Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Aktiv Ransomware-Gruppe · Profil

BrainCipher

57Opfer gesamt
2Opfer (30 Tage)
01.07.2024Erstes Auftreten
AktivStatus

Überblick

Brain Cipher ist eine Ransomware-Gruppe, die sowohl Windows- als auch Linux-Systeme ins Visier nimmt. Für ihre Verschlüsselungsoperationen setzt die Gruppe auf den durchgesickerten Build von „LockBit Black“, den sie für eigene Zwecke einsetzt. Mutmaßlich nutzt Brain Cipher eine Schwachstelle im Windows-CLFS-Treiber aus, um sich erhöhte Rechte auf kompromittierten Systemen zu verschaffen. Die Lösegeldforderungen sollen über die Kryptowährung Monero (XMR) beglichen werden, was die Nachverfolgung der Zahlungen erschwert. Zur Abwicklung der Erpressung betreibt die Gruppe ein eigenes Verhandlungsportal, das sie auf einen neuen Server mit einer eigens gewählten TOR-Adresse verlagert hat. Charakteristisch für Brain Cipher ist damit die Wiederverwendung etablierter, geleakter Schadsoftware in Verbindung mit der Ausnutzung bekannter Schwachstellen zur Rechteausweitung sowie die konsequente Ausrichtung auf anonyme Zahlungs- und Kommunikationswege.

Taktiken & Vorgehen

Die Infektion beginnt mit der Ausführung einer schädlichen Datei auf dem Zielsystem durch den Nutzer (User Execution). Im Anschluss versucht die Schadsoftware, vorhandene Schutzmechanismen auszuschalten, indem sie Windows Defender deaktiviert, sofern dieser aktiv ist (Impair Defenses: Disable or Modify Tools). Zur Vorbereitung der Verschlüsselung durchsucht die Ransomware Verzeichnisse und Dateien (File and Directory Discovery), um die zu verschlüsselnden Inhalte zu ermitteln. Den Kern der Operation bildet die Verschlüsselung der Daten als Druckmittel gegenüber dem Opfer (Data Encrypted for Impact). Um Spuren zu verwischen, löscht sich die Schadsoftware nach der Ausführung selbst (Indicator Removal: File Deletion), was die nachträgliche Analyse und Erkennung erschwert.

Schutzmaßnahmen

Da die Infektionskette mit der Ausführung einer schädlichen Datei durch den Nutzer beginnt, sollte die Ausführung nicht vertrauenswürdiger Dateien technisch eingeschränkt und durch Sensibilisierung begleitet werden. Gegen das gezielte Abschalten von Windows Defender sollte ein Manipulationsschutz (Tamper Protection) aktiviert und Versuche der Deaktivierung von Sicherheitswerkzeugen überwacht werden. Das Durchsuchen von Verzeichnissen sowie auffällige Verschlüsselungsaktivitäten sollten durch eine Überwachung von Datei- und Verzeichniszugriffen frühzeitig erkannt werden. Da sich die Schadsoftware nach der Ausführung selbst löscht, sollten Ausführungs- und Dateiereignisse zentral protokolliert werden, damit Spuren trotz der Selbstlöschung für die Analyse erhalten bleiben.

Chronologie

  1. 01.07.2024 Erste bekannte Aktivität
  2. 01.06.2026 Zuletzt aktiv

Erwähnt in

  • Noch kein Artikel verlinkt — die Verknüpfung entsteht automatisch, sobald ein Beitrag den Gruppennamen nennt.