Abonnieren Sie unseren NEWSLETTER

Die Gruppierung liefert ein Musterbeispiel für eine mittlerweile sehr weit verbreitete Angriffsvariante: die Schleichfahrt durch gekaperte Firmennetzwerke auf verschiedenste Weise, um der Erkennung und Eliminierung zu entgehen. So wurden zum Beispiel bei 78 Prozent der im ersten Halbjahr 2023 analysierten Fälle des Sophos Incident Response Teams interne RDP-Dienste von Cyberkriminellen für ihre Zwecke missbraucht.

In diesem speziellen Fall nutzte Money Message eine anfällige VPN-Verbindung, um Zugriff auf das Netzwerk zu erhalten. Anschließend bewegten sie sich lateral im Netzwerk, indem sie das vom Unternehmen verwendete Remote Desktop Protocol (RDP) nutzten. Zudem war es den Angreifern möglich, Windows Defender zu deaktivieren und sich Zugriff auf verschiedene Anmeldeinformationen der Organisation zu verschaffen, ehe sie begannen, sensible Daten abzuschöpfen.