Thought Leadership
Das europäische Cybersecurity-Unternehmen TEHTRIS verfügt über ein weltweites Netzwerk von sogenannten Honeypots, mit deren Hilfe Cyberkriminelle angelockt und neue Formen von Cyberangriffen frühzeitig enttarnt werden. In den letzten Tagen konnte das Threat-Hunters-Team von TEHTRIS eine neue Cyberkampagne illegaler Cryptojacking-Aktivitäten beobachten, die es auf Linux-basierte Betriebssysteme abgesehen hatte.
Die Security-Forscher von TEHTRIS veröffentlichten ihre Erkenntnisse dazu nun in einer umfangreichen Analyse.
Cryptomining wird wachsende Bedrohung
Illegales Mining von Kryptowährungen mit Hilfe fremder Endgeräte ist keineswegs eine neue Cyberbedrohung, sondern eine kriminelle Strategie mit deutlich wachsender Tendenz. So wurden 2022 durchschnittlich 15,02 Millionen Cryptojacking-Vorfälle pro Monat registriert. Im Vorjahreszeitraum waren es hingegen durchschnittlich nur 8,09 Millionen Vorfälle pro Monat. Innerhalb von nur zwölf Monaten konnte so ein Anstieg von 86 Prozent beobachtet werden, so die Untersuchung von Top10VPN.
Die nun Mitte Januar mit Hilfe der TEHTRIS-Honeypots in Frankreich entdeckte Cryptojacking-Kampagne ist in mehrfacher Hinsicht außergewöhnlich. So verfolgt sie zwei verschiedene Strategien, um den Zugriff auf das kompromittierte Linux-System zu maximieren. Wenn der Rechner über eine ausreichende Leistung (mehr als vier Prozessorkerne) verfügt, kommt ein Bot zum Einsatz. Dieser dient dem Cryptojacking, indem ein Monero-Miner installiert und gestartet wird, der die überschüssige CPU-Leistung ausnutzt und anschließend versucht, weitere Rechner zu infizieren. Sofern das Endgerät jedoch nicht über die erforderliche Leistung zum Mining von Kryptowährungen verfügt, nutzen die Angreifer ihn als eine Art Brückenkopf, um Informationen über andere potenzielle Ziele zu sammeln.
Die Hintermänner hinter der aktuellen Kampagne verwenden einen Discord-Server, um Daten von kompromittierten Computern abzurufen. Sie folgen damit einem wachsenden Trend unter Cyberkriminellen, Sicherheitslücken mittels beliebter Messaging-Anwendungen zu finden. Die Nutzung infizierter Geräte zum Sammeln von Informationen zu möglichen weiteren Zielen sorgt für zusätzliche Anonymität der Angreifer. Denn wird ein entsprechender Scan auf verschiedene fremde Computer und IP-Adressen verteilt, erschwert dies die Rückverfolgung zur ursprünglichen Quelle des Angriffs.
Wer sind die Angreifer hinter der Cyberkampagne?
Die Cyberkriminellen hinter der Kampagne nennen sich selbst „ThePatron1337“, wobei „1337“ eine wiederkehrende Zeichenfolge bei den Angriffen ist. Aus diesen Gründen hat TEHTRIS die Kampagne „Color1337“ getauft und „1337“ als Signatur der Angreifer identifiziert. Darüber hinaus enthalten die analysierten Bash-Skripte Befehle in rumänischer Sprache, was Rückschlüsse auf die Herkunftsregion der Cyberkriminellen zulässt. Darüber hinaus gibt es auch noch ein weiteres, vielsagendes Indiz, das auf eine rumänische Herkunft hindeutet: der Name des genutzten Miners, DIICOT, der erstmals im Oktober 2022 entdeckt wurde, ist ironischerweise auch das Akronym für die rumänische Behörde zur Untersuchung von organisiertem Verbrechen, Cyberkriminalität, Finanzkriminalität und Terrorismus.
Zudem haben die TEHTRIS-Experten auch gewisse Ähnlichkeiten mit einer rumänischen Gruppe feststellen können, die hinter einer von BitDefender im Jahr 2021 enttarnten Cryptojacking-Kampagne steckt. Dass bei der aktuellen Kampagne ein Skript auf eine Datei mit dem Titel „Update“ verweist und auch weitere Hinweise auf eine rumänische Herkunft hindeuten, legt einen Schluss nahe: Bei den von BitDefender und TEHTRIS entdeckten Gruppen handelt es sich um ein und dieselbe, die lediglich ihre Tools aktualisiert hat.
Olaf Müller-Haberland, Head of Sales and Services DACH bei TEHTRIS, betont: „Diese Cyberkampagne sollte alle Security-Verantwortlichen daran erinnern, dass Cyberkriminelle gestohlene Anmeldedaten unentwegt zu ihrem Vorteil nutzen. Obwohl sich Messaging-Apps wie Discord oder Telegram großer Beliebtheit erfreuen, werden sie zudem häufig von Unternehmen vernachlässigt. Dies äußert sich regelmäßig darin, dass Verbindungen zu diesen legitimen Diensten nicht überwacht werden. In der Folge sind Angriffe über diese Tools mit höherer Wahrscheinlichkeit von Erfolg gekrönt sind – und das, ohne dass sie gestoppt werden würden, da die Attacken unter dem Radar stattfinden. XDR-Lösungen sorgen dafür, dass solche Angriffe nicht länger unentdeckt bleiben und Unternehmen dadurch ein bedeutend höheres Schutzniveau genießen.“
www.tehtris.com/de
