EDRSilencer-Tool, das bei Angriffen zur Umgehung von EDR-Systemen verwendet wird
EDRSilencer, ein Red-Team-Tool, das ursprünglich für Penetrationstests entwickelt wurde, wurde bei böswilligen Angriffen beobachtet, die darauf abzielen, EDR-Systeme (Endpoint Detection and Response) zu umgehen. Laut Cybersicherheitsforschern von Trend Micro nutzen Angreifer EDRSilencer, um Warnungen stummzuschalten und das Senden von Telemetriedaten an EDR-Verwaltungskonsolen zu blockieren und so der Erkennung zu entgehen. EDR-Tools sind entscheidend für die Identifizierung und Reaktion auf Cyberbedrohungen, indem sie den Netzwerkverkehr und das Systemverhalten analysieren. EDRSilencer nutzt dies aus, indem es die Kommunikation zwischen EDR-Prozessen und Verwaltungsservern unterbricht und speziell auf 16 moderne EDR-Tools abzielt, darunter Microsoft Defender, SentinelOne und FortiEDR. Durch das Blockieren wichtiger EDR-Prozesse kann das Tool verhindern, dass Sicherheitssysteme bösartige Aktivitäten melden. Um solche Risiken zu minimieren, empfiehlt Trend Micro Unternehmen, mehrschichtige Sicherheitsmaßnahmen wie Verhaltensanalyse und Anomalieerkennung zu implementieren und gleichzeitig eine ständige Überwachung der EDR-Lösungen sicherzustellen. Diese Strategien sind wichtig, um EDRSilencer zu erkennen, bevor es kritische Sicherheitsfunktionen stört.
Iranische Hacker nutzen Brute-Force, um in kritische Infrastrukturen einzudringen und den Zugang zu verkaufen
Iranische Hacker haben es auf kritische Infrastrukturen abgesehen und nutzen Brute-Force-Techniken wie Passwort-Spraying und MFA-Push-Bombing, um sich Zugang zu Organisationen in Sektoren wie Gesundheitswesen, Regierung und Energie zu verschaffen. Sobald sie sich im Inneren befinden, fungieren sie als Access Broker und verkaufen Anmeldeinformationen und Netzwerkdaten in cyberkriminellen Foren und ermöglichen so weitere Cyberangriffe durch andere Bedrohungsakteure. Laut einer gemeinsamen Empfehlung von US-amerikanischen, kanadischen und australischen Behörden verlassen sich diese Angreifer stark auf Brute-Force-Angriffe , um Benutzerkonten zu kompromittieren und Privilegien zu erweitern. Nachdem sie sich den ersten Zugriff verschafft haben, oft durch Brute-Force-Methoden, führen sie umfangreiche Erkundungen durch, um weitere Anmeldeinformationen zu sammeln und einen dauerhaften Zugriff auf Netzwerke aufrechtzuerhalten. Sie nutzen häufig Tools wie Remote Desktop Protocol (RDP) und PowerShell, um sich quer durch kompromittierte Systeme zu bewegen. Unternehmen werden dringend aufgefordert, auf fehlgeschlagene Anmeldeversuche und andere Anzeichen von Brute-Force-Aktivitäten zu achten, wie z. B. verdächtige IP-Adressen und ungewöhnliche MFA-Registrierungen, um diese Angriffe frühzeitig zu erkennen und abzuschwächen.
Nidec bestätigt Datenpanne nach Ransomware-Angriff im Zusammenhang mit 8BASE- und Everest-Gangs
Die Nidec Corporation, ein globaler Tech-Riese, hat nach einem Ransomware-Angriff Anfang des Jahres eine Datenschutzverletzung bestätigt, bei der die gestohlenen Daten im Dark Web durchgesickert sind. Die 8BASE-Ransomware-Bande übernahm zunächst im Juni 2024 die Verantwortung für den Angriff und gab an, große Mengen vertraulicher Daten exfiltriert zu haben. Später veröffentlichte auch die Ransomware-Gruppe Everest gestohlene Daten und setzte die Erpressungsversuche fort. Obwohl die Angreifer die Dateien von Nidec nicht verschlüsselten, erhielten sie VPN-Anmeldeinformationen, um auf sensible interne Dokumente, Geschäftsverträge und Beschaffungsrichtlinien zuzugreifen. Die Sicherheitsverletzung betraf vor allem die Precision-Sparte von Nidec in Vietnam. Nidec hat den Zugangspunkt inzwischen geschlossen und die Sicherheit erhöht, aber Mitarbeiter und Auftragnehmer werden gewarnt, dass die durchgesickerten Daten Phishing oder andere gezielte Angriffe befeuern könnten. Trotz des Lecks glaubt Nidec, dass es unwahrscheinlich ist, dass die Daten direkten finanziellen Schaden anrichten, überwacht aber weiterhin die gestohlenen Informationen auf eine unbefugte Nutzung.
ESET-Partner soll Datenlöscher bei Phishing-Angriff bereitstellen
Hacker sind in den exklusiven Partner von ESET in Israel, Comsecure, eingedrungen, um eine Phishing-Kampagne zu starten, bei der als Antivirensoftware getarnte Datenlöscher verbreitet werden. Ab dem 8. Oktober richteten sich Phishing-E-Mails, die mit dem ESET-Logo versehen waren und von legitimen E-Mail-Servern von ESET Israel gesendet wurden, an israelische Unternehmen. Die bösartigen E-Mails warnten die Empfänger fälschlicherweise vor staatlich unterstützten Bedrohungen und boten ein gefälschtes Antiviren-Tool „ESET Unleashed“ als Schutz an. Die Phishing-E-Mails schienen authentisch zu sein und bestanden SPF-, DKIM- und DMARC-Sicherheitsprüfungen, wobei der Download-Link auf der legitimen ESET-Domain in Israel gehostet wurde. Die Nutzlast enthielt jedoch eine bösartige Setup.exe, die als Datenlöscher identifiziert wurde und darauf ausgelegt ist, Dateien und beschädigte Systeme zu zerstören. Datenlöscher, die häufig von iranischen Bedrohungsakteuren eingesetzt werden, zielen eher auf Störungen als auf Profit ab und wurden häufig bei Angriffen auf israelische Organisationen eingesetzt. Während das Ausmaß des Angriffs noch unklar ist, unterstreicht die Phishing-Kampagne die anhaltende Bedrohung durch Datenlöscher in geopolitischen Cyberkonflikten.
Cisco DevHub-Portal nach Datenleck offline genommen, keine Sicherheitsverletzung bestätigt
Cisco hat sein öffentliches DevHub-Portal vorübergehend offline genommen, nachdem ein Bedrohungsakteur namens IntelBroker nicht öffentliche Daten verloren hat. Trotz des Datenlecks behauptet Cisco, dass es keine Beweise für eine Systemverletzung gibt. Nach Angaben des Unternehmens stammten die betroffenen Daten aus einer öffentlich zugänglichen Umgebung, in der Code, Skripte und andere Ressourcen für die Kundennutzung bereitgestellt wurden, wobei nur eine kleine Anzahl nicht autorisierter Dateien zum Download zur Verfügung gestellt wurde. IntelBroker, das ursprünglich die Verantwortung für den Angriff übernahm, gab an, dass der Zugriff über ein offengelegtes API-Token in einer Entwicklerumgebung eines Drittanbieters erlangt wurde. Zu den gestohlenen Daten gehören Berichten zufolge Quellcode, Konfigurationsdateien mit Datenbankanmeldeinformationen, SQL-Dateien und technische Dokumentation. Obwohl der Bedrohungsakteur die Daten weitergegeben hat, nachdem er Cisco nicht erpresst hat, behauptet das Unternehmen, dass keine persönlichen oder finanziellen Daten kompromittiert wurden. Cisco untersucht den Vorfall weiterhin und behauptet, dass die Datenschutzverletzung nicht die internen Systeme betraf.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft mit verschiedenen Bedrohungen behaftet ist, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.