Eine neue, gefährliche Hackergruppe namens Crypt Ghouls attackiert gezielt russische Unternehmen und Behörden. Ihr Vorgehen ist vielseitig und auf maximale Wirkung ausgelegt. Erfahrt, wie sie operieren und welche schweren Folgen das haben kann.
In der Welt der Cybersicherheit agiert eine neue Bedrohung, bekannt als Crypt Ghouls, nicht Librarian Ghouls. Diese Gruppe hat sich auf gezielte Angriffe gegen russische Unternehmen und Regierungsbehörden spezialisiert. Ihr Ziel ist nicht nur finanzieller Profit, sondern auch die Beeinträchtigung der Geschäftsoperationen. Sie nutzen ein breites Spektrum an Tools, darunter bekannte Namen wie Mimikatz und LockBit 3.0, um in Systeme einzudringen und Kontrolle zu übernehmen.
Kaspersky identifizierte kürzlich die Crypt Ghouls und dokumentierte ihr umfangreiches Toolkit und ihre Methoden.
Crypt Ghouls nutzen ein vielfältiges Toolkit, das Tools wie XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk und PsExec umfasst. Diese Werkzeuge ermöglichen den Angreifern, in interne Systeme einzudringen, Berechtigungen zu eskalieren und die volle Systemkontrolle zu erlangen. Ein Hauptmerkmal ihrer Angriffe ist der Einsatz von Ransomware, insbesondere der Varianten LockBit 3.0 und Babuk, die Daten verschlüsseln und Lösegeld fordern.
Die Angreifer konzentrieren sich auf eine breite Palette russischer Branchen, darunter Regierung, Bergbau, Energie, Finanzen und Einzelhandel.
In analysierten Fällen erfolgte der initiale Eintrittspunkt oft über gestohlene Anmeldedaten von Auftragnehmern via VPN. Dies zeigt, dass die Angreifer häufig bestehende Sicherheitslücken und Infrastrukturschwächen nutzen, anstatt sich auf komplexe, unbekannte Exploits zu verlassen. Der Fokus liegt auf der Ausnutzung vorhandener Schwachstellen für den Systemzugriff.
Die Crypt Ghouls teilen nicht nur Wissen, sondern auch ihre Toolkits, was die Identifizierung der einzelnen Akteure erschwert.
Kaspersky vermutet, dass Crypt Ghouls hacktivistische Ziele verfolgen könnten, begründet in ihrer Nutzung legitimer Drittanbieter-Utilities. Die Unterscheidung zwischen kriminellen und politisch motivierten Akteuren wird dadurch erschwert. Diese Annahme wird durch die Tatsache gestützt, dass die Gruppe neben finanziellem Gewinn auch die Störung von Geschäftsoperationen anstrebt, ein typisches Merkmal von Hacktivismus.
Die Angriffe haben erhebliche Konsequenzen, von finanziellen Verlusten durch Lösegeld und Wiederherstellung bis hin zu Reputationsschäden. Schutz erfordert ständige Überprüfung der Sicherheitsmaßnahmen, inklusive Updates, Multi-Faktor-Authentifizierung, Audits und Mitarbeiterschulungen. Eine verstärkte Zusammenarbeit im Bereich Cybersicherheit ist unerlässlich, um die Bedrohung durch Gruppen wie Crypt Ghouls effektiv einzudämmen.
