Newsroom

LeakNet + ClickFix: Wie Ransomware heute reinkommt

Geschrieben von Beate Böker | 23.03.26 08:00

Wenn du ClickFix bisher als „nervige neue Phishing-Nummer“ abgespeichert hast: fair. Genau darüber habe ich erst letzte Woche einen Beitrag verfasst.

Nur leider ist ClickFix jetzt bei der nächsten Eskalationsstufe angekommen – als Einstieg in Ransomware-Angriffe

Bevor wir tief einsteigen: Wenn du ClickFix grundsätzlich verstehen willst, schau dir zuerst unseren bestehenden ClickFix-Beitrag an – da erkläre ich die Methode ausführlich. In diesem Artikel geht es um LeakNet und warum ClickFix bei denen gerade zum echten Business-Problem wird.

Wer oder was ist LeakNet – und was ist daran neu?

Platgt gesagt: LeakNet ist eine Ransomware-Gruppe. Laut The Hacker News hat diese Gruppe ClickFix als neuen Initial-Access-Weg etabliert: über kompromittierte, legitime Websites, die Besucher mit Fake-CAPTCHA- bzw. Verifizierungsseiten dazu bringen, selbst einen Befehl auszuführen. 

ReliaQuest beschreibt das als strategischen Shift in der Vorgehensweise der Gruppe: weg von „wir kaufen uns Zugang“ (Initial Access Brokers) hin zu „wir machen den Zugang selbst – skalierbar und günstig“

Und das ist der Schmerzpunkt, der für dich als IT-Entscheider:

Die Gruppe attakiert nicht mehr eine einzelne VIP-Person. Sie verfolgt einen „Wide Net“-Ansatz. Jeder, der im Web unterwegs ist, kann zur Eingangstür werden. 

Der LeakNet-ClickFix-Flow: so startet das Drama (alltagsnah erklärt)

1. Du landest auf einer echten Website – die leider kompromittiert wurde

LeakNet nutzt legitime-but-compromised Sites, um die ClickFix-Lure auszuliefern. Das ist perfide, weil es nicht nach „dubioser Download-Seite“ aussieht. 

2. Fake-CAPTCHA oder Fake-Verification: „Nur kurz bestätigen“

Die Seite zeigt eine Cloudflare oder Turnstile-ähnliche Verifizierung und behauptet, es gäbe ein Problem, das du „fixen“ musst. 

3. Der Kniff: Du sollst selbst einen Befehl ausführen

Bei LeakNet wird das sehr konkret beschrieben: Nutzer werden angewiesen, im Windows Run-Dialog (Win+R) einen msiexec.exe-Befehl einzufügen und auszuführen. 

Und genau hier ist ClickFix so gefährlich:

Es fühlt sich an wie „Routine“. Wie „Support“. Wie „ich helf mir kurz selbst“.

In Wahrheit ist es die digitale Version von: „Halten Sie bitte kurz diese Tür auf – oh, danke, wir räumen nur schnell alles aus.“

 

Warum LeakNet ClickFix liebt (und du es hassen wirst)

Die Vorteile aus Angreifer-Sicht sind ziemlich klar: weniger Abhängigkeit von Dritten, geringere Kosten pro Opfer, keine Wartezeit auf „gute Zugänge“ im Untergrundmarkt. 

ClickFix skaliert, weil es auf Volumen geht – ohne festes Zielprofil, ohne Personen mühselig auszuspähen, ohne „derjenige ist besonders wichtig“-Moment.

Kurz gesagt: LeakNet hat einen Growth-Hack gefunden. Nur leider im falschen Business.

Nach dem Klick: Was laut typisch folgt (und wo du früh stoppen kannst)

Der spannende (und für Verteidiger hilfreiche) Teil:
LeakNet zeigt in bestätigten Fällen eine wiederholbare Post-Exploitation-Kette – egal, wie der Einstieg passiert.

Beispiele aus dem ReliaQuest-Report:

  • ein Loader auf Basis der Deno Runtime, der Base64-JavaScript überwiegend im Speicher ausführt (wenig Spuren „auf Platte“). 
  • danach u. a. DLL-Sideloading, laterale Bewegung mit PsExec, Staging bzw. Exfiltration über S3-Buckets, und am Ende Verschlüsselung. 
  • LeakNet nutzt z. B. auch klist, um zu sehen, welche Kerberos-Tickets oder Accounts „schon da“ sind, und so schneller zu agieren. 

Wichtig für dich: Du musst nicht jedes Detail lieben.

Du musst nur verstehen: Nach dem „Fix“ kommt eine planbare Abfolge. Und planbar heißt: detektierbar.

5 LeakNet-ClickFix-Red Flags, die du deinem Team heute noch mitgeben kannst

Wenn eine davon zutrifft: Stopp. Nicht „fixen“.

  1. Eine Website fordert dich auf, Win+R zu drücken
  2. Du sollst etwas einfügen, das angeblich ein „Fix“ ist (oft Run, PowerShell, Terminal)
  3. Fake-CAPTCHA oder „Cloudflare“-Style Verifizierung auf einer Seite, die das sonst nie hatte
  4. Der „Fix“ nutzt Windows-Bordmittel wie msiexec (klingt „legitim“, ist aber genau das Problem) 
  5. Es wirkt wie Routine + Zeitdruck („Verification failed“, „Repair now“, „sofort“)

Merksatz (einfach, aber wirksam):

„Wenn eine Website dich in Run oder Win+R schickt, ist es kein Fix.“ 

Was du als IT-Entscheider konkret tun kannst (ohne Security-Theater)

1. Mach es zur Team-Regel – jetzt wirklich als Regel!

Nicht als Tipp. Nicht als Poster. Als klare Leitlinie:

„Keine Befehle von Webseiten ausführen. Nie.“

Das ist die wirksamste ClickFix-Bremse, weil LeakNet genau auf diesen Reflex setzt. 

2. Meldeweg ultrakurz: Screenshot statt Scham

Ein Satz, der intern Wunder wirkt:

„Lieber einmal zu viel melden als einmal zu spät.“

Prozessvorschlag:

  • Screenshot + URL (wenn möglich)
  • Tab schließen
  • an IT bzw. Security weiterleiten („ClickFix-Verdacht“)

3. Detektion auf „was danach passiert“ fokussieren

ReliaQuest betont, dass der relevante Signalpunkt oft nach dem Ausführen liegt: ungewöhnliche msiexec-Nutzung, verdächtige ausgehende Verbindungen, Deno außerhalb von Dev-Umgebungen, PsExec-Muster usw.

4. Ransomware-Realität: „Cloud-Traffic kann Tarnung sein“

LeakNet nutzt laut Report S3-Buckets fürs Staging oder Exfiltration – also Traffic, der auf den ersten Blick „normal“ wirken kann.

Das ist ein guter Reminder, Cloud nicht nur zu lieben (tun wir 💜), sondern auch sauber zu überwachen.

Wenn jemand den „Fix“ schon ausgeführt hat: Was jetzt?

Ohne Drama, aber schnell:

  1. Sofort melden (wirklich sofort)
  2. Gerät möglichst nicht weiter benutzen
  3. IT bzw. Security entscheidet über Isolierung und Containment
  4. Zugangsdaten bzw. Sessions als potenziell kompromittiert behandeln (je nach Verlauf)

Wichtig fürs Mindset:
ClickFix ist darauf ausgelegt, Menschen „normal handeln“ zu lassen.
Darum ist das kein Vorwurf á la „Wie konnte dir das passieren?!“, sondern ein „Gut, dass du’s sofort sagst“-Moment.

LeakNet zeigt, wohin ClickFix gerade wächst

LeakNet kombiniert ClickFix über kompromittierte Websites mit einem skalierbaren, teils speicherbasierten Loader-Ansatz und einem wiederholbaren Post-Exploitation-Playbook.

Für dich heißt das: Weniger Fokus auf „den einen Exploit“ – mehr Fokus auf Verhalten, Awareness und schnelle Meldewege.

Und wenn du nur eine Sache heute mitnimmst, dann diese:

„Win+R ist kein Support-Portal.“
Vollständigen Beitrag anzeigen