Ein neuer Bedrohungsakteur namens Triplestrength wurde von Sicherheitsforschern entdeckt. Die Gruppe ist in Ransomware, Cloud-Kompromittierung und Kryptomining aktiv. Es gibt potenziell Hunderte von Opfern.

Eine kleine und relativ unbekannte Hackergruppe hat begonnen, durch eher ungewöhnliche „Dreifachbedrohungs“ -Cyberangriffe auf sich aufmerksam zu machen. Forscher von Google haben kürzlich Triplestrength entdeckt, möglicherweise ein kleiner Bedrohungsakteur mit nur einer Handvoll Personen, der bereits seit 2020 aktiv ist, obwohl Google-Forscher ihn seit 2023 verfolgen. Was diese Gruppe besonders macht, ist die Tatsache, dass sie neben Ransomware auch die Cloud-Konten von Opfern übernimmt und sie zur Bereitstellung von Kryptominern verwendet. Die Gruppe begann 2020 mit Ransomware und fügte zwei Jahre später den Krypto-Mining-Teil hinzu.

Für Ransomware, so erklärt Google weiter, zielt die Gruppe hauptsächlich auf lokale Systeme ab. Für das Kryptomining werden Cloud-Infrastrukturen von Google Cloud, AWS, Microsoft Azure, Linode und anderen angegriffen. Triplestrength scheint nicht staatlich unterstützt zu sein und scheint stattdessen von reinem Profit motiviert zu sein – sie zielen darauf ab, Geld sowohl aus Lösegeldzahlungen als auch aus unbefugter Cloud-Nutzung zu erzielen. Der Zugriff erfolgt in erster Linie durch Brute-Force-Angriffe auf Remote-Desktop-Server oder durch gestohlene Anmeldeinformationen. Sobald die Endpunkte kompromittiert sind, setzt Triplestrength Malware wie Phobos, LokiLocker, RCRU64 oder Raccoon-Infostealer ein. Für das Kryptomining verwendet die Gruppe hauptsächlich UnMiner. Interessanterweise wurde keine Erwähnung von XMRig gemacht, dem bei weitem beliebtesten Cryptojacker.

Mit The Register sprachen die Forscher nicht genau darüber, wie viele Opfer Triplestrength in den letzten vier Jahren getroffen hat. Sie betonten jedoch, dass sie „zahlreiche TRX-Kryptowährungsadressen identifiziert haben, die wir mit Triplestrength in Verbindung bringen“. „Und bei der letzten Zählung, die jetzt Monate alt ist, gab es über 600 Zahlungen an diese Adressen“, teilten sie der Publikation mit. „Das gibt Ihnen zumindest eine Vorstellung davon, wie viel Mining-Aktivität sie wahrscheinlich durchführen.“ Mit anderen Worten, es gibt Hunderte kompromittierte Cloud-Instanzen da draußen und somit möglicherweise Hunderte von Ransomware-Opfern. Über The Register.