Sicherheitsexperten beobachteten kürzlich einen Monat lang die Aktivitäten von Cyberkriminellen, die den LKW- und Logistiksektor ins Visier nahmen, und deckten einen besorgniserregenden Trend von Cyber-gestohlenen Frachtdiebstählen und finanzieller Ausbeutung auf. ### Einblick in die Operation: Eine Monatslange Untersuchung Die Forschung des **Proofpoint**-Teams, eine Fortsetzung ihrer früheren Erkenntnisse, zielte darauf ab, die Playbooks dieser Bedrohungsakteure nach der Kompromittierung zu verstehen. Ihre Arbeit unterstreicht die zunehmende Bedrohung durch Cyber-gestohlenen Frachtdiebstahl, der eng mit organisierter Kriminalität verbunden ist. Laut **Geotab** erreichten die Verluste durch Frachtdiebstahl in Nordamerika im Jahr 2025 6,6 Milliarden US-Dollar, was größtenteils auf digitale Angriffe zurückzuführen ist. „Es ist ein riesiges Problem, das über einen einzelnen Akteur oder ein einzelnes Land hinausgeht“, sagte **Ole Villadsen**, einer der **Proofpoint**-Forscher. ### Köderumgebung deckt kriminelle Taktiken auf In einer kontrollierten Umgebung lud das Team absichtlich eine bösartige payload herunter, die per E-Mail an Transportunternehmen gesendet wurde. Dies geschah, nachdem die Cyberkriminellen eine Ladeplattform kompromittiert hatten, einen Marktplatz, der Frachtmakler und Verlader verbindet. Nach dem Erhalt des Zugangs installierten die Angreifer sechs Fernzugriffstools, darunter mehrere **ScreenConnect**-Instanzen, wahrscheinlich als Redundanzmaßnahme. ### Neuartige 'Signing-as-a-Service'-Technik Die überraschendste Entdeckung war die Verwendung eines Skripts, das automatisch einen externen Zertifikatssignierungsdienst abfragte. Dies ermöglichte es, alle installierten Komponenten mit einem vertrauenswürdigen Zertifikat zu signieren und so die Windows-Sicherheitsmaßnahmen effektiv zu umgehen. „Dies war eine neue Fähigkeit, auf die wir glücklicherweise gestoßen sind“, sagte **Villadsen**. Er glaubt, dass dieses „Signing-as-a-Service“-Tool eine Anpassung an die kürzlich von **ScreenConnect** implementierten Sicherheitsmaßnahmen ist, die für neue Instanzen die Signierung eines Installers erforderten. „Anstatt dass jeder versucht, sein eigenes Zertifikat zu erstellen, können wir diese Art von geheimen kleinen Signing-as-a-Service-Prozess haben“, erklärte er. „Nicht nur die MSI [**Microsoft** Installer] wurde signiert, sondern sie ging auch hinaus und ersetzte alle Komponentendateien und signierte sie neu. Das Ganze war ziemlich gut durchdacht.“ ### Jenseits von Frachtdiebstahl: Finanzielle Ziele Die Forscher beobachteten, dass sich die Hacker nicht ausschließlich auf Frachtdiebstahl konzentrierten, sondern auch breitere finanzielle Ziele verfolgten. Sie suchten aktiv nach Kryptowährungs-Wallets und **PayPal**-Anmeldedaten. Ein **PowerShell**-Skript suchte nach Zugangspunkten zu Finanzinstituten, Geldtransferdiensten, Online-Buchhaltungsplattformen, Ladeverwaltungsplattformen, Frachtvermittlungsplattformen und Tankkartenanbietern. „Sie kennen die Transportbranche mit Sicherheit sehr, sehr gut und wissen, wie sie diesen speziellen Bereich ins Visier nehmen können“, bemerkte **Villadsen**. „Aber sie sind auch Cyberkriminelle und suchen nach jeder Möglichkeit, eine Workstation zu monetarisieren, auf die sie Zugriff erhalten haben.“ ### Eine weit verbreitete Bedrohung Obwohl diese spezielle Gruppe sehr aktiv bei der Infiltration von Ladeplattformen ist, sind sie nur eine von vielen, die Schwachstellen in der LKW-Branche ausnutzen. **Villadsen** und sein Team verfolgen etwa ein Dutzend verschiedener Gruppen, die den Sektor in Nordamerika und Europa ins Visier nehmen. Die Anfälligkeit der Branche beruht auf der Tatsache, dass die überwiegende Mehrheit der Spediteure kleine Unternehmen mit begrenzten Cybersicherheitsressourcen sind. Indem Hacker sie über Ladeplattformen ins Visier nehmen, können sie zahlreiche Spediteure gleichzeitig kompromittieren. „Es ist eine Branche, die sich leider gut für Cyberangriffe eignet und in der Lage ist, den Diebstahl wirklich gut zu eskalieren oder zu skalieren“, schloss **Villadsen**. <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>