Der Wechsel zu ClickFix bringt LeakNet nach Einschätzung von ReliaQuest mehrere Vorteile. Vor allem verringere er die Abhängigkeit von Drittanbietern, senke die Kosten pro Opfer und beseitige den operativen Engpass, auf den Verkauf wertvoller Zugangsdaten warten zu müssen. ReliaQuest bezeichnet diesen Schritt als die erste dokumentierte Erweiterung der Zugangsfähigkeiten der Gruppe und als bedeutende strategische Verschiebung.
Bei den Angriffen dienen legitime, aber kompromittierte Webseiten dazu, gefälschte CAPTCHA-Prüfungen anzuzeigen. Diese fordern Nutzer auf, einen “msiexec.exe”-Befehl zu kopieren und in den Windows-Ausführen-Dialog einzufügen. Die Angriffe richten sich nicht gegen eine bestimmte Branche, sondern zielen breit darauf ab, möglichst viele Opfer zu infizieren. Weil ClickFix über legitime Webseiten ausgeliefert wird, fehlen laut ReliaQuest die offensichtlichen Signale auf Netzwerkebene, die von angreifereigener Infrastruktur ausgehen.
Zum Ausführen der Schadsoftware nutzt LeakNet einen Deno-basierten Loader, der Base64-kodiertes JavaScript direkt im Arbeitsspeicher ausführt, um Spuren auf der Festplatte zu minimieren und einer Erkennung zu entgehen. Die Nutzlast erfasst zunächst Merkmale des kompromittierten Systems, kontaktiert anschließend einen externen Server, um die nächste Stufe der Malware nachzuladen, und tritt dann in eine Schleife ein, in der über Deno fortlaufend weiterer Code abgerufen und ausgeführt wird.
Gesondert beobachtete ReliaQuest einen Eindringversuch, bei dem Angreifer über Phishing in Microsoft Teams einen Nutzer dazu brachten, eine Nutzlastkette zu starten, die in einem ähnlichen Deno-Loader endete. Diese Aktivität bleibt bislang ohne Zuordnung. Der Ansatz, eine eigene Laufzeitumgebung mitzubringen (Bring Your Own Runtime, BYOR), deute entweder auf eine Ausweitung der Zugangswege von LeakNet hin oder darauf, dass andere Akteure die Technik übernommen haben.
Nach der Kompromittierung folgt LeakNet einer festen Methodik: Zunächst wird per DLL-Side-Loading eine schädliche DLL gestartet, die über den Loader geliefert wird. Es folgen laterale Bewegung mittels PsExec, Datenabfluss und Verschlüsselung. Über den Befehl “cmd.exe /c klist” lässt sich anzeigen, welche aktiven Anmeldedaten auf dem System vorhanden sind – so erkennen die Angreifer laut ReliaQuest, welche Konten und Dienste bereits erreichbar sind, ohne neue Zugangsdaten anfordern zu müssen. Für die Zwischenspeicherung und den Datenabfluss setzt die Gruppe auf S3-Buckets, deren Datenverkehr wie normaler Cloud-Verkehr wirkt.
Parallel meldete Google, dass Qilin (auch Agenda), Akira (RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (auch FireFlame und FuryStorm) sowie Sinobi die zehn Ransomware-Marken mit den meisten auf ihren Leak-Seiten genannten Opfern bildeten. In einem Drittel der Vorfälle sei der Erstzugang über das bestätigte oder vermutete Ausnutzen von Schwachstellen erfolgt, am häufigsten in verbreiteten VPNs und Firewalls, so die Google Threat Intelligence Group (GTIG). Bei 77 Prozent der analysierten Ransomware-Vorfälle wurde mutmaßlich auch Datendiebstahl festgestellt – ein Anstieg gegenüber 57 Prozent im Jahr 2024. Laut Google deuten mehrere Anzeichen darauf hin, dass die Profitabilität dieser Operationen insgesamt zurückgeht und sich zumindest einige Akteure von großen Unternehmen ab- und volumenstärkeren Angriffen auf kleinere Organisationen zuwenden.
