News Week: 9. bis 15. Februar 2026

Cephalus hebt das anhaltende Risiko RDP-gesteuerter Ransomware-Angriffe hervor

Cephalus hat sich als bemerkenswerte Ransomware-Bedrohung herausgestellt und verdeutlicht, wie Angreifer weiterhin exponierte Remote Desktop Protocol (RDP)-Dienste als anfänglichen Zugangsvektor ausnutzen. Die in Go geschriebene Malware spiegelt die zunehmende Akzeptanz plattformübergreifender, effizient kompilierter Tools durch finanziell motivierte Gruppen wider. Forscher beschreiben Cephalus als ein Modell der doppelten Erpressung, bei dem Datendiebstahl die Verschlüsselung begleitet, um den Druck auf die Opfer zu erhöhen. Durch die Ausnutzung schlecht gesicherter oder öffentlich zugänglicher RDP-Endpunkte können die Angreifer Perimeter-Verteidigungen umgehen, Fuß fassen und Privilegien eskalieren, bevor sie die Ransomware-Payload bereitstellen. Die Kampagne unterstreicht, wie Fehlkonfigurationen und schwache Anmeldeinformationen nach wie vor zu den zuverlässigsten Einstiegspunkten für moderne Angriffsszenarien gehören. Sicherheitsteams wird geraten, die externe RDP-Exposition einzuschränken, die Multi-Faktor-Authentifizierung zu erzwingen, anomales Anmeldeverhalten zu überwachen und kritische Systeme zu segmentieren. Cephalus bekräftigt eine bekannte Lektion: Remote-Zugriffsdienste stellen, wenn sie unzureichend geschützt sind, weiterhin einen hochwirksamen Weg für Ransomware-Kompromittierungen dar.

Missbrauch von Windows-Verknüpfungen befeuert globale Ransomware-Kampagnen der Global Group

Forcepoint-Forscher haben eine Phishing-Operation mit hohem Volumen identifiziert, die präparierte Windows-Verknüpfungsdateien (.lnk) nutzt, um Global Group Ransomware zu verbreiten. Die Kampagne verwendet einfache Social Engineering-Methoden, einschließlich generischer E-Mail-Betreffzeilen wie „Ihr Dokument“, um Benutzer dazu zu verleiten, Anhänge zu öffnen, die mit doppelten Dateierweiterungen getarnt sind. Da .lnk-Dateien von Natur aus ausführbar sind, kann ein einziger Klick cmd.exe oder PowerShell stillschweigend auslösen und eine mehrstufige Infektionskette ohne offensichtliche Warnzeichen starten. In beobachteten Fällen führte die Verknüpfung eingebettete Befehle aus, die eine sekundäre Payload herunterluden, diese unter dem Deckmantel einer legitimen Windows-Binärdatei speicherten und Verschlüsselungsroutinen starteten. Analysten stellen fest, dass die Ransomware von Global Group ein ungewöhnliches Offline-Design aufweist, das Verschlüsselungsschlüssel lokal generiert und die Command-and-Control-Kommunikation vermeidet, was die netzwerkbasierte Erkennung erschwert. In Kombination mit Anti-Analyse-Prüfungen und verzögerten Ausführungstechniken verdeutlichen die Angriffe, wie übersehene Dateiformate und vertrauenswürdige Systemtools weiterhin mächtige Einstiegspunkte für moderne Ransomware-Operationen sind.

BQTLock und GREENBLOOD demonstrieren divergierende Ransomware-Taktiken

Sicherheitsforscher haben kürzlich zwei aufkommende Ransomware-Familien, BQTLock und GREENBLOOD, detailliert beschrieben, die jeweils unterschiedliche operative Prioritäten widerspiegeln. BQTLock legt den Schwerpunkt auf Tarnung, indem es sich in legitime Windows-Prozesse einbettet und Techniken wie Prozessinjektion und UAC-Bypass nutzt, um erhöhte Privilegien und Persistenz zu erlangen. Vor der Verschlüsselung führt es Anmeldeinformationen-Diebstahl und Bildschirmaufnahmen durch, wodurch Infektionen effektiv zu umfassenderen Datenlecks werden. GREENBLOOD hingegen ist auf Geschwindigkeit und Störung ausgelegt. In Go erstellt und mit ChaCha8-Verschlüsselung versehen, sperrt es Dateien schnell und setzt aggressive Selbstlöschmechanismen ein, um forensische Spuren zu reduzieren. Die Ransomware integriert auch TOR-basierte Leak-Site-Druckmittel, um ihre Erpressungsstrategie zu verstärken. Zusammen veranschaulichen diese Bedrohungen, wie Angreifer Tarnung und schnelle Wirkung ausbalancieren, um den Schaden zu maximieren. Analysten betonen, dass die Früherkennung – insbesondere die Identifizierung von Privilegien-Eskalation, anomalem Prozessverhalten und Aktivitäten vor der Verschlüsselung – das kritischste Verteidigungsfenster bleibt, um Ausfallzeiten zu begrenzen, Datenverlust zu verhindern und die Ergebnisse der Incident Response zu verbessern.

CISA erweitert Brickstorm-Analyse mit heimlicherer .NET AOT-Variante

CISA hat seinen Brickstorm Malware Analysis Report aktualisiert, um eine neu entdeckte Variante aufzunehmen, die mit der .NET Native Ahead-of-Time (AOT)-Technologie kompiliert wurde, wodurch die Umgehung und Portabilität erheblich verbessert werden. Im Gegensatz zu herkömmlichen .NET-Payloads läuft diese Version als eigenständige Binärdatei, ohne die .NET-Laufzeitumgebung zu benötigen, wodurch sie sich effektiver mit legitimen Anwendungen vermischen kann. Während sie die charakteristischen verschlüsselten Command-and-Control-Mechanismen von Brickstorm beibehält – unter Verwendung von HTTPS, WebSockets und verschachteltem TLS –, weicht sie operativ ab, indem sie die Logik zur Selbstüberwachung der Persistenz weglässt. Anstatt sich selbst zu kopieren, erzeugt die Malware einen Hintergrund-Child-Prozess, überprüft den Ausführungskontext über Umgebungsvariablen und tarnt sich mit einem gefälschten Prozessnamen, der dem Squid-Proxy-Dienst ähnelt. Analysten stellen ihre Fähigkeit fest, verschleierte Kommunikationen über Port 443 herzustellen und multiplexe verschlüsselte Kanäle zu erstellen, die Shell-Zugriff und Proxy-Funktionen unterstützen. Das Update unterstreicht die Notwendigkeit einer verstärkten Härtung von VMware vSphere, Netzwerksegmentierung, der Durchsetzung des Prinzips der geringsten Privilegien und der Überwachung auf anomale ausgehende Verbindungen und DNS-over-HTTPS-Missbrauch.

Gefälschte Personalvermittler-Kampagne zielt auf Entwickler über bösartige Coding Challenges ab

Sicherheitsforscher haben eine erneute Social-Engineering-Operation aufgedeckt, bei der Angreifer sich als Personalvermittler ausgeben, um JavaScript- und Python-Entwickler zu kompromittieren. Opfer werden mit kryptowährungsbezogenen Programmieraufgaben auf GitHub gelockt, wobei die Repositories selbst harmlos erscheinen. Die bösartige Aktivität ist stattdessen in Abhängigkeiten eingebettet, die auf npm und PyPI veröffentlicht wurden, wodurch der Bedrohungsakteur eine Infektion auslösen kann, wenn Kandidaten das Projekt ausführen oder debuggen. ReversingLabs identifizierte fast 200 Pakete, die mit dieser Kampagne namens Graphalgo in Verbindung stehen, die legitime Bibliotheken imitieren und verzögerte bösartige Funktionen einführen. Nach der Ausführung setzen die Downloader-Komponenten einen Remote Access Trojan (RAT) ein, der zur Befehlsausführung, Prozessenumeration, zum Sammeln von Anmeldeinformationen und zur Datei-Exfiltration fähig ist. Analysten beobachteten Prüfungen auf MetaMask-Installationen, was auf finanzielle Motive im Zusammenhang mit Kryptowährungsdiebstahl hindeutet. Die Zuordnung deutet mit mittlerer bis hoher Sicherheit auf Lazarus hin und unterstreicht, wie entwicklerorientierte Supply-Chain-Angriffe ein persistenter und sich entwickelnder Risikovektor bleiben.

Fazit

Zusammenfassend lässt sich sagen, dass die sich entwickelnde Bedrohungslandschaft weiterhin zeigt, wie Angreifer ihre Techniken bei Ransomware, Phishing, Supply-Chain-Missbrauch und heimlichen Malware-Frameworks anpassen. Von RDP-Ausnutzung und bösartigen Verknüpfungsdateien bis hin zu fortschrittlichen Backdoors und auf Entwickler abzielenden Kampagnen müssen Organisationen wachsam bleiben und geschichtete Sicherheit, Früherkennung und Resilienzstrategien priorisieren.

Als Ransomware- und Cybersicherheitsexperten unterstützen wir Unternehmen mit spezialisierten Dienstleistungen wie Ransomware-Wiederherstellungsdiensten, einschließlich unseres fortschrittlichen Ransomware-Entschlüsselungsdienstes, sowie Ransomware-Verhandlungsdiensten und einem proaktiven Incident Response Retainer. Wenn Ihr Unternehmen fachkundige Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder der Stärkung seiner Cyber-Verteidigung benötigt, kontaktieren Sie uns noch heute.