Eine berüchtigte Ransomware-Gruppe verbreitet gefälschte Microsoft Teams-Anzeigen, um Opfer zu ködern

Nutzer, die nach Microsoft Teams suchen, müssen in letzter Zeit besonders vorsichtig sein, da die Ransomware-Gruppe Rhysida gefälschte Anzeigen schaltet, um Menschen dazu zu bringen, Malware herunterzuladen. Die Cybersicherheitsfirma Expel entdeckte, dass diese irreführenden Anzeigen eine Art Malware namens OysterLoader verbreiten, die zuvor als Broomstick und CleanUpLoader bekannt war. Dies ist nicht das erste Mal, dass Rhysida Microsoft Teams imitiert; es ist tatsächlich ihre zweite Kampagne in nur anderthalb Jahren. OysterLoader fungiert als Initial Access Tool (IAT), was bedeutet, dass es nach der Installation eine Hintertür auf dem Gerät und im Netzwerk des Opfers öffnet, die Angreifern langfristigen Zugriff ermöglicht.\n\nDie Angriffsmethode ist ziemlich clever und basiert stark auf Malvertising. Rhysida kauft Anzeigen auf der Suchmaschine Bing, die legitim aussehen und Nutzer zu Download-Seiten führen, die offiziell erscheinen, aber tatsächlich bösartig sind. Aaron Walton, ein Threat-Intelligence-Analyst bei Expel, erklärte, dass diese Anzeigen es den Opfern erleichtern, die Malware zu finden und herunterzuladen, da sie direkt in den Suchergebnissen angezeigt wird. Während Microsoft Teams derzeit als Köder dient, hat die Gruppe zuvor andere beliebte Apps wie PuTTY und Zoom verwendet, um Opfer anzulocken.\n\nUm die Erkennung zu erschweren, verwendet Rhysida Packing-Tools, die die wahren Funktionen der Malware verschleiern, was zu niedrigen Erkennungsraten führt, wenn die Malware erstmals auftaucht. Die Gruppe nutzt auch Code-Signing-Zertifikate, die normalerweise echten Softwareherstellern vorbehalten sind. Dieser Trick erhöht die Vertrauenswürdigkeit ihrer bösartigen Dateien und hilft, sofortigen Verdacht zu vermeiden. Interessanterweise werden diese Zertifikate meist schnell widerrufen, was Sicherheitsfirmen tatsächlich dabei hilft, neue Wellen der Kampagne zu erkennen, da frische Zertifikate auf neue Malware-Batches hinweisen.\n\nNeben OysterLoader setzt Rhysida auch eine weitere Malware namens Latrodectus für den initialen Netzwerkzugang ein. Expel beobachtete dies bei der Analyse von Dateien zur Entwicklung von Erkennungsregeln. Rhysida hebt sich unter Cyberkriminellen dadurch hervor, dass sie Microsofts Trusted Signing Service nutzt, um Code-Signing-Zertifikate zu erwerben – ein Mechanismus, der eigentlich den Missbrauch von Zertifikaten verhindern soll. Es scheint, als hätten sie Wege gefunden, die eingebauten Schutzmaßnahmen zu umgehen.\n\nUrsprünglich 2021 als Vice Society gegründet, benannte sich die Gruppe 2023 in Rhysida um und operiert nach einem Ransomware-as-a-Service (RaaS)-Modell mit einer Doppel-Erpressungstaktik. Seitdem haben sie etwa 200 Opfer öffentlich auf ihrer Datenleckseite gelistet, darunter Regierungsbehörden, Gesundheitsdienstleister und kritische Infrastrukturen. Bedeutende Opfer in diesem Jahr sind das Oregon Department of Environmental Quality, das Cookville Regional Medical Center in Tennessee, die Sunflower Medical Group in Kansas und die Community Care Alliance, die sich auf psychische Erkrankungen und Sucht spezialisiert hat. Sie haben auch das Maryland Department of Transportation und die British Library ins Visier genommen.\n\nDiese Entwicklungen unterstreichen die anhaltenden Risiken durch hochentwickelte Ransomware-Gruppen wie Rhysida, die ihre Taktiken kontinuierlich anpassen, um Erkennung zu vermeiden und maximale Wirkung zu erzielen. Es ist eine deutliche Erinnerung für Organisationen und Einzelpersonen, wachsam zu bleiben, insbesondere beim Herunterladen von Software aus Online-Quellen. Überprüfen Sie Download-Links stets über offizielle Kanäle, um nicht Opfer solcher bösartigen Machenschaften zu werden.