{"id":5595,"date":"2025-06-11T06:42:26","date_gmt":"2025-06-11T06:42:26","guid":{"rendered":"https:\/\/satoshibrother.com\/de\/librarian-ghouls-hackergruppe-zielt-auf-russische-gerate-ab-um-kryptowahrung-zu-minen\/"},"modified":"2025-06-11T06:42:26","modified_gmt":"2025-06-11T06:42:26","slug":"librarian-ghouls-hackergruppe-zielt-auf-russische-gerate-ab-um-kryptowahrung-zu-minen","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/de\/librarian-ghouls-hackergruppe-zielt-auf-russische-gerate-ab-um-kryptowahrung-zu-minen\/","title":{"rendered":"Librarian Ghouls: Hackergruppe zielt auf russische Ger\u00e4te ab, um Kryptow\u00e4hrung zu minen"},"content":{"rendered":"

Hackergruppe \u201eLibrarian Ghouls\u201c kompromittiert russische Ger\u00e4te<\/h2>\n

Die Hackergruppe \u201eLibrarian Ghouls\u201c<\/strong> hat Hunderte von russischen Ger\u00e4ten kompromittiert, um Kryptow\u00e4hrung<\/strong> in einem klaren Fall von Cryptojacking<\/em> zu minen, berichtet die Cybersecurity-Firma Kaspersky. Die Gruppe, die auch unter dem Namen \u201eRare Werewolf\u201c<\/strong> bekannt ist, gelangt durch mit Malware infizierte Phishing-E-Mails an die Systeme ihrer Opfer.<\/p>\n

Mechanismus des Angriffs<\/h2>\n

Diese E-Mails sind als Nachrichten von legitimen Organisationen maskiert und scheinen offizielle Dokumente oder Zahlungsauftr\u00e4ge zu enthalten. Laut Kaspersky scannen die Hacker zun\u00e4chst die Ger\u00e4teinformationen, bevor sie mit dem Mining beginnen. Nach der Infektion eines Computers stellen die Angreifer eine Remote-Verbindung<\/strong> her und deaktivieren Sicherheitssysteme wie Windows Defender.<\/p>\n

Die infizierten Ger\u00e4te sind zudem so programmiert, dass sie um 1 Uhr morgens<\/strong> aktiviert und um 5 Uhr morgens<\/strong> wieder deaktiviert werden, um den Zeitraum f\u00fcr weiteren unautorisierten Zugriff und das Stehlen von Anmeldeinformationen optimal zu nutzen. <\/p>\n

\u201eWir nehmen an, dass die Angreifer diese Technik verwenden, um ihre Spuren zu verwischen, sodass der Benutzer nicht merkt, dass sein Ger\u00e4t kompromittiert wurde\u201c,<\/p><\/blockquote>\n

erkl\u00e4rte Kaspersky.<\/p>\n

Diebstahl von Anmeldeinformationen und Optimierung des Minings<\/h2>\n

Die Hacker stehlen dann Anmeldeinformationen und sammeln Informationen \u00fcber den verf\u00fcgbaren RAM, die CPU-Kerne und die GPUs des Ger\u00e4ts, um den Kryptow\u00e4hrungs-Miner<\/strong> optimal einzurichten, bevor sie ihn aktivieren. W\u00e4hrend der Miner l\u00e4uft, halten die Hacker eine permanente Verbindung zum Mining-Pool aufrecht und senden alle 60 Sekunden eine Anfrage, so Kaspersky.<\/p>\n

Kontinuierliche Verfeinerung der Angriffe<\/h2>\n

\u201eWir beobachten, dass die Angreifer ihre Taktiken kontinuierlich verfeinern, was nicht nur die Datenexfiltration umfasst, sondern auch die Bereitstellung von Remote-Zugriffstools und den Einsatz von Phishing-Seiten zum Kompromittieren von E-Mail-Konten\u201c,<\/p><\/blockquote>\n

f\u00fcgte die Firma hinzu. Die Cryptojacking-Kampagne l\u00e4uft seit 2024 und hat bisher Hunderte von russischen Nutzern betroffen, insbesondere in der Industrie und an Ingenieurschulen, wobei au\u00dferdem Opfer in Wei\u00dfrussland und Kasachstan gemeldet wurden.<\/p>\n

Herkunft und m\u00f6gliche Motivation<\/h2>\n

Der Ursprung der Gruppe ist bislang unbekannt; Kaspersky hat jedoch festgestellt, dass die Phishing-E-Mails in russischer Sprache<\/strong> verfasst sind und Archive sowie Dokumente mit russischen Dateinamen enthalten. <\/p>\n

„Das deutet darauf hin, dass die Hauptziele dieser Kampagne wahrscheinlich in Russland ans\u00e4ssig sind oder Russisch sprechen“,<\/p><\/blockquote>\n

bemerkte Kaspersky.
\nEs wird spekuliert, dass die Librarian Ghouls Hacktivisten<\/strong> sein k\u00f6nnten, die Hacking als eine Form des zivilen Ungehorsams einsetzen, um eine politische Agenda zu f\u00f6rdern.<\/p>\n

Dies basiert auf der Nutzung von Techniken, die typischerweise mit \u00e4hnlichen Gruppen assoziiert werden, wie der Gebrauch legitimer Drittanbieter-Software. <\/p>\n

\u201eEin markantes Merkmal dieser Bedrohung ist, dass die Angreifer eher legale Drittanbieter-Software verwenden, anstatt ihre eigenen b\u00f6sartigen Programme zu entwickeln\u201c,<\/p><\/blockquote>\n

sagte Kaspersky. Es ist unklar, wie lange die Gruppe bereits aktiv ist; jedoch berichtete eine andere russische Cybersecurity-Firma, BI.ZONE, in einem Bericht vom 23. November, dass Rare Werewolf seit mindestens 2019 existiert.<\/p>\n","protected":false},"excerpt":{"rendered":"

Hackergruppe \u201eLibrarian Ghouls\u201c kompromittiert russische Ger\u00e4te Die Hackergruppe \u201eLibrarian Ghouls\u201c hat Hunderte von russischen Ger\u00e4ten kompromittiert, um Kryptow\u00e4hrung in einem klaren Fall von Cryptojacking zu minen, berichtet die Cybersecurity-Firma Kaspersky. Die Gruppe, die auch unter dem Namen \u201eRare Werewolf\u201c bekannt ist, gelangt durch mit Malware infizierte Phishing-E-Mails an die Systeme ihrer Opfer. Mechanismus des Angriffs Diese E-Mails sind als Nachrichten von legitimen Organisationen maskiert und scheinen offizielle Dokumente oder Zahlungsauftr\u00e4ge zu enthalten. Laut Kaspersky scannen die Hacker zun\u00e4chst die Ger\u00e4teinformationen, bevor sie mit dem Mining beginnen. Nach der Infektion eines Computers stellen die Angreifer eine Remote-Verbindung her und deaktivieren Sicherheitssysteme<\/p>\n","protected":false},"author":3,"featured_media":5594,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[6941,728,65,1339,697],"class_list":["post-5595","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-belarus","tag-gemini","tag-hack","tag-kaspersky","tag-kazakhstan"],"yoast_description":"Die Hackergruppe Librarian Ghouls zielt auf russische Ger\u00e4te ab, um durch Cryptojacking Kryptow\u00e4hrung zu minen und Anmeldeinformationen zu stehlen. Sie verwenden daf\u00fcr Phishing-Taktiken und legitime Software.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/5595","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=5595"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/5595\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/5594"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=5595"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=5595"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=5595"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}