News Week: 23. Februar bis 1. März 2026

Wurmfähige Cryptojacking-Kampagne kombiniert BYOVD-Exploits mit unauffälligen Ausbreitungstechniken

Eine neu aufgedeckte Kampagne zeigt, wie sich moderne Cryptojacking-Operationen durch fortschrittliche Umgehungs- und Persistenzmechanismen weiterentwickeln. Im Zentrum steht ein angepasster XMRig-Miner; der Angriff verbreitet sich über raubkopierte Software-Bundles und USB-Geräte und ermöglicht eine wurmartige Ausbreitung über Systeme hinweg. Kernstück ist ein multifunktionaler Controller, der verschiedene Infektionsphasen steuert, unterstützt durch eingebettete Payloads und eine robuste Watchdog-Struktur. Durch den Einsatz der Bring-Your-Own-Vulnerable-Driver-(BYOVD)-Technik erlangt die Malware Zugriff auf Kernel-Ebene, um die Mining-Performance zu optimieren, und modifiziert sogar das CPU-Verhalten, um die Effizienz zu steigern. Weitere Tarnfunktionen umfassen die verdeckte Bereitstellung von Dateien, Prozessmanipulation sowie einen zeitbasierten Kill-Switch, der den Lebenszyklus der Kampagne steuert. Diese Kombination aus Social Engineering, Kernel-Exploitation und automatisierter Verbreitung verdeutlicht, wie selbst Nicht-Ransomware-Bedrohungen zunehmend ausgefeilt und schwerer zu erkennen werden.

Ransomware entwickelt sich weiter – mit Polymorphie und unauffälligen Techniken zur Datenkorruption

Aktuelle Forschungsergebnisse zeigen eine deutliche Verschiebung der Ransomware-Taktiken: Angreifer setzen zunehmend auf fortgeschrittene Methoden, die darauf ausgelegt sind, Erkennung zu umgehen und die Wiederherstellung zu erschweren. Eine wachsende Zahl von Varianten nutzt inzwischen polymorphe Techniken, die es ihnen ermöglichen, ihre Struktur zu verändern, während die Funktionalität erhalten bleibt – wodurch signaturbasierte Erkennung weniger wirksam wird. Zudem ist Shadow Encryption verbreiteter geworden: Dabei werden Daten langsam und nur teilweise verschlüsselt, um über längere Zeit unentdeckt zu bleiben. Ein weiterer Trend besteht darin, ganze Verzeichnisstrukturen statt einzelner Dateien anzugreifen, was Störungen über Systeme hinweg beschleunigt. Auffällig ist außerdem, dass einige Kampagnen zunehmend Wiper-Angriffen ähneln und irreversible Datenzerstörung gegenüber finanziellen Motiven priorisieren. Diese Entwicklungen zeigen, dass sich Ransomware über traditionelle Verschlüsselungsmodelle hinaus in Richtung unauffälligerer und destruktiverer Ansätze bewegt – und unterstreichen den Bedarf an fortschrittlichen Erkennungsfähigkeiten sowie belastbaren Wiederherstellungsstrategien.

Staatlich unterstützte Akteure weiten Ransomware-Operationen im Gesundheitswesen aus

Aktuelle Threat-Intelligence-Erkenntnisse deuten darauf hin, dass mit Nordkorea in Verbindung stehende Akteure zunehmend Medusa-Ransomware einsetzen, um Organisationen anzugreifen – insbesondere im Gesundheitswesen. Medusa wird im Ransomware-as-a-Service-Modell betrieben und findet zunehmend Verbreitung unter Affiliates; seit dem Auftreten wurden Hunderte Vorfälle gemeldet. Analysten bringen jüngste Aktivitäten mit Gruppen in Verbindung, die Lazarus zugeordnet werden, was eine anhaltende Verlagerung von klassischer Spionage hin zu finanziell motivierter Cyberkriminalität unterstreicht. Die Kampagnen kombinieren Backdoors, Tools zum Diebstahl von Zugangsdaten und Remote-Access-Utilities, um Persistenz herzustellen und vor der Verschlüsselung Daten zu exfiltrieren. Auffällig ist, dass Einrichtungen des Gesundheitswesens und Non-Profit-Organisationen trotz der erhöhten Risiken weiterhin häufige Ziele bleiben. Diese Entwicklungen verdeutlichen, wie staatlich ausgerichtete Akteure zunehmend Cyberkriminalität und Spionage miteinander vermischen – und unterstreichen die Notwendigkeit robuster Abwehrmaßnahmen gegen fortgeschrittene, mehrstufige Ransomware-Operationen.

APT-Kampagne setzt neue Malware-Familien ein und zielt auf die MENA-Region

Die iranische Bedrohungsgruppe MuddyWater hat eine neue Operation gestartet, die auf Organisationen im gesamten Nahen Osten und Nordafrika abzielt und dabei Phishing-Kampagnen sowie neu entwickelte Malware nutzt. Die Angriffskette beginnt mit bösartigen Office-Dokumenten, die Makros ausführen, um Payloads nachzuladen – darunter Tools wie GhostFetch und CHAR. Diese Komponenten ermöglichen weitere Kompromittierungen durch das Ausbringen von Backdoors, die Ausführung von Remote-Befehlen und Dateimanipulation. Einige Varianten nutzen zudem legitime Remote-Access-Software, um Persistenz aufrechtzuerhalten und die Kontrolle über infizierte Systeme auszuweiten. Forschende haben Hinweise auf KI-gestützte Entwicklung innerhalb der Malware identifiziert, was auf eine Verlagerung hin zu effizienteren und anpassungsfähigeren Toolsets hindeutet. In Kombination mit der Ausnutzung bekannter Schwachstellen auf öffentlich erreichbaren Systemen zeigt die Kampagne, wie Advanced-Persistent-Threat-Gruppen ihre Techniken weiter verfeinern, um dauerhaften Zugriff und operative Flexibilität in Zielumgebungen zu erreichen.

Fazit

Zusammenfassend lässt sich sagen, dass sich die heutige Bedrohungslandschaft an mehreren Fronten weiterentwickelt – von unauffälligen Cryptojacking-Kampagnen und fortgeschrittenen Ransomware-Techniken bis hin zu staatlich unterstützten Operationen, die ausgefeilte Malware einsetzen. Angreifer kombinieren zunehmend Persistenz, Umgehungstechniken und Automatisierung, um die Wirkung zu maximieren und gleichzeitig die Entdeckung zu minimieren. Dadurch werden sowohl präventive Maßnahmen als auch schnelle Reaktionsfähigkeiten wichtiger denn je.

Als Experten für Ransomware-Recovery und Cybersicherheit bieten wir spezialisierte Unterstützung über unseren Ransomware-Entschlüsselungsservice, Ransomware-Verhandlungsservices und einen proaktiven Incident-Response-Retainer. Wenn Ihre Organisation Unterstützung bei der Wiederherstellung nach einem Angriff benötigt oder ihre Cyber-Resilienz stärken möchte, kontaktieren Sie uns noch heute.