1 hour ago
1
Die Ermittlungsbehörden haben im Rahmen der Operation Endgame einen Schlag gegen die Infrastruktur der Malware SocGholish gelandet. An der Aktion waren unter anderem das BKA, das FBI und die niederländische Polizei beteiligt. Weltweit wurden 106 Server sowie Domains abgeschaltet und knapp 15.000 infizierte Webseiten bereinigt.
SocGholish, oft auch als FakeUpdates bekannt, nutzt kompromittierte WordPress-Seiten, um Schadsoftware zu verbreiten. Da WordPress laut eigenen Angaben über 43 Prozent aller Webseiten im Netz antreibt, ist die Angriffsfläche enorm. Die Täter manipulieren legitime Seiten von kleinen Betrieben wie Restaurants oder Werkstätten und blenden den Besuchern gefälschte Browser-Updates ein. Wer die vermeintliche Aktualisierung installiert, öffnet den Angreifern eine Hintertür zum eigenen System.
Hinter der Kampagne steckt die russische Gruppierung Evil Corp, die bereits für Schädlinge wie Zeus oder Dridex verantwortlich gemacht wurde. Die Gruppe nutzt laut der Behörden diesen Erstzugang häufig, um später Ransomware in Firmennetzwerken oder kritischen Infrastrukturen zu platzieren. Im Zuge der Ermittlungen kam heraus, dass Zugangsdaten von 1,4 Millionen Webseiten im Netz gelandet sind.
Die Polizei hat betroffene Betreiber bereits über Dienste wie HaveIBeenPwned oder das NCSC informiert. Wer ein betroffenes Blog oder eine Seite auf WordPress-Basis betreibt, sollte dringend die Passwörter ändern, die Zwei-Faktor-Authentisierung scharf schalten und unbekannte Benutzerkonten löschen. Spannender Randfakt: Die niederländischen Behörden bekamen wohl Zugriff auf die Server der Betroffenen und haben dort Malware und die Backdoors entfernt.
Generell gilt bei Software-Updates Vorsicht. Ihr wisst es natürlich, in der Familie kann es anders aussehen: Offizielle Aktualisierungen kommen über die Systemeinstellungen oder den App Store und nicht über blinkende Pop-ups im Browser. Die Behörden kündigten an, dass dies erst der Anfang der Maßnahmen gegen SocGholish war. Das Ziel ist es, den Kriminellen den Zugang zu infizierten Systemen dauerhaft zu entziehen und so weitere Erpressungsversuche zu verhindern.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
