Die digitale Landschaft in Russland sieht sich einer besorgniserregenden Entwicklung gegenüber: Die Anzahl der Angriffe mit der Backdoor-Malware Pure auf russische Unternehmen ist in den ersten Monaten des Jahres 2025 im Vergleich zum Vorjahr um das Vierfache gestiegen. Diese alarmierende Zunahme unterstreicht die zunehmende Bedrohung durch gezielte Cyberangriffe, die speziell auf die Veruntreuung sensibler Unternehmensinformationen abzielen. Experten der renommierten „Лаборатория Касперского“ (Kaspersky Lab) haben diese Entwicklung detailliert analysiert und betonen die Notwendigkeit, robuste Abwehrmechanismen zu implementieren. Die Schadsoftware Pure zeichnet sich durch eine komplexe Struktur und vielfältige Angriffsmethoden aus, die es Angreifern ermöglichen, nahezu uneingeschränkten Zugang zu infizierten Systemen zu erlangen und kritische Unternehmensdaten kompromittieren. Die Verbreitung erfolgt überwiegend durch täuschend echt wirkende Phishing-Mails, die meistens schädliche Anhänge im RAR-Format enthalten.
Die darin enthaltenen ausführbaren Dateien sind häufig als PDF-Dokumente getarnt, um das Misstrauen der Empfänger zu umgehen. Besonders tückisch ist die Verwendung von Dateinamen, die Begriffe aus der Buchhaltungs- und Finanzwelt enthalten, wie „акт“, „сверка“, „оплата“ und ähnliche, was die Wahrscheinlichkeit erhöht, dass gerade Mitarbeiter aus diesen Abteilungen die Anhänge öffnen. Die Malware ist sowohl auf die Beeinträchtigung großer Konzerne als auch kleiner und mittlerer Unternehmen ausgelegt. Nach der Infektion kopiert sich das Programm in den Anwendungsdatenordner („%AppData%“) und installiert Skripte, die einen automatischen Neustart beim Systemstart ermöglichen. Dadurch bleibt die Schadsoftware dauerhaft präsent und kann weitere schädliche Module nachladen.
Ein bemerkenswerter Bestandteil des Angriffs ist der Einsatz verschiedener Module, darunter PureRAT und PureLogs. PureRAT fungiert als Fernzugriffs-Trojaner und ermöglicht den Angreifern die vollständige Kontrolle über das System. Diese Kontrolle umfasst nicht nur das Ausführen von Befehlen und das Arbeiten über Remote Desktop, sondern auch die Überwachung von Mikrofon und Kamera, das Auslesen von Zwischenspeicherinhalten und sogar das Manipulieren des Systems durch Neustarten oder Herunterfahren. PureLogs hingegen konzentriert sich hauptsächlich auf das Stehlen von sensiblen Daten. Diese Schadsoftware kann Passwörter und andere vertrauliche Informationen aus weit verbreiteten Webbrowsern und speziellen Programmen extrahieren.
Besonders kritisch sind Daten, die aus diversen E-Mail-Clients wie Outlook, Foxmail oder Mailbird sowie aus FTP-Programmen wie FileZilla oder WinSCP ausgelesen werden. Darüber hinaus sind auch populäre Messenger und Streaming-Software wie Discord, Signal, OBS Studio und weitere betroffen, was die Bandbreite der potenziellen Datendiebstähle erheblich erweitert. Der ständige Bezug auf häufig verwendete Anwendungen und Dienste in Unternehmen zeigt, dass diese Malware-Kampagne mit hoher Wahrscheinlichkeit gezielt für den Angriff auf Geschäftsumgebungen entwickelt wurde. Die Forscher bei Kaspersky heben hervor, dass die besondere Gefährlichkeit von Pure darin besteht, dass es modular aufgebaut ist und daher jederzeit neue Funktionalitäten „geladen“ und ausgeführt werden können. Das bedeutet, die Angreifer können ihre Möglichkeiten flexibel erweitern und ihre Schadaktivitäten anpassen.
Ein weiteres erschreckendes Merkmal ist die Fähigkeit von Pure, das Verhalten des Opfers zu überwachen. Sobald ein Mitarbeiter eine Finanzsoftware oder einen Onlinedienst im Zusammenhang mit Zahlungsabwicklungen aufruft, sendet die Malware eine Alarmmeldung an den Angreifer. Falls der Nutzer seinen Arbeitsplatz kurzzeitig verlässt, ohne sich abzumelden oder die Anwendung zu schließen, können Hacker über die Fernsteuerung der befallenen Maschine Aktivitäten ausführen, die der Mitarbeiter selbst hätte vornehmen müssen – dies ermöglicht nicht nur Diebstahl, sondern auch manipulative Eingriffe in Finanzprozesse. Die Hintergründe der Schadsoftware Pure weisen auf sogenannte Malware-as-a-Service Modelle hin. Dabei handelt es sich um eine Praktik, bei der Cyberkriminelle Malware-Suites mieten oder kaufen können, um ihre eigenen Angriffe durchzuführen.
Diese Verbreitungsstrategie erklärt, warum derartige Attacken variabel und zahlreich auftreten, da unterschiedlichste Tätergruppen das Tool nutzen. Die Verwendung von Buchhaltungsthemen als Köder ist eine intelligente Masche, um besonders die Zielgruppe der Finanzabteilungen anzugreifen, die mit hoher Wahrscheinlichkeit vertrauliche Dokumente öffnen. Auch die Benennung von Komponenten nach bekannten Banken unterstützt die Täuschung und zeigt ein hohes Maß an sozialer Ingenieurskunst der Angreifer. Die zunehmende Anzahl dieser Angriffe fordert russische Unternehmen dazu auf, ihre Cybersecurity-Strategien zu überdenken. Bewusstseinsbildung bei Mitarbeitern, Mail-Filterung, regelmäßige Software-Updates und der Einsatz moderner Antivirenprogramme sind essenzielle Schutzmaßnahmen.
Zudem ist eine Überwachung der Systeme mittels spezialisierter Erkennungstools empfehlenswert, um ungewöhnliche Aktivitäten frühzeitig zu identifizieren. Ein weiterer entscheidender Faktor ist die Sicherung und Verschlüsselung sensibler Daten sowie die Implementierung von stark kontrollierten Zugriffsrechten innerhalb der Unternehmensinfrastruktur. Angesichts der mannigfachen Einsatzmöglichkeiten von Pure ist es auch wichtig, bei Sicherheitsvorfällen schnell reagieren zu können, um Schadensbegrenzungen vorzunehmen. Dabei spielen Notfallpläne und regelmäßige Schulungen des IT-Personals eine zentrale Rolle. Trotz all dieser Maßnahmen bleibt die Cyberabwehr ein dynamischer Prozess, da Angreifer fortwährend ihre Techniken weiterentwickeln.
Die Information über die vierfache Steigerung der Pure-Angriffe wirkt daher auch als Weckruf an Unternehmen außerhalb Russlands, ähnliche Bedrohungen ernst zu nehmen. Das russische Beispiel macht klar, dass gezielte Cyberangriffe vermehrt auf wirtschaftliche Interessen abzielen und zugleich hochentwickelte Methoden nutzen. Die Kombination aus Social Engineering, technischer Raffinesse und Anpassungsfähigkeit macht Pure zu einem ernstzunehmenden Gegner. Abschließend ist hervorzuheben, dass die Zusammenarbeit zwischen Unternehmen, Sicherheitsforschern und staatlichen Stellen unerlässlich ist, um diesen Cyberbedrohungen effektiv entgegenzuwirken. Gemeinsame Informationsaustauschplattformen und koordinierte Reaktionen können die Risiken minimieren und die Resilienz gegenüber Malware-Attacken deutlich steigern.
Nur durch ein ganzheitliches Sicherheitskonzept und permanente Wachsamkeit lassen sich die Schäden durch Malware-Kampagnen wie die von Pure eindämmen und den Angreifern das Handwerk gelegt werden.
