Eine umfangreiche Sicherheitsuntersuchung der Firma F6 hat zur erfolgreichen Zerschlagung der NyashTeam-Hackergruppe geführt, die drei Jahre lang als professioneller Malware-as-a-Service-Anbieter operierte. Die Ermittler konnten über 110 Domains in der .ru-Zone blockieren und die Aktivitäten der Cyberkriminellen erheblich einschränken, die Nutzer in 50 Ländern weltweit angegriffen hatten.

Evolution der Cyberkriminalität: Das MaaS-Geschäftsmodell

Die NyashTeam-Gruppe verkörpert die moderne Entwicklung von Cyber-Bedrohungen durch ihr ausgeklügeltes *“Malware-as-a-Service“-Modell*, das seit 2022 aktiv war. Die Kriminellen entwickelten ein vollständiges Ökosystem, das Schadsoftware-Entwicklung, Hosting-Services für kriminelle Infrastrukturen und umfassenden Kundensupport durch spezialisierte Plugins und Schulungsmaterialien umfasste.

Das Kern-Arsenal der Gruppe bestand aus zwei Hauptprodukten: DCRat, einer Backdoor-Software für die Fernsteuerung infizierter Geräte, und WebRat, einem Tool zum Diebstahl von Browser-Daten einschließlich Passwörtern, Cookies und Autofill-Informationen.

Aggressive Preisgestaltung als Erfolgsfaktor

Der Erfolg von NyashTeam basierte maßgeblich auf einer äußerst zugänglichen Preisstruktur. Ein monatliches DCRat-Abonnement kostete lediglich 4$, während WebRat für 15$ monatlich angeboten wurde. Web-Hosting-Services waren für 13$ über zwei Monate verfügbar. Zahlungen wurden sowohl über russische Zahlungssysteme als auch Kryptowährungen abgewickelt.

Die Verbreitung der Malware erfolgte über populäre Plattformen wie *YouTube* und *GitHub*. Auf YouTube erstellten oder kaperten die Angreifer Accounts, um Videos mit beworbenen Gaming-Cheats und Raubkopien zu veröffentlichen. GitHub-Repositories dienten als Tarnung für bösartige Programme, die als legitime Utilities präsentiert wurden.

Umfangreiche kriminelle Infrastruktur aufgedeckt

Während der dreijährigen Betriebszeit nutzte die Gruppe über 350 Second-Level-Domains. Die Hacker verwendeten charakteristische Namen mit Variationen des Wortes „nyash“ und ihren Produktbezeichnungen. Der Höhepunkt der Domain-Registrierungen lag zwischen Dezember 2024 und Februar 2025.

Besonders auffällig war die Fokussierung auf russischsprachige Zielgruppen. Die meisten Angriffe richteten sich gegen russische Nutzer, einschließlich gezielter Phishing-Kampagnen gegen Unternehmen aus Logistik, Öl- und Gasindustrie, Geologie und Informationstechnologie.

Erfolgreiche Gegenmaßnahmen und Blockierungen

Durch die Zusammenarbeit zwischen CERT-F6 und dem Koordinationszentrum für .RU/.РФ-Domains konnten **mehr als 110 Domains** in der russischen Zone blockiert werden. Zusätzlich befinden sich vier Domains in anderen Zonen im Blockierungsprozess. Parallel dazu wurden der Telegram-Kanal mit WebRat-Quellcode und Schulungsvideos der Hacker entfernt.

Laut Vladislav Kugan, Analyst der Cyber-Attack Research-Abteilung von F6 Threat Intelligence, demonstriert der NyashTeam-Fall eindrucksvoll die Möglichkeiten erfolgreicher Bekämpfung von MaaS-Betreibern durch systematische Infrastruktur-Analyse und -Blockierung.

Die Aufdeckung von NyashTeam unterstreicht die Bedeutung koordinierter Maßnahmen gegen moderne Cyber-Bedrohungen. Effektive Bekämpfung von MaaS-Anbietern erfordert enge Zusammenarbeit zwischen Sicherheitsforschern, Regulierungsbehörden und Internet-Infrastrukturbetreibern. Nutzer sollten beim Download von Software aus inoffiziellen Quellen besondere Vorsicht walten lassen und aktuelle Anti-Malware-Lösungen einsetzen, um sich vor derartigen Bedrohungen zu schützen.