Das IT-Sicherheitsunternehmen WithSecure berichtet in einem Report über den Einsatz einer neuartigen Malware, die hauptsächlich gegen Ziele in Ost- und Mitteleuropa eingesetzt wird und seit 2022 aktiv ist. Die Schadsoftware mit dem Namen Kapeka zeichnet sich durch einen sehr hohen Verschleierungsgrad und ausgeklügelten Programmcode aus.
Das Sicherheitsunternehmen konnte Überschneidungen zwischen Kapeka und der Malware GreyEnergy sowie den Angriffen mit der Ransomware Prestige feststellen. Diese Schadprogramme werden allesamt mit dem Cyberakteur Sandworm in Verbindung gebracht. Sandworm wird dem russischen Militärgeheimdienst GRU zugeordnet. Die Gruppierung ist unter anderem für ihre zerstörerischen Angriffe auf die ukrainische IT-Infrastruktur bekannt.
Kapeka enthält einen Dropper, welcher eine Backdoor auf dem Opfersystem installiert und sich anschließend selbst löscht. Die Malware sammelt Informationen über das Opfersystem und sendet diese anschließend an den Angreifer zurück. Dies ermöglicht es dem Angreifer unter Anderem, Befehle an das Opfersystem zu übermitteln.
Die Entwicklung und der Einsatz von Kapeka stehen wahrscheinlich im Zusammenhang mit dem andauernden Ukrainekrieg, wobei Kapeka mutmaßlich für gezielte Angriffe auf Unternehmen in Ost- und Mitteleuropa eingesetzt wird.
Aufgrund der andauernden Unterstützung der Ukraine können daher auch Unternehmen in Deutschland ins Fadenkreuz von Sandworm geraten. Im Bericht von WithSecure werden Indicators of Compromise (IoC) zur Verfügung gestellt. Die Cyberabwehr rät zur Prüfung der eigenen Systeme anhand dieser Indikatoren.