Das erste Quartal 2025 aus Cybersecurity Sicht: Neuer Weltrekord im Krypto-Diebstahl aufgestellt und HR-Abteilungen unter Druck
Nordkoreanische Hacker haben es bereits seit mehreren Jahren auf Krypto-Währungen abgesehen. Die digitale Währung ist einfach zu verschieben und zu waschen, relativ anonym und kann für Bezahlungen diverser Dienstleistungen im Darknet eingesetzt werden. Schon in den späten 2010ern konnte die Lazarus-Gruppe, Nordkoreas schärfstes Cyber-Schwert, mehrere Millionen US-Dollar aus einer südkoreanischen Krypto-Börse entnehmen. Auch den Weltrekord im „Krypto Klauen“ hält Lazarus seit 2022. Im März des Jahres entwendeten die Hacker 620 Millionen US-Dollar in Krypto-Währungen aus dem Ronin Network, welches durch das Videospiel „Axie Infinity“ genutzt wurde.
Nun bricht Lazarus seinen eigenen Rekord. Ende Februar 2025 gelingt die Exfiltration von Ether im Wert von mehr als einer Milliarde US-Dollar. Die Schwachstelle, die zum Erfolg führte, befand sich in der Gratis-Kryptowallet-Technologie von Safe. Bybit nutzte das Safe-Tool trotz mehrerer Alternativlösungen für den Enterprise-Bereich, welche erhöhte Sicherheitsvorkehrungen anbieten.
Lazarus hatte zuvor Safe kompromittiert. Über Verbindungen von Safe zu Bybit war es den Hackern möglich, bei einer Route-Überweisung gespoofte, also falsch angezeigte, Informationen an einen Bybit-Manager zu übermitteln. Dieser tätigte die Überweisung im Glauben, alles ginge mit rechten Dingen zu, und händigte hierbei die Kontrolle über einen wertvollen Account an die Hacker aus. Nur 30 Minuten nach der Transaktionsfreigabe wurde der Diebstahl bemerkt, aber die Ether-Währung war bereits unwiederbringlich abgeflossen. Executives der Krypto-Börse versicherten Usern, ihre Währung wäre sicher, jedoch wurden innerhalb weniger Stunden die Hälfte aller Bybit-Wallets geleert.
Die nun gelobte Besserung und der Plan zum Vendor-Wechsel kommt für Bybit somit zu spät und kann anderen schnell wachsenden Unternehmen als mahnendes Beispiel dienen, ihre Infrastruktur mit wachsendem Risiko anzupassen.
HR im Fokus von Phishing-Operationen
Das erste Quartal 2025 brachte jedoch nicht nur aufsehenerregende Krypto-Diebstähle, sondern bestärkte Sicherheitsforschende auch in der Feststellung, dass einige Trends gekommen sind, um zu bleiben. Phisher haben 2024 Stellenausschreibungen sowie LinkedIn für sich entdeckt.
Auf der Social Media Plattform werden insbesondere Developer von Fake-Recruitern kontaktiert und mit fingierten Job-Angeboten gelockt. Oft wird die Konversation nach initialem Vertrauensaufbau auf Messenger-Apps, z.B. WhatsApp, umgezogen. Hier wird dann eine schadhafte Datei an das nichtsahnende Opfer gesendet und Endgeräte infiziert. Angreifer haben es hierbei auf eine Vielzahl an Zielen abgesehen. Zum einen gibt es die Hoffnung, dass das Ziel ein wenig gesichertes Crypto-Wallet auf dem Endgerät angeschlossen hat. Zum anderen hofft man bei der Infektion von Developern auf eine Möglichkeit zur Supply-Chain-Kompromittierung via Malware-Insertion in Entwicklungsprojekte, ggf. sogar in Projekte des derzeitigen Arbeitgebers des Ziels. Schadcode in öffentlich zugänglichen GitHub Repositories kann zur passiven Verbreitung von Malware führen – ganz im Sinne der initialen Phisher.
Aber nicht nur einzelne Developer sind das Ziel von Angriffen. Hackergruppen haben sich auch auf Stellenausschreibungen für Software Engineering Positionen eingeschossen. Hierbei wird versucht, Malware in Anhängen von angeblichen Bewerbungen an HR-Personal zu verteilen – vorzugsweise an Gemeinschaftspostfächer (z.B. „bewerbungen[at]unternehmen.com“). Die Phishing-Experten von KnowBe4 konnten in ihrem letzten Report feststellen, dass insbesondere Engineering und Finance-Positionen von Phishing-Versuchen betroffen sind. Bewerbungs-Mails eignen sich gut für Phishing, da sie oft ohne verdächtig zu wirken mehrere Dateianhänge in verschiedenen Formen (PDF, ZIP-Archiv, Word Dokumente, etc.) enthalten und oft an Gemeinschaftspostfächer gesendet werden, welche teilweise weniger achtsam durch Personal genutzt werden – insbesondere bei Stellen mit mehreren 100 Bewerbungen.
Hier gilt es also insbesondere, HR-Abteilungen als kritisches Ziel für Phishing-Operationen zu schulen. Phishing zielt auf die Schwachstelle „Mensch“ und die Härtung ebendieses Ziels durch verstärkte Awareness-Maßnahmen sind von äußerster Wichtigkeit.
Sollten Sie bei Awareness-Trainings nach Unterstützung suchen, zögern Sie nicht, uns unter mail@complion.de zu erreichen.
Autor: Tobias Philipsen