„Crazy Evil“ Kryptoscam-Bande

Seit 2021 hat sich die Kryptobetrüger-Bande „Crazy Evil“ zu einer der produktivsten Cyberkriminellen-Gruppen entwickelt, die digitale Vermögenswerte ins Visier nimmt. Crazy Evil ist auf Identitätsbetrug, Kryptowährungsdiebstahl und informationsstehlende Malware spezialisiert und betreibt ein gut koordiniertes Netzwerk von Traffern, bei denen es sich um Social-Engineering-Experten handelt, die damit beauftragt sind, legitimen Datenverkehr auf bösartige Phishing-Seiten umzuleiten.

Die Operationen von Crazy Evil sind sowohl umfangreich als auch akribisch. Die sechs Unterteams – AVLAND, TYPED, DELAND, ZOOMLAND, DEFI und KEVLAND – führen maßgeschneiderte Betrügereien durch, die auf bestimmte Opferprofile abzielen. Von Phishing-Ködern, die auf Kryptowährungs-Influencer abzielen, bis hin zu Malware-Nutzlasten, die für eine plattformübergreifende Infektion entwickelt wurden, spiegeln die Taktiken der Gruppe ein fortgeschrittenes Verständnis von Cybersicherheitslücken wider.

Wichtige Erkenntnisse

1. Social-Media-Betrügereien: Die Insikt Group hat über zehn aktive Betrügereien entdeckt, darunter Voxium und Rocket Galaxy, die maßgeschneiderte Köder verwenden, um ihre Opfer zu täuschen.
2. Diversifiziertes Malware-Toolkit: Crazy Evil nutzt fortschrittliche Werkzeuge wie Stealc und AMOS für Windows und macOS, um eine weitreichende Kompromittierung sicherzustellen.
3. Gezielte Angriffe auf Kryptowährungsnutzer und Influencer: Crazy Evil nimmt den Kryptowährungsbereich mit maßgeschneiderten Spearphishing-Ködern ins Visier.

Gegenmaßnahmen

• Verbessern Sie den Endpunktschutz: Setzen Sie fortschrittliche EDR-Lösungen (Endpoint Detection and Response) ein, um die Ausführung bekannter Malware-Familien, die mit Crazy Evil in Verbindung gebracht werden, wie Rhadamanthys, Stealc und AMOS, zu überwachen und zu blockieren. Diese speziellen Tools, in Kombination mit Social-Media-Scams, sind unmittelbare Anzeichen für einen Angriff von Crazy Evil.
• Web-Filterung und -Überwachung: Setzen Sie Web-Filterlösungen ein, um den Zugriff auf bekannte bösartige Domains zu blockieren, die mit Crazy Evil in Verbindung stehen – einschließlich aller in diesem Bericht aufgeführten Domains – sowie verdächtige Downloads, insbesondere solche, die mit geknackter „Freemium“-Software in Verbindung stehen.
• Kontinuierliche Bedrohungsintelligenz-Überwachung: Aktualisieren Sie regelmäßig die Bedrohungsdaten-Feeds mit den neuesten Indikatoren für Kompromittierungen (IoCs) im Zusammenhang mit Crazy Evil. Stellen Sie sicher, dass die Sicherheitsteams informiert sind über die neuesten Taktiken, Techniken und Verfahren (TTPs), die von der Gruppe eingesetzt werden.
• Benutzerbewusstsein und -Schulung: Implementieren Sie fortlaufende Schulungen zur Sensibilisierung für Cybersicherheit für Ihre Mitarbeitenden und betonen Sie die Risiken im Zusammenhang mit Phishing, Social Engineering und verdächtigen Downloads. Behandeln Sie auch spezifische Module zu den Risiken, die durch die auf Kryptowährungen abzielenden Angriffe von Crazy Evil entstehen.
• Zusammenarbeit und Informationsaustausch: Arbeiten Sie mit Branchenkollegen, Bedrohungsinformationsorganisationen und Strafverfolgungsbehörden zusammen, um Informationen über Crazy Evil und ähnliche Bedrohungen auszutauschen. Beteiligen Sie sich an sektorübergreifenden Initiativen, um die kollektive Verteidigung gegen fortschrittliche Cyberkriminellengruppen zu verbessern.
• Verbesserte Einhaltung gesetzlicher Vorschriften: Bleiben Sie den sich entwickelnden regulatorischen Anforderungen im Bereich Datenschutz und Cybersicherheit einen Schritt voraus. Stellen Sie sicher, dass die Praktiken Ihrer Organisation sowohl mit nationalen als auch mit internationalen Standards übereinstimmen, insbesondere in Branchen wie dem Finanzwesen, in denen die Angriffe von Crazy Evil schwerwiegende Folgen haben können.
• Recorded Future: Die Insikt Group empfiehlt die Nutzung von Recorded Future Malware Intelligence, um Build-IDs, C2-Infrastruktur, Staging-Domains und andere bösartige Indikatoren zu identifizieren, die mit den oben beschriebenen Crazy-Evil-Scams in Verbindung stehen. Durch die Nutzung von Recorded Future Malware Intelligence und Recorded Future Network Intelligence können Infostealer-Aktivitäten besser identifiziert und gruppiert werden, was erste Hinweise auf Infektionen, Opferprofile und Pivot-Scams liefert.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.