Sicherheitsforscher haben kürzlich eine neue Angriffskette entdeckt, die mit Aktivitäten rund um die Termite-Ransomware verbunden ist. Die Operation basiert auf Social Engineering und legitimen Windows-Tools, um Netzwerke zu infiltrieren. Anstatt Software-Schwachstellen auszunutzen, manipulieren Angreifer ihre Opfer dazu, selbst schädliche Befehle auszuführen.
Die Kampagne nutzt eine Technik namens ClickFix. Diese Methode bringt Nutzer dazu, Befehle auszuführen, die im Hintergrund Malware-Komponenten herunterladen. Sobald die Angreifer Zugriff erhalten haben, setzen sie weitere Werkzeuge ein, um das Netzwerk zu erkunden und ihre Präsenz aufrechtzuerhalten.
Forscher erklären, dass diese Aktivität zeigt, wie Ransomware-Gruppen ihre Angriffsstrategien weiter verfeinern. Moderne Angriffe entwickeln sich oft über mehrere Stufen, bevor die eigentliche Ransomware-Payload eingesetzt wird.
Bedrohungsgruppe hinter der Aktivität
Ermittler haben die Kampagne einer Bedrohungsgruppe zugeordnet, die unter dem Namen Velvet Tempest verfolgt wird. Sicherheitsteams bezeichnen die Gruppe auch als DEV-0504. Die Akteure sind seit mehreren Jahren im Ransomware-Ökosystem aktiv.
Forscher bringen die Gruppe mit mehreren bekannten Ransomware-Familien in Verbindung. Frühere Kampagnen standen im Zusammenhang mit Operationen rund um Ryuk, Conti, LockBit, BlackCat und REvil. Die Gruppe arbeitet häufig als Affiliate innerhalb größerer Ransomware-Netzwerke.
Während der jüngsten Untersuchung beobachteten Analysten die Angreifer in einer simulierten Unternehmensumgebung. Das Szenario stellte eine große Organisation mit Tausenden von Nutzern und Endgeräten dar. Die Angreifer führten sogenannte Hands-on-Keyboard-Aktivitäten aus, während sie das Netzwerk kartierten und potenzielle Ziele identifizierten.
ClickFix für den ersten Zugriff eingesetzt
Der Angriff begann mit einer Malvertising-Kampagne, die eine ClickFix-Falle auslieferte. Opfer stießen beim Surfen im Internet auf eine gefälschte CAPTCHA-Abfrage. Die Seite zeigte Anweisungen, die angeblich einen Verifizierungsschritt lösen sollten.
Statt eine CAPTCHA-Prüfung zu bestätigen, wurden die Nutzer aufgefordert, einen Befehl in das Windows-Ausführen-Fenster einzufügen. Sobald die Opfer den Befehl ausführten, startete das System eine Reihe versteckter Prozesse.
Die Befehle nutzten integrierte Windows-Werkzeuge. Diese Tools luden Dateien herunter und führten weitere Skripte aus, ohne sofort Alarm auszulösen. Da legitime Systemwerkzeuge verwendet werden, haben einige Sicherheitslösungen Schwierigkeiten, den Angriff frühzeitig zu erkennen.
Malware-Verteilung über DonutLoader
Nachdem die Angreifer Zugriff erlangt hatten, verteilten sie weitere Payloads über skriptbasierte Befehle. PowerShell-Befehle luden Komponenten herunter und kompilierten .NET-Payloads direkt auf dem kompromittierten System.
Ein Schritt der Angriffskette führte DonutLoader ein, einen Loader, der häufig zur Auslieferung weiterer Malware verwendet wird. Über diesen Loader installierten die Angreifer die CastleRAT-Backdoor.
CastleRAT ermöglicht die Fernsteuerung infizierter Systeme. Angreifer können Befehle ausführen, Informationen sammeln und sich lateral im Netzwerk bewegen. Dieser Zugriff erlaubt es den Angreifern, ihre Präsenz auszubauen, bevor sie einen finalen Angriff starten.
Forscher beobachteten außerdem Python-basierte Komponenten in Systemverzeichnissen. Diese Werkzeuge halfen dabei, auch nach einem Neustart des Systems dauerhaft Zugriff zu behalten.
Ransomware-Phase nicht beobachtet
Während des beobachteten Angriffs stellten die Forscher keine Ausführung der Termite-Ransomware fest. Die eingesetzte Infrastruktur und die Werkzeuge deuten jedoch stark auf Vorbereitungen für einen Ransomware-Angriff hin.
Bedrohungsakteure verbringen oft längere Zeit innerhalb eines Netzwerks, bevor sie mit der Verschlüsselung beginnen. Zunächst sammeln sie Zugangsdaten, analysieren interne Systeme und identifizieren wertvolle Daten. Diese Vorbereitung ermöglicht es, die Wirkung eines späteren Ransomware-Angriffs zu maximieren.
Termite-Ransomware wurde bereits mit Angriffen auf mehrere Organisationen in Verbindung gebracht. Bekannte Vorfälle betreffen unter anderem den SaaS-Anbieter Blue Yonder sowie das australische Fruchtbarkeitsunternehmen Genea.
Social Engineering bleibt zentrale Angriffsmethode
Die ClickFix-Methode zeigt einen breiteren Wandel in den Taktiken von Cyberkriminellen. Viele Angreifer verlassen sich inzwischen stärker auf Social Engineering als auf technische Exploits.
Indem Nutzer dazu gebracht werden, selbst Befehle auszuführen, können Kriminelle einige Sicherheitsmechanismen umgehen. Gleichzeitig verringert diese Methode den Bedarf an komplexen Schwachstellenangriffen.
Forscher warnen, dass ähnliche Techniken wahrscheinlich auch in zukünftigen Ransomware-Kampagnen auftauchen werden. Angreifer entwickeln ihre Social-Engineering-Strategien kontinuierlich weiter, damit sie für Opfer glaubwürdig erscheinen.
Fazit
Die Untersuchung zeigt, wie moderne Ransomware-Kampagnen über mehrere Angriffsstufen hinweg aufgebaut sind. Die Aktivitäten rund um Termite-Ransomware verdeutlichen, wie Angreifer Social Engineering mit legitimen Systemwerkzeugen kombinieren.
Die ClickFix-Technik ermöglicht es Kriminellen, ersten Zugriff zu erhalten, ohne Software-Schwachstellen auszunutzen. Sobald sie sich im Netzwerk befinden, setzen Angreifer Loader, Fernzugriffs-Tools und Persistenzmechanismen ein.
Auch wenn der beobachtete Angriff vor der Verschlüsselungsphase gestoppt wurde, deutet die Infrastruktur auf Vorbereitungen für eine vollständige Ransomware-Operation hin. Organisationen sollten besonders aufmerksam gegenüber Social-Engineering-Angriffen sein, die Nutzer dazu bringen, unbekannte Befehle auszuführen.
Mehr Sicherheitsbewusstsein und stärkere Überwachung bleiben wichtige Maßnahmen, um sich gegen sich weiterentwickelnde Ransomware-Bedrohungen zu schützen.
0 Kommentare zu „Termite-Ransomware wird mit ClickFix- und CastleRAT-Angriffen in Verbindung gebracht“