Havoc-C2-Framework: Tech-Support-Betrug wird zur Unternehmensgefahr

Eine neue Cyberangriffswelle kombiniert Spam-Mails mit betrügerischen Anrufen, um die gefährliche Havoc-Software einzuschleusen. Aus simplen Tech-Support-Betrügereien entsteht so eine ernsthafte Bedrohung für Unternehmensnetzwerke. Die Angreifer nutzen raffinierte Social-Engineering-Methoden, um ein mächtiges Werkzeug zur Fernsteuerung infizierter Systeme zu installieren.

Die Cybersicherheitsfirma Huntress hat die Kampagne aufgedeckt, die im vergangenen Monat mindestens fünf Organisationen traf. Die Methode ist eine gefährliche Eskalation: Zuerst überschwemmen die Angreifer den Posteingang eines Mitarbeiters mit Spam. Kurz darauf folgt der Anruf – am privaten Handy. Die Täter geben sich als IT-Support des eigenen Unternehmens aus und bieten Hilfe gegen die vermeintliche Spam-Flut an.

Angesichts immer raffinierterer Methoden wie der Havoc-Kampagne stehen Unternehmen vor der Herausforderung, ihre IT-Infrastruktur effizient zu schützen. Dieser kostenlose Leitfaden zeigt, wie Sie Ihre IT-Sicherheit proaktiv stärken können, ohne dabei das Budget für neues Personal oder teure Software zu sprengen. Jetzt Cyber-Security-Trends und Schutzmaßnahmen kostenlos lesen

Vom Anruf zur Netzwerk-Übernahme

Unter diesem Vorwand überreden sie die Mitarbeiter, Fernzugriff auf den Computer zu gewähren, oft über legale Tools wie Quick Assist oder AnyDesk. Die eigentliche Attacke beginnt dann sekundenschnell. Die Angreifer lenken den Browser des Opfers auf eine gefälschte Seite, die als Microsoft-Dienst zur Spam-Filter-Aktualisierung getarnt ist. Dort wird das Opfer aufgefordert, sein E-Mail-Passwort einzugeben – das sofort gestohlen wird.

Mit einem Klick auf der Seite wird ein Skript ausgeführt, das die schädliche Nutzlast liefert: das Havoc C2-Framework. Dieses Open-Source-Tool ähnelt bekannten Plattformen wie Cobalt Strike und dient dazu, kompromittierte Systeme fernzusteuern. Seine besondere Gefahr liegt in den ausgeklügelten Techniken, um Sicherheitssoftware auch auf aktuellen Windows-Systemen zu umgehen.

Langfristiger Zugriff als strategisches Ziel

Die Angreifer verfolgen dabei eine klare Strategie der dauerhaften Infiltration. Nach der Erstinfektion richten sie geplante Tasks ein, damit die Havoc-Software bei jedem Neustart des Rechners wieder aktiv wird. Doch damit nicht genug: In einigen Fällen installierten die Täter zusätzlich legitime Remote-Monitoring-Tools (RMM) wie Level RMM.

Diese Doppelstrategie ist tückisch. Während die Havoc-Malware erkannt und entfernt werden könnte, bleibt der Zugang über die whitelist-fähigen RMM-Tools oft unentdeckt. Für Sicherheitsteams wird die Bereinigung so deutlich schwieriger. Die Angreifer sichern sich so ein langlebiges Einfallstor für Datendiebstahl oder spätere Ransomware-Angriffe.

Da manipulative Social-Engineering-Angriffe oft das schwächste Glied in der Sicherheitskette ausnutzen, ist eine gezielte Prävention für Organisationen unerlässlich. Erfahren Sie in dieser 4-Schritte-Anleitung, wie Sie Ihr Unternehmen wirksam vor Phishing und CEO-Betrug schützen können. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern

Ein Framework für viele Bedrohungen

Die wachsende Beliebtheit des Havoc-Frameworks bereitet Experten Sorgen. Parallel zu diesen Tech-Support-Angriffen nutzt etwa die Gruppe „SloppyLemming“ Havoc bereits für Cyber-Spionage gegen Regierungen und kritische Infrastrukturen in Südasien. Die effektiven Umgehungsfähigkeiten machen das Tool für verschiedenste kriminelle Zwecke attraktiv.

Was bedeutet das für deutsche Unternehmen? Die Kampagne zeigt, wie die Grenzen zwischen einfachem Betrug und komplexen Cyberangriffen verschwimmen. Die Geschwindigkeit, mit der aus einem Telefonat eine vollständige Netzwerk-Übernahme wird, erfordert neue Abwehrstrategien. Klassische, signaturbasierte Virenscanner stoßen hier an Grenzen. Nötig sind verhaltensbasierte Erkennungssysteme, die auch die missbräuchliche Nutzung legitimer Software aufdecken können. Der beste Schutz bleibt jedoch nach wie vor die Sensibilisierung der Mitarbeiter für diese hochgradig manipulativen Social-Engineering-Angriffe.

boerse | 68632098 |