Kryptowährungen weiter im Visier: Hackergruppe Lazarus nutzt neue Methoden

Die von Nordkorea gesponserte cyberkriminelle Gruppe Lazarus hat immer noch Kryptowährungen im Visier und nutzt neue Methoden. Das geht aus einem neuen Bericht des Cybersicherheits- und Antivirus-Unternehmen Kaspersky Lab vom 26. März hervor.

Im Bericht heißt es, dass die mutmaßlich staatlich geförderte Hackergruppe Lazarus seit letztem November eine neue Operation ausführt. Die Gruppe verwendet dabei das Skript PowerShell, mit dem Schadsoftware für Windows und macOS verwaltet und kontrolliert werden kann. Das Lazarus-Team soll benutzerdefinierte PowerShell-Skripte entwickelt haben, die mit bösartigen C2-Servern interagieren und Befehle des Angreifers ausführen.

C2-Server-Skriptnamen wiederum werden als WordPress-Dateien und andere Open-Source-Projekte getarnt. Sobald die Schadsoftware-Sitzung mit dem Server hergestellt wurde, hat der Angrifer die volle Kontrolle. Die Schadsoftware kann damit unter anderem Dateien herunterladen und hochladen, Malware-Konfiguration aktualisieren und grundlegende Host-Informationen sammeln.

Kaspersky erklärt, dass die Hacker immer noch auf Systeme die Bereiche Kryptowährung und Fintech im Visier hätten. Das Unternehmen rief Akteure in diesen Bereichen dazu auf, vorsichtig zu sein:
 

"Wenn Sie ein Start-up in dieser boomenden Kryptowährungs- oder Technologiebranche sind, seien Sie besonders vorsichtig, wenn Sie mit neuen Drittanbietern zusammenarbeiten oder Software auf Ihren Systemen installieren [...] Und aktivieren sie niemals Inhalte (Makroskripting) in Microsoft Office-Dokumenten, die aus neuen oder nicht vertrauenswürdigen Quellen stammen..."

Wie bereits berichtet, wurden zwischen 2017 und 2018 umgerechnet etwa 507,7 Mio. Euro in Kryptowährung von Online-Börsen gestohlen. Lazarus soll davon umgerechnet rund 782,4 Mio. Euro gestohlen haben. Das sind fast 65 Prozent der Gesamtsumme. Von 14 Angriffen auf Börsen wurden der Gruppe fünf zugeschrieben. Darunter auch der beispiellose Hackangriff auf die japanische Börse Coincheck, bei dem 473 Mio. Euro in NEM gestohlen wurden.

Anfang März berichtete Cointelegraph, dass Nordkorea umgerechnet rund 596 Mio. Euro in Fiat- und Kryptowährungen eingenommen haben soll, indem es Hackerangriffe durchführte. Dabei sollen die Hacker zwischen 2015 und 2018 ausländische Finanzinstitute angegriffen und mittels Blockchain "ihre Spuren verwischt" haben.