Frontier Communications steht vor einer Datenschutzverletzung, von der 750.000 Kunden betroffen sind
Frontier Communications, ein bekannter US-amerikanischer Telekommunikationsanbieter, warnt 750.000 Kunden vor einer Datenschutzverletzung nach einem Cyberangriff der Ransomware-Gruppe RansomHub Mitte April 2024. Der Angriff führte zu einem unbefugten Zugriff auf die persönlichen Daten der Kunden, einschließlich vollständiger Namen und Sozialversicherungsnummern. Obwohl keine Finanzdaten kompromittiert wurden, hat der Verstoß erhebliche Bedenken aufgeworfen. Frontier entdeckte den Verstoß am 14. April 2024 und hat seitdem Schritte zur Verbesserung der Netzwerksicherheit unternommen und die Regulierungsbehörden benachrichtigt. Betroffenen Kunden werden über Kroll ein Jahr lang kostenlose Kreditüberwachungs- und Identitätsdiebstahlschutzdienste angeboten.
Im Zuge des Angriffs musste Frontier einige Systeme vorübergehend herunterfahren, was für viele Benutzer zu Internetausfällen führte. RansomHub hat damit gedroht, die gestohlenen Daten durchsickern zu lassen, wenn ihre Forderungen nicht bis zum 14. Juni 2024 erfüllt werden. Kunden wird empfohlen, wachsam zu bleiben, Passwörter zurückzusetzen und Finanzkonten genau zu überwachen.
Black Basta nutzt Windows-Zero-Day-Schwachstelle für Ransomware-Angriffe aus
Die Black-Basta-Ransomware wurde mit derZero-Day-Ausnutzung einer Windows-Schwachstelle zur Rechteausweitung in Verbindung gebracht (CVE-2024-26169). Dieser schwerwiegende Fehler (CVSS v3.1: 7.8) im Windows Error Reporting Service ermöglicht es Angreifern, ihre Berechtigungen auf SYSTEM-Ebene zu erhöhen.
Microsoft hat dieses Problem am 12. März 2024 in seinen Patch Tuesday-Updates behoben. Der Bericht von Symantec deutet jedoch darauf hin, dass die Black Basta-Bande, die mit der Cybercrime-Gruppe Cardinal in Verbindung steht, die Schwachstelle ausnutzte, bevor sie behoben wurde. Sie setzten das Exploit-Tool CVE-2024-26169 nach ersten Infektionen mit dem DarkGate-Loader ein, einer Methode, die sie seit dem QakBot-Takedown anwenden.
Das Exploit-Tool manipuliert die Windows-Datei werkernel.sys, um einen Registrierungsschlüssel zu erstellen, und startet eine Shell mit SYSTEM-Rechten. Die Ergebnisse zeigen, dass das Tool bis zu 85 Tage vor dem Patch im Einsatz war, was auf eine aktive Ausnutzung hindeutet. Um sich gegen solche Angriffe zu schützen, werden Benutzer aufgefordert, die neuesten Windows-Sicherheitsupdates umgehend anzuwenden.
Polizei verhaftet Spezialist hinter Conti- und LockBit-Ransomware-Cryptern
Die ukrainische Cyberpolizei hat in Kiew einen 28-jährigen Russen wegen seiner Rolle bei der Unterstützung der Conti-Ransomware und der LockBit-Ransomware verhaftet. Der Verdächtige, der dafür bekannt ist, Malware für Antivirensoftware unauffindbar zu machen, führte auch selbst mindestens einen Angriff durch. Die Verhaftung, die am 18. April 2024 stattfand, war Teil der „Operation Endgame“, einer koordinierten Anstrengung zur Zerschlagung von Botnetzen und zur Festnahme ihrer Betreiber.
Die Ermittlungen, die durch Informationen der niederländischen Polizei unterstützt wurden, brachten den Verdächtigen mit einem Ransomware-Angriff auf ein niederländisches multinationales Unternehmen in Verbindung. Die verhaftete Person spezialisierte sich auf die Entwicklung benutzerdefinierter Verschlüsselungsprogramme, die Ransomware-Nutzlasten vollständig unauffindbar machten und die Cybercrime-Syndikate erheblich unterstützten. Darüber hinaus wurde festgestellt, dass der Mann seine Verschlüsselungsdienste sowohl an Conti als auch an LockBit verkauft hatte, was ihre Erfolgsquoten in angegriffenen Netzwerken erhöhte.
Bei Durchsuchungen in Kiew und der Region Charkiw beschlagnahmten die Behörden Computerausrüstung, Mobiltelefone und handschriftliche Notizen. Dem Verdächtigen, der nach Artikel 361 Teil 5 des ukrainischen Strafgesetzbuches angeklagt ist, drohen bis zu 15 Jahre Gefängnis. Die Ermittlungen zu seinen Aktivitäten und seiner Beteiligung an Ransomware-Angriffen dauern an.
Phishing-E-Mails nutzen das Windows-Suchprotokoll aus, um Malware zu verbreiten
Es wurde eine neue Phishing-Kampagne entdeckt, die HTML-Anhänge verwendet, um das Windows-Suchprotokoll (search-ms URI) zu missbrauchen, um bösartige Skripte zu verbreiten. Diese Technik nutzt das Windows Search-Protokoll, bei dem es sich um einen URI (Uniform Resource Identifier) handelt, mit dem Anwendungen Suchvorgänge mit bestimmten Parametern in Windows Explorer durchführen können. Angreifer nutzen dieses Protokoll aus, um Batch-Dateien von Remote-Servern zu pushen. Der Angriff beginnt mit einer Phishing-E-Mail, die einen HTML-Anhang enthält, der als Rechnung in einem ZIP-Archiv getarnt ist und so Antiviren-Scans umgeht. Wenn die HTML-Datei geöffnet wird, verwendet sie thetag, um den Browser automatisch auf eine bösartige URL umzuleiten. Wenn die Weiterleitung fehlschlägt, stellt ein Anker-Tag einen anklickbaren Link zur bösartigen URL als Fallback bereit.
Die URL initiiert eine Windows-Suche auf einem Remote-Host und zeigt eine einzelne Verknüpfungsdatei (LNK) an, die als Rechnung bezeichnet wird. Wenn Sie auf diese Verknüpfung klicken, wird ein auf dem Server gehostetes Batch-Skript (BAT) ausgelöst, das möglicherweise bösartige Vorgänge ausführt. Die Forscher von Trustwave SpiderLabs empfehlen, diese Bedrohung zu entschärfen, indem sie Registrierungseinträge löschen, die mit dem URI-Protokoll search-ms/search verknüpft sind, obwohl Vorsicht geboten ist, da dies legitime Anwendungen beeinträchtigen kann: bash Code kopieren reg löschen HKEY_CLASSES_ROOT\search /f reg delete HKEY_CLASSES_ROOT\search-ms /f Diese proaktive Maßnahme hilft, den Missbrauch des Windows Search-Protokolls bei solchen Phishing-Angriffen zu verhindern.
Ascension gehackt, nachdem ein Mitarbeiter eine bösartige Datei heruntergeladen hatte
Ascension, ein großes US-Gesundheitssystem, gab bekannt, dass ein Ransomware-Angriff im Mai 2024 durch einen Mitarbeiter verursacht wurde, der versehentlich eine bösartige Datei heruntergeladen hatte. Der Angriff störte das elektronische Patientenaktensystem MyChart, Telefone und verschiedene Bestellsysteme und zwang den Gesundheitsdienstleister, Geräte am 8. Mai offline zu nehmen.
Der Vorfall führte zur manuellen Verfolgung von Verfahren und Medikamenten, zur Unterbrechung nicht dringender Verfahren und Tests und zur Umleitung von Rettungsdiensten. Eine Untersuchung ergab, dass Angreifer nur auf sieben der rund 25.000 Server zugegriffen und Daten gestohlen haben, darunter möglicherweise geschützte Gesundheitsinformationen (PHI) und personenbezogene Daten (PII).
Obwohl Ascension immer noch betroffene Dienste wiederherstellt, gibt es keine Hinweise darauf, dass elektronische Patientenakten (EHR) kompromittiert wurden. Es wird vermutet, dass die Black-Basta-Ransomware-Bande hinter dem Angriff steckt. Ascension betreibt 140 Krankenhäuser, 40 Seniorenpflegeeinrichtungen und meldete für 2023 einen Umsatz von 28,3 Milliarden US-Dollar.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft mit verschiedenen Bedrohungen behaftet ist, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.