Større cybersikkerhedstrusler afsløret i marts 2025

Eugene Loaris

Nyheder

marts 2025 har set en betydelig udvikling i cybertrusseltaktikker, med ransomware -grupper, der vedtager nye teknikker og udvider deres operationer. Sikkerhedsforskere har identificeret flere trusler med stor indflydelse denne måned, inklusive en virksomhedsspionagegruppes skift til ransomware, Nye EDR -unddragelsesværktøjer, Sofistikerede nationalstatsangreb, og vildledende phishing -kampagner, der er rettet mod virksomheder. Denne omfattende analyse dækker de vigtigste cybersikkerhedsudviklinger, som sikkerhedsprofessionelle og virksomheder bør være opmærksomme på.

Store cybersikkerhedstrusler – marts 2025 Store cybersikkerhedstrusler – marts 2025 Konsekvensanalyse på tværs af forskellige sektorer Finansielle tjenester Sundhedspleje Regering Fremstilling IT/MSP Høj Medium Lav QWCrypt Ransomware EDRillShifter Værktøj SparrowDoor Bagdør Falsk fil Konvertere Falske Semrush Phishing

Kilde: Analyserede data fra Acronis Threat Research Unit kombineret med industrikonsekvensvurderinger

RedCurl udvikler sig: Corporate Espionage Group lancerer første Ransomware-kampagne med QWCrypt

I marts 26, 2025, sikkerhedsforskere identificerede, at den berygtede hackergruppe RedCurl (også kendt som Earth Kapre og Red Wolf) har skiftet fra sine traditionelle virksomhedsspionageaktiviteter til at implementere ransomware for første gang. Dette strategiske omdrejningspunkt markerer en betydelig udvikling i gruppens taktik, teknikker, og procedurer (TTP'er).

Teknisk analyse af QWCrypt Ransomware

Den nyligt identificerede ransomware-stamme, kaldet QWCrypt, er specifikt rettet mod virtuelle maskiner, gør det særligt farligt for organisationer med virtualiseret infrastruktur. Malwarens angrebskæde begynder med sofistikerede spear-phishing-e-mails, der indeholder HR-tema lokker. Disse e-mails leverer ondsindede PDF'er og ISO-filer, der sideloader malware gennem en legitim Adobe-eksekverbar, udnytte pålidelige applikationsstier for at undgå registrering.

Angrebsfase Tekniske detaljer
Indledende adgang Spyd-phishing-e-mails med lokker med HR-tema, der indeholder ondsindede PDF'er og ISO-filer
Udførelse Sideindlæsning af malware gennem legitim Adobe eksekverbar
Udholdenhed Registreringsændringer og planlagte opgaver oprettet med systemrettigheder
Sidebevægelse Legitimationstyveri og udnyttelse af uoprettede sårbarheder
Indvirkning Kryptering af virtuelle maskiner, gør hele infrastrukturen ubrugelig

Ransomwares design ser ud til at efterligne elementer fra etablerede grupper som LockBit og HardBit, potentielt forvirre tilskrivningsbestræbelser. Især, forskere har ikke identificeret et dedikeret lækagested i forbindelse med disse angreb, rejser spørgsmål om, hvorvidt kravet om løsepenge er ægte, eller om ransomware-implementeringen tjener som en distraktion fra gruppens traditionelle spionageaktiviteter.

Mål og geografisk fordeling

RedCurl har historisk målrettet organisationer i Canada, Tyskland, Norge, Det Forenede Kongerige, og USA. Gruppens skift til ransomware-operationer udvider potentielt dens trusselsprofil fra datatyveri til driftsforstyrrelser på tværs af disse regioner.

EDRillShifter: RansomHubs sikkerhedsunddragelsesværktøj forbinder flere cyberkriminalitetsgrupper

I en betydelig udvikling sporet gennem hele marts, sikkerhedsforskere har opdaget forbindelser mellem tre separate cyberkriminalitetsgrupper gennem deres brug af et fælles sikkerhedsunddragelsesværktøj kaldet EDRKillShifter. Dette værktøj, oprindeligt udviklet til datterselskaber af RansomHub ransomware-as-a-service (RaaS) operation, udnytter sårbare drivere til at deaktivere slutpunktsdetektion og respons (EDR) software.

Værktøjsfunktioner og tekniske detaljer

EDRillShifter repræsenterer en avanceret “medbring din egen sårbare chauffør” (BYOVD) tilgang til at deaktivere sikkerhedsforsvar. Værktøjet er rettet mod legitime, men sårbare systemdrivere, udnytter dem til at lukke beskyttelsesforanstaltninger i operativsystemet. Når den er implementeret med succes, det blinder effektivt sikkerhedsværktøjer for efterfølgende ondsindede aktiviteter.

En nyligt identificeret trusselsaktør, døbt QuadSwitcher, er blevet observeret ved hjælp af EDRKillShifter i angreb, der tilskrives flere ransomware-grupper, inklusive:

  • RansomHub
  • Spil ransomware
  • Medusa ransomware
  • BianLian ransomware

Forskere bekræftede forbindelsen mellem disse grupper ved at analysere delte EDRKillShifter-prøver og kommando-og-kontrol-serverinfrastruktur, demonstrerer, hvordan værktøj deles på tværs af forskellige ransomware-operationer.

Forsvarets anbefalinger

Da disse angreb kræver administrativ adgang, organisationer kan implementere flere forebyggende foranstaltninger:

  1. Implementer blokering af drivere for kendte sårbare drivere
  2. Brug Windows Defenders bloklistefunktion for drivere til beskyttelse
  3. Overvåg for driverindlæsningshændelser, især dem, der er forbundet med tredjepartsværktøjer
  4. Implementer avancerede EDR-løsninger, der kan registrere forsøg på at deaktivere sikkerhedssoftware
  5. Implementer stærke adgangskontroller for at forhindre angribere i at få administrative rettigheder

Stigningen af ​​EDR-mordere fremhæver en bekymrende tendens i ransomware-taktik, da trusselsaktører løbende tilpasser sig for at omgå stadigt mere sofistikerede sikkerhedsforsvar.

Kinesisk APT Group FamousSparrow udvikler angrebsværktøjssæt med ShadowPad

Sikkerhedsforskere har identificeret målrettede angreb mod en amerikansk. handelsgruppe og et mexicansk forskningsinstitut tilskrevet den kinesiske avancerede vedvarende trussel (APT) gruppe FamousSparrow. Kampagnen, først opdaget i begyndelsen af ​​marts 2025, involverer udrulning af gruppens signatur SparrowDoor-bagdør sammen med ShadowPad malware - markerer den første observerede forekomst af FamousSparrow ved hjælp af dette særlige værktøj.

Tekniske detaljer om angrebet

Analyse af kampagnen afslørede to nye versioner af SparrowDoor, inklusive en væsentligt forbedret modulær variant med forbedrede kommandoudførelsesmuligheder. Angrebssekvensen følger et velkendt mønster for nationalstatsaktører:

  1. Indledende adgang: Udnyttelse af forældede Windows Server og Microsoft Exchange Server sårbarheder
  2. Udholdenhed: Implementering af en sofistikeret web-shell til opretholdelse af adgang
  3. Nyttelast levering: Installation af SparrowDoor bagdør og ShadowPad malware

Den modulære version af SparrowDoor understøtter flere avancerede funktioner, inklusive:

  • Tastaturlogning for legitimationstyveri
  • Filoverførsel til dataeksfiltrering
  • Procesmanipulation for at bevare stealth
  • Remote desktop capture til indsamling af visuel intelligens

ShadowPad, en modulær bagdør, der almindeligvis forbindes med kinesiske statssponsorerede trusselsaktører, udvider FamousSparrows muligheder markant, foreslår potentielt samarbejde eller værktøjsdeling mellem kinesiske APT-grupper.

FBI advarsel: Falske filkonverterere, der stjæler oplysninger og implementerer ransomware

FBI Denver feltkontor har udstedt en presserende advarsel efter at have observeret en stigning i rapporter om falske online dokumentkonverterere, der bliver brugt til at stjæle følsomme oplysninger og implementere ransomware. Denne advarsel, udsendt i marts 20, 2025, fremhæver en bekymrende trend målrettet både personlige og forretningsbrugere.

Hvordan angrebet fungerer

Cyberkriminelle skaber vildledende websteder, der hævder at tilbyde gratis dokumentkonverteringstjenester, men skjuler ondsindede hensigter:

  1. Brugere, der søger efter værktøjer til dokumentkonvertering, støder på disse websteder, ofte promoveret gennem Google-annoncer
  2. Webstederne fremstår legitime og kan faktisk levere den lovede konverteringsfunktionalitet
  3. Når brugere uploader dokumenter til konvertering, webstederne udtrækker følsomme oplysninger fra filens indhold
  4. De returnerede konverterede filer indeholder indlejret malware, der etablerer fjernadgang
  5. I mere alvorlige tilfælde, ransomware er implementeret, kryptering af ofrets filer

Forskere har identificeret flere indikatorer, der hjælper med at identificere disse svigagtige konverterwebsteder:

Advarselsskilt detaljer
Domæne Alder Typisk registreret inden for fortiden 30 dage
Fortrolighedspolitik Manglende eller ekstremt vage privatlivsoplysninger
Kontaktoplysninger Ingen legitime forretningskontaktoplysninger
SSL-certifikat Bruger ofte gratis certifikater med minimal validering
Hjemmeside design Kloning af lovlige tjenester med mindre ændringer

Den malware, der leveres gennem disse tjenester, kan udtrække en bred vifte af følsomme oplysninger, herunder navne, adgangskoder, cryptocurrency frø, og bankoplysninger, fører til betydelige økonomiske tab for ofrene.

Forebyggelse af falske konverterangreb

For at beskytte mod disse trusler, FBI anbefaler flere forebyggende foranstaltninger:

  • Brug kun etableret, velrenommerede filkonverteringsværktøjer og -tjenester
  • Installer omfattende sikkerhedssoftware, der kan identificere ondsindede websteder
  • Bekræft webstedets legitimitet, før du uploader følsomme dokumenter
  • Overvej at bruge offlinekonverteringsværktøjer, når du håndterer følsomme oplysninger
  • Sikkerhedskopier regelmæssigt kritiske filer for at aktivere gendannelse i tilfælde af ransomware-angreb

For virksomheder og enkeltpersoner, der allerede er blevet ofre for disse svindelnumre, en prompt proces til fjernelse af malware er afgørende for at afbøde potentielle skader.

SEO-professionelle målrettet af sofistikeret phishing-kampagne

En nyligt identificeret phishing-kampagne er specifikt målrettet SEO-professionelle, der bruger falske Semrush Google Ads designet til at stjæle Google-kontooplysninger. Semrush, en populær SaaS-platform med værktøjer til SEO, online annoncering, og content marketing, bliver efterlignet i denne meget målrettede kampagne.

Kampagnedetaljer og -mål

Sikkerhedsanalytikere mener, at en brasiliansk trusselsgruppe står bag denne kampagne, som specifikt har til formål at fange Google Ads-konti for at lancere yderligere malvertising-angreb. Operationen demonstrerer en sofistikeret forståelse af det digitale marketingøkosystem:

  1. Angribere skaber overbevisende phishing-websteder, der efterligner Semrushs grænseflade
  2. Disse websteder bruger domænenavne, der ligner Semrush, men med forskellige topdomæner
  3. Ofre er tvunget til at autentificere via “Log ind med Google” funktionalitet
  4. Når legitimationsoplysninger er indtastet, angribere får adgang til ofrets Google-konto
  5. Denne adgang muliggør tyveri af følsomme virksomhedsdata fra Google Analytics og Google Search Console

I en beslægtet udvikling, en anden igangværende phishing-kampagne udnytter falske DeepSeek-annoncer i Googles søgeresultater til at levere Heracles MSIL Trojan, en informationstjælende malware rettet mod cryptocurrency-punge. Denne kampagne bruger sponsorerede Google-søgeresultater til at dirigere ofre til ondsindede websteder, der distribuerer infotyveren.

Industripåvirkning og forebyggelse

Disse phishing-kampagner fremhæver den udviklende karakter af målrettede angreb mod specifikke faggrupper. SEO og digital marketing fagfolk bør implementere yderligere sikkerhedsforanstaltninger, inklusive:

  • Aktivering af multifaktorgodkendelse på alle Google-konti
  • Omhyggeligt verificere URL'en på login-sider, før du indtaster legitimationsoplysninger
  • Brug af adgangskodeadministratorer med phishing-detektionsfunktioner
  • At være skeptisk over for Google Ads til softwaretjenester, selv når de vises øverst i søgeresultaterne
  • Implementering af virksomhedsomspændende sikkerhedsbevidsthedstræning om disse specifikke trusler

Organisationer bør også overveje at implementere omfattende sikkerhedsløsninger der kan registrere og blokere phishing-forsøg og malware-downloads automatisk.

Koordineret forsvar: Reagerer på det udviklende trussellandskab

Som disse trusler viser, cyberkriminelle taktikker fortsætter med at udvikle sig i sofistikering og gennemslagskraft. Organisationer bør anvende en flerlags sikkerhedstilgang, der inkluderer:

  1. Sårbarhedshåndtering: Oprethold en opdateret fortegnelse over systemer og implementer regelmæssig patching, især til internetvendte applikationer som Microsoft Exchange.
  2. E-mail sikkerhed: Implementer avancerede e-mail-filtreringsløsninger for at opdage og blokere sofistikerede phishing-forsøg, især dem, der bruger HR-tema lokker.
  3. EDR/XDR-løsninger: Implementer moderne endpoint-beskyttelsesplatforme, der kan registrere og reagere på forsøg på at deaktivere sikkerhedsværktøjer.
  4. Sikkerhedsbevidsthed: Gennemføre regelmæssig træning af medarbejdere, med særligt fokus på genkendelse af phishing-forsøg og mistænkelige hjemmesider.
  5. Incident Response Planning: Udvikle og test regelmæssigt hændelsesresponsprocedurer for at sikre hurtig indeslutning og genopretning i tilfælde af et sikkerhedsbrud.

Konvergensen af ​​ransomware-operationer, nationalstats taktik, og målrettede phishing-kampagner skaber et udfordrende sikkerhedsmiljø, der kræver årvågenhed og proaktive forsvarsforanstaltninger. Ved at holde sig informeret om nye trusler og implementere passende sikkerhedskontroller, organisationer kan reducere deres risikoeksponering i dette landskab under udvikling.

For enkeltpersoner og virksomheder bekymret over potentielle infektioner, overveje at bruge værktøjer som f.eks Trojanske fjerner at scanne efter og eliminere malware, der måske allerede har kompromitteret dine systemer.

PUA:Win32/rdpwrap – Hvad skal man gøre?

Efterlad en kommentar