Store cybersikkerhetstrusler avslørt i mars 2025

Eugene Loaris

Nyheter

mars 2025 har sett en betydelig evolusjon i cybertrusselaktikk, Med ransomware -grupper som tar i bruk nye teknikker og utvider sin virksomhet. Sikkerhetsforskere har identifisert flere trusler med høy innvirkning denne måneden, inkludert en bedrifts spionasjegruppes skifte til ransomware, Nye EDR Evasion Tools, sofistikerte nasjonalstatangrep, og villedende phishing -kampanjer rettet mot virksomheter. Denne omfattende analysen dekker de viktigste cybersikkerhetsutviklingene som sikkerhetspersonell og bedrifter bør være klar over.

Store cybersikkerhetstrusler – mars 2025 Store cybersikkerhetstrusler – mars 2025 Konsekvensutredning på tvers av ulike sektorer Finansielle tjenester Helsevesen Regjering Produksjon IT/MSP Høy Medium Lav QWCrypt Ransomware EDRkillShifter Verktøy SparrowDoor Bakdør Falsk fil Omformere Falsk Semrush Phishing

Kilde: Analyserte data fra Acronis Threat Research Unit kombinert med industrikonsekvensvurderinger

RedCurl utvikler seg: Corporate Espionage Group lanserer første ransomware-kampanje med QWCrypt

På mars 26, 2025, sikkerhetsforskere identifiserte at den beryktede hackergruppen RedCurl (også kjent som Earth Kapre og Red Wolf) har skiftet fra sine tradisjonelle bedriftsspionasjeaktiviteter til å distribuere løsepengevare for første gang. Denne strategiske pivoten markerer en betydelig utvikling i gruppens taktikk, teknikker, og prosedyrer (TTP-er).

Teknisk analyse av QWCrypt Ransomware

Den nylig identifiserte løsepengevarestammen, kalt QWCrypt, retter seg spesielt mot virtuelle maskiner, gjør det spesielt farlig for organisasjoner med virtualisert infrastruktur. Skadevarens angrepskjede begynner med sofistikerte spyd-phishing-e-poster som inneholder lokker med HR-tema. Disse e-postene leverer ondsinnede PDF-er og ISO-filer som sidelaster skadelig programvare gjennom en legitim Adobe-kjørbar, utnytte pålitelige applikasjonsbaner for å unngå oppdagelse.

Angrepsfase Tekniske detaljer
Innledende tilgang Spear-phishing-e-poster med HR-tema lokker som inneholder ondsinnede PDF-er og ISO-filer
Henrettelse Sideinnlasting av skadelig programvare gjennom legitim Adobe-kjørbar
Standhaftighet Registerendringer og planlagte oppgaver opprettet med systemrettigheter
Sidebevegelse Legitimasjonstyveri og utnyttelse av uopprettede sårbarheter
Påvirkning Kryptering av virtuelle maskiner, gjør hele infrastrukturen ubrukelig

Ransomware-designen ser ut til å etterligne elementer fra etablerte grupper som LockBit og HardBit, potensielt forvirre attribusjonsinnsatsen. Spesielt, forskere har ikke identifisert et dedikert lekkasjested knyttet til disse angrepene, reise spørsmål om løsepengekravet er ekte eller om løsepengeutrullingen fungerer som en distraksjon fra gruppens tradisjonelle spionasjeaktiviteter.

Mål og geografisk distribusjon

RedCurl har historisk målrettet organisasjoner i Canada, Tyskland, Norge, Storbritannia, og USA. Gruppens overgang til ransomware-operasjoner utvider potensielt trusselprofilen fra datatyveri til driftsforstyrrelser på tvers av disse regionene.

EDRkillShifter: RansomHubs sikkerhetsunndragelsesverktøy kobler sammen flere nettkriminalitetsgrupper

I en betydelig utvikling spores gjennom mars, sikkerhetsforskere har oppdaget sammenhenger mellom tre separate nettkriminalitetsgrupper gjennom deres bruk av et felles sikkerhetsunndragelsesverktøy kalt EDRKillShifter. Dette verktøyet, opprinnelig utviklet for tilknyttede selskaper til RansomHub ransomware-as-a-service (RaaS) operasjon, utnytter sårbare drivere for å deaktivere endepunktdeteksjon og respons (EDR) programvare.

Verktøyegenskaper og tekniske detaljer

EDRillShifter representerer en avansert “ta med din egen sårbare sjåfør” (BYOVD) tilnærming til å deaktivere sikkerhetsforsvar. Verktøyet retter seg mot legitime, men sårbare systemdrivere, utnytte dem til å stenge beskyttelsestiltak i operativsystemet. Når implementert vellykket, det blender effektivt sikkerhetsverktøy for påfølgende ondsinnede aktiviteter.

En nylig identifisert trusselaktør, kalt QuadSwitcher, har blitt observert ved bruk av EDRKillShifter i angrep tilskrevet flere løsepengevaregrupper, gjelder også:

  • RansomHub
  • Spill løsepengevare
  • Medusa løsepengevare
  • BianLian løsepengevare

Forskere bekreftet forbindelsen mellom disse gruppene ved å analysere delte EDRKillShifter-prøver og kommando-og-kontroll-serverinfrastruktur, demonstrerer hvordan verktøy deles på tvers av forskjellige løsepengevareoperasjoner.

Forsvarets anbefalinger

Siden disse angrepene krever administrativ tilgang, organisasjoner kan iverksette flere forebyggende tiltak:

  1. Implementer blokkering av drivere for kjente sårbare sjåfører
  2. Bruk Windows Defenders funksjon for blokkeringsliste for drivere for beskyttelse
  3. Overvåk for sjåførinnlastingshendelser, spesielt de som er knyttet til tredjepartsverktøy
  4. Implementer avanserte EDR-løsninger som kan oppdage forsøk på å deaktivere sikkerhetsprogramvare
  5. Implementer sterke tilgangskontroller for å forhindre at angripere får administrative rettigheter

Fremveksten av EDR-mordere fremhever en bekymringsfull trend innen løsepengevare-taktikker, som trusselaktører kontinuerlig tilpasser seg for å omgå stadig mer sofistikerte sikkerhetsforsvar.

Kinesisk APT Group FamousSparrow utvikler angrepsverktøysett med ShadowPad

Sikkerhetsforskere har identifisert målrettede angrep mot en U.S. handelsgruppe og et meksikansk forskningsinstitutt tilskrevet den kinesiske avanserte vedvarende trusselen (APT) gruppe FamousSparrow. Kampanjen, først oppdaget i begynnelsen av mars 2025, involverer distribusjon av gruppens signatur SparrowDoor-bakdør sammen med ShadowPad malware – som markerer den første observerte forekomsten av FamousSparrow ved å bruke dette spesielle verktøyet.

Tekniske detaljer om angrepet

Analyse av kampanjen avslørte to nye versjoner av SparrowDoor, inkludert en betydelig forbedret modulær variant med forbedrede kommandoutførelsesmuligheter. Angrepssekvensen følger et kjent mønster for nasjonalstatlige aktører:

  1. Innledende tilgang: Utnyttelse av utdaterte Windows Server- og Microsoft Exchange Server-sårbarheter
  2. Standhaftighet: Utplassering av et sofistikert web-skall for å opprettholde tilgang
  3. Levering av nyttelast: Installasjon av SparrowDoor bakdør og ShadowPad malware

Den modulære versjonen av SparrowDoor støtter flere avanserte funksjoner, gjelder også:

  • Tastetrykklogging for legitimasjonstyveri
  • Filoverføring for dataeksfiltrering
  • Prosessmanipulasjon for å opprettholde stealth
  • Eksternt skrivebordsopptak for innhenting av visuell intelligens

ShadowPad, en modulær bakdør som vanligvis forbindes med kinesiske statsstøttede trusselaktører, utvider FamousSparrows evner betydelig, foreslår potensielt samarbeid eller verktøydeling mellom kinesiske APT-grupper.

FBI advarsel: Falske filkonverterere stjeler informasjon og distribuerer løsepengeprogramvare

FBIs feltkontor i Denver har utstedt en presserende advarsel etter å ha observert en økning i rapporter om falske elektroniske dokumentkonverterere som brukes til å stjele sensitiv informasjon og distribuere løsepengeprogramvare. Denne advarselen, utgitt i mars 20, 2025, fremhever en bekymringsfull trend rettet mot både personlige og forretningsbrukere.

Hvordan angrepet fungerer

Nettkriminelle lager villedende nettsteder som hevder å tilby gratis dokumentkonverteringstjenester, men skjuler ondsinnede hensikter:

  1. Brukere som søker etter dokumentkonverteringsverktøy, møter disse nettstedene, ofte promotert gjennom Google-annonser
  2. Nettstedene virker legitime og kan faktisk gi den lovede konverteringsfunksjonaliteten
  3. Når brukere laster opp dokumenter for konvertering, nettstedene trekker ut sensitiv informasjon fra filinnholdet
  4. De returnerte konverterte filene inneholder innebygd skadelig programvare som etablerer ekstern tilgang
  5. I mer alvorlige tilfeller, løsepengevare er distribuert, kryptering av offerets filer

Forskere har identifisert flere indikatorer som hjelper til med å identifisere disse falske konverteringsnettstedene:

Advarselsskilt Detaljer
Domene alder Vanligvis registrert i fortiden 30 dager
Personvernerklæring Manglende eller ekstremt vag personverninformasjon
Kontaktinformasjon Ingen legitime forretningskontaktdetaljer
SSL-sertifikat Bruker ofte gratis sertifikater med minimal validering
Nettsidedesign Kloning av legitime tjenester med mindre endringer

Skadevare som leveres gjennom disse tjenestene kan trekke ut et bredt spekter av sensitiv informasjon, inkludert navn, passord, kryptovaluta frø, og banklegitimasjon, fører til betydelige økonomiske tap for ofrene.

Forhindre falske konverteringsangrep

For å beskytte mot disse truslene, FBI anbefaler flere forebyggende tiltak:

  • Bruk kun etablert, anerkjente filkonverteringsverktøy og tjenester
  • Installer omfattende sikkerhetsprogramvare som kan identifisere ondsinnede nettsteder
  • Bekreft nettstedets legitimitet før du laster opp sensitive dokumenter
  • Vurder å bruke offline konverteringsverktøy når du håndterer sensitiv informasjon
  • Sikkerhetskopier kritiske filer regelmessig for å muliggjøre gjenoppretting i tilfelle løsepengevareangrep

For bedrifter og enkeltpersoner som allerede har blitt ofre for disse svindelene, en melding prosess for fjerning av skadelig programvare er avgjørende for å redusere potensiell skade.

SEO-fagfolk målrettet av sofistikert phishing-kampanje

En nylig identifisert phishing-kampanje er spesifikt rettet mot SEO-fagfolk som bruker falske Semrush Google Ads designet for å stjele Google-kontolegitimasjon. Semrush, en populær SaaS-plattform som tilbyr verktøy for SEO, nettannonsering, og innholdsmarkedsføring, blir etterlignet i denne svært målrettede kampanjen.

Kampanjedetaljer og -mål

Sikkerhetsanalytikere mener en brasiliansk trusselgruppe står bak denne kampanjen, som spesifikt tar sikte på å fange opp Google Ads-kontoer for å lansere ytterligere malvertising-angrep. Operasjonen demonstrerer en sofistikert forståelse av det digitale markedsføringsøkosystemet:

  1. Angripere lager overbevisende phishing-nettsteder som etterligner Semrushs grensesnitt
  2. Disse nettstedene bruker domenenavn som ligner Semrush, men med forskjellige toppdomener
  3. Ofre blir tvunget til å autentisere via “Logg på med Google” funksjonalitet
  4. Når legitimasjon er lagt inn, angripere får tilgang til offerets Google-konto
  5. Denne tilgangen muliggjør tyveri av sensitive forretningsdata fra Google Analytics og Google Search Console

I en relatert utvikling, en annen pågående phishing-kampanje utnytter falske DeepSeek-annonser i Googles søkeresultater for å levere Heracles MSIL Trojan, en informasjonstjælende skadelig programvare rettet mot kryptovaluta-lommebøker. Denne kampanjen bruker sponsede Google-søkeresultater for å lede ofre til ondsinnede nettsteder som distribuerer infotyveren.

Bransjepåvirkning og forebygging

Disse phishing-kampanjene fremhever utviklingen av målrettede angrep mot bestemte yrkesgrupper. SEO og digital markedsføring fagfolk bør implementere ytterligere sikkerhetstiltak, gjelder også:

  • Aktiverer multifaktorautentisering på alle Google-kontoer
  • Verifiser nøye URL-en til påloggingssidene før du legger inn legitimasjon
  • Bruke passordbehandlere med phishing-deteksjonsmuligheter
  • Være skeptisk til Google Ads for programvaretjenester, selv når de vises øverst i søkeresultatene
  • Implementere bedriftsomfattende sikkerhetsopplæring om disse spesifikke truslene

Organisasjoner bør også vurdere implementering omfattende sikkerhetsløsninger som kan oppdage og blokkere phishing-forsøk og nedlasting av skadelig programvare automatisk.

Koordinert forsvar: Reagere på det utviklende trussellandskapet

Som disse truslene viser, cyberkriminelle taktikker fortsetter å utvikle seg i sofistikering og effekt. Organisasjoner bør ta i bruk en flerlags sikkerhetstilnærming som inkluderer:

  1. Sårbarhetshåndtering: Oppretthold en oppdatert beholdning av systemer og implementer regelmessig oppdatering, spesielt for Internett-vendte applikasjoner som Microsoft Exchange.
  2. E-postsikkerhet: Implementer avanserte e-postfiltreringsløsninger for å oppdage og blokkere sofistikerte phishing-forsøk, spesielt de som bruker HR-tema lokker.
  3. EDR/XDR-løsninger: Implementer moderne endepunktbeskyttelsesplattformer som kan oppdage og svare på forsøk på å deaktivere sikkerhetsverktøy.
  4. Sikkerhetsbevissthet: Gjennomføre regelmessig opplæring for ansatte, med spesielt fokus på å gjenkjenne phishing-forsøk og mistenkelige nettsider.
  5. Hendelsesresponsplanlegging: Utvikle og regelmessig teste prosedyrer for respons på hendelser for å sikre rask inneslutning og gjenoppretting i tilfelle et sikkerhetsbrudd.

Konvergensen av løsepengevareoperasjoner, nasjonalstatstaktikk, og målrettede phishing-kampanjer skaper et utfordrende sikkerhetsmiljø som krever årvåkenhet og proaktive forsvarstiltak. Ved å holde seg informert om nye trusler og implementere passende sikkerhetskontroller, organisasjoner kan redusere risikoeksponeringen i dette landskapet i utvikling.

For enkeltpersoner og bedrifter som er bekymret for potensielle infeksjoner, vurdere å bruke verktøy som Trojanske fjerner for å skanne etter og eliminere skadelig programvare som allerede kan ha kompromittert systemene dine.

PUA:Win32/rdpwrap – Hva du skal gjøre?

Legg igjen en kommentar