-
Geldwäsche 2.0: Wie Cyberkriminelle ihre Krypto-Dollar in legale Geschäfte investieren
Früher prahlten Hacker aufmerksamkeitsheischend mit ihren Lamborghinis – heute agieren sie sehr viel geschäftsorientierter mit ihren kriminellen Erlösen und eröffnen Start-ups, Restaurants oder Coding-Schulen. Das ist eines der zentralen Ergebnisse einer aktuellen Untersuchung der Cybersecurity-Experten von Sophos X-Ops. Die Analyse zeigt: Cyberkriminelle investieren ihre illegal erworbenen Gewinne gezielt in reale Unternehmen; oftmals mit legaler Fassade, zunehmend aber auch als langfristige, strategische Investments. Sie werden Arbeitgeber, Geschäftsleute, Investoren und damit unsichtbarer denn je. Vom Hack zur Holding: kriminelle Gewinne nehmen den Weg in reale Märkte Durch Ransomware-Angriffe, Datendiebstahl oder Phishing generieren Hackergruppen Millionenbeträge, meist in Form von Kryptowährungen. Die Frage, was danach mit dem Geld geschieht, wurde bislang kaum beleuchtet. Sophos hat…
-
Sie kommen aus Nordkorea: Wie Unternehmen sich gegen falsche IT-Profis schützen können
Seit einiger Zeit geben sich Bedrohungsakteure:innen aus Nordkorea als legitime IT-Profis aus. Ihr Ziel: Remote-Jobs ergattern, um primär mit ihrem Gehalt nordkoreanische Interessen zu finanzieren und sekundär monetäre Mittel via Erpressung durch Datendiebstahl zu erlangen. Sophos hat insbesondere für Personalverantwortende Tipps zu Vorstellungsgesprächen, Onboarding und Compliance zusammengestellt. „Die Betrüger:innen haben in der Vergangenheit mit Fähigkeiten in der Web- und Blockchain-Softwareentwicklung geworben, sich aber auch für andere IT-Stellen in einer Vielzahl von Branchen beworben, nicht nur in Unternehmen des Technologiesektors. Im Jahr 2025 haben sie ihren Fokus auf Rollen in der Cybersicherheit erweitert und verstärkt weibliche Personen eingesetzt“, erklärt Sarah Kern, Leiterin für Nordkorea und aufkommende Bedrohungen im Counter Threat Unit Research Team. …
-
Paranoia im vernetzten Auto: angebracht oder übertrieben?
Eine aktuelle Meldung in den britischen Medien sorgt zurzeit für Aufsehen: Firmen, die für das britische Militär oder die Geheimdienste arbeiten, raten ihren Mitarbeitern demnach, ihre Mobiltelefone nicht an in China hergestellte Elektroautos anzuschließen, da sie befürchten, dass Peking sensible Daten zur nationalen Sicherheit stehlen könnte. Ist dieses technisch nachvollziehbare Szenario der Daten-GAU für die große Masse? Nate Drier, Tech Lead beim Cybersecurity-Spezialisten Sophos, mit einer Einschätzung: Wie jede Technologie kann auch das Abschöpfen von Daten aus Elektroautos bei gegebener Absicht oder Möglichkeit zum Ausspionieren genutzt werden. Für die Allgemeinheit stellt sich aber vor allem die Frage: Welches zusätzliche Risiko besteht? Generell ist es bei fremden Fahrzeugen keine gute Idee,…
-
Weltpassworttag: Wird es der letzte sein?
Eigentlich braucht es keinen Aufhänger, um am Weltpassworttag (1. Mai) auf die Bedeutung eines gut gewählten Passworts aufmerksam zu machen. Aber angesichts zunehmender Phishing-Angriffe holt Sophos das Thema noch einmal in die erste Reihe, denn: wenn es nach Chester Wisniewski, Director, Global Field CISO, geht, könnte es obsolet werden. Wissensbasierte Multi-Faktor-Authentifizierung (MFA) wie 6-stellige Codes per SMS oder in Apps oder Push-Benachrichtigungen greifen angesichts der Raffinesse der heutigen Cyberkriminellen zu kurz. Der nächste Schritt heißt phishing-resistente MFA wie FIDO2 und Passkeys. Diese Technologien sind insgesamt simpler zu handhaben und es ist schwieriger, sie versehentlich an Angreifer weiterzugeben. Für die meisten Einzelpersonen ist die Verwendung von Passkeys der einfachste Ansatz, da…
-
Ransomware-Gruppen entwickeln Affiliate-Modelle weiter
Trotz erfolgreicher internationaler Strafverfolgungsmaßnahmen gegen prominente Ransomware-Gruppen zeigen Cyberkriminelle weiterhin Widerstandsfähigkeit und Anpassungsfähigkeit. Im Jahr 2025 beobachteten die Forscher der Counter Threat Unit (CTU) von Secureworks, ein Sophos-Unternehmen, dass die Ransomware-Betreiber DragonForce und Anubis neue Modelle einführten, um Affiliates zu gewinnen und Gewinne zu steigern. DragonForce: Verteiltes Affiliate-Branding-Modell DragonForce entstand im August 2023 als traditionelles Ransomware-as-a-Service (RaaS)-Modell. Nachdem die Betreiber im Februar 2024 begannen, ihr Angebot in Untergrundforen zu bewerben, stieg die Zahl der Opfer auf der zugehörigen Leak-Seite bis zum 24. März 2025 auf 136. In einem Beitrag vom 19. März 2025 kündigte DragonForce seine Neupositionierung als „Kartell“ an und stellte den Wechsel zu einem verteilten Modell vor, das…
-
Eine alte Bekannte, die nicht müde wird: ClickFix ist bei Cyberkriminellen nach wie vor beliebt
Im Rahmen der kontinuierlichen Untersuchung der im Umlauf befindlichen Malware, haben die Spezialisten von Sophos X-Ops erneut ClickFix als eine zwar alte aber nach wie vor sehr aktive Bedrohung ausgemacht. Die Sicherheitsexperten identifizierten ein breites Spektrum von Organisationen, die in letzter Zeit von dieser Angriffsmethode betroffen waren. Darunter befanden sich insbesondere Unternehmen, die Customer-Relationship- und Kalenderdienste nutzen – Autohäuser, Kliniken und kleine Arztpraxen machten etwa ein Viertel der Organisationen aus, die im März von ClickFix und dem Trojaner SecTopRat betroffen waren. Ein kriminelles Erfolgsmodell Die Angriffstaktik ClickFix wird von zahlreichen böswilligen Akteuren verwendet, in einigen Fällen auch von staatlich gelenkten Cyberkriminellen. Ihr Einsatz hat hauptsächlich den Diebstahl von Zugangsdaten zum Ziel. Dafür…
-
Cyberschutz von OT-Systemen benötigt maximale IT-Sicherheit
Operational-Technology-Systeme, kurz OT-Systeme, stellen in vielen Unternehmen und erst recht in kritischen Infrastrukturen das technologische Rückgrat dar, ohne das der moderne Betrieb von Infrastrukturen oder Industrieumgebungen nicht realisierbar wäre. Obwohl viele OT-Systeme prinzipiell vulnerabel für Cyberangriffe sind, werden sie eher selten von den Cyberkriminellen direkt angegriffen. „Die meisten Cyberangriffe auf OT-Systeme erfolgen nicht an den OT-Systemen selbst“, sagt Chester Wisniewski, Global Field CTO beim Cybersecurity-Anbieter Sophos. „Sie beginnen fast immer mit einer Verletzung auf der IT-Seite. IT-Systeme sind dem Internet stärker ausgesetzt, wodurch sie zu einem leichteren Einstiegspunkt für Cyberangreifer werden. Deshalb hat der Schutz der IT oberste Priorität, wenn es darum geht, OT-Systeme sicher zu halten.“ Schutz der OT durch Network Detection…
-
Zugangsdaten stehlen und MFA austricksen mit Evilginx
Evilginx ist eine Malware, die auf dem legitimen und weit verbreiteten Open-Source-Webserver nginx basiert. Sie kann dazu verwendet werden, Benutzernamen, Passwörter und Sitzungs-Token zu stehlen und sie bietet Angreifenden eine Chance, die Multi-Faktor-Authentifizierung (MFA) zu umgehen. So arbeitet Evilginx Evilginx nutzt im Kern den legitimen und beliebten Webserver nginx, um den Webverkehr über bösartige Webseiten zu leiten. Diese werden von den Bedrohungsakteuren erstellt, um echte Dienste wie Microsoft 365 zu imitieren – in der Fachsprache wird das als Adversary-in-the-Middle (AitM)-Angriff bezeichnet. Zur Demonstration dieser Angriffstaktik hat Sophos X-Ops eine bösartige Domain und ein Microsoft-Phishlet mit einer eigenen Subdomain eingerichtet. Das Phishlet enthält einen Köder, den der anvisierte Benutzende sieht, wenn…
-
Multimodale KI: Der sechste Sinn der Cyberabwehr
Künstliche Intelligenz (KI) ist bei der heutigen Bedrohungslage keine Option in der Cyberabwehr, sondern vielmehr Pflicht. Aber auch hier muss die Entwicklung stetig voranschreiten, um den Cybergangstern den entscheidenden Schritt beim Katz- und Mausspiel voraus zu sein. In diesem Zusammenhang hat Younghoo Lee, Principal Data Scientist bei Sophos X-Ops, den Wirkungsgrad multimodaler KI zur noch besseren Erkennung und Klassifizierung von Spam, Phishing und unsicheren Webinhalten näher untersucht. Überwachung multipler Datenströme Die multimodale KI ist ein System, das verschiedene Datentypen in ein einheitliches Analyse-Framework integriert. Sie stellt einen bedeutenden Wandel in der Entwicklung und Nutzung von KI in der Cyberabwehr dar, indem sie anstelle der herkömmlichen Einzelmodus-Analyse mehrere Datenströme gleichzeitig verarbeiten und Daten…
-
Die Lieferkette als primäres Ziel für Cyberangreifer
Mit dem stetigen Voranschreiten der digitalen Transformation in den letzten Jahren wurden Unternehmen zunehmend abhängig von zahlreichen Partnern und Lieferanten. Diese Verschiebung hat zu einer komplexeren IT-Infrastruktur geführt und signifikant die Angriffsfläche vergrößert, die Cyberkriminelle ausnutzen können. Sie haben es auf das schwächste Glied in der Lieferkette abgesehen, um Zugang zum Gesamtsystem zu bekommen. Ein Beispiel: Im November 2024 wurde der US-amerikanische Software-Provider Blue Yonder Opfer einer Ransomware-Attacke, die sich auf den Betrieb von 3.000 Firmen in 76 Ländern auswirkte. Das führt zu der Frage: Wie können wir die gesamte Lieferkette vor immer häufigeren und anspruchsvolleren Cybergefahren schützen? Chancen und Risiken bei Open Source und KI Angesichts des vernetzten Charakters…
