WithSecure enttarnt Kapeka: Neue Malware mit Verbindungen zur russischen Hacker-Gruppe Sandworm

Pressemitteilung | 17.  April 2024

europe_data_map

Mehrere Faktoren deuten klar darauf hin, dass die Entwicklung und der Einsatz der Malware mit dem Russland-Ukraine-Krieg zusammenhängen: Die Zeitpunkte und die Orte, an denen Kapeka beobachtet wurde sowie die wahrscheinliche Verbindung zur berüchtigten russischen Sandworm-Gruppe.

HELSINKI, Finnland - 17.4.2024: Threat-Intelligence-Forscher von WithSecure™ (ehemals F-Secure Business) haben eine neuartige Malware entdeckt, die mindestens seit Mitte 2022 bei Angriffen auf Ziele in Mittel- und Osteuropa eingesetzt wird.

Die Malware mit dem Namen Kapeka kann mit einer Gruppe namens Sandworm in Verbindung gebracht werden. Sandworm ist eine russische Hacker-Gruppe, die von der Hauptverwaltung des Generalstabs der Streitkräfte der Russischen Föderation (GRU) betrieben wird. Die Gruppe ist vor allem für ihre zerstörerischen Angriffe gegen die Ukraine bekannt, mit denen sie russische Interessen in der Region verfolgt.

Kapeka ist eine flexible Backdoor mit mehreren Funktionen. Sie dient Hackern nicht nur als Toolkit für die Anfangsphase des Angriffs, sondern gewährt auch langfristigen Zugriff auf die Daten des Opfers. Die Analyse der Malware, ihr seltenes Auftauchen sowie ihr Grad an Tarnung und Raffinesse deuten auf Aktivitäten auf APT-Ebene hin, also auf typischerweise staatlich gesteuerte Hackerangriffe.

Entwicklung und Einsatz von Kapeka sind eng mit dem aktuellen Russland-Ukraine-Krieg verbunden. Die Backdoor wird seit dem illegalen Einmarsch wahrscheinlich bei gezielten Angriffen auf Unternehmen in Mittel- und Osteuropa eingesetzt.

„Kapeka macht uns aufgrund der Verbindungen zu russischen APT-Kampagnen- und dabei vor allem zur Sandworm-Gruppe - große Sorgen“, sagt Mohammad Kazem Hassan Nejad, Researcher bei WithSecure Intelligence. „Die seltenen, zielgerichteten Angriffe, die vor allem in Osteuropa beobachtet wurden, deuten auf ein maßgeschneidertes Tool für Angriffe mit begrenztem Umfang hin. Außerdem haben weitere Analysen Ähnlichkeiten mit GreyEnergy zum Vorschein gebracht – einem weiteren Toolkit, das wohl zu Sandworm gehört. Dies unterstreicht die Verbindungen zur Gruppe und weist auf eine erhöhte Bedrohungslage für mögliche Angriffsziele in Osteuropa hin.“

WithSecure hat zuletzt im Mai 2023 Aktivitäten von Kapeka beobachtet. Gerade bei staatlichen Bedrohungsakteuren ist nicht davon auszugehen, dass sie ihre Tätigkeit einstellen oder funktionierende Tools ausmustern. Die seltenen Sichtungen von Kapeka können daher ein zusätzlicher Hinweis auf einen staatlichen geführten, avancierten Hackerangriff (APT) sein. Diese Angriffe können sich über Jahre erstrecken – etwa im Krieg zwischen Russland und der Ukraine.

Die vollständige Studie ist hier verfügbar. 

WithSecure™ Pressekontakt
Sandra Proske
+49 176 70036664

Über WithSecure™

WithSecure™, vormals F-Secure Business, ist der bevorzugte Cybersecurity-Partner für IT-Dienstleister, MSSPs und Unternehmen in Europa. Als Experte für outcome-basierte Cybersicherheitslösungen richtet sich das Unternehmen insbesondere an den Mittelstand und legt Wert auf die europäische Art des Datenschutzes, Datenhoheit und regulatorische Compliance.

Mit mehr als 35 Jahren Branchenerfahrung hat WithSecure™ sein Portfolio so gestaltet, dass Kunden und Partner den Paradigmenwechsel von reaktiver zu proaktiver Cybersicherheit bewältigen können. Als partnerorientiertes Unternehmen bietet WithSecure™ flexible Geschäftsmodelle, um gemeinsam die Herausforderungen einer dynamischen Cybersicherheitslandschaft zu meistern.

Die mehrfach ausgezeichnete WithSecure™ Elements Cloud integriert nahtlos KI-gestützte Cybersicherheitstechnologien, menschliche Expertise von Threat Huntern und Analysten sowie Co-Security Services und ermöglicht Unternehmen, die WithSecure™ Produkte für Endpoint- und Cloud-Schutz, Bedrohungserkennung und -reaktion sowie Exposure Management modular und bedarfsgerecht einzusetzen.

WithSecure™ Corporation wurde 1988 gegründet und ist an der NASDAQ OMX Helsinki Ltd. notiert.