Erpressungen erwartet: Hacker wollen riesige Supply-Chain-Attacke zu Geld machen
Der Cyberakteur TeamPCP hat in den letzten Tagen mehrere Open-Source-Projekte infiltriert und datensammelnde Infostealer-Malware eingeschleust. Den dadurch erbeuteten Datenschatz will die Gruppe nun offenbar nutzen, um IT-Systeme zu verschlüsseln und Betroffene zu erpressen. Wie Sicherheitsforscher von Socket in einem Blogbeitrag(öffnet im neuen Fenster) zeigen, kooperiert die Gruppe neuerdings mit einem Ransomware-Akteur namens Vect.
Vect hat die Zusammenarbeit demnach selbst in einem Beitrag in dem berüchtigten Hackerforum Breachforums bekannt gegeben. "Die Vect-Ransomwaregruppe arbeitet nun mit TeamPCP zusammen, den Betreibern hinter den jüngsten Supply-Chain-Angriffen auf Trivy und LiteLLM" , heißt es dort.
Gemeinsam seien die beiden Cybergruppierungen bereit, "Ransomware in allen betroffenen Unternehmen zu verbreiten, die von diesen Angriffen getroffen wurden" . Dabei werde man es jedoch nicht belassen. Es seien "noch umfangreichere Supply-Chain-Operationen" geplant, die mit "verheerenden Folgekampagnen mit Ransomware" verknüpft werden sollen.
Zahlreiche Softwareprojekte betroffen
Bei Vect handelt es sich um eine Ransomware-as-a-Service-Operation. Die Vect-Gruppe stellt dabei eine eigens entwickelte Ransomware für andere Cybercrime-Akteure zur Verfügung und kassiert für deren Nutzung eine Provision in Höhe von 12 bis 20 Prozent der eingespielten Lösegelder. Die übrigen Einnahmen dürfen die jeweiligen Partner, in diesem Fall TeamPCP, behalten.
TeamPCP ist erst vor wenigen Tagen durch eine weitreichende Supply-Chain-Attacke auf den Schwachstellenscanner Trivy aufgefallen. Berichten zufolge hat die Gruppe dadurch mehr als 1.000 Cloudumgebungen kompromittiert . Überdies schleuste die Gruppe auch noch Schadcode in über 140 NPM-Pakete sowie die Python-Bibliothek LiteLLM und zwei Security-Tools von Checkmarx ein.
Es besteht dringender Handlungsbedarf
Es gibt Hinweise darauf(öffnet im neuen Fenster) , dass TeamPCP durch diese Angriffe schon rund 300 GBytes an komprimierten Daten mit Hunderttausenden von Schlüsseln, Passwörtern und anderen Anmeldeinformationen erbeutet hat. Diesen Datenschatz will die Gruppe mit der Vect-Ransomware nun offenbar aggressiv zu Geld machen.
Wer eines der von TeamPCP attackierten Tools verwendet, sollte daher dringend seine IT-Systeme und CI/CD-Pipelines auf eine mögliche Kompromittierung prüfen, den Schadcode beseitigen und alle potenziell abgeflossenen Anmeldedaten rotieren. Andernfalls droht ein Ransomware-Befall mit anschließender Verschlüsselung wichtiger Daten sowie einer Lösegeldforderung.
Zudem sollten laut Socket für die Zukunft neue Schutzbarrieren in Betracht gezogen werden. "Sicherheitsscanner, IDE-Erweiterungen, Build-Tools und Ausführungsumgebungen erhalten weitreichende Zugriffsrechte, da davon ausgegangen wird, dass sie diese benötigen" , so die Forscher. Wenn Angreifer es jedoch auf eben jene Tools selbst abgesehen hätten, müsse alles, was in der Pipeline laufe, als potenzieller Angriffspunkt betrachtet werden.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.