Update zum Thema Malware: Etwas Altes, etwas Neues …

Heute fassen wir einige der neuesten Malware-Trends zusammen, darunter die Bedrohung Entra ID Daten und das Spoofing von KI-Unternehmen. Außerdem greifen wir in unsere Archivdateien und sehen uns eine klassische Ransomware-Variante näher an, die fast 10 Jahre nach ihrem ersten Auftreten immer noch erheblichen Schaden anrichtet.

Passwort-Spraying vs. Entra ID

Art: Brute-Force-Variante

Tools: dafthack/DomainPasswordSpray, dafthack/MSOLSpray, iomoath/SharpSpray (alle auf GitHub verfügbar)

Bedrohungsakteure: APT28 aka IRON TWILIGHT, SNAKEMACKEREL, Swallowtail, Group 74, Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Threat Group-4127, TG-4127, Forest Blizzard, FROZENLAKE, APT29 aka IRON RITUAL, IRON HEMLOCK, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, SolarStorm, Blue Kitsune, UNC3524, Midnight Blizzard, APT33 aka HOLMIUM, Elfin, Peach Sandstorm, Play

Wie diese sehr lange Liste von Bedrohungsakteuren nahelegt, erfreut sich das Password Spraying als Methode zum Zugriff auf Zielnetzwerke zunehmender Beliebtheit. Sobald sie drinnen sind, können sich die Angreifer seitwärts bewegen, wertvolle Daten finden und abfassen, Ransomware und andere Malware einschleusen und so weiter.

Im Gegensatz zu herkömmlichen Brute-Force-Methoden, bei denen Zielkonten mit schnell aufeinanderfolgenden Zugriffsversuchen unter Verwendung von (mehr oder weniger) zufällig generierten Passwörtern angegriffen werden, verwendet Passwort-Spraying eine kleine Liste bekannter Passwörter (z. B. „password“, „1234“ usw.) mit geringer Häufigkeit.

Passwort-Spraying-Angriffe auf Entra ID-Systeme werden immer häufiger, wobei eine kürzlich durchgeführte Kampagne etwa 80.000 Konten auf drei Kontinenten angriff. Dies unterstreicht, wie wichtig es ist, die Verwendung sicherer, einzigartiger Passwörter durchzusetzen und Ihre Entra ID Daten mit einem robusten Backup-System zu schützen.

Gefälschte GenAI-Tools

Typ: Phishing, Trojaner, Malvertising

Tools: NoodlophileStealer, Ransomware

Bedrohungsakteure haben gelernt, das zunehmende Interesse an allen Dingen rund um KI auszunutzen, um eine neue Generation von Angriffen zu entwickeln. Sie entwickeln gefälschte generative KI-Tools, die Malware verbergen und sie durch Malvertising und Phishing verbreiten.

Versteckte Malware besteht oft aus einem Stealer (NoodlophileStealer ist besonders häufig) und wird verwendet, um Finanz- und andere sensible Daten zu finden und zu abzufassen.

Wie immer ist Sicherheitsbewusstsein – und eine große Portion Skepsis gegenüber neuen Tools, die noch nicht allgemein bekannt sind – der Schlüssel, um diese Angriffe zu verhindern.

Rückblick: WannaCry

Typ: Ransomware, Wurm

Erstmals in freier Wildbahn gesichtet: Mai 2017

Verwendete Exploits: EternalBlue, DoublePulsar

Bedrohungsakteure: Die Lazarus-Gruppe (mit Verbindungen zu Nordkorea)

Im Jahr 2017 eroberte WannaCry (auch bekannt als WCry, WanaCryptor) die Welt im Sturm und läutete das Zeitalter der modernen Ransomware ein, indem es schätzungsweise 200.000 Computer in den ersten zwei Tagen des Angriffs infizierte. Microsoft stellte in Zusammenarbeit mit mehreren Cybersecurity-Firmen umgehend einen Windows-Patch bereit, der einen Kill Switch aktivierte, den Analysten in der Malware entdeckt hatten. Dennoch wurden bis zum Ende des Angriffs Lösegeldzahlungen in Milliardenhöhe erpresst.

Eine wichtige Innovation von WannaCry ist, dass es sich wie Wurm verhielt. Der Schädling suchte und verschlüsselte nicht nur kritische Daten in seiner Zielumgebung, sondern war auch in der Lage, Kopien seiner selbst in andere angeschlossene Computer einzuschleusen, wodurch er sich mit beispielloser Geschwindigkeit verbreiten konnte.

Neuere Varianten von WannaCry führen weiterhin Angriffe auf Systeme auf der ganzen Welt aus – und ihnen fehlt der früher vorhandene Notausschalter. Obwohl es nicht zu den am häufigsten verwendeten Malware-Typen gehört, meldet Any.Run allein im Juli 2025 227 erkannte Durchführen.

Das ist eine gute Erinnerung daran, dass alte Malware niemals stirbt und auch nicht wirklich verschwindet. Halten Sie daher Ihre Systeme immer auf dem neuesten Stand und sorgen Sie für aktuelle Sicherheitsupdates!