Wer dachte, Ransomware sei altmodisch und unoriginell, hat LeakNet noch nicht kennengelernt. Die erst Ende 2024 aktive Gang hat beschlossen, ihren Angriffen ein bisschen Stil und Raffinesse zu verleihen und setzt jetzt auf die Kombination aus ClickFix und dem harmlos klingenden Deno Runtime für JavaScript und TypeScript.

ClickFix, der altbewährte Social-Engineering-Klassiker, lockt ahnungslose Nutzer mit gefälschten Prompts dazu, bösartige Befehle auszuführen. Bei LeakNet führt dieser charmante Köder direkt zu einem Deno-basierten Loader, der den Malware-Code direkt im Arbeitsspeicher ausführt. Kein Chaos auf der Festplatte, keine Spur – nur ein sauberer, unsichtbarer Angriff, wie ein unsichtbarer Gast auf einer Party, der alle Gläser leert und niemand merkt es.

Deno ist perfekt, um Blocklisten und Sicherheitstools elegant zu umgehen. Es ist also kein eigenes, auffälliges Malware-Programm nötig. Man missbraucht einfach das freundliche Entwickler-Tool und schon läuft der Code ungestört. Besonders clever: Die Angreifer haben ihre Skripte romantisch nach Romeo.ps1 und Juliet.vbs benannt – offenbar ein kleiner Gruß an die klassische Literatur, bevor sie Daten abziehen.

LeakNet ist zwar noch klein, mit durchschnittlich drei Opfern im Monat, aber der Trend zeigt, dass raffinierte Taktik über Masse sie expandierbar macht. Die Post-Exploitation-Phase liest sich fast wie ein Lehrbuch: DLL-Sideloading, PsExec für lateral movement, Credential-Scanning, C2-Kommunikation und Datenabzug via Amazon S3. Alles unscheinbar, alles im Hintergrund – und alles getarnt als ganz normaler Entwicklerjob.

LeakNet zeigt, dass Ransomware heute nicht mehr plump und laut sein muss. Sie ist elegant, unsichtbar und mit einem Hauch von literarischem Charme ausgestattet – und erinnert Unternehmen daran, dass selbst legitime Tools plötzlich zu Komplizen werden können.

Tipp für IT-Abteilungen: Wenn Deno außerhalb des Dev-Umfelds auftaucht oder PsExec seltsame Ausflüge macht, ist das kein Bug – es ist eine Einladung zum Tanz mit LeakNet.