Legitimes Sicherheitstool als Deckmantel

Forensik-Tool Velociraptor für Ransomware-Angriff missbraucht

Ransomware, Ransomware-Angriff
LinkedInRedditWhatsAppPocket

Kriminelle haben das Open-Source-Forensik-Tool Velociraptor für einen Ransomware-Angriff missbraucht. Das Counter Threat Unit (CTU) Team von Sophos konnte nach eigenen Angaben die Attacke jedoch rechtzeitig stoppen, bevor größerer Schaden entstand.

Die Angreifer installierten das eigentlich für digitale Forensik und Incident Response entwickelte Velociraptor über eine kompromittierte Cloud-Domain und kombinierten es mit einer manipulierten Entwicklersoftware. Diese Tarnung sollte helfen, Sicherheitsmechanismen zu umgehen und unentdeckt weitere Schadsoftware nachzuladen.

Anzeige

Das Vorgehen der Cyberkriminellen zeigt eine neue Qualität bei der Nutzung legitimer Administrations- und Sicherheitstools. Statt auffällige Malware zu verwenden, setzten sie auf bereits etablierte Software, die in Unternehmensnetzwerken normalerweise nicht als verdächtig eingestuft wird.

Nach der Installation über die präparierte Cloud-Infrastruktur sollte das manipulierte Tool als Einfallstor für weitere Angriffsstufen dienen. Die Kriminellen planten offenbar, sich dauerhaften Zugang zum Netzwerk zu verschaffen und schließlich Ransomware zu deployen.

Schnelle Reaktion verhindert Schlimmeres

Ein Alarm im Sophos-Sicherheitssystem Taegis machte die CTU-Analysten auf ungewöhnliche Netzwerkaktivitäten aufmerksam. Dank der schnellen Reaktion konnte das betroffene System sofort isoliert und der Angriff gestoppt werden, bevor sich die Schadsoftware im Netzwerk ausbreiten konnte.

Anzeige

“Dass Angreifer sogar ein Sicherheits- und Forensik-Tool für ihre Zwecke missbrauchen, zeigt, wie raffiniert Cyberattacken inzwischen sind”, kommentiert Michael Veit, Security-Experte bei Sophos. “Unternehmen müssen damit rechnen, dass selbst vermeintlich harmlose Anwendungen zu einem Einfallstor werden können.”

Schutzmaßnahmen für Unternehmen

Angesichts dieser Entwicklung empfehlen die Sophos-Experten Unternehmen mehrschichtige Schutzstrategien:

Monitoring und Kontrolle: Alle eingesetzten Tools sollten genau überwacht werden, auch die als vertrauenswürdig eingestuften. Ungewöhnliche Aktivitäten müssen sofort untersucht werden.

Technische Absicherung: Moderne Endpoint Detection & Response (EDR)-Lösungen können verdächtige Verhaltensweisen auch bei legitimen Tools erkennen. Zusätzlich sind regelmäßige Sicherheitsupdates und eine konsequente Systemhärtung essentiell.

Backup-Strategegie: Regelmäßige, getestete Backups bleiben die letzte Verteidigungslinie gegen Ransomware-Angriffe.

(lb/Sophos)


Anzeige

Weitere Artikel

Odyssey Stealer umgeht macOS-Schutzmaßnahmen
Exploits nehmen zu: Linux- und Windows-Nutzer verstärkt im Visier
PromptLock: Erste KI-gesteuerte Ransomware entdeckt
Ransomware setzt Einzelhandel massiv unter Druck
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.