Angreifer missbrauchen Forensik-Tool für Ransomware-Versuch

Das Counter-Threat-Unit CTU) -Team von Sophos hat einen Cyberangriff vereitelt, bei dem Kriminelle ein eigentlich seriöses Open-Source-Programm für digitale Forensik, Velociraptor, missbrauchten. Statt es wie vorgesehen für Sicherheitsanalysen einzusetzen, nutzten die Täter das Tool, um sich verdeckt Zugang zu einem Unternehmensnetzwerk zu verschaffen und weitere Schadsoftware nachzuladen. Ziel war offenbar ein Ransomware-Angriff.

So gingen die Angreifer vor

Die Kriminellen installierten das Tool über eine präparierte Cloud-Domain und luden zusätzlich eine manipulierte Version einer Entwickler-Software herunter. Diese sollte einen versteckten Fernzugang schaffen und weitere Programme nachziehen. Durch diese Tarnung wollten die Angreifer typische Sicherheitsmechanismen umgehen.

Taegis-Alarm verhinderte Schlimmeres

Eine ungewöhnliche Netzwerkaktivität löste einen Alarm im Sophos-Sicherheitssystem Taegis™ aus. Dadurch konnten Analysten das betroffene Gerät sofort isolieren und den Angriff stoppen, bevor er sich ausbreiten konnte.

Missbrauch legitimer IT-Programme nimmt zu

Die Sophos-CTU-Experten warnen, dass Angreifer zunehmend auf bereits vorhandene oder legitime Administrator- oder Sicherheitstools setzen, um unentdeckt zu bleiben. Im aktuellen Fall zeigt sich, dass selbst Incident-Response-Werkzeuge wie Velociraptor missbraucht werden können.

Empfehlungen für Unternehmen

Unternehmen sollten genau im Blick behalten, welche Tools in ihrem Netzwerk eingesetzt werden, und Auffälligkeiten sofort prüfen. Moderne Sicherheitslösungen wie Endpoint Detection & Response (EDR), konsequente Systempflege und regelmäßige Backups sind entscheidend, um Schäden zu verhindern oder im Ernstfall schnell reagieren zu können.

Michael Veit, Technology Evangelist bei Sophos

„Dass Angreifer sogar ein Sicherheits- und Forensik-Tool für ihre Zwecke missbrauchen, zeigt, wie raffiniert Cyberattacken inzwischen sind. Unternehmen müssen damit rechnen, dass selbst vermeintlich harmlose Anwendungen zu einem Einfallstor werden können. Entscheidend ist deshalb, ungewöhnliche Aktivitäten schnell zu erkennen und sofort zu handeln,“ erklärt Michael Veit, Security Experte bei Sophos.

Info: Weitere technische Details zum Fall beschreibt das CTU-Team in seinem Blog-Artikel (in englischer Sprache).

#Sophos

Tags:Cybersecurity Cybersicherheit Forensik Ransomware Sophos Velociraptor

Angreifer missbrauchen Forensik-Tool für Ransomware-Versuch

So gingen die Angreifer vor

Taegis-Alarm verhinderte Schlimmeres

Missbrauch legitimer IT-Programme nimmt zu

Empfehlungen für Unternehmen

Über 1000 Infografiken

Backgrounder zu Cybercrime

Wissenswertes zu Blockchain

Die interessantesten und größten Videowalls

Wissenswertes zu Social-Media

Just for fun

Partner von Netzpalaver

Netzpalaver-Podcasts

Paessler-Podcast

Internet Safety for Kids

Angreifer missbrauchen Forensik-Tool für Ransomware-Versuch

So gingen die Angreifer vor

Taegis-Alarm verhinderte Schlimmeres

Missbrauch legitimer IT-Programme nimmt zu

Empfehlungen für Unternehmen

Weitere interessante Beiträge

WiFi-7 als Triebfeder für Manufacturing-X und die vernetzte Industrie der Zukunft

Sophos modernisiert Partnerportal und startet neuen Partner-Blog

KnowBe4 feiert ein Jahrzehnt KI-Innovation mit sieben aktiven KI-Agenten auf dem Markt

Online-Hosting-Dienst Hugging-Face als Provider für Fernzugangstrojaner

Wie Ransomware-Gruppen ihre Opfer auswählen

Multi-Agent-Systeme werden zum neuen Betriebsmodell für Unternehmen

Über 1000 Infografiken

Backgrounder zu Cybercrime

Wissenswertes zu Blockchain

Die interessantesten und größten Videowalls

Wissenswertes zu Social-Media

Just for fun

Partner von Netzpalaver

Netzpalaver-Podcasts

Paessler-Podcast

Internet Safety for Kids

Tag Cloud

Das IT- und Social-Media-Portal