Seit ihrer Gründung im November 2024 hat sich die LeakNet-Gruppe schnell zu einer Bedrohung entwickelt, die ihre Aktivitäten als Kampf für Internetfreiheit und Transparenz darstellt. Doch eine detaillierte Analyse von ReliaQuest zeigt: Die Gruppe hat ihre operative Effizienz erheblich gesteigert und nutzt dabei kreative Angriffsvektoren, die auch weniger technisch versierte Benutzer treffen.
Die ClickFix-Methode funktioniert simpel, aber effektiv: Nutzer besuchen kompromittierte, aber oberflächlich legitime Websites. Dort werden ihnen gefälschte Sicherheitswarnungen mit CAPTCHA-ähnlichen Überprüfungen angezeigt. Unter dem Vorwand, ein nicht existentes Fehlerproblem zu beheben, werden Opfer aufgefordert, einen “msiexec.exe”-Befehl in das Windows-Ausführungsdialogfeld zu kopieren und einzufügen. Für Angreifer hat dieser Ansatz erhebliche Vorteile: Sie sparen Kosten für den Zugang zu kompromittierten Konten, reduzieren ihre Abhängigkeit von kriminellen Zwischenhändlern und umgehen damit einen typischen Engpass bei der Opferbeschaffung.
Bemerkenswert ist die Verwendung von Denos – einer modernen JavaScript-Laufzeitumgebung – als In-Memory-Loader. Das System führt Base64-kodierte JavaScript-Code direkt im Speicher aus, ohne Dateien auf die Festplatte zu schreiben. Dies minimiert digitale Spuren erheblich und erschwert die Erkennung durch herkömmliche Endpoint-Detection-and-Response-Systeme (EDR). Der Loader dient als Staging-Punkt: Er sammelt Systeminformationen, kontaktiert externe Server zur Malware-Abfrage und führt über Polling-Schleifen kontinuierlich neuen Code aus.
Nach der initialen Kompromittierung folgt LeakNet einem konsistenten Schema: DLL-Seitenladen starten bösartige DLLs, PsExec ermöglicht seitliche Bewegungen im Netzwerk, und S3-Buckets dienen zur Datenabfiltration – getarnt als normaler Cloud-Traffic.
Besonders bedeutsam ist eine weitere Beobachtung: ReliaQuest dokumentierte auch Microsoft-Teams-basierte Phishing-Angriffe, die auf ähnliche Deno-basierte Loader hindeuten. Falls diese Aktivitäten tatsächlich von LeakNet stammen oder andere Gruppen die Methode kopiert haben, signalisiert dies eine breitere Adoption dieser Techniken in der Cyberkriminellen-Gemeinschaft.
Die Gesamtlandschaft der Ransomware-Bedrohungen zeigt laut Google zusätzliche Trends: Die Top-10-Ransomware-Gruppen (Qilin, Akira, Cl0p, Play und andere) verzeichnen steigende Opferzahlen. Ein Drittel aller Ransomware-Vorfälle nutzt Sicherheitslücken – besonders in VPNs und Firewalls – als Einstiegspunkt. Beunruhigend: 77 Prozent der analysierten Intrusion beinhalteten Datendiebstahl. Gleichzeitig beobachten Sicherheitsexperten eine Verschiebung: Anstatt Large-Scale-Ziele anzugreifen, konzentrieren sich Ransomware-Akteure zunehmend auf kleinere Organisationen mit höheren Infektionsquoten – ein Zeichen sinkender Rentabilität bei “High-Value”-Angriffen.