Grote cybersecurity -bedreigingen onthulden in maart 2025

Eugène Loaris

Nieuws

Maart 2025 heeft een belangrijke evolutie gezien in tactieken van cyberdreigingen, met ransomware -groepen die nieuwe technieken aannemen en hun activiteiten uitbreiden. Beveiligingsonderzoekers hebben deze maand verschillende bedreigingen met een hoge impact geïdentificeerd, inclusief de verschuiving van een bedrijfsspionage -groep naar ransomware, Nieuwe EDR -ontwijkingstools, geavanceerde natiestaataanvallen, en misleidende phishing -campagnes gericht op bedrijven. Deze uitgebreide analyse omvat de belangrijkste ontwikkelingen van cybersecurity waar beveiligingsprofessionals en bedrijven zich van moeten bewust zijn.

Grote cybersecurity -bedreigingen – Maart 2025 Grote cybersecurity -bedreigingen – Maart 2025 Impactbeoordeling in verschillende sectoren Financiële diensten Gezondheidszorg Regering Fabricage IT/MSP Hoog Medium Laag Qwcrypt Ransomware EDRKILLSHIFTER Hulpmiddel Sparrowdoor Achterdeur Nepbestand Converters Nep semrush Phishing

Bron: Gegevens geanalyseerd van Acronis Dreiging Research Unit Gecombineerd met industrie -impactbeoordelingen

Redcurl evolueert: Corporate Espionage Group lanceert de eerste ransomware -campagne met QWCrypt

In maart 26, 2025, Beveiligingsonderzoekers identificeerden dat de beruchte hackgroep Redcurl (Ook bekend als Earth Kapre en Red Wolf) is verschoven van zijn traditionele bedrijfsspionage -activiteiten om voor het eerst ransomware te implementeren. Deze strategische pivot markeert een belangrijke evolutie in de tactiek van de groep, technieken, en procedures (TTPS).

Technische analyse van QWCrypt -ransomware

De nieuw geïdentificeerde ransomware -stam, genaamd QwCrypt, Specifiek gericht op virtuele machines, het bijzonder gevaarlijk maken voor organisaties met gevirtualiseerde infrastructuur. De aanvalsketen van de malware begint met geavanceerde speer-phishing-e-mails met kunstaas met HR-thema. Deze e -mails leveren kwaadaardige PDF's en ISO -bestanden die malware sideload via een legitiem uitvoerbaar adobe, Het benutten van vertrouwde toepassingspaden om detectie te ontwijken.

Aanvalsfase Technische details
Eerste toegang Speer-phishing-e-mails met kunstaas met HR-thema met kwaadaardige PDF's en ISO-bestanden
Uitvoering Sideloading malware via legitiem Adobe uitvoerbaar bestand
Vasthoudendheid Registeraanpassingen en geplande taken gemaakt met systeemrechten
Zijbeweging Diefstal van de referentie en exploitatie van niet -gepatchte kwetsbaarheden
Invloed Codering van virtuele machines, hele infrastructuren onbruikbaar maken

Het ontwerp van de ransomware lijkt elementen na te bootsen van gevestigde groepen zoals Lockbit en Hardbit, mogelijk om attributie -inspanningen te verwarren. Opmerkelijk, Onderzoekers hebben geen speciale leksite geïdentificeerd die aan deze aanvallen is gekoppeld, Vragen oproepen over de vraag of de losgeld echt is of dat de ransomware -implementatie dient als afleiding van de traditionele spionage -activiteiten van de groep.

Doelen en geografische verdeling

Redcurl heeft historisch gericht op organisaties in Canada, Duitsland, Noorwegen, het Verenigd Koninkrijk, en de Verenigde Staten. De verschuiving van de groep naar ransomware -bewerkingen breidt mogelijk zijn dreigingsprofiel uit van gegevensdiefstal naar operationele verstoring in deze regio's.

EDRKILLSHIFTER: Ransomhub's Security Dising Tool koppelt meerdere cybercriminaliteitsgroepen

In een belangrijke ontwikkeling die in maart wordt gevolgd, Beveiligingsonderzoekers hebben verbindingen ontdekt tussen drie afzonderlijke cybercriminaliteitsgroepen door hun gebruik van een gemeenschappelijke hulpmiddelen voor beveiligingsontduiking genaamd EDRKILLSHIFTER. Deze tool, Oorspronkelijk ontwikkeld voor gelieerde ondernemingen van de ransomhub ransomware-as-a-service (Raas) werking, Gebruikt kwetsbare stuurprogramma's om eindpuntdetectie en respons uit te schakelen (EDR) software.

Toolmogelijkheden en technische details

Edrkillshifter vertegenwoordigt een geavanceerde “Neem uw eigen kwetsbare bestuurder mee” (Byovd) aanpak om beveiligingsverdediging uit te schakelen. De tool richt zich op legitieme maar kwetsbare systeemdrivers, exploiteren om beschermende maatregelen binnen het besturingssysteem te sluiten. Wanneer met succes ingezet, Het verblijft effectief beveiligingstools voor latere kwaadaardige activiteiten.

Een nieuw geïdentificeerde dreigingsacteur, nagesynchroniseerd Quadswitcher, is waargenomen met behulp van EDRKillShifter in aanvallen die worden toegeschreven aan meerdere ransomware -groepen, inbegrepen:

  • Ransomhub
  • Speel ransomware
  • Medusa -ransomware
  • Bianlian ransomware

Onderzoekers bevestigden het verband tussen deze groepen door gedeelde EDRKillshifter-monsters en command-and-control serverinfrastructuur te analyseren, Toon aan hoe tooling wordt gedeeld tijdens verschillende ransomware -bewerkingen.

Defensieaanbevelingen

Aangezien deze aanvallen administratieve toegang vereisen, Organisaties kunnen verschillende preventieve maatregelen implementeren:

  1. Implementeer driverblokkeerlijst voor bekende kwetsbare stuurprogramma's
  2. Gebruik de Blocklist -functie van Windows Defender voor bescherming voor bescherming
  3. Monitor voor het laden van bestuurders voor het laden van bestuurders, vooral die geassocieerd met tools van derden
  4. Geavanceerde EDR -oplossingen implementeren die pogingen kunnen detecteren om beveiligingssoftware uit te schakelen
  5. Implementeer sterke toegangscontroles om te voorkomen dat aanvallers administratieve voorrechten krijgen

De opkomst van EDR -moordenaars benadrukt een betreffende trend in ransomware -tactiek, Als dreigingsactoren zich voortdurend aanpassen aan omzeiler worden steeds geavanceerde beveiligingsverdediging.

Chinese Apt Group FamousSparrow evolueert Attack Toolkit met ShadowPad

Beveiligingsonderzoekers hebben gerichte aanvallen op een VS geïdentificeerd. Handelsgroep en een Mexicaans onderzoeksinstituut toegeschreven aan de Chinese geavanceerde aanhoudende dreiging (Toepasselijk) Group FamousSparrow. De campagne, Eerst gedetecteerd begin maart 2025, omvat de implementatie van de kenmerkende sparrowdoor -achterdeur van de groep naast ShadowPad -malware - het markeren van het eerste waargenomen exemplaar van FamousSparrow met behulp van deze specifieke tool.

Technische details van de aanval

Analyse van de campagne onthulde twee nieuwe versies van Sparrowdoor, inclusief een aanzienlijk verbeterde modulaire variant met verbeterde opdrachtuitvoeringsmogelijkheden. De aanvalsreeks volgt een bekend patroon voor natiestatenacteurs:

  1. Eerste toegang: Exploitatie van verouderde Windows Server en Microsoft Exchange Server kwetsbaarheden
  2. Vasthoudendheid: Implementatie van een geavanceerde webshell voor het handhaven van toegang
  3. Payload levering: Installatie van Sparrowdoor Backdoor en Shadowpad Malware

De modulaire versie van Sparrowdoor ondersteunt meerdere geavanceerde mogelijkheden, inbegrepen:

  • Toetsaanslag logboekregistratie voor diefstal van referentie
  • Bestandsoverdracht voor gegevens -exfiltratie
  • Verwerk manipulatie om stealth te behouden
  • Remote Desktop Capture voor het verzamelen van visuele intelligentie

Schaduwpad, Een modulaire achterdeur die vaak wordt geassocieerd met Chinese door de staat gesponsorde dreigingsacteurs, Breidt de mogelijkheden van FamousSparrow aanzienlijk uit, suggereren potentiële samenwerking of toolsuitwisseling tussen Chinese APT-groepen.

FBI -waarschuwing: Fake -bestandsconverters stelen informatie en het implementeren van ransomware

Het FBI Denver Field Office heeft een dringende waarschuwing uitgegeven na het observeren van een toename van meldingen van nep online documentconverters die worden gebruikt om gevoelige informatie te stelen en ransomware te implementeren. Deze waarschuwing, uitgegeven in maart 20, 2025, belicht een betreffende trend die zich richt op zowel persoonlijke als zakelijke gebruikers.

Hoe de aanval werkt

Cybercriminelen creëren misleidende websites die beweren gratis documentconversiediensten te bieden, maar verbergen kwaadaardige bedoelingen:

  1. Gebruikers die op zoek zijn naar documentconversiehulpmiddelen die deze sites tegenkomen, vaak gepromoot via Google -advertenties
  2. De sites lijken legitiem en kunnen eigenlijk de beloofde conversiefunctionaliteit bieden
  3. Wanneer gebruikers documenten uploaden voor conversie, De sites halen gevoelige informatie uit de bestandsinhoud
  4. De geretourneerde geconverteerde bestanden bevatten ingebedde malware die externe toegang tot stand brengt
  5. In meer ernstige gevallen, Ransomware wordt geïmplementeerd, De bestanden van het slachtoffer coderen

Onderzoekers hebben meerdere indicatoren geïdentificeerd die helpen deze frauduleuze converter -sites te identificeren:

Waarschuwingsbord Details
Domeintijdperk Meestal geregistreerd in het verleden 30 dagen
Privacybeleid Ontbrekende of extreem vage privacy -informatie
Contactgegevens Geen legitieme zakelijke contactgegevens
SSL -certificaat Vaak gebruik van gratis certificaten met minimale validatie
Website -ontwerp Kloon van legitieme diensten met kleine wijzigingen

De malware die via deze services wordt geleverd, kunnen een breed scala aan gevoelige informatie extraheren, inclusief namen, wachtwoorden, Cryptocurrency -zaden, en bankreferenties, wat leidt tot aanzienlijke financiële verliezen voor slachtoffers.

Het voorkomen van nep -converteraanvallen

Om te beschermen tegen deze bedreigingen, De FBI beveelt verschillende preventieve maatregelen aan:

  • Gebruik alleen vastgesteld, Gerenommeerde tools en services voor bestandsconversie
  • Installeer uitgebreide beveiligingssoftware die kwaadaardige websites kan identificeren
  • Controleer de legitimiteit van de website voordat u gevoelige documenten uploadt
  • Overweeg om offline conversietools te gebruiken bij het verwerken van gevoelige informatie
  • Regelmatig back -up van kritieke bestanden om herstel mogelijk te maken in geval van ransomware -aanval

Voor bedrijven en personen die al het slachtoffer zijn geworden van deze oplichting, een prompt Malware -verwijderingsproces is essentieel om potentiële schade te verminderen.

SEO -professionals gericht op een verfijnde phishing -campagne

Een nieuw geïdentificeerde phishing -campagne is specifiek gericht op SEO -professionals met behulp van nep -semrush Google -advertenties die zijn ontworpen om Google Account -referenties te stelen. Semrus, Een populair SaaS -platform dat tools biedt voor SEO, Online advertenties, en contentmarketing, wordt aangesloten in deze zeer gerichte campagne.

Campagnedetails en doelstellingen

Beveiligingsanalisten geloven dat een Braziliaanse dreigingsgroep achter deze campagne zit, Die specifiek is bedoeld om Google ADS -accounts vast te leggen voor het lanceren van verdere malvertiserende aanvallen. De operatie toont een geavanceerd begrip van het digitale marketingecosysteem:

  1. Aanvallers creëren overtuigende phishing -sites die de interface van Semrush nabootsen
  2. Deze sites gebruiken domeinnamen vergelijkbaar met semrush maar met verschillende domeinen op het hoogste niveau
  3. Slachtoffers worden gedwongen te verifiëren via “Log in met Google” functionaliteit
  4. Wanneer inloggegevens worden ingevoerd, Aanvallers krijgen toegang tot het Google -account van het slachtoffer
  5. Deze toegang maakt de diefstal mogelijk van gevoelige bedrijfsgegevens van Google Analytics en Google Search Console

In een gerelateerde ontwikkeling, Een andere lopende phishing -campagne is het benutten van nep -diepe advertenties in Google -zoekresultaten om de Heracles Msil Trojan te leveren, Een informatie-stelen malware gericht op cryptocurrency-portefeuilles. Deze campagne maakt gebruik van gesponsorde Google -zoekresultaten om slachtoffers te sturen naar kwaadaardige websites die de infostealer distribueren.

Impact en preventie uit de industrie

Deze phishing -campagnes benadrukken het zich ontwikkelende karakter van gerichte aanvallen op specifieke professionele groepen. SEO- en digitale marketingprofessionals moeten extra beveiligingsmaatregelen implementeren, inbegrepen:

  • Multi-factor authenticatie inschakelen op alle Google-accounts
  • Verifieer zorgvuldig de URL van inlogpagina's voordat u inloggegevens invoert
  • Wachtwoordbeheerders gebruiken met phishing -detectiemogelijkheden
  • Sceptisch zijn over Google -advertenties voor softwareservices, Zelfs als ze bovenaan zoekresultaten verschijnen
  • Het implementeren van bedrijfsbrede training voor beveiligingsbewustzijn over deze specifieke bedreigingen

Organisaties moeten ook overwegen om te implementeren Uitgebreide beveiligingsoplossingen die phishing -pogingen en malware -downloads automatisch kunnen detecteren en blokkeren.

Gecoördineerde verdediging: Reageren op het evoluerende landschap van de dreiging

Zoals deze bedreigingen aantonen, Cybercriminale tactieken blijven evolueren in verfijning en impact. Organisaties moeten een meerlagige beveiligingsbenadering volgen die omvat:

  1. Kwetsbaarheidsbeheer: Handhaaf een up-to-date inventaris van systemen en implementeer regelmatig patchen, met name voor op internet gerichte applicaties zoals Microsoft Exchange.
  2. E -mailbeveiliging: Implementeer geavanceerde e -mailfilteroplossingen om geavanceerde phishing -pogingen te detecteren en te blokkeren, vooral degenen die kunstaas met HR-thema gebruiken.
  3. EDR/XDR -oplossingen: Implementeer moderne eindpuntbeschermingsplatforms die pogingen kunnen detecteren en reageren op pogingen om beveiligingstools uit te schakelen.
  4. Beveiligingsbewustzijn: Voer regelmatige training uit voor werknemers, Met speciale focus op het herkennen van phishing -pogingen en verdachte websites.
  5. Incidentresponsplanning: Ontwikkel en test regelmatig de procedures voor incidentresponsprocedures om te zorgen voor een snelle insluiting en herstel in het geval van een inbreuk op de beveiliging.

De convergentie van ransomware -bewerkingen, natiestaatstactiek, en gerichte phishing -campagnes creëren een uitdagende beveiligingsomgeving die waakzaamheid en proactieve defensiemaatregelen vereist. Door op de hoogte te blijven van opkomende bedreigingen en het uitvoeren van passende beveiligingscontroles, Organisaties kunnen hun risicoblootstelling in dit evoluerende landschap verminderen.

Voor personen en bedrijven die zich zorgen maken over mogelijke infecties, Overweeg om tools zoals te gebruiken Trojan-verwijderaar scannen op en elimineren van malware die mogelijk al uw systemen heeft gecompromitteerd.

PUA:Win32/rdpwrap – Wat te doen?

Laat een reactie achter