Im März enthüllte große Cybersicherheitsbedrohungen 2025

Eugene Loaris

Nachricht

Marsch 2025 hat eine signifikante Entwicklung in der Cyber ​​-Bedrohungstaktik gesehen, Mit Ransomware -Gruppen, die neue Techniken einsetzen und deren Operationen erweitern. Sicherheitsforscher haben in diesem Monat mehrere Bedrohungen mit hoher Auswirkung identifiziert, einschließlich der Umstellung einer Unternehmensspionagegruppe zu Ransomware, Neue EDR -Ausweichmaschinenwerkzeuge, Anspruchsvolle Angriffe des Nationalstaates, und irreführende Phishing -Kampagnen, die sich gegen Unternehmen richten. Diese umfassende Analyse deckt die wichtigsten Entwicklungen im Bereich Cybersicherheit ab, über die Sicherheitsexperten und Unternehmen informiert sein sollten.

Große Cybersicherheitsbedrohungen – Marsch 2025 Große Cybersicherheitsbedrohungen – März 2025 Folgenabschätzung für verschiedene Sektoren Finanzdienstleistungen Gesundheitspflege Regierung Herstellung IT/MSP Hoch Medium Niedrig QWCrypt Ransomware EDRKillShifter Werkzeug SpatzTür Hintertür Gefälschte Datei Konverter Gefälschter Semrush Phishing

Quelle: Analysierte Daten von Acronis Threat Research Unit kombiniert mit Branchenfolgenabschätzungen

RedCurl entwickelt sich weiter: Corporate Espionage Group startet erste Ransomware-Kampagne mit QWCrypt

Im März 26, 2025, Sicherheitsforscher identifizierten die berüchtigte Hackergruppe RedCurl (auch bekannt als Earth Kapre und Red Wolf) ist von seinen traditionellen Unternehmensspionageaktivitäten zum ersten Mal auf den Einsatz von Ransomware umgestiegen. Dieser strategische Dreh- und Angelpunkt markiert eine bedeutende Weiterentwicklung der Taktik der Gruppe, Techniken, und Verfahren (TTPs).

Technische Analyse von QWCrypt Ransomware

Der neu identifizierte Ransomware-Stamm, namens QWCrypt, zielt speziell auf virtuelle Maschinen ab, Dies macht es besonders gefährlich für Unternehmen mit virtualisierter Infrastruktur. Die Angriffskette der Malware beginnt mit raffinierten Spear-Phishing-E-Mails, die Köder zum Thema HR enthalten. Diese E-Mails liefern bösartige PDFs und ISO-Dateien, die Malware über eine legitime ausführbare Adobe-Datei querladen, Ausnutzung vertrauenswürdiger Anwendungspfade, um der Entdeckung zu entgehen.

Angriffsphase Technische Details
Erster Zugriff Spear-Phishing-E-Mails mit HR-Ködern, die bösartige PDFs und ISO-Dateien enthalten
Ausführung Sideloading von Malware über eine legitime ausführbare Adobe-Datei
Beharrlichkeit Registrierungsänderungen und geplante Aufgaben, die mit Systemprivilegien erstellt wurden
Seitliche Bewegung Diebstahl von Anmeldedaten und Ausnutzung ungepatchter Schwachstellen
Auswirkungen Verschlüsselung virtueller Maschinen, ganze Infrastrukturen funktionsunfähig machen

Das Design der Ransomware scheint Elemente etablierter Gruppen wie LockBit und HardBit nachzuahmen, möglicherweise die Attributionsbemühungen verwirren. Vor allem, Forscher haben keine spezielle Leak-Site identifiziert, die mit diesen Angriffen in Zusammenhang steht, Es stellt sich die Frage, ob die Lösegeldforderung echt ist oder ob der Ransomware-Einsatz als Ablenkung von den traditionellen Spionageaktivitäten der Gruppe dient.

Ziele und geografische Verteilung

RedCurl hat in der Vergangenheit Organisationen in Kanada ins Visier genommen, Deutschland, Norwegen, das Vereinigte Königreich, und die Vereinigten Staaten. Die Verlagerung der Gruppe auf Ransomware-Operationen erweitert möglicherweise ihr Bedrohungsprofil von Datendiebstahl bis hin zu Betriebsunterbrechungen in diesen Regionen.

EDRKillShifter: Das Security Evasion Tool von RansomHub verbindet mehrere Cybercrime-Gruppen

In einer bedeutenden Entwicklung, die den ganzen März über verfolgt wurde, Sicherheitsforscher haben durch den Einsatz eines gemeinsamen Sicherheitsumgehungstools namens EDRKillShifter Verbindungen zwischen drei verschiedenen Cyberkriminalitätsgruppen entdeckt. Dieses Werkzeug, Ursprünglich für Partner des RansomHub Ransomware-as-a-Service entwickelt (RaaS) Betrieb, nutzt anfällige Treiber aus, um die Endpunkterkennung und -reaktion zu deaktivieren (EDR) Software.

Werkzeugfunktionen und technische Details

EDRKillShifter ist ein fortgeschrittener “Bringen Sie Ihren eigenen gefährdeten Fahrer mit” (BYOVD) Ansatz zur Deaktivierung von Sicherheitsmaßnahmen. Das Tool zielt auf legitime, aber anfällige Systemtreiber ab, Sie werden ausgenutzt, um Schutzmaßnahmen innerhalb des Betriebssystems außer Kraft zu setzen. Bei erfolgreicher Bereitstellung, Es macht Sicherheitstools effektiv für nachfolgende böswillige Aktivitäten blind.

Ein neu identifizierter Bedrohungsakteur, genannt QuadSwitcher, wurde bei der Verwendung von EDRKillShifter bei Angriffen beobachtet, die mehreren Ransomware-Gruppen zugeschrieben werden, einschließlich:

  • RansomHub
  • Spielen Sie Ransomware
  • Medusa-Ransomware
  • BianLian-Ransomware

Die Forscher bestätigten die Verbindung zwischen diesen Gruppen durch die Analyse gemeinsam genutzter EDRKillShifter-Beispiele und der Command-and-Control-Server-Infrastruktur, Demonstration, wie Tools über verschiedene Ransomware-Operationen hinweg gemeinsam genutzt werden.

Verteidigungsempfehlungen

Da diese Angriffe einen Administratorzugriff erfordern, Organisationen können mehrere vorbeugende Maßnahmen ergreifen:

  1. Implementieren Sie eine Fahrerblockliste für bekanntermaßen anfällige Fahrer
  2. Nutzen Sie zum Schutz die Treiberblocklistenfunktion von Windows Defender
  3. Überwachen Sie Treiberladeereignisse, insbesondere solche, die mit Tools von Drittanbietern verbunden sind
  4. Stellen Sie fortschrittliche EDR-Lösungen bereit, die Versuche erkennen können, Sicherheitssoftware zu deaktivieren
  5. Implementieren Sie strenge Zugriffskontrollen, um zu verhindern, dass Angreifer Administratorrechte erlangen

Der Aufstieg von EDR-Killern unterstreicht einen besorgniserregenden Trend bei Ransomware-Taktiken, Da sich Bedrohungsakteure kontinuierlich anpassen, um immer ausgefeiltere Sicherheitsmaßnahmen zu umgehen.

Die chinesische APT-Gruppe FamousSparrow entwickelt das Angriffs-Toolkit mit ShadowPad weiter

Sicherheitsforscher haben gezielte Angriffe gegen einen US-Amerikaner identifiziert. Handelsgruppe und ein mexikanisches Forschungsinstitut führten die chinesische fortgeschrittene anhaltende Bedrohung zurück (GEEIGNET) Gruppe FamousSparrow. Die Kampagne, erstmals Anfang März entdeckt 2025, beinhaltet den Einsatz der charakteristischen SparrowDoor-Hintertür der Gruppe zusammen mit der ShadowPad-Malware – was die erste beobachtete Instanz von FamousSparrow darstellt, die dieses spezielle Tool verwendet.

Technische Details des Angriffs

Die Analyse der Kampagne ergab zwei neue Versionen von SparrowDoor, einschließlich einer deutlich erweiterten modularen Variante mit verbesserten Befehlsausführungsmöglichkeiten. Der Angriffsablauf folgt einem für nationalstaatliche Akteure bekannten Muster:

  1. Erster Zugriff: Ausnutzung veralteter Schwachstellen in Windows Server und Microsoft Exchange Server
  2. Beharrlichkeit: Bereitstellung einer hochentwickelten Web-Shell zur Aufrechterhaltung des Zugriffs
  3. Nutzlastlieferung: Installation der SparrowDoor-Backdoor- und ShadowPad-Malware

Die modulare Version von SparrowDoor unterstützt mehrere erweiterte Funktionen, einschließlich:

  • Protokollierung von Tastenanschlägen zum Schutz vor Anmeldedatendiebstahl
  • Dateiübertragung zur Datenexfiltration
  • Prozessmanipulation zur Aufrechterhaltung der Tarnung
  • Remote-Desktop-Erfassung zur Erfassung visueller Informationen

ShadowPad, eine modulare Hintertür, die häufig mit staatlich geförderten chinesischen Bedrohungsakteuren in Verbindung gebracht wird, erweitert die Fähigkeiten von FamousSparrow erheblich, was eine mögliche Zusammenarbeit oder gemeinsame Nutzung von Tools zwischen chinesischen APT-Gruppen vorschlägt.

FBI-Warnung: Gefälschte Dateikonverter stehlen Informationen und verbreiten Ransomware

Die Außenstelle des FBI in Denver hat eine dringende Warnung herausgegeben, nachdem eine Zunahme von Berichten über gefälschte Online-Dokumentkonverter festgestellt wurde, die zum Diebstahl sensibler Informationen und zum Einsatz von Ransomware eingesetzt werden. Diese Warnung, herausgegeben im März 20, 2025, unterstreicht einen besorgniserregenden Trend, der sich sowohl an private als auch an geschäftliche Nutzer richtet.

Wie der Angriff funktioniert

Cyberkriminelle erstellen betrügerische Websites, die angeblich kostenlose Dienste zur Dokumentenkonvertierung anbieten, aber böswillige Absichten verbergen:

  1. Benutzer, die nach Tools zur Dokumentenkonvertierung suchen, stoßen auf diese Websites, oft über Google-Anzeigen beworben
  2. Die Websites erscheinen seriös und bieten möglicherweise tatsächlich die versprochene Konvertierungsfunktion
  3. Wenn Benutzer Dokumente zur Konvertierung hochladen, Die Websites extrahieren vertrauliche Informationen aus dem Dateiinhalt
  4. Die zurückgegebenen konvertierten Dateien enthalten eingebettete Malware, die einen Fernzugriff herstellt
  5. In schwereren Fällen, Ransomware wird eingesetzt, Verschlüsseln der Dateien des Opfers

Forscher haben mehrere Indikatoren identifiziert, die dabei helfen, diese betrügerischen Konverterseiten zu identifizieren:

Warnzeichen Einzelheiten
Domänenalter Wird normalerweise in der Vergangenheit registriert 30 Tage
Datenschutzrichtlinie Fehlende oder äußerst vage Informationen zum Datenschutz
Kontaktinformationen Keine legitimen Geschäftskontaktdaten
SSL-Zertifikat Häufig werden kostenlose Zertifikate mit minimaler Validierung verwendet
Website-Design Klon legitimer Dienste mit geringfügigen Änderungen

Die über diese Dienste bereitgestellte Malware kann eine Vielzahl vertraulicher Informationen extrahieren, inklusive Namen, Passwörter, Kryptowährungssamen, und Bankzugangsdaten, Dies führt zu erheblichen finanziellen Verlusten für die Opfer.

Verhinderung gefälschter Konverter-Angriffe

Zum Schutz vor diesen Bedrohungen, Das FBI empfiehlt mehrere vorbeugende Maßnahmen:

  • Nur etabliert verwenden, seriöse Dateikonvertierungstools und -dienste
  • Installieren Sie umfassende Sicherheitssoftware, die bösartige Websites identifizieren kann
  • Überprüfen Sie die Legitimität der Website, bevor Sie vertrauliche Dokumente hochladen
  • Erwägen Sie beim Umgang mit vertraulichen Informationen den Einsatz von Offline-Konvertierungstools
  • Sichern Sie wichtige Dateien regelmäßig, um eine Wiederherstellung im Falle eines Ransomware-Angriffs zu ermöglichen

Für Unternehmen und Privatpersonen, die bereits Opfer dieser Betrügereien geworden sind, eine Aufforderung Malware-Entfernungsprozess ist wichtig, um potenzielle Schäden zu begrenzen.

SEO-Experten im Visier einer raffinierten Phishing-Kampagne

Eine neu identifizierte Phishing-Kampagne zielt speziell auf SEO-Experten ab und nutzt gefälschte Semrush-Google-Anzeigen, um Anmeldeinformationen für Google-Konten zu stehlen. Semrush, eine beliebte SaaS-Plattform, die Tools für SEO bereitstellt, Online-Werbung, und Content-Marketing, wird in dieser sehr gezielten Kampagne nachgeahmt.

Details und Ziele der Kampagne

Sicherheitsanalysten gehen davon aus, dass eine brasilianische Bedrohungsgruppe hinter dieser Kampagne steckt, Dies zielt insbesondere darauf ab, Google Ads-Konten zu erfassen, um weitere Malvertising-Angriffe zu starten. Die Operation zeigt ein ausgefeiltes Verständnis des digitalen Marketing-Ökosystems:

  1. Angreifer erstellen überzeugende Phishing-Sites, die die Benutzeroberfläche von SEMrush nachahmen
  2. Diese Websites verwenden ähnliche Domänennamen wie SEMrush, jedoch mit unterschiedlichen Top-Level-Domänen
  3. Opfer werden gezwungen, sich über zu authentifizieren “Melden Sie sich mit Google an” Funktionalität
  4. Wenn Anmeldeinformationen eingegeben werden, Angreifer erhalten Zugriff auf das Google-Konto des Opfers
  5. Dieser Zugriff ermöglicht den Diebstahl sensibler Geschäftsdaten aus Google Analytics und der Google Search Console

In einer damit verbundenen Entwicklung, Eine weitere laufende Phishing-Kampagne nutzt gefälschte DeepSeek-Anzeigen in Google-Suchergebnissen, um den Trojaner Heracles MSIL zu verbreiten, eine informationsstehlende Malware, die es auf Kryptowährungs-Wallets abgesehen hat. Diese Kampagne nutzt gesponserte Google-Suchergebnisse, um Opfer auf bösartige Websites zu leiten, die den Infostealer verbreiten.

Auswirkungen und Prävention auf die Branche

Diese Phishing-Kampagnen verdeutlichen die zunehmende Natur gezielter Angriffe auf bestimmte Berufsgruppen. SEO- und digitale Marketingexperten sollten zusätzliche Sicherheitsmaßnahmen implementieren, einschließlich:

  • Aktivieren der Multi-Faktor-Authentifizierung für alle Google-Konten
  • Überprüfen Sie sorgfältig die URL der Anmeldeseiten, bevor Sie Anmeldeinformationen eingeben
  • Verwendung von Passwort-Managern mit Phishing-Erkennungsfunktionen
  • Skeptisch gegenüber Google Ads für Softwaredienste, selbst wenn sie ganz oben in den Suchergebnissen erscheinen
  • Durchführung unternehmensweiter Sicherheitsschulungen zu diesen spezifischen Bedrohungen

Organisationen sollten auch über die Umsetzung nachdenken umfassende Sicherheitslösungen das Phishing-Versuche und Malware-Downloads automatisch erkennen und blockieren kann.

Koordinierte Verteidigung: Reaktion auf die sich entwickelnde Bedrohungslandschaft

Wie diese Drohungen zeigen, Cyberkriminelle Taktiken entwickeln sich ständig weiter, was ihre Raffinesse und Wirkung angeht. Organisationen sollten einen mehrschichtigen Sicherheitsansatz verfolgen, der Folgendes umfasst::

  1. Schwachstellenmanagement: Pflegen Sie einen aktuellen Bestand an Systemen und führen Sie regelmäßige Patches durch, insbesondere für internetbasierte Anwendungen wie Microsoft Exchange.
  2. E-Mail-Sicherheit: Setzen Sie fortschrittliche E-Mail-Filterlösungen ein, um raffinierte Phishing-Versuche zu erkennen und zu blockieren, vor allem diejenigen, die HR-Köder verwenden.
  3. EDR/XDR-Lösungen: Implementieren Sie moderne Endpunktschutzplattformen, die Versuche zur Deaktivierung von Sicherheitstools erkennen und darauf reagieren können.
  4. Sicherheitsbewusstsein: Führen Sie regelmäßige Schulungen für Mitarbeiter durch, mit besonderem Fokus auf die Erkennung von Phishing-Versuchen und verdächtigen Websites.
  5. Planung der Reaktion auf Vorfälle: Entwickeln und testen Sie regelmäßig Verfahren zur Reaktion auf Vorfälle, um eine schnelle Eindämmung und Wiederherstellung im Falle einer Sicherheitsverletzung sicherzustellen.

Die Konvergenz von Ransomware-Operationen, Nationalstaatliche Taktiken, und gezielte Phishing-Kampagnen schaffen ein anspruchsvolles Sicherheitsumfeld, das Wachsamkeit und proaktive Abwehrmaßnahmen erfordert. Indem wir über neu auftretende Bedrohungen informiert bleiben und entsprechende Sicherheitskontrollen implementieren, Unternehmen können ihre Risikoexposition in dieser sich entwickelnden Landschaft reduzieren.

Für Einzelpersonen und Unternehmen, die über mögliche Infektionen besorgt sind, Erwägen Sie die Verwendung von Tools wie Trojaner-Entferner um nach Malware zu suchen und diese zu beseitigen, die Ihre Systeme möglicherweise bereits kompromittiert hat.

PUA:Win32/rdpwrap – Was zu tun?

Hinterlasse einen Kommentar