Support-Portal des Router-Herstellers kompromittiert
Eine kürzliche Sicherheitsverletzung hat Mercku betroffen, einen kanadischen Router-Hersteller, der dafür bekannt ist, Netzwerkgeräte an zahlreiche ISPs in Kanada und Europa zu liefern. Das Support-Portal des Unternehmens wurde kompromittiert, was dazu führte, dass Phishing-E-Mails als Reaktion auf neue Support-Tickets gesendet wurden. Wenn Benutzer eine Anfrage einreichen, erhalten sie eine E-Mail, in der sie aufgefordert werden, ihr MetaMask-Konto zu aktualisieren, mit der Drohung, den Kontozugriff zu verlieren, wenn dies nicht innerhalb von 24 Stunden geschieht. Bei dieser E-Mail handelt es sich um einen Phishing-Versuch, der darauf abzielt, vertrauliche Informationen zu stehlen. Der Phishing-Link führt Benutzer in die Irre, indem er sie scheinbar auf eine legitime MetaMask-Website leitet, sie aber tatsächlich auf eine bösartige Website umleitet. Benutzern wird empfohlen, nicht mit diesen E-Mails zu interagieren und die Nutzung des Mercku-Support-Portals zu vermeiden, bis das Problem behoben ist. Dieser Vorfall unterstreicht die zunehmende Verfolgung beliebter Kryptowährungsplattformen wie MetaMask durch Cyberkriminelle.
Intel-CPUs anfällig für neue Indirector-Side-Channel-Angriffe
Forscher haben einen neuen hochpräzisen BTI-Angriff (Branch Target Injection) namens „Indirector“ entdeckt, der moderne Intel-Prozessoren betrifft, einschließlich derer der Generationen Raptor Lake und Alder Lake. Diese Schwachstelle nutzt Fehler im Indirect Branch Predictor (IBP) und Branch Target Buffer (BTB) aus, um vertrauliche Informationen durch spekulative Ausführung von der CPU zu extrahieren. Der Indirector-Angriff wurde von drei Forschern der University of California in San Diego identifiziert und wird auf dem bevorstehenden USENIX Security Symposium ausführlich beschrieben. Bei dem Angriff werden benutzerdefinierte Tools verwendet, um Vorhersagestrukturen zu identifizieren und zu bearbeiten, die Randomisierung des Address Space Layout Random (ASLR) zu durchbrechen und Daten durch Cache-Side-Channel-Techniken abzuleiten. Intel wurde im Februar 2024 benachrichtigt, und zu den Abhilfemaßnahmen gehören die verstärkte Nutzung der Indirect Branch Predictor Barrier (IBPB) und die Verbesserung des Designs der Branch Prediction Unit (BPU). Diese Abhilfemaßnahmen gehen jedoch mit Leistungseinbußen einher, insbesondere mit einem Leistungseinbruch von 50 % auf Linux-Systemen.
Aufsichtsrechtliche Datenschutzverletzung betrifft 2,5 Millionen Personen
Prudential Financial, ein führendes globales Finanzdienstleistungsunternehmen, hat bekannt gegeben, dass bei einer Datenschutzverletzung im Februar die persönlichen Daten von über 2,5 Millionen Menschen kompromittiert wurden. Der Vorfall, der ursprünglich am 5. Februar entdeckt wurde, wurde einer mutmaßlichen Cybercrime-Gruppe zugeschrieben, die sich am Vortag Zugang zu den Systemen des Unternehmens verschafft und Verwaltungs-, Benutzer- und Mitarbeiterdaten extrahiert hatte. Ursprünglich berichtete Prudential, dass über 36.000 Personen von der Sicherheitsverletzung betroffen waren, aber die jüngsten Aktualisierungen der Generalstaatsanwaltschaft von Maine zeigen, dass die tatsächlichen Auswirkungen deutlich höher sind. Die Ransomware-Bande ALPHV/Blackcat, die mit zahlreichen weltweiten Sicherheitsverletzungen in Verbindung gebracht wird, übernahm die Verantwortung für den Angriff. Diese Sicherheitsverletzung folgt auf einen separaten Vorfall im Mai 2023, bei dem die Cybercrime-Bande Clop die Daten von 320.000 Prudential-Kunden offenlegte, indem sie einen Drittanbieter hackte. Seitdem hat Prudential mit Cybersicherheitsexperten zusammengearbeitet, um ihre Systeme zu sichern und weitere unbefugte Zugriffe zu verhindern.
Bestätigen Sie Karteninhaber, die von einer Datenschutzverletzung bei der Evolve Bank betroffen sind
Affirm, ein bekanntes Buy-Now-Pay-Later-Kreditunternehmen, hat bekannt gegeben, dass persönliche Daten seiner Zahlungskarteninhaber bei einer Datenschutzverletzung bei seinem Drittanbieter Evolve Bank & Trust offengelegt wurden. Evolve, das mit verschiedenen Fintech-Unternehmen, darunter Affirm, zusammenarbeitet, erlebte einen Cybersicherheitsvorfall, an dem die LockBit-Ransomware-Bande beteiligt war. Obwohl die Bande fälschlicherweise behauptete, die US-Notenbank verletzt zu haben, wurde bestätigt, dass die kompromittierten Daten der Evolve Bank gehörten. Zu diesen Daten gehören Namen, Sozialversicherungsnummern, Bankkontodaten und Kontaktinformationen. Affirm hat seine Kunden vor einer möglichen Offenlegung ihrer Informationen gewarnt, da Affirm Benutzerdaten an Evolve weitergibt, um Affirm-Karten auszustellen. Während Evolve Schritte unternommen hat, um den Verstoß zu entschärfen und die Eindämmung zu gewährleisten, dauern die Untersuchungen an. Andere Fintech-Unternehmen wie Wise und Bilt waren ebenfalls von dieser Sicherheitsverletzung betroffen, was zu weiteren Offenlegungen und erhöhten Sicherheitsmaßnahmen in der gesamten Branche führte.
Patelco schaltet Bankensysteme nach Ransomware-Angriff ab
Die Patelco Credit Union hat einen Ransomware-Angriff angekündigt, der zur Abschaltung mehrerer kundenorientierter Banksysteme führte, um die Auswirkungen des Vorfalls abzumildern. Mit einem Vermögen von über 9 Milliarden US-Dollar betreut Patelco mehr als 400.000 Mitglieder in 37 Niederlassungen in ganz Kalifornien. Der Angriff, der am 29. Juni 2024 entdeckt wurde, führte dazu, dass Online-Banking, mobile Apps, Callcenter-Dienste und elektronische Transaktionen wie Überweisungen und Direkteinzahlungen nicht mehr verfügbar waren. Debit- und Kreditkartentransaktionen sind zwar funktionsfähig, funktionieren aber nur mit begrenzter Kapazität.
Die Mitglieder können weiterhin Bargeld an Geldautomaten abheben, und Patelco arbeitet mit Cybersicherheitsexperten zusammen, um die Wiederherstellung zu untersuchen und zu beschleunigen. Obwohl kein konkretes Datum für die Wiederherstellung des normalen Betriebs genannt wurde, hat die Kreditgenossenschaft vor möglichen Verzögerungen beim Kundendienst gewarnt.
Die Identität der Angreifer ist nach wie vor unbekannt, und die Möglichkeit eines Datendiebstahls mit sensiblen persönlichen und finanziellen Informationen wurde nicht ausgeschlossen. Patelco rät seinen Kunden, wachsam gegenüber verdächtiger Kommunikation zu bleiben und ihre Konten genau zu überwachen.
Formel-1-Dachverband enthüllt Datenpanne nach E-Mail-Hacks
Die Fédération Internationale de l’Automobile (FIA), der Dachverband der Formel 1 und anderer Autorennmeisterschaften, hat eine Datenschutzverletzung bekannt gegeben, die auf einen Phishing-Angriff zurückzuführen ist. Bei diesem Angriff wurden persönliche Daten kompromittiert, die in zwei FIA-E-Mail-Konten enthalten waren. Die 1904 gegründete FIA betreut zahlreiche Rennveranstaltungen und umfasst weltweit 242 Mitgliedsorganisationen.
Als Reaktion auf den Verstoß unterbrach die FIA schnell den unbefugten Zugriff und informierte die zuständigen Datenschutzbehörden, einschließlich der schweizerischen und französischen Regulierungsbehörden. Die Organisation hat verbesserte Sicherheitsmaßnahmen eingeführt, um zukünftige Angriffe zu verhindern, und drückte ihr Bedauern über die Besorgnis der betroffenen Personen aus. Trotz der Offenlegung hat die FIA noch keine Angaben zur Anzahl der betroffenen Personen oder zur Art der kompromittierten Daten gemacht. BleepingComputer wandte sich an die FIA, um weitere Details zu erhalten, aber es gab keine unmittelbare Antwort.
OVHcloud macht rekordverdächtigen DDoS-Angriff auf MikroTik-Botnet verantwortlich
OVHcloud, ein führender europäischer Anbieter von Cloud-Services, hat in diesem Jahr einen rekordverdächtigen DDoS-Angriff mit einem Spitzenwert von 840 Millionen Paketen pro Sekunde (Mpps) abgewehrt. Dieser beispiellose Angriff ist Teil eines Trends zunehmender DDoS-Größen, wobei Angriffe über 1 Tbit/s mittlerweile fast täglich stattfinden.
Der Anstieg der Angriffe mit hoher Paketrate, einschließlich des Rekordbrechers im April, wurde auf kompromittierte MikroTik Cloud Core Router (CCR)-Geräte zurückgeführt, insbesondere auf die Modelle CCR1036-8G-2S+ und CCR1072-1G-8S+. Diese Geräte laufen oft mit veralteter Firmware, was sie anfällig für Ausnutzung macht. Die Angreifer nutzten die RouterOS-Funktion „Bandwidth Test“ von MikroTik, um massive Paketraten zu generieren.
OVHcloud identifizierte fast 100.000 MikroTik-Geräte, die dem Internet ausgesetzt waren, und schätzte, dass selbst eine Kompromittierung von 1 % ein Botnet erzeugen könnte, das Angriffe mit 2,28 Milliarden Paketen pro Sekunde durchführen kann. Trotz der Benachrichtigung von MikroTik hat OVHcloud noch keine Antwort erhalten.
HealthEquity-Datenschutzverletzung legt geschützte Gesundheitsinformationen offen
HealthEquity, ein Fintech-Unternehmen im Gesundheitswesen, hat eine Datenschutzverletzung offengelegt, die auf ein kompromittiertes Partnerkonto zurückzuführen ist. Die Sicherheitsverletzung ermöglichte unbefugten Zugriff auf die Systeme von HealthEquity und führte zum Diebstahl geschützter Gesundheitsinformationen. Das Unternehmen entdeckte den Vorfall, nachdem es ungewöhnliches Verhalten auf dem persönlichen Gerät eines Partners beobachtet hatte, und leitete eine Untersuchung ein.
Die Untersuchung ergab, dass Hacker das Konto des Partners kompromittiert und es verwendet hatten, um auf sensible Gesundheitsdaten zuzugreifen und diese zu exfiltrieren. Zu diesen Daten gehörten personenbezogene Daten und geschützte Gesundheitsinformationen bestimmter Mitglieder. HealthEquity benachrichtigt jetzt betroffene Personen und bietet kostenlose Dienstleistungen zur Kreditüberwachung und Identitätswiederherstellung an.
Trotz des Verstoßes meldet HealthEquity keine Hinweise auf Malware auf seinen Systemen oder Unterbrechungen des Betriebs. Das Unternehmen, ein großer Anbieter von Gesundheitssparkonten (HSAs) und anderen verbraucherorientierten Leistungen, prüft derzeit die Auswirkungen des Vorfalls, geht aber davon aus, dass er seine Geschäfts- oder Finanzergebnisse nicht wesentlich beeinträchtigen wird.
Hacker nutzen HFS-Server aus, um Malware und Monero-Miner einzusetzen
Hacker haben es auf veraltete Versionen des HTTP File Server (HFS) von Rejetto abgesehen, um Malware und Monero-Mining-Software zu verbreiten. Sicherheitsforscher von AhnLab haben festgestellt, dass Angreifer CVE-2024-23692 ausnutzen, eine kritische Schwachstelle, die die Ausführung von nicht authentifizierten Befehlen in HFS-Versionen bis zu 2,3 m ermöglicht. Trotz Warnungen von Rejetto, diese Versionen zu meiden, sind sie nach wie vor weit verbreitet.
Angreifer nutzen diese Schwachstelle, um Hintertüren zu installieren, Systeminformationen zu sammeln und Malware wie XMRig für Monero-Mining, XenoRAT, Gh0stRAT, PlugX und GoThief für den Fernzugriff und Datendiebstahl einzusetzen. AhnLab empfiehlt zur besseren Sicherheit ein Update auf HFS Version 0.52.x. Sie liefern auch Indikatoren für eine Kompromittierung, um diese Angriffe zu erkennen und zu verhindern.
Hacker lassen angebliche Taylor Swift-Tickets durchsickern und verstärken die Ticketmaster-Erpressung
Hacker haben angeblich Ticketmaster-Barcodes für 166.000 Tickets für die Taylor Swift Eras Tour durchsickern lassen und ein Lösegeld von 2 Millionen US-Dollar gefordert, um weitere Lecks zu verhindern. Im Mai begann die Hackergruppe ShinyHunters mit dem Verkauf von Daten von 560 Millionen Ticketmaster-Kunden für 500.000 US-Dollar, die Ticketmaster bestätigte, dass sie von ihrem Snowflake-Konto stammten. Bei der Sicherheitsverletzung handelte es sich um gestohlene Anmeldedaten, die für den Zugriff auf Snowflake-Datenbanken verwendet wurden, von denen zahlreiche Unternehmen betroffen waren.
Das neue Leck, das dem Bedrohungsakteur Sp1d3rHunters zugeschrieben wird, enthält Daten für bevorstehende Taylor Swift-Konzerte in Miami, New Orleans und Indianapolis. Die Hacker haben damit gedroht, Daten von weiteren Veranstaltungen, darunter Konzerte und Sportveranstaltungen, durchsickern zu lassen, wenn ihre Forderungen nicht erfüllt werden.
Ticketmaster hat seinen Kunden versichert, dass ihre SafeTix-Technologie, die Barcodes alle paar Sekunden aktualisiert, die gestohlenen Tickets unbrauchbar macht. Sie erklärten auch, dass keine Lösegeldverhandlungen stattgefunden hätten, und bestritten die Behauptungen über ein Angebot von 1 Million US-Dollar zur Löschung der Daten.
Shopify bestreitet Datenschutzverletzung und führt gestohlene Daten auf Drittanbieter-App zurück
Die E-Commerce-Plattform Shopify hat bestritten, eine Datenschutzverletzung erlebt zu haben, nachdem ein Bedrohungsakteur behauptet hatte, Kundendaten verkauft zu haben, die angeblich aus dem Netzwerk des Unternehmens gestohlen wurden. Shopify teilte BleepingComputer mit, dass ihre Systeme nicht kompromittiert worden seien und dass der Datenverlust auf eine App eines Drittanbieters zurückzuführen sei. Es wird erwartet, dass der App-Entwickler die betroffenen Kunden benachrichtigt.
Der Bedrohungsakteur, bekannt als „888“, begann mit dem Verkauf von Daten, die angeblich von Shopify stammen, darunter Kunden-IDs, Namen, E-Mails, Telefonnummern, Bestellzahlen und Abonnementdetails. Shopify hat keine weiteren Details zu der betroffenen App bereitgestellt. Zuvor wurden über „888“ Daten verkauft, die mit mehreren großen Organisationen in Verbindung stehen, darunter Credit Suisse und Shell.
Im Jahr 2020 berichtete Shopify, dass zwei betrügerische Mitglieder des Support-Teams auf die Transaktionsdatensätze von etwa 200 Händlern zugegriffen haben, aber das Unternehmen hat keine aktuellen Sicherheitsvorfälle bestätigt.
Fazit
Die Cyberlandschaft ist mit verschiedenen Bedrohungen behaftet, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.