Huntress: Ransomware-Gruppe missbrauchte Mitarbeiterüberwachungs-„Bossware“ und SimpleHelp, um nach Krypto zu jagen, und versuchte dann, Crazy Ransomware abzulegen. Das Cybersecurity-Unternehmen Huntress berichtet, dass Angreifer zunehmend legitime Werkzeuge zur Überwachung der Belegschaft als verdeckte Remote-Access-Trojaner (RATs) weaponisieren und diese nutzen, um Kryptowährungen zu suchen, bevor sie Ransomware-Deployments versuchen. In einem neuen Bericht, der zwei Eindringungen von Ende Januar und Anfang Februar 2026 behandelt, beschreibt Huntress’ Tactical Response-Team, wie Bedrohungsakteure Net Monitor for Employees Professional mit SimpleHelp kombinierten, um resilienten Zugriff auf Unternehmensnetzwerke zu erhalten und nach Krypto-Assets zu suchen. Was passiert ist - In beiden Vorfällen nutzte der Gegner Net Monitor for Employees Professional (hergestellt von NetworkLookout) als ersten Zugang und zog dann SimpleHelp, ein Remote-Access-Tool, als sekundären Persistenzkanal herunter. Diese doppelte Einrichtung ermöglicht es den Angreifern, das Herunterfahren eines einzelnen Einstiegspunkts zu überstehen und sich in normalen administrativen Datenverkehr einzufügen. - Im ersten Fall sahen die Ermittler von Huntress verdächtige Kontomanipulationen (Deaktivierung von Gast, Aktivierung von Administrator), mehrere Net-Befehle zur Aufzählung und Erstellung von Konten sowie eine mit Net Monitor verbundene Binärdatei, die ein Pseudo-Terminal zum Ausführen von Befehlen generierte. Der Angreifer holte sich SimpleHelp von einer externen IP, versuchte, mit Windows Defender zu manipulieren, und versuchte, mehrere Varianten von Crazy Ransomware (Teil der VoidCrypt-Familie) abzulegen. - Im zweiten Fall drangen Angreifer über ein kompromittiertes SSL-VPN-Konto eines Anbieters ein, verwendeten RDP zu einem Domänencontroller, und installierten dann den Net Monitor-Agenten von der Anbieter-Website. Sie passten Dienst- und Prozessnamen an, um legitime Windows-Komponenten zu imitieren (z.B. Dienste als OneDrive zu tarnen), installierten SimpleHelp für den Backup-Zugriff und konfigurierten regelbasierte Überwachungsregeln, die speziell auf Krypto-Wallets, Börsen, Zahlungsplattformen und andere Remote-Access-Tools abzielten. Huntress sagt, dies zeige eine klare finanzielle Motivation und absichtliches Umgehen von Sicherheitsmaßnahmen. Warum das für Krypto-Unternehmen wichtig ist - „Bossware“ ist weit verbreitet — Schätzungen zufolge liegt die Verbreitung bei etwa einem Drittel der britischen Unternehmen und ungefähr 60 % der US-Unternehmen — was diese Tools zu attraktiven Zielen für Angreifer macht. Überwachungsagenten, die Screenshots machen, Aktivitäten verfolgen oder Remote-Shells ausführen können, werden leicht zu verdeckten RATs, wenn sie missbraucht werden. - Die regelbasierte Überwachung, die auf Wallet-Adressen, Börsen und Zahlungsplattformen abzielt, hebt hervor, dass die Angreifer spezifisch nach krypto-bezogenen Zielen und Anmeldeinformationen suchten, bevor sie versuchten, Ransomware zu implementieren oder Werte zu exfiltrieren. Reaktion der Anbieter und Ursachen - NetworkLookout erklärte gegenüber Decrypt, dass der Agent administrative Berechtigungen zur Installation benötigt und sagte, dass die Installation „nicht möglich“ sei ohne Admin-Rechte und riet Organisationen, den administrativen Zugriff einzuschränken. - Huntress betonte, dass die zugrunde liegenden Probleme exponierte Perimeter und schlechte Identitäts-Hygiene sind — kompromittierte VPN-Konten und übermäßige Admin-Rechte bleiben die Hauptursachen für diese Angriffe. Kontext und Präzedenzfall - Dies ist kein isoliertes Muster: Im April 2025 fanden Forscher heraus, dass WorkComposer mehr als 21 Millionen Echtzeit-Screenshots in einem ungesicherten Cloud-Bucket offengelegt hatte, was zeigt, wie Überwachungswerkzeuge sensible Daten lecken oder von Angreifern missbraucht werden können. Praktische Empfehlungen (für Krypto-Firmen, Börsen, Treuhänder, Anbieter) - Begrenzen Sie administrative Berechtigungen und verwenden Sie Richtlinien mit minimalen Rechten für Endpunkte. Verhindern Sie nicht-administrative Installationen von Überwachungsagenten. - Härten Sie Remote-Access-Kanäle: Erzwingen Sie starke MFA, überwachen Sie ungewöhnliche VPN/RDP-Anmeldungen und wenden Sie eine Zero-Trust-Netzwerksegmentierung für Anbieter- und Drittanbieterzugriffe an. - Überwachen Sie auf Anzeichen von Missbrauch: Unerwartete Änderungen von Dienst-/Prozessnamen, neue persistente Remote-Access-Binärdateien, Befehle zur Erstellung/Zurücksetzung von Konten und ungewöhnliche ausgehende Verbindungen zu externen IPs. - Behandeln Sie „Bossware“ wie jedes privilegierte Remote-Access-Tool — protokollieren Sie deren Installationen, prüfen Sie deren Konfiguration und setzen Sie nur vertrauenswürdige Lösungen mit strengen Kontrollen ein. - Backup-Erkennung und -Reaktion: Halten Sie Offline-Backups, pflegen Sie EDR/AV-Hygiene und bereiten Sie Vorfallreaktionshandbücher vor, die Szenarien mit Anbieter-Komprimierung beinhalten. Fazit Angreifer verwandeln legitime Werkzeuge zur Überwachung der Belegschaft in stealthy RATs und kombinieren sie mit handelsüblicher Remote-Access-Software, um nach Krypto zu jagen und Ransomware zu implementieren. Für Organisationen im Krypto-Ökosystem — wo hochpreisige Anmeldeinformationen und Gelder Hauptziele sind — sind die Verschärfung der Identitäts-Hygiene, die Begrenzung der Admin-Rechte und die Behandlung von Überwachungssoftware als risikobehaftete Software kritische Verteidigungen.

#BTC