RansomwareSchwachstellenCyberkriminalität

LeakNet-Ransomware nutzt ClickFix und Deno-Runtime für versteckte Angriffe

LeakNet-Ransomware nutzt ClickFix und Deno-Runtime für versteckte Angriffe
Zusammenfassung

Die Ransomware-Gruppe LeakNet nutzt zunehmend raffinierte Methoden, um in Unternehmensumgebungen einzudringen und dabei traditionelle Sicherheitsmechanismen zu umgehen. Die Angreifer kombinieren die weit verbreitete ClickFix-Technik – eine Social-Engineering-Attacke, die Nutzer dazu verleitet, schädliche Befehle auszuführen – mit dem legitimen Deno-Runtime für JavaScript und TypeScript. Diese Kombination ermöglicht es den Cyberkriminellen, bösartige Code-Payloads direkt im Arbeitsspeicher auszuführen und dabei minimale forensische Spuren zu hinterlassen. Die Nutzung von Deno, einem signierten und legitimen Entwickler-Tool, ist dabei besonders tückisch, da es Sicherheitsfilter und Blocklisten umgeht und als normales Entwicklungs-Skript tarnen kann. Seit Ende 2024 aktiv, hat LeakNet durchschnittlich drei Opfer pro Monat. Für deutsche Unternehmen und Behörden stellt dies eine erhebliche Bedrohung dar, da die Angreifer anschließend DLL-Sideloading, laterale Bewegungen via PsExec und Datenverlust über Amazon-S3-Buckets durchführen. Die wiederholbare Angriffskette bietet jedoch Erkennungsmöglichkeiten für spezialisierte Verteidigungsmaßnahmen.

Die LeakNet-Ransomware-Gang demonstriert mit ihrer neuesten Angriffskampagne, wie Cyberkriminelle legitime Systemkomponenten für bösartige Zwecke missbrauchen. Das Angriffsmodell folgt einem bewährten Schema: Zunächst locken die Angreifer Nutzer über ClickFix-Prompts dazu, verdächtige Befehle auszuführen. Diese Technik ist nicht neu – bereits die Ransomware-Gruppen Termite und Interlock setzen auf diese Social-Engineering-Methode. Doch LeakNet kombiniert dies mit einer cleveren technischen Innovation.

Das besondere dieser Kampagne liegt in der Verwendung der Deno-Runtime. Statt einen speziell entwickelten Malware-Loader einzuschleusen, installieren die Angreifer die legitime Deno-Ausführungsumgebung und missbrauchen diese, um bösartigen JavaScript-Code direkt im Arbeitsspeicher auszuführen. Dadurch entstehen minimal forensische Spuren auf der Festplatte – ein entscheidender Vorteil für die Angreifer. Die initiale Infektion erfolgt über täuschend benannte Visual-Basic- und PowerShell-Skripte mit Namen wie “Romeo*.ps1” und “Juliet*.vbs”.

Nach der Ausführung führt der Deno-basierte Loader mehrere kritische Funktionen aus: Das System wird fingerprinted, eine eindeutige Opfer-ID generiert und eine Verbindung zum Command-and-Control-Server hergestellt. Von dort wird die zweite Infektionsstufe heruntergeladen. Der Loader etabliert zudem eine permanente Polling-Schleife zur Befehlsannahme.

In der Post-Exploitation-Phase nutzt LeakNet etablierte Techniken: DLL-Sideloading über Java, Credential-Harvesting mittels ‘klist’-Befehlen, laterale Bewegung über PsExec und Datenexfiltration durch Amazon-S3-Buckets. Die Sicherheitsfirma ReliaQuest hat diese Angriffskette dokumentiert und identifiziert konkrete Erkennungsindikatoren.

Verteidiger sollten auf folgende Warnsignale achten: Deno-Prozesse außerhalb von Entwicklungsumgebungen, verdächtige ‘misexec’-Ausführung aus Browsern, ungewöhnliche PsExec-Aktivitäten und unerwartete Verbindungen zu Amazon-S3-Services. Die Konsistenz der Angriffskette bietet Defensoren konkrete Ansatzpunkte zur Erkennung – allerdings nur, wenn sie wissen, worauf sie achten müssen. Für deutsche Unternehmen bedeutet dies, ihre Überwachungssysteme entsprechend zu kalibrieren und Deno-Aktivitäten im Netzwerk kritisch zu bewerten.

Ähnliche Artikel