Das Innenleben der als „Wizard Spider“ bekannten Gruppe von Cyberkriminellen wurde aufgedeckt und wirft ein Licht auf ihre Organisationsstruktur und ihre Beweggründe.
„Der Großteil der Bemühungen von Wizard Spider konzentriert sich auf das Hacken europäischer und amerikanischer Unternehmen, wobei einige ihrer Angreifer ein spezielles Cracking-Tool verwenden, um in hochrangige Ziele einzudringen“, so das Schweizer Cybersicherheitsunternehmen PRODAFT in einem neuen Bericht, der The Hacker News vorliegt. „Ein Teil des Geldes, das sie erhalten, fließt zurück in das Projekt, um neue Tools und Talente zu entwickeln.
Wizard Spider, auch bekannt als Gold Blackburn, operiert vermutlich von Russland aus und ist ein finanziell motivierter Bedrohungsakteur, der mit dem TrickBot-Botnetz in Verbindung gebracht wird, einer modularen Malware, die Anfang des Jahres offiziell zugunsten einer verbesserten Malware wie BazarBackdoor eingestellt wurde.
Das ist aber noch nicht alles. Die Betreiber von TrickBot haben auch ausgiebig mit Conti zusammengearbeitet, einer anderen mit Russland verbundenen Cybercrime-Gruppe, die dafür bekannt ist, ihren Mitgliedern Ransomware-as-a-Service-Pakete anzubieten.
Gold Ulrick (auch bekannt als Grim Spider), die Gruppe, die für die Verbreitung der Ransomware Conti (früher Ryuk) verantwortlich ist, hat in der Vergangenheit den von TrickBot verschafften Erstzugang genutzt, um die Ransomware in den Zielnetzwerken einzusetzen.
„Gold Ulrick besteht aus einigen oder allen Mitgliedern der gleichen Gruppe wie Gold Blackburn, die für die Verbreitung von Malware wie TrickBot, BazarLoader und Beur Loader verantwortlich ist“, schreibt das Cybersecurity-Unternehmen Secureworks in einem Profil des Cyberkriminellen-Syndikats.
PRODAFT stellt fest, dass die Gruppe „in der Lage ist, mehrere Aspekte ihrer Operationen zu monetarisieren“ und hebt die Fähigkeit des Gegners hervor, sein kriminelles Unternehmen zu erweitern, was laut PRODAFT durch die „außerordentliche Rentabilität“ der Bande ermöglicht wird.
Typische Angriffsketten, an denen die Gruppe beteiligt ist, beginnen mit Spam-Kampagnen, die Malware wie Qakbot (auch bekannt als QBot) und SystemBC verbreiten und diese als Abschussrampen für zusätzliche Tools wie Cobalt Strike für laterale Bewegungen nutzen, bevor sie die Locker-Software ausführen.
Wizard Spider nutzt nicht nur eine Fülle von Tools für den Diebstahl von Zugangsdaten und die Erkundung, sondern auch ein Exploit-Toolkit, das kürzlich bekannt gewordene Schwachstellen wie Log4Shell ausnutzt, um in den Netzwerken der Opfer Fuß zu fassen.
Außerdem stellt er den Nutzern eine Cracking-Station zur Verfügung, die u. a. geknackte Hashes für Domain-Anmeldedaten, Kerberos-Tickets und KeePass-Dateien enthält.
Darüber hinaus hat die Gruppe in ein spezielles VoIP-System investiert, bei dem angeheuerte Telefonisten nicht reagierende Opfer anrufen, um zusätzlichen Druck auszuüben und sie zu zwingen, nach einem Ransomware-Angriff zu zahlen.
Es ist nicht das erste Mal, dass die Gruppe auf eine solche Taktik zurückgreift. Letztes Jahr berichtete Microsoft über eine BazarLoader-Kampagne mit dem Namen BazaCall, bei der gefälschte Callcenter eingesetzt wurden, um ahnungslose Opfer zur Installation von Ransomware auf ihren Systemen zu verleiten.
„Die Gruppe verfügt über eine große Anzahl kompromittierter Geräte und setzt einen hochgradig verteilten professionellen Arbeitsablauf ein, um die Sicherheit und ein hohes Arbeitstempo aufrechtzuerhalten“, so die Forscher.
„Sie ist verantwortlich für eine enorme Menge an Spam auf Hunderten von Millionen von Geräten sowie für konzentrierte Datenschutzverletzungen und Ransomware-Angriffe auf hochrangige Ziele“.