Eine umfangreiche Sicherheitsuntersuchung der Firma F6 hat zur erfolgreichen Zerschlagung der **NyashTeam-Hackergruppe** geführt, die drei Jahre lang als professioneller **Malware-as-a-Service-Anbieter** operierte. Die Ermittler konnten über 110 Domains in der .ru-Zone blockieren und die Aktivitäten der Cyberkriminellen erheblich einschränken, die Nutzer in 50 Ländern weltweit angegriffen hatten.
Evolution der Cyberkriminalität: Das MaaS-Geschäftsmodell
Die NyashTeam-Gruppe verkörpert die moderne Entwicklung von Cyber-Bedrohungen durch ihr ausgeklügeltes **“Malware-as-a-Service“-Modell**, das seit 2022 aktiv war. Die Kriminellen entwickelten ein vollständiges Ökosystem, das Schadsoftware-Entwicklung, Hosting-Services für kriminelle Infrastrukturen und umfassenden Kundensupport durch spezialisierte Plugins und Schulungsmaterialien umfasste.
Das Kern-Arsenal der Gruppe bestand aus zwei Hauptprodukten: **DCRat**, einer Backdoor-Software für die Fernsteuerung infizierter Geräte, und **WebRat**, einem Tool zum Diebstahl von Browser-Daten einschließlich Passwörtern, Cookies und Autofill-Informationen.
Aggressive Preisgestaltung als Erfolgsfaktor
Der Erfolg von NyashTeam basierte maßgeblich auf einer äußerst zugänglichen Preisstruktur. Ein monatliches DCRat-Abonnement kostete lediglich 4$, während WebRat für 15$ monatlich angeboten wurde. Web-Hosting-Services waren für 13$ über zwei Monate verfügbar. Zahlungen wurden sowohl über russische Zahlungssysteme als auch Kryptowährungen abgewickelt.
Die Verbreitung der Malware erfolgte über populäre Plattformen wie *YouTube* und *GitHub*. Auf YouTube erstellten oder kaperten die Angreifer Accounts, um Videos mit beworbenen Gaming-Cheats und Raubkopien zu veröffentlichen. GitHub-Repositories dienten als Tarnung für bösartige Programme, die als legitime Utilities präsentiert wurden.
Umfangreiche kriminelle Infrastruktur aufgedeckt
Während der dreijährigen Betriebszeit nutzte die Gruppe **über 350 Second-Level-Domains**. Die Hacker verwendeten charakteristische Namen mit Variationen des Wortes „nyash“ und ihren Produktbezeichnungen. Der Höhepunkt der Domain-Registrierungen lag zwischen Dezember 2024 und Februar 2025.
Besonders auffällig war die Fokussierung auf russischsprachige Zielgruppen. Die meisten Angriffe richteten sich gegen russische Nutzer, einschließlich gezielter Phishing-Kampagnen gegen Unternehmen aus Logistik, Öl- und Gasindustrie, Geologie und Informationstechnologie.
Erfolgreiche Gegenmaßnahmen und Blockierungen
Durch die Zusammenarbeit zwischen CERT-F6 und dem Koordinationszentrum für .RU/.РФ-Domains konnten **mehr als 110 Domains** in der russischen Zone blockiert werden. Zusätzlich befinden sich vier Domains in anderen Zonen im Blockierungsprozess. Parallel dazu wurden der Telegram-Kanal mit WebRat-Quellcode und Schulungsvideos der Hacker entfernt.
Laut Vladislav Kugan, Analyst der Cyber-Attack Research-Abteilung von F6 Threat Intelligence, demonstriert der NyashTeam-Fall eindrucksvoll die Möglichkeiten erfolgreicher Bekämpfung von MaaS-Betreibern durch systematische Infrastruktur-Analyse und -Blockierung.
Die Aufdeckung von NyashTeam unterstreicht die Bedeutung koordinierter Maßnahmen gegen moderne Cyber-Bedrohungen. Effektive Bekämpfung von MaaS-Anbietern erfordert enge Zusammenarbeit zwischen Sicherheitsforschern, Regulierungsbehörden und Internet-Infrastrukturbetreibern. Nutzer sollten beim Download von Software aus inoffiziellen Quellen besondere Vorsicht walten lassen und aktuelle Anti-Malware-Lösungen einsetzen, um sich vor derartigen Bedrohungen zu schützen.
