BeforeCrypt Blog
Neueste Beiträge
Das Aufkommen der Crimson Collective Ransomware
Crimson Collective ist eine neu identifizierte Cyber-Bedrohungsgruppe im Bereich Ransomware, die um den September 2025 auftauchte. Während sie oft mit Erpressungen im Ransomware-Stil in Verbindung gebracht wird, konzentriert sich die Gruppe primär auf groß angelegte Datenexfiltration und auf Druckmitteln basierende Angriffe statt auf herkömmliche Dateiverschlüsselung. Ihre Operationen haben nach Behauptungen über eine schwere Sicherheitsverletzung bei […]
27.03.2025
Das Aufkommen der Insomnia-Ransomware
Insomnia ist eine neu identifizierte Cyberbedrohungs-Operation, die etwa im Oktober 2025 erstmals in Erscheinung trat. Zunächst wirkte sie wie ein ransomwarebezogener Threat Actor, hob sich jedoch schnell durch einen grundlegend anderen Ansatz ab. Anders als klassische Ransomware-Gruppen setzt Insomnia weder auf Dateiverschlüsselung noch auf die Verwendung einer Ransomware-Dateiendung. Stattdessen konzentriert sich die Gruppe ausschließlich auf […]
27.03.2025
Das Auftauchen der Tengu-Ransomware
Tengu ist eine moderne Ransomware-Variante, die etwa im Oktober 2025 aufgetaucht ist und sich schnell als aktive Cyberbedrohung in mehreren Regionen etabliert hat. Als Ransomware-as-a-Service-(RaaS)-Modell ermöglicht Tengu Affiliates, Angriffe mit gemeinsam genutzter Infrastruktur und Tooling durchzuführen. Nach der Bereitstellung verschlüsselt die Malware die Daten der Opfer und hängt die Ransomware-Dateiendung „.tengu“ an betroffene Dateien an, […]
27.03.2025
News Week: 9. März bis 15. März 2026
ClickFix-Variante missbraucht Windows Terminal zur Umgehung von Sicherheitskontrollen Eine neu beobachtete ClickFix-Variante zeigt, wie Angreifer ihre Social-Engineering-Techniken weiter verfeinern, um die Erkennung zu umgehen und die Erfolgsraten zu erhöhen. Anstatt den traditionellen Ausführen-Dialog zu verwenden, werden die Opfer angewiesen, das Windows Terminal zu starten, wodurch eine vertrauenswürdigere Umgebung für die Ausführung bösartiger Befehle geschaffen wird. […]
27.03.2025
News Week: 2. März bis 8. März 2026
KI-gestützte Ransomware untergräbt traditionelle Backup-Strategien Neue, durch künstliche Intelligenz unterstützte Ransomware-Bedrohungen definieren neu, wie Angreifer Unternehmensumgebungen kompromittieren – mit einem zunehmenden Fokus auf Backup-Systeme als primäre Ziele. Statt sofortiger Verschlüsselung setzen moderne Angriffe auf Tarnung und nisten sich über längere Zeiträume in Netzwerken ein, um die Infrastruktur zu kartieren, Zugangsdaten abzugreifen und Wiederherstellungsmechanismen zu identifizieren. […]
27.03.2025
News Week: 23. Februar bis 1. März 2026
Wurmfähige Cryptojacking-Kampagne kombiniert BYOVD-Exploits mit unauffälligen Ausbreitungstechniken Eine neu aufgedeckte Kampagne zeigt, wie sich moderne Cryptojacking-Operationen durch fortschrittliche Umgehungs- und Persistenzmechanismen weiterentwickeln. Im Zentrum steht ein angepasster XMRig-Miner; der Angriff verbreitet sich über raubkopierte Software-Bundles und USB-Geräte und ermöglicht eine wurmartige Ausbreitung über Systeme hinweg. Kernstück ist ein multifunktionaler Controller, der verschiedene Infektionsphasen steuert, unterstützt […]
27.03.2025
News Week: 16. Februar bis 22. Februar 2026
Fortgeschrittene macOS ClickFix-Variante führt mehrschichtige Stealer-Techniken ein Die sich entwickelnde ClickFix-Kampagne zielt nun mit einer verfeinerten Variante namens Matryoshka auf macOS-Systeme ab und nutzt schichtweise Obfuskation sowie In-Memory-Ausführung, um der Entdeckung zu entgehen. Opfer werden über Typosquatting-Domains auf gefälschte Support-Seiten umgeleitet, wo sie dazu verleitet werden, bösartige Terminal-Befehle auszuführen. Diese benutzergesteuerte Aktion umgeht native macOS-Schutzmaßnahmen […]
27.03.2025
News Week: 9. bis 15. Februar 2026
Cephalus hebt das anhaltende Risiko RDP-gesteuerter Ransomware-Angriffe hervor Cephalus hat sich als bemerkenswerte Ransomware-Bedrohung herausgestellt und verdeutlicht, wie Angreifer weiterhin exponierte Remote Desktop Protocol (RDP)-Dienste als anfänglichen Zugangsvektor ausnutzen. Die in Go geschriebene Malware spiegelt die zunehmende Akzeptanz plattformübergreifender, effizient kompilierter Tools durch finanziell motivierte Gruppen wider. Forscher beschreiben Cephalus als ein Modell der doppelten […]
27.03.2025
News Week: 2. Februar bis 8. Februar 2026
ShadowHS signalisiert eine neue Klasse dateiloser Linux-Bedrohungen Sicherheitsforscher haben ShadowHS aufgedeckt, ein auf Tarnung ausgerichtetes Linux-Malware-Framework, das vollständig im Arbeitsspeicher operiert und so die herkömmliche festplattenbasierte Erkennung umgeht. Anstatt ausführbare Dateien abzulegen, erfolgt die Ausführung über anonyme Dateideskriptoren und tarnt sich durch das Spoofing legitimer Prozessnamen. Die Infektionskette stützt sich auf einen stark obfuskierte, mehrstufigen […]
27.03.2025
News Week: 26. Januar bis 1. Februar 2026
Warum perfekte Ransomware-Prävention unrealistisch ist Die Erwartung, dass Sicherheitsanbieter jeden Ransomware-Angriff blockieren, ignoriert eine Kernrealität der Cybersicherheit: Schutz hängt von Erkennung ab, und Erkennung ist niemals fehlerfrei. Defensive Tools klassifizieren Aktivitäten als legitim oder bösartig, basierend hauptsächlich auf historischen Mustern. Angreifer nutzen dies aus, indem sie Payloads, Verhaltensweisen und Übermittlungstechniken ständig ändern, wodurch neue Bedrohungen […]
27.03.2025
Das Aufkommen der Osiris-Ransomware
Osiris ist eine neu identifizierte Ransomware-Variante, die Ende 2025 nach einem gezielten Angriff auf einen großen Gastronomiebetrieb in Südostasien auftauchte. Im Gegensatz zu der älteren Malware, die 2016 den gleichen Namen trug, ist diese Osiris-Ransomware ein völlig neuer Strang, der von erfahrenen Bedrohungsakteuren entwickelt und eingesetzt wird. Die Malware kombiniert fortschrittliche Verschlüsselung mit auf Tarnung […]
27.03.2025
News Week: 19. Januar bis 25. Januar 2026
Spear-Phishing über Werbeinfrastruktur Eine kürzlich aufgedeckte Spear-Phishing-Operation demonstriert, wie Angreifer Online-Werbemechanismen missbrauchen, um fortschrittliche Malware zu verbreiten. In dieser Kampagne, bekannt als Operation Poseidon, leiten sorgfältig erstellte Phishing-E-Mails die Opfer über legitime Google Ads Tracking-Domains um, bevor sie zu kompromittierten Websites führen, die bösartige Nutzlasten hosten. Indem sie schädliche Ziele in vertrauenswürdigen Werbeparametern verstecken, reduzieren […]
27.03.2025
Das Aufkommen der DeadLock-Ransomware
DeadLock, erstmals im Juli 2025 identifiziert, ist eine neu entdeckte Ransomware-Variante, die aufgrund fehlender öffentlicher Partnerprogramme und des Fehlens einer bekannten Datenleak-Seite weitgehend unbemerkt geblieben ist. Trotz ihrer bisher geringen Bekanntheit stellt DeadLock eine ernsthafte Bedrohung dar, da sie traditionelle Dateiverschlüsselung mit innovativen Infrastrukturtechniken kombiniert. Sobald ein System kompromittiert ist, verschlüsselt DeadLock die Daten des […]
27.03.2025
News Week: 12. Januar bis 18. Januar 2026
Unbegrenzte Dateinamenbehandlung birgt das Risiko von Speicherbeschädigung Eine neu identifizierte Schwachstelle verdeutlicht eine schwerwiegende Schwäche in der Art und Weise, wie das untgz-Dienstprogramm in zlib Benutzereingaben verarbeitet. In betroffenen Builds kann ein speziell entwickelter Befehlszeilenparameter einen globalen Pufferüberlauf auslösen, bevor überhaupt Archivinhalte verarbeitet werden. Das Problem entsteht durch das direkte Kopieren eines Archivnamens in einen […]
27.03.2025
Überblick über die Bedrohung durch BeaverTail-Malware
BeaverTail ist eine JavaScript-basierte Malware-Familie, die hauptsächlich über bösartige oder trojanisierte NPM-Pakete verbreitet wird. BeaverTail ist seit mindestens 2022 aktiv und entwickelt sich ständig weiter. Es wurde entwickelt, um sensible Informationen zu stehlen und als Loader für zusätzliche Malware-Stufen zu fungieren, insbesondere für eine Python-basierte Hintertür namens InvisibleFerret. Jüngste Untersuchungen haben neuere BeaverTail-Varianten mit nordkoreanischen […]
27.03.2025
DocSwap Android Malware – Bedrohungsübersicht
DocSwap ist eine neu entdeckte Android-Malware, die dem nordkoreanischen Bedrohungsakteur Kimsuky zugeschrieben wird. Die Malware wurde erstmals im Dezember 2025 gemeldet und wird über QR-Code-Phishing-Kampagnen verbreitet, die legitime Logistik- und Zollbenachrichtigungen imitieren, insbesondere solche, die mit dem südkoreanischen Lieferunternehmen CJ Logistics in Verbindung stehen. Im Gegensatz zu Ransomware verschlüsselt DocSwap keine Dateien und erpresst keine […]
27.03.2025