DeathStalker zielt auf Devisen- und Kryptowährungsmarkt

Beitrag teilen

APT-Akteur DeathStalker greift Unternehmen im Devisen- und Kryptowährungsmarkt an. Das durch Technik und Tarnung ausweichende „VileRAT“-Toolset wird über Spear-Phishing verbreitet. Durch die Angriffe sind auch Unternehmen in Deutschland betroffen.

Der Bedrohungsakteur DeathStalker hat sein durch Technik und Tarnung ausweichendes „VileRAT“-Toolset aktualisiert, um Kryptowährungs- und Devisenwechselunternehmen anzugreifen, wie aktuelle Kaspersky-Analysen zeigen. Die angegriffenen Organisationen befinden sich in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen.

Hack-for-Hire-APT-Akteur

Bei DeathStalker handelt es sich um einen Hack-for-Hire-APT-Akteur, dessen Aktivitäten Kaspersky seit dem Jahr 2018 verfolgt. Er hatte bisher vor allem Anwaltskanzleien und Organisationen im Finanzsektor im Visier; die Angriffe schienen weder politisch noch finanziell motiviert zu sein. Die Kaspersky-Experten glauben, dass DeathStalker als eine Art Söldnergruppe fungiert und spezialisierte Hacking- oder Financial-Intelligence-Dienste anbietet. Mitte 2020 konnte Kaspersky eine neue und hochgradig ausweichende Infektion identifizieren, die auf dem „VileRAT“-Python-Implantat basiert. Seitdem haben die Experten die Aktivitäten des Akteurs genau verfolgt und festgestellt, dass er 2022 intensiv auf Devisen- (FOREX) und Kryptowährungs-Handelsunternehmen in der ganzen Welt fokussiert.

VileRAT kommt üblicherweise nach einer komplizierten Infektionskette, die mit Spear-Phishing-E-Mails beginnt, zum Einsatz. In diesem Sommer nutzten die Angreifer auch Chatbots, die in die öffentlichen Websites der betroffenen Unternehmen eingebettet sind, um schädliche Dokumente zu versenden. Die DOCX-Dokumente werden häufig mit den Schlüsselwörtern „Compliance“ oder „Complaint“ (sowie dem Namen des Zielunternehmens) gekennzeichnet und geben vor, es handle sich dabei um Antworten auf vermeintliche Identifizierungsanfragen oder um Problemmeldungen.

Raffinierte Tools die sich tarnen

Die VileRAT-Kampagne zeichnet sich durch die Raffinesse der verwendeten Tools und die riesige dahinterstehende, schädliche Infrastruktur (im Vergleich zu den zuvor dokumentierten DeathStalker-Aktivitäten), die zahlreichen Verschleierungstechniken, die während der gesamten Infektion verwendet werden, sowie ihre kontinuierliche und anhaltende Aktivität seit 2020 aus. Die aktuelle Kampagne zeigt, dass DeathStalker enorme Anstrengungen unternimmt, um Zugang zu seinen Zielen zu verschaffen und dann zu erhalten. Die möglichen Zielsetzungen der Angriffe reichen von Due Diligence, Vermögensabschöpfung, Unterstützung bei Rechtsstreitigkeiten oder Schiedsverfahren bis hin zur Umgehung von Sanktionen; ein direkter finanzieller Gewinn scheint weiterhin nicht Teil davon zu sein.

VileRaT zeigt kein besonderes Interesse an bestimmten Ländern; stattdessen berichten Kaspersky-Forscher von betroffenen Organisationen in Bulgarien, Zypern, Deutschland, Kuwait, Malta, den Vereinigten Arabischen Emiraten, Russland und auf den Grenadinen. Bei den identifizierten Organisationen handelt es sich um Unternehmen jeder Größe – von neu gegründeten Start-ups bis hin zu etablierten Branchenführern.

Täuschen, tarnen, sich verstecken

„Das Ziel von DeathStalker war schon immer, einer Entdeckung zu entkommen“, erklärt Pierre Delcher, Senior Security Researcher im Global Research & Analysis Team (GReAT) bei Kaspersky. „Die VileRAT-Kampagne brachte das Ganze aber jetzt auf ein neues Level. Hinsichtlich Komplexität und Verschleierung ist sie zweifellos die anspruchsvollste Kampagne, die wir jemals von diesem Akteur gesehen haben. Die Taktiken und Praktiken von DeathStalker sind effektiv, um leichtere Ziele anzugreifen. Diese sind möglicherweise nicht erfahren genug, um einem solchen Angriff standzuhalten, haben Sicherheit nicht zu einer der obersten Prioritäten ihrer Organisation gemacht oder interagieren häufig mit Dritten, die dies noch nicht getan haben.“

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Application-Security: Deutschland ist Vorreiter

Der neueste ASPM Report zeigt, dass deutsche Unternehmen aktiver an der Verbesserung ihrer Application-Security arbeiten. Fast 70 Prozent von ihnen ➡ Weiterlesen

Cyberangriffe: Diese Schwachstellen sind Hauptziele

Durch die Analyse von vielen, weltweiten Cybervorfällen war es möglich die drei größten Schwachstellen zu identifizieren: Dazu gehören ineffizientes Schwachstellenmanagement, ➡ Weiterlesen

KI-Dienste: Überwachen und Schwachstellen erkennen

65 Prozent der Unternehmen nutzen generative KI in einer oder mehreren Funktionen. KI-Dienste bieten viele Vorteile, aber gleichzeitig auch viele ➡ Weiterlesen

Handlungsbedarf in Sachen DORA

Warum Finanzinstitute hinsichtlich DORA jetzt handeln müssen, um die operative Widerstandsfähigkeit zu sichern. Mit dem endgültigen Inkrafttreten des Digital Operational ➡ Weiterlesen

E-Mail-Sicherheit: 5 Tipps zur Anpassung an NIS2

E-Mail-Sicherheit nimmt eine zentrale Rolle für die Cybersicherheit des ganzen Unternehmens ein. Denn E-Mail ist nicht nur der wichtigste Kommunikationskanal ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Wiederherstellung nach Cyberangriffen beschleunigen

Viele IT- und Sicherheitsverantwortliche machen sich Sorgen, ob ihr Unternehmen nach einem Cyberangriff noch geschäftsfähig ist, bzw. wie schnell es ➡ Weiterlesen

Bedrohungsschutz: APIs für IBM QRadar und Microsoft Sentinel

Ab sofort haben auch Nutzer von IBM QRadar SIEM und Microsoft Sentinel mittels eigener APIs Zugriff auf die umfangreichen Bedrohungsdaten ➡ Weiterlesen