MarineMax erlebt Datenpanne nach Cyberangriff
MarineMax, ein bekannter Einzelhändler in der Freizeitboot- und Yachtbranche, hat nach einem Cyberangriff im März eine erhebliche Datenschutzverletzung bekannt gegeben. Trotz der anfänglichen Aussage, dass sensible Daten nicht in kompromittierten Systemen gespeichert wurden, ergab eine spätere Einreichung, dass tatsächlich persönliche Daten von Mitarbeitern und Kunden gestohlen wurden. Das Unternehmen bestätigte, dass eine Cybercrime-Organisation auf einen Teil ihrer Informationsumgebung im Zusammenhang mit Einzelhandelsgeschäften zugegriffen hat, was zur Exfiltration begrenzter Daten, einschließlich personenbezogener Daten, führte. Obwohl MarineMax den Angriff nicht einer bestimmten Bedrohungsgruppe zugeordnet hat, hat sich die Ransomware-Bande Rhysida zu dem Angriff bekannt und versucht, die gestohlenen Daten im Darknet zu verkaufen. Mit über 130 Standorten weltweit und beträchtlichen Einnahmen unterstreicht die Sicherheitsverletzung von MarineMax die anhaltende Bedrohung, die von Cyberkriminellen ausgeht, wobei die Rhysida-Gruppe dafür bekannt ist, verschiedene Organisationen in verschiedenen Sektoren ins Visier zu nehmen.
Datenpanne bei OWASP: Wiki-Fehlkonfiguration
Die OWASP Foundation deckte eine Datenschutzverletzung aufgrund einer Fehlkonfiguration ihres alten Wiki-Servers auf und legte Lebensläufe von Mitgliedern aus den Jahren 2006 bis 2014 offen. Persönliche Daten wie Namen, E-Mail-Adressen und Adressen wurden kompromittiert. Obwohl OWASP keine Lebensläufe mehr sammelt, wendet es sich an die betroffenen Personen. Zu den ergriffenen Maßnahmen gehören das Deaktivieren des Durchsuchens von Verzeichnissen, das Überprüfen von Konfigurationen, das Entfernen von Lebensläufen und das Anfordern der Entfernung aus dem Webarchiv. OWASP rät Personen mit aktuellen Informationen zur Vorsicht und versichert, dass veraltete Daten kein unmittelbares Risiko darstellen.
Die neue Sicherheitsfunktion von Chrome: Anmeldeinformationen für gerätegebundene Sitzungen
Google hat eine neuartige Sicherheitsfunktion für Chrome namens „Device Bound Session Credentials“ (DBSC) eingeführt, die entwickelt wurde, um den Diebstahl von Cookies zu bekämpfen, indem Cookies an bestimmte Geräte gebunden werden. Cookies, die von Websites verwendet werden, um sich an Browserinformationen zu erinnern und automatische Anmeldungen zu erleichtern, werden häufig von Angreifern ins Visier genommen, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen und Konten zu kapern. DBSC behebt diese Schwachstelle, indem Authentifizierungscookies kryptografisch an den TPM-Chip (Trusted Platform Module) eines Geräts gebunden werden, sodass sie für Hacker unbrauchbar werden, selbst wenn sie gestohlen werden. Durch die Generierung eindeutiger öffentlicher/privater Schlüsselpaare, die sicher auf dem Gerät gespeichert sind, stört DBSC die Cookie-Diebstahl-Branche, da exfiltrierte Cookies ihren Wert verlieren. Diese Funktion, die sich derzeit in der Prototypphase befindet, bietet verbesserte Sicherheit, ohne die Privatsphäre zu beeinträchtigen, und ermöglicht es Benutzern, generierte Schlüssel jederzeit zu löschen. Nach der vollständigen Bereitstellung bietet DBSC eine verbesserte Sicherheit für Google-Konten und wird schließlich auf Google Workspace- und Google Cloud-Kunden ausgeweitet, um den Kontoschutz vor sich entwickelnden Cyberbedrohungen zu verbessern.
Ivanti behebt VPN-Gateway-Schwachstellen
Ivanti, ein Unternehmen für IT-Sicherheitssoftware, hat Patches veröffentlicht, um mehrere Sicherheitslücken zu schließen, die seine Connect Secure- und Policy Secure-Gateways betreffen. Unter diesen Schwachstellen sticht CVE-2024-21894 als hochgradiges Problem hervor, das es nicht authentifizierten Angreifern ermöglicht, Remote-Code auszuführen und Denial-of-Service-Zustände ohne Benutzerinteraktion auszulösen. Die Sicherheitsanfälligkeit ist auf eine Heap-Überlauf-Schwachstelle in der IPSec-Komponente in allen unterstützten Gateway-Versionen zurückzuführen. Ivanti versichert zwar, dass die Risiken der Remotecodeausführung auf bestimmte Bedingungen beschränkt sind, Details zu anfälligen Konfigurationen werden jedoch nicht bekannt gegeben. Darüber hinaus wurden drei weitere Schwachstellen (CVE-2024-22052, CVE-2024-22053, CVE-2024-22023) gepatcht, die alle von nicht authentifizierten Bedrohungsakteuren für DoS-Angriffe ausgenutzt werden können. Angesichts von über 29.000 Ivanti Connect Secure VPN-Gateways, die laut Shodan online verfügbar sind, und Tausenden, die gefährdet sind, einschließlich derjenigen, die von früheren Zero-Day-Exploits betroffen sind, rät Ivanti zur sofortigen Anwendung von Sicherheitspatches, um potenzielle Bedrohungen zu mindern.
Jackson County im Ausnahmezustand aufgrund eines Ransomware-Angriffs
Jackson County, Missouri, steht nach einem Ransomware-Angriff, der mehrere County-Dienste lahmlegte, vor dem Ausnahmezustand. Die Büros, die sich um Steuerzahlungen, Heiratsurkunden und die Durchsuchung von Insassen kümmern, bleiben bis Ende der Woche geschlossen. Strafverfolgungsbehörden, darunter das FBI und die Heimatschutzbehörde, ermitteln zusammen mit externen IT-Experten. Während wesentliche Dienstleistungen priorisiert werden, bleiben die Finanzdaten der Einwohner sicher und werden von einem vertrauenswürdigen externen Zahlungsdienstleister verwaltet. Diese proaktive Reaktion spiegelt das Engagement von Jackson County wider, sensible Informationen zu schützen und lebenswichtige Dienstleistungen für seine 718.000 Einwohner zu gewährleisten.
Cyberangriff verursacht landesweiten IT-Ausfall bei Omni Hotels
Omni Hotels & Resorts hat einen Cyberangriff als Ursache für einen landesweiten IT-Ausfall bestätigt, der immer noch seine Standorte betrifft. Die Hotelkette reagierte darauf, indem sie die betroffenen Systeme abschaltete und Wiederherstellungsmaßnahmen einleitete. Während die Art des Angriffs nicht bekannt gegeben wurde, deuten Quellen darauf hin, dass es sich um einen Ransomware-Angriff handelte, bei dem verschlüsselte Server aus Backups wiederhergestellt wurden. Obwohl keine Lösegeldforderung veröffentlicht wurde, besteht die potenzielle Gefahr eines Datenlecks, wenn kein Lösegeld gezahlt wird. Das IT-Team von Omni stellt die betroffenen Systeme manuell wieder her, wobei die Dienste voraussichtlich bis Donnerstag wieder aufgenommen werden. Der Ausfall störte Reservierungssysteme, Hotelzimmertürschlösser und Point-of-Sale-Betriebe, was zu Problemen bei Kreditkartenzahlungen und Reservierungen führte. Obwohl Omni Hotels weiterhin in Betrieb ist, erinnert der Vorfall an eine frühere Datenschutzverletzung im Jahr 2016 und unterstreicht die anhaltenden Herausforderungen durch Cyberbedrohungen im Gastgewerbe.
HTTP/2-Schwachstellen ermöglichen DoS-Angriffe
Neu entdeckte Schwachstellen im HTTP/2-Protokoll, die als „CONTINUATION Flood“ bekannt sind, können zu Denial-of-Service-Angriffen (DoS) führen, indem Webserver in einigen Implementierungen mit einer einzigen TCP-Verbindung zum Absturz gebracht werden. Diese Schwachstellen, die von der Forscherin Barket Nowotarski identifiziert wurden, nutzen Schwachstellen in der Verarbeitung von HTTP/2 CONTINUATION-Frames aus, die es Bedrohungsakteuren ermöglichen, Server mit übermäßigen Frame-Anfragen zu überlasten. Mehrere CVE-IDs entsprechen den betroffenen Implementierungen, darunter Node.js, Envoy, Tempesta FW, amphp/http, die Pakete net/http und net/http2 von Go, Apache Httpd, Apache Traffic Server und Envoy Version 1.29.2 oder früher. Angesichts der Schwere dieser Schwachstellen und ihrer potenziellen Auswirkungen auf weit verbreitete Systeme sind sofortige Upgrades von entscheidender Bedeutung, um das Risiko einer Ausnutzung zu mindern.
Acuity bestätigt Datenschutzverletzung in GitHub-Repositories
Acuity, ein Auftragnehmer des Bundes, der mit US-Regierungsbehörden zusammenarbeitet, hat einen Cybersicherheitsvorfall in seinen GitHub-Repositories bestätigt. Die Sicherheitsverletzung führte zum Diebstahl von Dokumenten, die alte und nicht sensible Daten enthielten. Obwohl Acuity die Schwachstelle nach ihrer Entdeckung schnell behoben und Sicherheitsupdates und Maßnahmen zur Risikominderung angewendet hat, wird das Ausmaß der Sicherheitsverletzung noch untersucht. CEO Rui Garcia versicherte, dass es keine Hinweise auf Auswirkungen auf die sensiblen Daten der Kunden gebe. Bedrohungsakteure, darunter IntelBroker und Sangierro, übernehmen jedoch die Verantwortung für den Einbruch und lassen Datensätze durchsickern, die angeblich verschiedenen Regierungsbehörden gehören. IntelBroker, bekannt für frühere Sicherheitsverletzungen, behauptet Zugriff auf geheime Dokumente der Geheimdienstallianz Five Eyes. Sangierro gab an, dass sich der Verstoß am 7. März ereignete und eine Schwachstelle im Tekton CI/CD-Server von Acuity ausnutzte, um auf GitHub-Anmeldeinformationen zuzugreifen. Acuity legt Wert auf die Zusammenarbeit mit den Strafverfolgungsbehörden und die laufenden Bemühungen, die Sicherheitsmaßnahmen zu verbessern.
Fazit
Diese jüngsten Vorfälle unterstreichen die allgegenwärtige Bedrohung, die von Cyberangriffen in verschiedenen Branchen ausgeht, vom Einzelhandel über das Gastgewerbe bis hin zu staatlichen Dienstleistungen. Unternehmen müssen Cybersicherheitsmaßnahmen priorisieren, um Risiken zu mindern und sensible Daten zu schützen.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.