APT INC: Die umbenannte Bedrohung für VMware ESXi-Server
Die berüchtigte SEXi-Ransomware-Gruppe, die für ihre gezielten Angriffe auf VMware ESXi-Server bekannt ist, hat sich kürzlich in APT INC Ransomware umbenannt.
Seit Februar 2024 haben die Cyberkriminellen durchgesickerte Babuk- und LockBit 3-Verschlüsselungsprogramme verwendet, um sowohl VMware ESXi- als auch Windows-Systeme zu kompromittieren.
Ihr öffentlichkeitswirksamer Angriff auf den chilenischen Hosting-Anbieter IxMetro Powerhost sorgte für erhebliche Medienaufmerksamkeit.
Der Cybersicherheitsexperte Will Thomas identifizierte Varianten namens SOCOTRA, FORMOSA und LIMPOPO und diversifizierte damit ihre Taktiken weiter.
Die Umbenennung in APT INC im Juni 2024 bedeutet, dass der Fokus weiterhin auf der Ausnutzung von VMware ESXi-Servern liegt, bei der Dateien im Zusammenhang mit virtuellen Maschinen verschlüsselt werden, während andere Systemdateien intakt bleiben.
Die Opfer erhalten zufällig zugewiesene Namen für Lösegeldforderungen und verschlüsselte Dateien, deren Lösegeldforderungen von Zehntausenden bis Millionen reichen.
Leider wurden keine Schwachstellen in den Verschlüsselungsprogrammen Babuk und LockBit 3 gefunden, so dass Unternehmen anfällig für diese ausgeklügelten Angriffe sind.
Scattered Spider fügt Qilin Ransomware zu Arsenal hinzu
Microsoft berichtet, dass die Cybercrime-Gruppe Scattered Spider die Qilin-Ransomware in ihr Angriffs-Toolkit integriert hat.
Diese finanziell motivierte Bande, die auch als Octo Tempest, UNC3944 und 0ktapus bekannt ist, erlangte mit der 0ktapus-Kampagne Bekanntheit, die auf über 130 große Organisationen wie Microsoft, Binance und T-Mobile abzielte.
Mitte 2023 verschlüsselten sie die Systeme von MGM Resorts als BlackCat/ALPHV-Ransomware-Tochtergesellschaften .
Scattered Spider verwendet verschiedene Techniken für den ersten Netzwerkzugriff, darunter Phishing, MFA-Bombing und SIM-Swapping.
Die Qilin-Ransomware, früher bekannt als Agenda, tauchte im August 2022 auf und hat seitdem über 130 Opfer gefordert.
Seit Ende 2023 entwickelt das Unternehmen fortschrittliche Linux-Verschlüsselungsprogramme, die auf virtuelle VMware ESXi-Maschinen abzielen.
Qilin-Betreiber infiltrieren Netzwerke, stehlen sensible Daten und setzen Ransomware ein, wobei sie oft doppelte Erpressungstaktiken anwenden.
Die Lösegeldforderungen variieren stark und reichen von 25.000 US-Dollar bis zu Millionen.
Der jüngste Angriff der Gruppe auf Synnovis hat die NHS-Krankenhäuser in London lahmgelegt, was zu zahlreichen Stornierungen führte.
Datenpanne bei Rite Aid im Juni betrifft 2,2 Millionen Kunden
Rite Aid, die drittgrößte Drogeriekette in den USA, gab bekannt, dass eine Datenschutzverletzung im Juni 2,2 Millionen Kunden betraf. Die Sicherheitsverletzung, die am 6. Juni entdeckt wurde, ereignete sich, nachdem Angreifer die Anmeldeinformationen eines Mitarbeiters für den Zugriff auf das Netzwerk verwendet hatten. Am 17. Juni wurde festgestellt, dass Daten, die mit dem Kauf oder versuchten Kauf bestimmter Produkte in Verbindung stehen, kompromittiert worden waren. Wie so oft gehörten zu den Daten, die Cyberkriminelle stehlen können , auch Namen, Adressen, Geburtsdaten und amtliche ID-Nummern für Einkäufe, die zwischen dem 6. Juni 2017 und dem 30. Juli 2018 getätigt wurden. Bei der Sicherheitsverletzung wurden keine Sozialversicherungsnummern, Finanz- oder Gesundheitsinformationen offengelegt. Die Ransomware-Bande RansomHub hat die Verantwortung für den Angriff übernommen und erklärt, dass sie über 10 GB an Kundeninformationen gestohlen hat, was rund 45 Millionen Datensätze betrifft. RansomHub drohte, die Daten durchsickern zu lassen, nachdem die Lösegeldverhandlungen ins Stocken geraten waren. RansomHub ist für Erpressung auf der Grundlage von Datendiebstahl bekannt und hat in der Vergangenheit große Unternehmen, darunter Frontier Communications, ins Visier genommen, wobei die wachsende Bedrohung durch Ransomware-Angriffe im Jahr 2024 hervorgehoben wurde.
Cisco behebt kritische Schwachstelle, die nicht autorisierte Kennwortänderungen ermöglicht
Cisco hat eine kritische Schwachstelle in seinen Smart Software Manager On-Prem (SSM On-Prem)-Lizenzservern gepatcht, die als CVE-2024-20419 verfolgt werden.
Dieser Fehler ermöglichte es Angreifern, das Passwort eines beliebigen Benutzers, einschließlich Administratoren, zu ändern, ohne die ursprünglichen Anmeldeinformationen zu kennen.
Die Schwachstelle, die in den Versionen bis 8-202206 vorhanden ist, beruht auf einer nicht verifizierten Schwachstelle bei der Passwortänderung im Authentifizierungssystem.
Nicht authentifizierte Remote-Angreifer könnten dieses Problem ausnutzen, indem sie präparierte HTTP-Anfragen an betroffene Geräte senden und so mit kompromittierten Benutzerrechten Zugriff auf die Web-Benutzeroberfläche oder API erhalten.
Cisco fordert Administratoren dringend auf, ein Upgrade auf Fixed Releases (8-202212 oder höher) durchzuführen, da es keine Problemumgehungen gibt.
Dieser Patch folgt auf die jüngsten Korrekturen für andere kritische Schwachstellen, darunter ein Zero-Day-Angriff in NX-OS und Exploits, die auf ASA- und FTD-Firewalls in der ArcaneDoor-Kampagne abzielen.
Das Product Security Incident Response Team (PSIRT) von Cisco hat bisher keine öffentliche Ausnutzung dieser speziellen Schwachstelle beobachtet.
Großbritannien verhaftet mutmaßlichen verstreuten Spider-Hacker, der mit MGM-Angriff in Verbindung steht
Die britische Polizei hat einen 17-jährigen Jungen aus Walsall verhaftet, der verdächtigt wird, an dem Ransomware-Angriff auf MGM Resorts im Jahr 2023 beteiligt gewesen zu sein und Mitglied des Hackerkollektivs Scattered Spider gewesen zu sein.
Diese Verhaftung, die mit der National Crime Agency und dem FBI koordiniert wurde, ist Teil einer umfassenderen Untersuchung der globalen Cyberkriminalität.
Der Teenager, der beschuldigt wird, gegen das Gesetz gegen Erpressung und Computermissbrauch verstoßen zu haben, wurde gegen Kaution freigelassen, während die Behörden beschlagnahmte digitale Geräte untersuchen.
Scattered Spider, auch bekannt als 0ktapus und UNC3944, ist bekannt für Social Engineering, Phishing, MFA-Bombing und SIM-Swapping.
Sie haben mit Ransomware-Banden zusammengearbeitet, darunter BlackCat/AlphV, Qilin und RansomHub.
Diese Verhaftung unterstreicht die Schwierigkeit, dezentrale Hackergruppen zu verfolgen.
Scattered Spider hat auch Caesars, DoorDash, MailChimp, Twilio, Riot Games und Reddit ins Visier genommen.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft mit verschiedenen Bedrohungen behaftet ist, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.