Stora cybersäkerhetshot avslöjades i mars 2025

Eugene Loaris

Nyheter

Mars 2025 har sett en betydande utveckling i cyberhotstaktik, med ransomware -grupper som antar nya tekniker och utvidgar sin verksamhet. Säkerhetsforskare har identifierat flera hot med hög påverkan denna månad, inklusive en företagsspionagegrupps övergång till ransomware, nya EDR-undandragningsverktyg, sofistikerade nationalstatsattacker, och bedrägliga nätfiskekampanjer riktade mot företag. Denna omfattande analys täcker de viktigaste cybersäkerhetsutvecklingarna som säkerhetspersonal och företag bör vara medvetna om.

Stora cybersäkerhetshot – Mars 2025 Stora cybersäkerhetshot – mars 2025 Konsekvensanalys över olika sektorer Finansiella tjänster Healthcare Regering Tillverkning IT/MSP Hög Medium Låg QWCrypt Ransomware EDRKillShifter Verktyg SparrowDoor Bakdörr Falsk fil Omvandlare Fake Semrush Phishing

Källa: Analyserade data från Acronis hotforskningsenhet kombinerat med industrikonsekvensbedömningar

RedCurl utvecklas: Corporate Espionage Group lanserar den första Ransomware-kampanjen med QWCrypt

Den mars 26, 2025, säkerhetsforskare identifierade att den ökända hackergruppen RedCurl (även känd som Earth Kapre och Red Wolf) har gått från sina traditionella företagsspionageaktiviteter till att distribuera ransomware för första gången. Denna strategiska pivot markerar en betydande utveckling av gruppens taktik, tekniker, och procedurer (TTP:er).

Teknisk analys av QWCrypt Ransomware

Den nyligen identifierade ransomware-stammen, heter QWCrypt, riktar sig specifikt till virtuella maskiner, vilket gör det särskilt farligt för organisationer med virtualiserad infrastruktur. Skadlig programvaras attackkedja börjar med sofistikerade spear-phishing-e-postmeddelanden som innehåller beten med HR-tema. Dessa e-postmeddelanden levererar skadliga PDF-filer och ISO-filer som sidolastar skadlig programvara via en legitim Adobe-körbar, utnyttja betrodda applikationsvägar för att undvika upptäckt.

Attackfas Tekniska detaljer
Första åtkomst Spjutfiske-e-postmeddelanden med lockbeten med HR-tema som innehåller skadliga PDF-filer och ISO-filer
Utförande Sidladda skadlig programvara genom legitim Adobe-körbar
Uthållighet Registerändringar och schemalagda uppgifter skapade med systembehörighet
Sidorörelse Autentiseringsstöld och utnyttjande av oparpade sårbarheter
Inverkan Kryptering av virtuella maskiner, gör hela infrastrukturen obrukbar

Ransomwarens design verkar efterlikna element från etablerade grupper som LockBit och HardBit, potentiellt förvirra tillskrivningsansträngningar. I synnerhet, forskare har inte identifierat en dedikerad läckageplats associerad med dessa attacker, väcker frågor om huruvida efterfrågan på lösen är äkta eller om utplaceringen av ransomware fungerar som en distraktion från gruppens traditionella spionageaktiviteter.

Mål och geografisk distribution

RedCurl har historiskt riktat in sig på organisationer i Kanada, Tyskland, Norge, Storbritannien, och USA. Gruppens övergång till ransomware-verksamhet utökar potentiellt dess hotprofil från datastöld till driftstörningar i dessa regioner.

EDRKillShifter: RansomHubs verktyg för säkerhetsflykt länkar samman flera grupper av cyberbrottslighet

I en betydande utveckling spåras under hela mars, säkerhetsforskare har upptäckt kopplingar mellan tre separata cyberbrottsgrupper genom deras användning av ett gemensamt säkerhetsundandragande verktyg som heter EDRKillShifter. Detta verktyg, ursprungligen utvecklad för dotterbolag till RansomHub ransomware-as-a-service (RaaS) drift, utnyttjar sårbara drivrutiner för att inaktivera slutpunktsdetektering och svar (EDR) programvara.

Verktygskapacitet och tekniska detaljer

EDRillShifter representerar en avancerad “ta med din egen sårbara förare” (BYOVD) strategi för att inaktivera säkerhetsförsvar. Verktyget riktar sig till legitima men sårbara systemdrivrutiner, utnyttja dem för att stänga av skyddsåtgärder i operativsystemet. När den har implementerats framgångsrikt, det förblindar effektivt säkerhetsverktyg för efterföljande skadliga aktiviteter.

En nyligen identifierad hotaktör, dubbad QuadSwitcher, har observerats med EDRKillShifter i attacker som tillskrivs flera ransomware-grupper, Inklusive:

  • RansomHub
  • Spela ransomware
  • Medusa ransomware
  • BianLian ransomware

Forskare bekräftade sambandet mellan dessa grupper genom att analysera delade EDRKillShifter-prover och kommando-och-kontrollserverinfrastruktur, demonstrerar hur verktyg delas mellan olika ransomware-operationer.

Försvarets rekommendationer

Eftersom dessa attacker kräver administrativ åtkomst, organisationer kan genomföra flera förebyggande åtgärder:

  1. Implementera blockering av drivrutiner för kända sårbara förare
  2. Använd Windows Defenders blocklistfunktion för drivrutiner för skydd
  3. Övervaka för laddningshändelser för drivrutiner, särskilt de som är associerade med tredjepartsverktyg
  4. Distribuera avancerade EDR-lösningar som kan upptäcka försök att inaktivera säkerhetsprogramvara
  5. Implementera starka åtkomstkontroller för att förhindra angripare från att få administrativa privilegier

Ökningen av EDR-mördare belyser en oroande trend inom ransomware-taktik, eftersom hotaktörer kontinuerligt anpassar sig för att kringgå allt mer sofistikerade säkerhetsförsvar.

Kinesiska APT Group FamousSparrow Evolves Attack Toolkit med ShadowPad

Säkerhetsforskare har identifierat riktade attacker mot en U.S. handelsgrupp och ett mexikanskt forskningsinstitut som tillskrivs det kinesiska avancerade ihållande hotet (BENÄGEN) grupp FamousSparrow. Kampanjen, upptäcktes först i början av mars 2025, involverar utplaceringen av gruppens signatur SparrowDoor-bakdörr tillsammans med ShadowPad malware – vilket markerar den första observerade instansen av FamousSparrow med detta särskilda verktyg.

Tekniska detaljer om attacken

Analys av kampanjen avslöjade två nya versioner av SparrowDoor, inklusive en avsevärt förbättrad modulvariant med förbättrade kommandoexekveringsmöjligheter. Attacksekvensen följer ett välbekant mönster för nationalstatliga aktörer:

  1. Första åtkomst: Utnyttjande av föråldrade sårbarheter i Windows Server och Microsoft Exchange Server
  2. Uthållighet: Utplacering av ett sofistikerat webbskal för att bibehålla åtkomst
  3. Leverans av nyttolast: Installation av SparrowDoor bakdörr och ShadowPad malware

Den modulära versionen av SparrowDoor stöder flera avancerade funktioner, Inklusive:

  • Tangentslagsloggning för autentiseringsstöld
  • Filöverföring för dataexfiltrering
  • Processmanipulation för att upprätthålla smyg
  • Fjärrskrivbordsfångning för insamling av visuell intelligens

ShadowPad, en modulär bakdörr som vanligtvis förknippas med kinesiska statligt sponsrade hotaktörer, utökar FamousSparrows kapacitet avsevärt, föreslår potentiellt samarbete eller verktygsdelning mellan kinesiska APT-grupper.

FBI-varning: Falska filkonverterare som stjäl information och distribuerar ransomware

FBI:s fältkontor i Denver har utfärdat en brådskande varning efter att ha observerat en ökning av rapporterna om falska onlinedokumentkonverterare som används för att stjäla känslig information och distribuera ransomware. Denna varning, utgiven i mars 20, 2025, lyfter fram en oroande trend som riktar sig till både privata och affärsanvändare.

Hur attacken fungerar

Cyberkriminella skapar vilseledande webbplatser som påstår sig tillhandahålla gratis dokumentkonverteringstjänster men döljer skadliga avsikter:

  1. Användare som söker efter verktyg för dokumentkonvertering stöter på dessa webbplatser, ofta marknadsförs via Google-annonser
  2. Webbplatserna verkar legitima och kan faktiskt tillhandahålla den utlovade konverteringsfunktionen
  3. När användare laddar upp dokument för konvertering, webbplatserna extraherar känslig information från filinnehållet
  4. De returnerade konverterade filerna innehåller inbäddad skadlig programvara som etablerar fjärråtkomst
  5. I svårare fall, ransomware är utplacerad, kryptera offrets filer

Forskare har identifierat flera indikatorer som hjälper till att identifiera dessa bedrägliga omvandlingswebbplatser:

Varningsskylt Detaljer
Domänålder Vanligtvis registrerad inom det förflutna 30 dagar
Integritetspolicy Saknade eller extremt vag sekretessinformation
Kontaktinformation Inga legitima företagskontaktuppgifter
SSL-certifikat Använder ofta gratiscertifikat med minimal validering
Webbplatsdesign Klon av legitima tjänster med mindre ändringar

Skadlig programvara som levereras genom dessa tjänster kan extrahera ett brett utbud av känslig information, inklusive namn, lösenord, kryptovaluta frön, och bankuppgifter, leder till betydande ekonomiska förluster för offren.

Förhindra falska Converter-attacker

För att skydda mot dessa hot, FBI rekommenderar flera förebyggande åtgärder:

  • Använd endast etablerad, välrenommerade filkonverteringsverktyg och tjänster
  • Installera omfattande säkerhetsprogram som kan identifiera skadliga webbplatser
  • Verifiera webbplatsens legitimitet innan du laddar upp känsliga dokument
  • Överväg att använda offlinekonverteringsverktyg när du hanterar känslig information
  • Säkerhetskopiera regelbundet viktiga filer för att möjliggöra återställning i händelse av ransomware-attack

För företag och privatpersoner som redan har fallit offer för dessa bedrägerier, en uppmaning process för borttagning av skadlig programvara är avgörande för att mildra potentiella skador.

SEO-proffs som riktar sig till en sofistikerad nätfiskekampanj

En nyligen identifierad nätfiskekampanj riktar sig specifikt till SEO-proffs som använder falska Semrush Google Ads utformade för att stjäla Google-kontouppgifter. Semrush, en populär SaaS-plattform som tillhandahåller verktyg för SEO, onlineannonsering, och innehållsmarknadsföring, imiteras i denna mycket riktade kampanj.

Kampanjens detaljer och mål

Säkerhetsanalytiker tror att en brasiliansk hotgrupp ligger bakom kampanjen, som specifikt syftar till att fånga Google Ads-konton för att lansera ytterligare malvertising-attacker. Verksamheten visar en sofistikerad förståelse för ekosystemet för digital marknadsföring:

  1. Angripare skapar övertygande nätfiskewebbplatser som efterliknar Semrushs gränssnitt
  2. Dessa webbplatser använder domännamn som liknar Semrush men med olika toppdomäner
  3. Offren tvingas autentisera via “Logga in med Google” funktionalitet
  4. När referenser skrivs in, angripare får tillgång till offrets Google-konto
  5. Denna åtkomst möjliggör stöld av känslig affärsdata från Google Analytics och Google Search Console

I en relaterad utveckling, en annan pågående nätfiskekampanj utnyttjar falska DeepSeek-annonser i Googles sökresultat för att leverera Heracles MSIL Trojan, en skadlig programvara som stjäl information som riktar sig till kryptovaluta plånböcker. Den här kampanjen använder sponsrade sökresultat från Google för att dirigera offer till skadliga webbplatser som distribuerar infostealer.

Branschpåverkan och förebyggande

Dessa nätfiskekampanjer belyser utvecklingen av riktade attacker mot specifika yrkesgrupper. Proffs inom SEO och digital marknadsföring bör implementera ytterligare säkerhetsåtgärder, Inklusive:

  • Aktiverar multifaktorautentisering på alla Google-konton
  • Verifiera noggrant webbadressen till inloggningssidor innan du anger inloggningsuppgifter
  • Använder lösenordshanterare med nätfiskedetekteringsfunktioner
  • Att vara skeptisk till Google Ads för programvarutjänster, även när de visas högst upp i sökresultaten
  • Implementera företagsomfattande utbildning i säkerhetsmedvetenhet om dessa specifika hot

Organisationer bör också överväga att implementera heltäckande säkerhetslösningar som kan upptäcka och blockera nätfiskeförsök och nedladdningar av skadlig programvara automatiskt.

Samordnat försvar: Svara på det utvecklande hotlandskapet

Som dessa hot visar, cyberkriminella taktik fortsätter att utvecklas i sofistikering och genomslagskraft. Organisationer bör anta en säkerhetsstrategi i flera lager som inkluderar:

  1. Sårbarhetshantering: Upprätthålla en uppdaterad inventering av system och implementera regelbunden patchning, särskilt för internetanslutna applikationer som Microsoft Exchange.
  2. E-postsäkerhet: Implementera avancerade e-postfiltreringslösningar för att upptäcka och blockera sofistikerade nätfiskeförsök, speciellt de som använder beten med HR-tema.
  3. EDR/XDR-lösningar: Implementera moderna slutpunktsskyddsplattformar som kan upptäcka och svara på försök att inaktivera säkerhetsverktyg.
  4. Säkerhetsmedvetenhet: Genomför regelbunden utbildning för anställda, med särskilt fokus på att känna igen nätfiskeförsök och misstänkta webbplatser.
  5. Incident Response Planering: Utveckla och testa regelbundet procedurer för incidentrespons för att säkerställa snabb inneslutning och återhämtning i händelse av ett säkerhetsintrång.

Konvergensen av ransomware-operationer, nationalstatstaktik, och riktade nätfiskekampanjer skapar en utmanande säkerhetsmiljö som kräver vaksamhet och proaktiva försvarsåtgärder. Genom att hålla sig informerad om nya hot och implementera lämpliga säkerhetskontroller, organisationer kan minska sin riskexponering i detta föränderliga landskap.

För privatpersoner och företag som är oroade över potentiella infektioner, överväg att använda verktyg som Trojan Remover för att söka efter och eliminera skadlig programvara som redan kan ha äventyrat dina system.

PUA:Win32/rdpwrap – Vad man ska göra?

Lämna en kommentar