Ermittler zerschlagen Teile des SocGholish-Netzes mit Verbindungen zu Evil Corp

Zusammenfassung

Eine internationale Strafverfolgungsaktion hat zentrale Teile des Malware-Netzwerks SocGholish gestört, das mit der russischen Cybercrime-Gruppe Evil Corp in Verbindung gebracht wird. Behörden aus den Niederlanden, Kanada, den USA und Deutschland teilten mit, sie hätten mehr als 100 Server abgeschaltet und Domains beschlagnahmt, die zur Infektion von Besuchern legitimer Websites dienten. Zudem wurden laut den niederländischen Behörden fast 15.000 kompromittierte Websites bereinigt, über die Schadsoftware verbreitet wurde. Betroffen waren auch Auftritte kleiner Unternehmen wie Restaurants und Autowerkstätten. SocGholish, auch unter dem Namen FakeUpdates bekannt, ist seit 2017 aktiv und verbreitet sich über gefälschte Hinweise auf Browser- oder Software-Updates, die auf eigentlich legitimen Websites eingeblendet werden. Nach der Installation kann die Malware weitere Schadwerkzeuge nachladen und so als Einstiegspunkt für weitergehende Angriffe dienen.

Nach Angaben der beteiligten Behörden wurden bei der Operation wesentliche Teile des SocGholish-Botnetzes demontiert. Dazu gehörten die Beschlagnahmung von Domainnamen und die Abschaltung von Servern, die genutzt wurden, um Besucher legitimer Websites zu infizieren. Die niederländische Polizei erklärte außerdem, sie habe Schadsoftware und Hintertüren von tausenden infizierten WordPress-Websites entfernt und die Betreiber über die Kompromittierung informiert.

SocGholish ist seit 2017 bekannt und tarnt sich als Update-Aufforderung für Browser oder andere Software. Die Einblendungen erscheinen auf an sich legitimen Websites. Wird die vermeintliche Aktualisierung installiert, verschafft sich die Malware Zugriff auf den betroffenen Rechner und ermöglicht es Angreifern, zusätzliche Werkzeuge nachzuladen.

Die Cyber Division des FBI erklärte in einer Stellungnahme, die Malware verschaffe sich zunächst einen ersten Zugang zu den Computern der Opfer, die zusammen ein Botnet bildeten. Dieses werde anschließend von Bedrohungsakteuren für weitere Zielauswahl in Ransomware-Kampagnen und für Spionage genutzt.

SocGholish wird seit langem mit Evil Corp in Verbindung gebracht, einer der bekanntesten Cybercrime-Gruppen aus Russland. Die USA belegten den Akteur bereits 2019 mit Sanktionen wegen seiner Rolle bei der Entwicklung und Verbreitung der Banking-Malware Dridex. US-Behörden zufolge verursachte Dridex weltweit finanzielle Verluste von mehr als 100 Millionen US-Dollar.

Forscher des Sicherheitsunternehmens Infoblox, das die Operation unterstützte, erklärten zudem, SocGholish habe auch als Einstiegspunkt für mehrere Ransomware-Gruppen gedient. Genannt werden DoppelPaymer, WastedLocker, Hades, LockBit und RansomHub.

Maikel Rollman von der niederländischen National High Tech Crime Unit sagte, die Maßnahme habe Cyberkriminellen den Zugriff auf infizierte Computersysteme entzogen. Das helfe, weiteren Schaden für Einzelpersonen, Unternehmen und Organisationen weltweit zu verhindern und die Verbreitung von Schadsoftware einzudämmen. Zugleich kündigte er an: „Dies ist der Beginn weiterer Maßnahmen gegen SocGholish.“

Ermittler zerschlagen Teile des SocGholish-Netzes mit Verbindungen zu Evil Corp

Ähnliche Artikel

Neueste Artikel