Evolution Mining sieht sich mit Ransomware-Angriff konfrontiert, aber der Betrieb bleibt stabil
Am 8. August 2024 erlebte Evolution Mining, einer der führenden Goldproduzenten Australiens, einen Ransomware-Angriff, der seine IT-Systeme störte.
Das Unternehmen reagierte jedoch schnell, indem es externe Cybersicherheitsexperten einschaltete, und die Situation ist nun Berichten zufolge unter Kontrolle.
Evolution Mining, das auch in Kanada tätig ist, spielt eine bedeutende Rolle in der Bergbauindustrie und produziert allein im Jahr 2023 über 650.000 Unzen Gold und 1,8 Millionen Tonnen Kupfer.
Trotz der IT-Unterbrechung hat das Unternehmen den Stakeholdern versichert, dass der Bergbaubetrieb nicht beeinträchtigt wird und es keine wesentlichen Auswirkungen auf die Produktion geben wird.
Dies deutet darauf hin, dass der Ransomware-Angriff entweder nicht auf kritische Produktionssysteme abzielte oder schnell entschärft wurde.
Das australische Cybersicherheitszentrum wurde über den Vorfall informiert, obwohl keine großen Ransomware-Banden die Verantwortung übernommen haben und die Möglichkeit eines Datendiebstahls unklar bleibt.
Ukrainische Regierungsbehörden bei Phishing-Angriff von Malware betroffen
Hacker, die sich als ukrainischer Sicherheitsdienst (SSU) ausgeben, haben über 100 Regierungscomputer mit bösartigen E-Mails kompromittiert.
Nach Angaben des Computer Emergency Response Teams der Ukraine (CERT-UA) verbreiteten die Angreifer die AnonVNC-Malware über Spam-E-Mails, die ab Mitte Juli 2024 in Umlauf kamen.
Diese E-Mails, die fälschlicherweise behaupteten, Dokumente für eine SSU-Inspektion anzufordern, verlinkten mit einer bösartigen Documents.zip-Datei, in der die Malware bereitgestellt wurde.
Die Malware, die mit einem Zertifikat eines chinesischen Unternehmens signiert ist, ermöglichte es den Angreifern, heimlich auf die infizierten Systeme zuzugreifen.
Das CERT-UA hat festgestellt, dass die Angriffe auf zentrale und lokale Regierungsstellen abzielten, und die weiteren Auswirkungen des Verstoßes werden noch bewertet.
Der Vorfall ist Teil eines breiteren Musters von Cyberangriffen auf die Ukraine, die oft mit Russland verbundenen Gruppen in Verbindung stehen, was die anhaltende Cyberbedrohung für das Land verdeutlicht.
Nordkoreanische Hacker stehlen sensible südkoreanische Militärdaten
Südkoreas regierende People Power Party (PPP) hat wegen eines bedeutenden Verstoßes Alarm geschlagen und enthüllt, dass nordkoreanische Hacker wichtige technische Informationen über die K2-Panzer „Black Panther“ und die Spionageflugzeuge Baekdu und Geumgang gestohlen haben.
Die gestohlenen Daten, zu denen auch Konstruktionspläne und operative Details gehören, stellen eine ernsthafte Bedrohung für die militärische Sicherheit Südkoreas dar.
Die PPP warnt davor, dass diese Informationen es Nordkorea ermöglichen könnten, sich der Überwachung zu entziehen und sich einen strategischen Vorteil zu verschaffen.
Berichten zufolge ereignete sich der Verstoß, als Ingenieure eines südkoreanischen Rüstungsunternehmens zu einem konkurrierenden Unternehmen wechselten und sensible Daten mitnahmen.
Darüber hinaus wurde ein südkoreanisches Rüstungsunternehmen, das für die Wartung der Spionageflugzeuge verantwortlich war, gehackt, was zu weiterem Datendiebstahl führte.
Als Reaktion darauf fordert die PPP dringend verstärkte Cybersicherheitsmaßnahmen und gesetzgeberische Maßnahmen zum Schutz vor eskalierenden Cyberspionage-Bedrohungen aus Nordkorea.
FBI schaltet Ransomware-Operation von Dispossessor aus und beschlagnahmt wichtige Server
Das FBI hat in Zusammenarbeit mit internationalen Strafverfolgungsbehörden die Ransomware-Operation Dispossessor erfolgreich zerschlagen und kritische Server und Websites beschlagnahmt. An dieser Abschaltung waren Partner wie die britische National Crime Agency und deutsche Behörden beteiligt. Dispossessor, angeführt von einem Bedrohungsakteur namens „Brain“, hat es seit August 2023 auf kleine und mittlere Unternehmen weltweit abgesehen und nutzt Schwachstellen und schwache Sicherheitspraktiken, um Daten zu stehlen und Ransomware einzusetzen. Die Gruppe postete zunächst Daten von anderen Ransomware-Operationen wie LockBit, Cl0p und 8base, bevor sie dazu überging, den durchgesickerten LockBit 3.0-Verschlüsselungscode für ihre Angriffe zu verwenden. Diese Operation ist Teil einer umfassenderen Strafverfolgung zur Bekämpfung der Cyberkriminalität. Die jüngsten Maßnahmen richteten sich auch gegen andere berüchtigte Ransomware-Gruppen, darunter ALPHV/BlackCat-Ransomware, die Varianten wie LockerGoga, MegaCortex, HIVE und Dharma sowie die Ransomware-Operationen Ragnar Locker und Hive verwendet hat. Diese Hack-Back-Taktiken sind entscheidend, um die Aktivitäten dieser cyberkriminellen Gruppen zu stören.
Schöpfer von Ransom Cartel und Reveton Ransomware verhaftet und an die USA ausgeliefert
Maksim Silnikau, ein belarussisch-ukrainischer Staatsbürger, wurde in Spanien verhaftet und an die Vereinigten Staaten ausgeliefert, wo er sich Anklagen im Zusammenhang mit der Gründung der Ransomware-Operation Ransom Cartel im Jahr 2021 und der berüchtigten Reveton-Ransomware stellen muss. Silnikau, der unter Decknamen wie „J.P. Morgan“ und „lansky“ operierte, wird beschuldigt, von 2013 bis 2022 Ransomware-Angriffe und ein groß angelegtes Malvertising-System orchestriert zu haben. Ransom Cartel, das im Dezember 2021 auf den Markt kam, ist bekannt für seine signifikanten Code-Ähnlichkeiten mit der berüchtigten REvil-Ransomware, was Analysten zu der Annahme veranlasst, dass es von einem Kernmitglied der REvil-Ransomware-Gruppe entwickelt wurde. Silnikau leitete diese „Ransomware-as-a-Service„-Operation, rekrutierte Cyberkriminelle und führte Verhandlungen mit den Opfern. Darüber hinaus steckte er hinter der Reveton-Ransomware, einem Trojaner, der Benutzer unter dem Deckmantel der Strafverfolgungsbehörden von ihren Computern aussperrte. Reveton, das seit 2011 aktiv ist, generierte schätzungsweise 400.000 US-Dollar und inspirierte ähnliche Malware wie Urausy und Harasom. Silnikau ist in zwei US-Bezirken angeklagt und könnte mit über 100 Jahren Gefängnis rechnen, wenn er in allen Anklagepunkten verurteilt wird, einschließlich Überweisungsbetrug und Computerbetrug.
3AM Ransomware-Angriff legt Daten von 464.000 Kootenai Health-Patienten offen
Kootenai Health, ein großer Gesundheitsdienstleister in Idaho, hat eine bedeutende Datenschutzverletzung gemeldet, von der über 464.000 Patienten betroffen sind. Der Verstoß wurde von der 3AM-Ransomware-Bande verübt, die sich am 22. Februar 2024 unbefugten Zugriff auf die Systeme von Kootenai verschaffte. Die Angreifer verbrachten zehn Tage im Netzwerk und stahlen sensible Daten, bevor ihre Anwesenheit am 2. März entdeckt wurde. Zu den gestohlenen Informationen gehören die vollständigen Namen, Geburtsdaten, Sozialversicherungsnummern, Führerscheine, Krankenakten, Diagnosen und Krankenversicherungsdaten der Patienten. Die 3AM-Ransomware-Operation, die für ihren Rust-basierten Stamm bekannt ist, tauchte erstmals im September 2023 auf und wird seitdem von Cyberkriminellen als Backup verwendet, wenn andere Ransomware-Varianten wie Conti-Ransomware und Royal-Ransomware versagten. Nach dem Angriff wurden die gestohlenen Daten auf dem Darknet-Portal von 3AM als 22-GB-Archiv veröffentlicht, das von anderen Cyberkriminellen kostenlos heruntergeladen werden konnte. Kootenai Health hat betroffene Personen benachrichtigt und bietet Identitätsschutzdienste an.
AutoCanada von Cyberangriff betroffen, der sich auf interne IT-Systeme auswirkt
AutoCanada, eine bekannte Autohändlergruppe, hat einen Cyberangriff bekannt gegeben, der auf ihre internen IT-Systeme abzielte und möglicherweise zu Betriebsunterbrechungen führte. Das Unternehmen handelte schnell und beauftragte externe Cybersicherheitsexperten, um die Sicherheitsverletzung einzudämmen und mit der Behebung zu beginnen. Das Ausmaß des Angriffs, einschließlich der Frage, ob Kunden-, Lieferanten- oder Mitarbeiterdaten kompromittiert wurden, wird jedoch noch untersucht. Obwohl noch keine großen Ransomware-Gruppen die Verantwortung übernommen haben, ist es bemerkenswert, dass AutoCanada zuvor vom Angriff der BlackSuit-Ransomware betroffen war, der einen massiven IT-Ausfall bei CDK Global, einem seiner Dienstleister, verursachte. Dieser Ausfall störte den Betrieb von AutoCanada und trug im zweiten Quartal 2024 zu erheblichen finanziellen Verlusten bei. Das Unternehmen meldete für das 2. Quartal 2024 einen Verlust von 33,1 Mio. $, was einen starken Rückgang gegenüber dem Gewinn von 45,2 Mio. $ im Vorjahresquartal darstellt. Der anhaltende Cyberangriff sorgt für weitere Unsicherheit, während AutoCanada daran arbeitet, seine Systeme vollständig wiederherzustellen.
RansomHub Ransomware-Bande setzt neue Malware ein, um Sicherheitssoftware zu deaktivieren
Die Ransomware-Gruppe RansomHub hat damit begonnen, eine neue Malware namens EDRKillShifter zu verwenden, um die Sicherheitssoftware Endpoint Detection and Response (EDR) bei gezielten Angriffen zu deaktivieren. Diese Malware ist Teil einer BYOVD-Strategie (Bring Your Own Vulnerable Driver), bei der die Angreifer einen legitimen, aber anfälligen Treiber auf dem System des Opfers einsetzen, um Berechtigungen zu eskalieren und Sicherheitsmaßnahmen zu neutralisieren. EDRKillShifter wurde von Sophos-Forschern bei einer Ransomware-Untersuchung im Mai 2024 entdeckt und versucht, Sicherheitslösungen zu deaktivieren, indem es anfällige Treiber wie RentDrv2 und ThreatFireMonitor ausnutzt. Diese Treiber, von denen bisher bekannt war, dass sie fehlerhaft sind, werden von der Malware verwendet, um die Kontrolle über das System zu übernehmen und aktive EDR-Prozesse zu deaktivieren. Obwohl das Tool bei diesem speziellen Vorfall versagte, stellt dies einen wachsenden Trend unter Ransomware-Banden dar, einschließlich derjenigen hinter Medusa Locker und LockBit-Ransomware, die ähnliche EDR-tötende Malware wie AuKill verwendet haben. Sophos empfiehlt, den Manipulationsschutz in Sicherheitsprodukten zu aktivieren, eine strikte Trennung zwischen Benutzer- und Administratorrechten einzuhalten und sicherzustellen, dass die Systeme auf dem neuesten Stand gehalten werden, um solche Angriffe abzuwehren.
Nationale öffentliche Daten bestätigen Sicherheitsverletzung, bei der Millionen von Sozialversicherungsnummern offengelegt wurden
National Public Data (NPD), ein bekannter Dienst für Hintergrundüberprüfungen, hat eine erhebliche Datenschutzverletzung bestätigt, bei der Millionen von Sozialversicherungsnummern und anderen sensiblen persönlichen Informationen offengelegt wurden.
Zu den kompromittierten Daten gehören Namen, E-Mail-Adressen, Telefonnummern, Sozialversicherungsnummern und Postanschriften.
Der Verstoß scheint mit einem Hacking-Versuch von Ende Dezember 2023 in Verbindung zu stehen.
NPD räumte im April und Sommer 2024 Lecks ein, von denen sie glauben, dass sie mit diesem früheren Vorfall in Verbindung stehen.
Das Unternehmen hat seitdem mit den Strafverfolgungsbehörden kooperiert und beobachtet die Situation weiterhin.
Troy Hunt, der Gründer des Dienstes Have I Been Pwned (HIBP), analysierte eine durchgesickerte Version der NPD-Datenbank und identifizierte 134 Millionen eindeutige E-Mail-Adressen.
Hunt wies jedoch auch auf Ungenauigkeiten hin, wie z. B. veraltete Informationen und Fehler in persönlichen Daten, einschließlich mehrerer Geburtsdaten, die mit einer einzigen E-Mail-Adresse verknüpft sind.
Der Verstoß hat zu mindestens einer Sammelklage gegen Jerico Pictures, den Betreiber von NPD, geführt.
Betroffenen wird empfohlen, ihre Finanzkonten auf Anzeichen von Betrug zu überwachen und bei Phishing-Versuchen, die die durchgesickerten Kontaktinformationen ausnutzen könnten, vorsichtig zu sein.
Fazit
Zusammenfassend lässt sich sagen, dass die zunehmende Raffinesse und Häufigkeit von Cyberangriffen den dringenden Bedarf an robusten Cybersicherheitsmaßnahmen und -bereitschaften unterstreicht.
Ganz gleich, ob es um die Abwehr von Ransomware geht, die ganze Abläufe lahmlegen kann, oder um die Minderung der mit Datenschutzverletzungen verbundenen Risiken, die Bedeutung einer proaktiven Cyberabwehr kann nicht hoch genug eingeschätzt werden. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.