Cybersicherheitsexperten haben Anfang 2024 eine neue Bedrohung identifiziert: Die Hackergruppe Masque, die sich auf Ransomware-Angriffe gegen Unternehmen spezialisiert hat. Die Gruppe führte im vergangenen Jahr mindestens zehn erfolgreiche Attacken durch, wobei besonders kleine und mittlere Unternehmen im Fokus standen.
Technische Analyse der Angriffsmethoden
Die Angreifer nutzen primär die kritische Log4Shell-Schwachstelle (CVE-2021-44228) in der weit verbreiteten Java-Logging-Bibliothek Log4j. Besonders gefährdet sind öffentlich zugängliche VMware Horizon-Instanzen, die als Ausgangspunkt für weitere Infiltrationen dienen. Das Angreiferarsenal umfasst etablierte Tools wie AnyDesk zur Fernwartung sowie Chisel für Tunneling-Angriffe.
Fortgeschrittene Malware-Entwicklung: MystiqueLoader
Besondere Aufmerksamkeit verdient der neu entwickelte MystiqueLoader, der als dwm.exe getarnt wird. Diese kompakte Malware (47 KB) zeichnet sich durch innovative Funktionen aus: Sie kommuniziert über DNS-Protokolle und lädt schadhaften Code direkt in den Arbeitsspeicher – eine Technik, die klassische Antivirenprogramme umgeht.
Operative Vorgehensweise und Zeitrahmen
Die Gruppe bewegt sich hauptsächlich über RDP- und SSH-Protokolle durch kompromittierte Netzwerke. Die durchschnittliche Verweildauer in befallenen Systemen beträgt zwischen mehreren Tagen und zwei Wochen. Anders als bei vielen Ransomware-Gruppen liegt der Fokus nicht auf dem Datendiebstahl, sondern primär auf der Verschlüsselung.
Monetarisierung und Kommunikation
Die Lösegeldforderungen bewegen sich zwischen 5 und 10 Millionen Rubel (etwa 50.000-100.000 Euro), zahlbar in Bitcoin oder Monero. Für die Kommunikation mit Opfern nutzt Masque den verschlüsselten Messenger Tox, wobei jeder Angriff einen individuellen Identifikator erhält.
Angesichts dieser neuen Bedrohungslage wird Unternehmen dringend empfohlen, ihre Sicherheitsmaßnahmen zu überprüfen und anzupassen. Zentrale Maßnahmen umfassen das zeitnahe Patchen von Sicherheitslücken, insbesondere der Log4Shell-Schwachstelle, die Implementierung einer robusten Backup-Strategie sowie die Härtung öffentlich zugänglicher Dienste. Die Entwicklung von Masque unterstreicht die Notwendigkeit einer proaktiven Cybersicherheitsstrategie, die sowohl technische als auch organisatorische Maßnahmen umfasst.
