Cloud statt Ransomware: Storm-0501 ändert Taktik 

Microsoft warnt von einer besorgniserregenden Entwicklung: die Bedrohungsakteure Storm-0501 hat ihre Taktik grundlegend verändert. Statt wie bisher klassische On-Premise-Ransomware einzusetzen, konzentrieren sie sich nun auf cloudbasierte Erpressungsmethoden. Dabei nutzen die Angreifer keine Schadsoftware mehr, um Dateien zu verschlüsseln – sie missbrauchen gezielt native Cloud-Funktionen, um Daten zu stehlen, Backups zu löschen und Speicherkonten mit benutzerdefinierten Schlüsseln zu verschlüsseln. Die Opfer werden anschließend erpresst, um den Zugriff zurückzuerlangen. 

Storm-0501 ist seit 2021 aktiv und war bislang für den Einsatz von Ransomware-Familien wie Sabbath, Hive und LockBit bekannt. In jüngsten Kampagnen liegt der Fokus jedoch klar auf Microsoft Entra ID-Mandanten und Azure-Umgebungen. Die Gruppe verschafft sich über kompromittierte privilegierte Konten und Schwachstellen in Microsoft Defender administrative Kontrolle, deaktiviert Schutzmechanismen und zerstört Wiederherstellungsoptionen. 

Dieser Strategiewechsel steht exemplarisch für einen wachsenden Trend: Cyberkriminelle setzen zunehmend auf cloudnative Erpressungsmethoden, die schwerer zu erkennen und zu blockieren sind. Microsoft hat daraufhin neue Erkennungsrichtlinien veröffentlicht und betont die Bedeutung robuster Cloud-Sicherheitsmaßnahmen – insbesondere einer starken Multi-Faktor-Authentifizierung (MFA). 

KI-generierte Ransomware: PromptLock entdeckt 

ESET-Forscher haben die erste KI-gestützte Ransomware entdeckt, die den Namen PromptLock trägt und das OpenAI-Modell gpt-oss:20b nutzt, um auf Abruf bösartige Skripte zu generieren. In Golang geschrieben, verbindet sich die Malware über die Ollama-API und verwendet fest kodierte Prompts, um dynamisch Lua-Skripte für Dateisystem-Scans, Datendiebstahl und Verschlüsselung zu erstellen. Besonders bemerkenswert ist, dass PromptLock den leichten SPECK-128-Bit-Algorithmus einsetzt, ein schwacher Algorithmus, der in Ransomware selten verwendet wird – ein Hinweis darauf, dass es sich noch um ein Proof-of-Concept handelt und nicht um eine aktive Bedrohung. 

ESET fand die Probe auf VirusTotal und bestätigte, dass sie nicht in realen Angriffen eingesetzt wurde. Weitere Hinweise – darunter eine mit Satoshi Nakamoto verknüpfte Bitcoin-Wallet und das Fehlen von Datenlöschfunktionen – stützen die Annahme, dass es sich um ein experimentelles Projekt handelt. Dennoch ist PromptLock bedeutsam, da es zeigt, wie generative KI in Malware missbraucht werden kann, mit plattformübergreifender Reichweite und operativer Flexibilität. 

Die Entdeckung folgt auf den Bericht des ukrainischen CERT über LameHug, ein weiteres LLM-basiertes Tool, das APT28 zugeschrieben wird, und deutet auf einen möglichen neuen Trend hin. 

Cyberangriff auf Miljödata legt 200 schwedische Kommunen lahm 

Ein Cyberangriff auf den schwedischen IT-Anbieter Miljödata hat in über 200 Kommunen Dienste lahmgelegt und Sorgen über den Diebstahl sensibler persönlicher Daten ausgelöst. Berichten zufolge forderten die Angreifer ein Lösegeld von 1,5 Bitcoin (etwa 168.000 US-Dollar), um die Veröffentlichung gestohlener Informationen zu verhindern. 

Miljödata, das HR- und Arbeitsumgebungssysteme für rund 80 % der schwedischen Kommunen bereitstellt, unterstützt kritische Funktionen wie medizinische Atteste, Unfallberichte am Arbeitsplatz und die Verwaltung von Rehabilitationsfällen. CEO Erik Hallén bestätigte den Angriff am 25. August und erklärte, dass das Unternehmen mit externen Experten zusammenarbeitet, um den Vorfall zu untersuchen und Systeme wiederherzustellen. 

Mehrere Regionen, darunter Halland und Gotland, warnten die Bürger, dass sensible Daten offengelegt worden sein könnten. Schwedens Minister für Zivilschutz, Carl-Oskar Bohlin, erklärte, dass CERT-SE und die Polizei den Vorfall prüfen. Keine Ransomware-Gruppe hat die Verantwortung übernommen, und sowohl die Website als auch die Mailserver von Miljödata sind weiterhin offline. 

ShadowSilk zielt auf Regierungen in Zentralasien & APAC 

Forscher haben eine Welle von Cyberangriffen auf Regierungsstellen in Zentralasien und im asiatisch-pazifischen Raum mit einer Bedrohungsgruppe namens ShadowSilk in Verbindung gebracht. Fast drei Dutzend Opfer wurden in Usbekistan, Kirgisistan, Myanmar, Tadschikistan, Pakistan und Turkmenistan identifiziert, wobei die Angriffe in erster Linie auf Datendiebstahl abzielten. 

ShadowSilk weist deutliche Überschneidungen mit zuvor beobachteten Gruppen wie YoroTrooper, SturgeonPhisher und Silent Lynx auf. Analysten gehen davon aus, dass die Operation von einem zweisprachigen Team durchgeführt wird – russischsprachige Entwickler sind mit YoroTroopers Legacy-Code verbunden, während chinesischsprachige Operatoren aktive Angriffe durchführen. 

Die Angriffe beginnen typischerweise mit Spear-Phishing-E-Mails, die passwortgeschützte Archive enthalten, die zu maßgeschneiderten Loadern führen, welche den C2-Datenverkehr hinter Telegram-Bots verbergen. Die Gruppe nutzt bekannte Schwachstellen in Drupal und WordPress-Plugins aus und setzt eine breite Palette von Tools wie Cobalt Strike, Metasploit und maßgeschneiderte Passwort-Stealer ein. 

NSA & NCSC: Chinesische Firmen hinter Salt Typhoon-Hackingkampagnen 

Die US-amerikanische NSA, das britische NCSC und Cybersicherheitsbehörden aus 13 Ländern haben die langjährigen Spionagekampagnen von Salt Typhoon auf drei chinesische Technologieunternehmen zurückgeführt: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology und Sichuan Zhixin Ruijie Network Technology. Laut gemeinsamen Warnungen unterstützten diese Firmen Chinas Ministerium für Staatssicherheit und die Volksbefreiungsarmee bei Cyberoperationen gegen Regierungs-, Telekommunikations-, Transport- und Militärnetzwerke weltweit. 

Salt Typhoon ist mindestens seit 2021 aktiv und nutzte bekannte und bereits gepatchte Schwachstellen in Geräten von Ivanti, Palo Alto und Cisco, um dauerhaft Zugriff zu behalten und sensible Daten zu stehlen. Anstatt Zero-Days zu verwenden, missbraucht die Gruppe ungepatchte Edge-Geräte, erstellt Tunnel, sammelt Authentifizierungsdaten und setzt maßgeschneiderte SFTP-Tools in Golang ein. 

Die NSA und das NCSC warnen, dass Salt Typhoon weiterhin sehr effektiv ist, und fordern Organisationen auf, Patching zu priorisieren, Verwaltungsdienste einzuschränken, alte Cisco-Funktionen zu deaktivieren und Systeme aktiv auf Anzeichen einer Kompromittierung zu überwachen. 

 Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.