News Week: 19. Januar bis 25. Januar 2026

Spear-Phishing über Werbeinfrastruktur

Eine kürzlich aufgedeckte Spear-Phishing-Operation demonstriert, wie Angreifer Online-Werbemechanismen missbrauchen, um fortschrittliche Malware zu verbreiten. In dieser Kampagne, bekannt als Operation Poseidon, leiten sorgfältig erstellte Phishing-E-Mails die Opfer über legitime Google Ads Tracking-Domains um, bevor sie zu kompromittierten Websites führen, die bösartige Nutzlasten hosten. Indem sie schädliche Ziele in vertrauenswürdigen Werbeparametern verstecken, reduzieren die Angreifer die Wahrscheinlichkeit von Verdacht erheblich und umgehen gängige E-Mail-Sicherheitskontrollen. Die Aktivität wurde der Konni APT-Gruppe zugeschrieben, die hauptsächlich südkoreanische Organisationen mit Social-Engineering-Köder angreift, die als Finanz- oder offizielle Dokumente getarnt sind. Nach dem Zugriff installieren komprimierte Dateien Shortcut-basierte Ausführungsketten, die letztendlich den EndRAT-Remote-Access-Trojaner direkt in den Speicher laden. Diese Methode vermeidet die herkömmliche dateibasierte Erkennung und ermöglicht es den Angreifern, eine heimliche Persistenz aufrechtzuerhalten, während sie die Infrastruktur schnell über gehackte WordPress-Sites rotieren.

Heimliche Backdoor während eines Ransomware-Angriffs eingesetzt

Ein Ransomware-Vorfall bei einem großen Finanzinstitut hat eine bisher undokumentierte Windows-Backdoor aufgedeckt, die für einen verdeckten, langfristigen Zugriff entwickelt wurde. Die Malware mit dem Namen PDFSider wurde bei einer forensischen Analyse entdeckt und scheint als anfänglicher Ausgangspunkt für eine umfassendere Kompromittierung zu fungieren. Der Angriff stützte sich stark auf Social Engineering, wobei sich Angreifer als IT-Mitarbeiter ausgaben und Mitarbeiter davon überzeugten, Microsoft Quick Assist zu installieren, ein legitimes Remote-Support-Tool. Sobald der Zugriff hergestellt war, wurde PDFSider über Phishing-E-Mails mit ZIP-Archiven verbreitet, die DLL-Side-Loading über eine signierte PDF24 Creator-Anwendung missbrauchten. Die Backdoor arbeitet größtenteils im Speicher, sammelt System-Fingerabdrücke und kommuniziert mit der Angreifer-Infrastruktur über verschlüsselten DNS-Traffic. Obwohl PDFSider mit Kampagnen in Verbindung gebracht wurde, die die Qilin-Ransomware beinhalten, stellen Forscher fest, dass sich ihre Verbreitung auf mehrere Bedrohungsakteure ausweitet, was ihren Wert für einen persistenten, geräuscharmen Zugriff innerhalb hochwertiger Netzwerke unterstreicht.

Backdoor, die auf virtualisierte Infrastruktur abzielt

Eine kürzlich von CISA veröffentlichte Malware-Analyse beschreibt eine fortschrittliche Backdoor, die für den Betrieb tief in virtualisierten Unternehmensumgebungen entwickelt wurde. Die Bedrohung, die als BRICKSTORM verfolgt wird, zielt speziell auf VMware vSphere-Komponenten wie vCenter-Server und ESXi-Hosts ab, wodurch Angreifer einen verdeckten, langfristigen Zugriff erhalten können. Die Malware ist seit mindestens 2024 aktiv und wurde während eines längeren Angriffs beobachtet, bei dem Angreifer stillschweigend die Kontrolle ausweiteten, auf Domänencontroller zugriffen und sensible kryptografische Materialien aus der Identitätsinfrastruktur extrahierten. BRICKSTORM ist auf Persistenz ausgelegt, installiert sich bei Störung automatisch neu und bleibt für herkömmliche Überwachungstools weitgehend unsichtbar. Es wurden mehrere Varianten identifiziert, die sowohl in Go als auch in Rust erstellt wurden, was die laufende Entwicklung unterstreicht. Seine Fähigkeit, verschlüsselten Command-and-Control-Traffic in normale DNS-over-HTTPS-Aktivitäten einzubinden, macht BRICKSTORM besonders effektiv bei der Vermeidung von Erkennung und ermöglicht gleichzeitig Datendiebstahl und laterale Bewegung.

Durchgesickertes Panel enthüllt laufende Ransomware-Operationen

Neu veröffentlichte Materialien aus dem LockBit 5.0-Partnerpanel geben seltene Einblicke in die Funktionsweise einer großen Ransomware-as-a-Service (RaaS)-Operation trotz anhaltendem Druck durch die Strafverfolgungsbehörden. Das durchgesickerte Dashboard zeigt ein ausgereiftes Backend, das von Partnern verwendet wird, um Kampagnen zu verwalten, Zahlungen auszuhandeln und Angriffe in großem Umfang zu koordinieren, was darauf hindeutet, dass die Kern-Workflows von LockBit weitgehend unverändert bleiben. Während kosmetische Aktualisierungen auf eine aktive Wartung hindeuten, ist die größere Entwicklung die Veröffentlichung von vier neuen Verschlüsselungsvarianten: LB_Black_14_01_2026 für Windows-Umgebungen, LB_Linux_14_01_2026 für Linux-Systeme, LB_ESXi_14_01_2026 für VMware ESXi und die spezialisierte LB_ChuongDong_14_01_2026-Variante. Diese Multi-Plattform-Erweiterung unterstreicht, wie das RaaS-Modell eine schnelle Anpassung an verschiedene Infrastrukturen ermöglicht. Trotz schwindenden Vertrauens unter den Partnern scheint sich die LockBit-Führung darauf zu konzentrieren, die operative Reichweite aufrechtzuerhalten, anstatt ihr Ökosystem umzustrukturieren.

BYOVD-gesteuerte Ransomware unterstreicht die sich verändernde Bedrohungslandschaft

Ein neu identifizierter Ransomware-Stamm namens Osiris veranschaulicht, wie Angreifer maßgeschneiderte Treiber und vertraute Tools kombinieren, um Abwehrmaßnahmen zu umgehen. In diesem Fall verwendeten Bedrohungsakteure den bösartigen POORTRY-Treiber in einem Bring Your Own Vulnerable Driver (BYOVD)-Angriff, um den Endpunktschutz zu deaktivieren, bevor sie Osiris einsetzten, eine Verschlüsselungs-Payload, die für präzise Kontrolle und dateispezifische Schlüssel entwickelt wurde. Ermittler beobachteten die Datenexfiltration über Rclone zu Wasabi-Buckets und Tooling-Überschneidungen, die auf mögliche Verbindungen zur INC-Ransomware hindeuten. Diese Aktivität entsteht inmitten eines breiteren Ökosystems, in dem sich Ransomware-Varianten wie Akira, Qilin, Play, SafePay, RansomHub, DragonForce, Rhysida, CACTUS, Makop, Lynx, 01flip, LockBit 5.0 und neuere RaaS-basierte Operationen wie Sicarii weiterentwickeln. Zusammengenommen zeigen diese Entwicklungen, wie Ransomware-Akteure die Eskalation von Berechtigungen, die Persistenz und das Cross-Plattform-Targeting verfeinern, um den Druck auf Unternehmensumgebungen aufrechtzuerhalten.

Fazit

Das Aufkommen von Osiris und der breitere Anstieg fortschrittlicher Ransomware-Aktivitäten verdeutlichen, wie schnell Bedrohungsakteure ihre Techniken verfeinern, von der BYOVD-basierten Abwehrumgehung bis hin zum Cross-Plattform-Targeting und der Datenexfiltration. Diese Entwicklungen unterstreichen die Bedeutung einer schnellen Erkennung, einer fachkundigen Reaktion und gut vorbereiteter Wiederherstellungsstrategien bei der Bewältigung moderner Ransomware-Vorfälle.

Als Ransomware- und Cybersicherheitsspezialisten unterstützen wir Unternehmen vor, während und nach einem Angriff durch dedizierte Ransomware-Wiederherstellungsdienste, professionelle Ransomware-Verhandlungsdienste und proaktiven Schutz über einen Incident Response Retainer. Wenn Ihr Unternehmen fachkundige Hilfe bei der Ransomware-Entschlüsselung, der Eindämmung von Vorfällen oder der langfristigen Resilienz benötigt, setzen Sie sich mit uns in Verbindung, um zu besprechen, wie wir Ihre Wiederherstellungs- und Sicherheitsziele unterstützen können.