Ransomware

Sophos Counter Threat Unit vereitelt Cyberangriff mit Forensik-Tool

, Sophos | Autor: Herbert Wieler

Sophos Counter Threat Unit vereitelt Cyberangriff mit Forensik-Tool

Sophos stoppt Ransomware-Versuch

Kriminelle haben versucht, das Open-Source-Programm Velociraptor zweckzuentfremden – ein eigentlich seriöses Tool für digitale Forensik. Statt es für Sicherheitsanalysen zu nutzen, setzten die Täter es ein, um unauffällig in ein Unternehmensnetzwerk einzudringen und Schadsoftware nachzuladen. Das Ziel: ein klassischer Ransomware-Angriff. Sophos-Analysten konnten den Angriff rechtzeitig stoppen.

So lief der Angriff ab

Die Angreifer tarnten sich geschickt: Über eine präparierte Cloud-Domain installierten sie Velociraptor und schmuggelten zusätzlich eine manipulierte Entwickler-Software ins System. Diese sollte im Hintergrund einen versteckten Fernzugang schaffen und weitere Schadprogramme nachziehen – unbemerkt an den üblichen Sicherheitsmechanismen vorbei.

Frühzeitiger Alarm stoppte die Attacke

Ein ungewöhnliches Netzwerkverhalten weckte die Aufmerksamkeit von Sophos Taegis™. Das Sicherheitssystem schlug Alarm, woraufhin die Analysten das betroffene Gerät sofort isolierten. So konnte der Angriff gestoppt werden, bevor sich die Schadsoftware im Unternehmen ausbreiten konnte.

Missbrauch von IT-Tools auf dem Vormarsch

Der Fall zeigt einen beunruhigenden Trend: Cyberkriminelle greifen zunehmend auf legitime Administrator- oder Sicherheitstools zurück, um ihre Spuren zu verwischen. Selbst Werkzeuge, die eigentlich für die Incident Response gedacht sind – wie Velociraptor – können missbraucht werden.

Was Unternehmen jetzt tun sollten

  • Überwachung: Genau im Blick behalten, welche Tools im Netzwerk genutzt werden.
  • Reaktion: Auffälligkeiten sofort prüfen.
  • Prävention: Moderne Lösungen wie Endpoint Detection & Response (EDR), regelmäßige Updates und Backups einsetzen.

Michael Veit, Security-Experte bei Sophos, fasst es so zusammen: „Wenn selbst Forensik-Tools als Einfallstor dienen können, zeigt das, wie raffiniert Cyberangriffe inzwischen sind. Unternehmen müssen wachsam bleiben und ungewöhnliche Aktivitäten sofort ernst nehmen.“