-Forscher haben eine Operation von Maldumping und mobile Werbebetrug als benannt entdeckt Traptüre, die legitime Android-Anwendungseinrichtungen in eine automatisch...
Sicherheitsalarm: kritische Sicherheitslücken in SEPPMail können es Ihnen ermöglichen, E-Mails zu lesen und Remotecode auszuführen
Sicherheitsforscher haben im SEPPMail Secure E-Mail Gateway eine kritische Fehlerkette entdeckt, die gemeinsam das Lesen von E-Mails anderer Personen über die Ausführung von Rem...
Nx Console in check: Wie eine Produktivitätserweiterung zu einem Anmelde-Diebstahl und einer Bedrohung für die Lieferkette wurde
Ein an Entwickler gerichteter Angriff zeigte erneut die Fragilität der Software-Versorgungskette: Die Nx Console-Erweiterung für Editoren wie Visual Studio Code, mit mehr als 2,...