Europa im Visier der Hackergruppe Cosmicbeetle
Quelle: Eset

Europa im Visier der Hackergruppe Cosmicbeetle

Die Hackergruppe Cosmicbeetle versucht mit Spacecolon weltweit Ransomware in Unternehmen zu verbreiten und hat es dabei vor allem auf europäische Organisationen abgesehen.
23. August 2023

     

Die Hackergruppe Cosmicbeetle soll weltweit Organisationen angreifen, es dabei aber vor allem auf europäische Firmen abgesehen haben, wie die Sicherheitsexperten von Eset melden. Dabei verwendet die Gruppe das seit mindestens Mitte Mai 2020 aktive Tool-Set Spacecolon, um Ransomware zu verbreiten und Lösegeld zu erpressen. Für die Verbreitung der Ransomware wird die Zerologon-Schwachstelle bei Webservern ausgenutzt. Nachdem dieser kompromittiert wurde, laden die Angreifer zusätzliche Tools auf die Rechner und führen sie aus. In manchen Fällen kommt zudem eine Ransomware zum Einsatz, die einen Clipbanker einsetzt. Dabei handelt es sich um eine Art von Malware, die den Inhalt der Zwischenablage überwacht. Findet sie Inhalte, bei denen es sich um eine Krypto-Wallet-Adresse handelt, fügt sie eine vom Angreifer kontrollierte Adresse ein. Dabei geben sich die Angreifer generell keine grosse Mühe, ihre Malware zu verbergen. Als Alternative kommen zudem auch klassische Bruteforce-Angriffe auf RDP-Zugangsdaten zum Einsatz.
Und schliesslich glaubt man bei Eset, dass Cosmicbeetle zudem die Verbreitung einer neuen Ransomware-Familie namens Scransom vorbereitet. Diese Ransomware versucht, alle Festplatten, Wechseldatenträger und Remote-Laufwerke zu verschlüsseln. Bis jetzt wurde sie allerdings noch nicht in Aktion beobachtet.

"Wie die Hackergruppe ihre Opfer auswählt, bleibt nebulös. Weder gibt es Schwerpunktbereiche noch Ähnlichkeiten in der Grösse der Ziele: ein Krankenhaus und ein Ferienort in Thailand, eine Versicherungsgesellschaft in Israel, eine lokale Regierungseinrichtung in Polen, ein Unterhaltungsanbieter in Brasilien, ein Umweltunternehmen in der Türkei und eine Schule in Mexiko", so Eset-Forscher Jakub Souček. Derweil lässt der Programmcode von Spacecolon, der viele türkische Zeichenfolgen enthält, den Verdacht aufkommen, dass die Entwickler türkischstämmig sind. (abr)


Weitere Artikel zum Thema

Moveit-Attacke betrifft auch Schweizer Unternehmen

24. Juli 2023 - Weltweit sind 421 Organisationen von Ransomware-Angriffen durch die Gruppe Cl0p auf Basis von zwei Schwachstellen in der Moveit-Software von Progress betroffen, darunter vier Unternehmen aus der Schweiz

Xplain-Hackerangriff zeigt Handlungsbedarf in Bundesverwaltung

14. Juni 2023 - Nun ist es amtlich: Im Zuge des Ransomware-Angriffs auf die Firma Xplain wurden auch Daten der Bundesverwaltung verschlüsselt beziehungsweise entwendet. Noch offen ist, wie diese überhaupt auf die Systeme von Xplain gelangen konnten.

Ransomware-Attacke auf ABB

15. Mai 2023 - Durch einen Ransomware-Angriff, ausgehend von der russischen Hackergruppe Black Basta, litten der Geschäftsbetrieb und der Kundenservice von ABB mehrere Tage lang.

Kommentare
es gibt da eine seite, die von privater hand geführt wird, die eine auflistung von cyberangriffen dokumentiert. täglich finden mehrere fälle statt. wenn der quantencomputer im wohnzimmer anzutreffen ist, dann wirds für uns dann richtig lustig. tadsechlich sogar.
Freitag, 25. August 2023, Drachenlordner



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER