Datenpanne im RIBridges-System: Auswirkungen auf die Einwohner von Rhode Island
Das RIBridges-System von Rhode Island, eine integrierte Plattform für die Verwaltung öffentlicher Hilfsprogramme, erlebte kürzlich nach einem Ransomware-Angriff der Ransomware-Gruppe Brain Cipher eine bedeutende Datenschutzverletzung. Das von Deloitte verwaltete System wurde am 13. Dezember 2024 vom Netz genommen, um der Bedrohung zu begegnen und sensible Informationen zu schützen. Ermittlungen ergaben, dass persönliche Daten, darunter Namen, Sozialversicherungsnummern und einige Bankdaten, wahrscheinlich gestohlen wurden. Zu den betroffenen Programmen gehören Medicaid, SNAP, TANF und andere, die für das öffentliche Wohlergehen von entscheidender Bedeutung sind. Die Behörden raten den betroffenen Einwohnern, Passwörter zurückzusetzen, ihre Bankkonten zu sichern und eine Kreditüberwachung in Betracht zu ziehen. Deloitte kooperiert mit den Strafverfolgungsbehörden und hat zugesichert, dass sich das Problem weiterhin um eine Lösung des Problems bemüht. In der Zwischenzeit können sich Einwohner von Rhode Island weiterhin über papierbasierte Methoden für Programme bewerben. Es werden Briefe verschickt, um die betroffenen Haushalte zu informieren, und es wurde eine spezielle Hotline zur Unterstützung eingerichtet. Diese Sicherheitslücke unterstreicht die Verwundbarkeit digitaler öffentlicher Systeme.
Datenpanne im System der Texas Tech University legt 1,4 Millionen Patientendaten offen
Das Texas Tech University Health Sciences Center (TTUHSC) und sein Pendant in El Paso wurden im September 2024 Opfer eines massiven Cyberangriffs, bei dem möglicherweise sensible Daten von 1,4 Millionen Personen gefährdet wurden. Diese öffentliche akademische Gesundheitseinrichtung, die Teil des Texas Tech University Systems ist, bestätigte, dass zwischen dem 17. und 29. September unbefugte Zugriffe erfolgten, die zum Diebstahl von Dateien mit hochsensiblen Informationen führten. Die offengelegten Daten variieren von Person zu Person und können persönliche Identifikatoren wie Sozialversicherungsnummern, medizinische Diagnosen und Behandlungsdetails enthalten. Betroffene Personen werden benachrichtigt und erhalten kostenlose Kreditüberwachungsdienste. Der Angriff, der der Ransomware-Gruppe Interlock zugeschrieben wird, führte Berichten zufolge dazu, dass 2,6 TB an gestohlenen Daten nun in Darknet-Foren zirkulieren. Betroffene Patienten werden dringend gebeten, ihre Konten auf verdächtige Aktivitäten zu überwachen, die Krankenversicherungsabrechnungen auf Ungenauigkeiten zu überprüfen und wachsam gegenüber Phishing-Versuchen zu bleiben, um weitere Risiken zu mindern.
HiatusRAT-Malware zielt mit Brute-Force-Angriffen auf Webkameras und DVRs ab
Das FBI hat eine Warnung vor HiatusRAT-Malware-Angriffen herausgegeben, die Schwachstellen in Webkameras und DVRs ausnutzen, die hauptsächlich auf Geräte chinesischer Marken abzielen. Diese Angriffe nutzen ungepatchte Systeme oder solche, die das Ende ihrer Lebensdauer erreicht haben, und konzentrieren sich auf Schwachstellen wie CVE-2017-7921 und CVE-2020-25078. Bedrohungsakteure verwenden Tools wie Medusa, ein Open-Source-Brute-Force-Dienstprogramm, um schwache Passwörter auszunutzen und Zugriff auf Geräte mit exponierten TCP-Ports zu erhalten, darunter 23, 8080 und 554. Hikvision- und Xiongmai-Geräte sind die Hauptziele. Nach der Kompromittierung werden infizierte Geräte in SOCKS5-Proxys für die Command-and-Control-Kommunikation umgewandelt, sodass Angreifer zusätzliche Payloads bereitstellen können. Das FBI rät, anfällige Geräte zu isolieren oder ihren Netzwerkzugriff einzuschränken, um die Risiken zu mindern. Cybersicherheitsexperten werden dringend aufgefordert, Anzeichen einer Kompromittierung zu melden und strengere Passwortrichtlinien zu implementieren, um Brute-Force-Angriffen entgegenzuwirken. Dies markiert eine Verschiebung des Schwerpunkts von HiatusRAT und richtet sich an breiteren strategischen Interessen.
Vorsicht vor Phishing-E-Mails, die auf Benutzer von Ledger-Wallets abzielen
Ein neuer Phishing-Betrug, der auf Benutzer von Ledger-Hardware-Wallets abzielt, versucht, Wiederherstellungsphrasen zu stehlen, indem er sich als Warnung vor Datenschutzverletzungen tarnt. In diesen betrügerischen E-Mails wird behauptet, dass Ledger eine Sicherheitslücke erlitten hat, bei der Wiederherstellungsphrasen offengelegt wurden, und die Empfänger aufgefordert werden, ihre Phrase über einen „sicheren“ Link zu bestätigen. Opfer, die auf den Link klicken, werden auf eine gefälschte Website weitergeleitet, die der offiziellen Website von Ledger ähnelt. Auf dieser Phishing-Seite werden die Benutzer aufgefordert, ihre 12-, 18- oder 24-Wörter-Wiederherstellungsphrase einzugeben, die die Angreifer dann nutzen, um auf Kryptowährungs-Wallets zuzugreifen und Gelder zu stehlen. Um sich zu schützen, teilen Sie Ihre Wiederherstellungsphrase niemals online und geben Sie sie nicht auf einer Website oder App ein. Geben Sie ledger.com immer direkt in Ihren Browser ein, um sicherzustellen, dass Sie auf die legitime Website zugreifen. Denken Sie daran, dass Ledger Sie niemals nach Ihrer Wiederherstellungsphrase fragen wird. Seien Sie vorsichtig bei unerwünschten E-Mails, insbesondere bei solchen, die unter dem Deckmantel von Sicherheitsbedenken zum sofortigen Handeln aufgefordert werden.
Phishing-Kampagne zielt über HubSpot auf 20.000 Microsoft Azure-Konten ab
Eine ausgeklügelte Phishing-Kampagne zielt auf Automobil-, Chemie- und Industrieunternehmen in Deutschland und Großbritannien ab, um Microsoft Azure-Anmeldeinformationen zu stehlen. Mit dem legitimen Formular-Builder-Tool von HubSpot erstellten Angreifer irreführende Formulare, um Opfer auf Seiten zum Sammeln von Anmeldeinformationen umzuleiten, die als Microsoft Outlook- oder Azure-Anmeldeportale getarnt waren. Die Kampagne, die von Juni bis September 2024 aktiv war, kompromittierte etwa 20.000 Konten, indem Links genutzt wurden, die in E-Mails oder PDFs der Marke DocuSign eingebettet waren. Diese E-Mails umgingen viele Sicherheitstools, da sie legitime HubSpot-Links enthielten, obwohl sie wichtige Authentifizierungsprüfungen wie SPF und DKIM nicht bestanden haben. Bei erfolgreichen Sicherheitsverletzungen nutzten Angreifer VPNs, um den Standort des Opfers nachzuahmen, und lieferten sich ein „Tauziehen“ um die Kontokontrolle, indem sie Passwörter wiederholt zurücksetzten. Dieser Vorfall verdeutlicht die Risiken des Missbrauchs legitimer Dienste wie HubSpot, um Abwehrmaßnahmen zu umgehen. Unternehmen wird empfohlen, die E-Mail-Authentifizierungsprotokolle zu verbessern und ihre Mitarbeiter darin zu schulen, Phishing-Versuche zu erkennen.
Russische Hacker nutzen RDP für Man-in-the-Middle-Angriffe aus
Die russische Hackergruppe APT29 hat fortschrittliche Techniken mit Remote Desktop Protocol (RDP) eingesetzt, um Man-in-the-Middle-Angriffe (MiTM) durchzuführen und sensible Daten und Anmeldeinformationen zu kompromittieren. Mit PyRDP, einem spezialisierten MiTM-Tool, fangen Angreifer RDP-Sitzungen ab und können so auf die Dateisysteme der Opfer zugreifen, Daten aus der Zwischenablage stehlen und bösartige Skripte im Hintergrund ausführen. Diese Kampagne richtet sich an Regierungen, Militärs und Unternehmen in mehreren Ländern, darunter die USA, Frankreich und die Ukraine. Die Angreifer setzen 193 RDP-Proxyserver ein, um Verbindungen zu Backend-Servern unter ihrer Kontrolle umzuleiten und die Sitzungen legitim erscheinen zu lassen. Indem sie die Opfer dazu verleiten, sich über Phishing-E-Mails mit betrügerischen RDP-Servern zu verbinden, erhalten die Hacker uneingeschränkten Zugriff auf lokale Ressourcen wie Laufwerke und Netzwerke. APT29 verschleiert seine Infrastruktur weiter mit VPNs, TOR-Knoten und Proxys. Um Risiken zu minimieren, sollten Benutzer vermeiden, eine Verbindung zu nicht überprüften RDP-Servern herzustellen, und bei Phishing-Versuchen, die RDP-Konfigurationen enthalten, vorsichtig sein.
Rumänischer NetWalker-Ableger wegen Ransomware-as-a-Service-Verbrechen verurteilt
Daniel Christian Hulea, ein rumänischer Ableger der Ransomware-Operation NetWalker, ist zu 20 Jahren Gefängnis verurteilt worden, nachdem er sich schuldig bekannt hatte, Verbrechen im Zusammenhang mit Ransomware-as-a-Service-Aktivitäten begangen zu haben. Hulea war Teil eines globalen Netzwerks, das Ransomware-Varianten wie NetWalker nutzte, um Krankenhäuser, Schulen und kommunale Dienste ins Visier zu nehmen und Opfer während der COVID-19-Pandemie zu erpressen. Gerichtsdokumente zeigen, dass Hulea erheblich von diesen Ransomware-as-a-Service-Operationen profitierte und fast 21,5 Millionen US-Dollar an Bitcoin-Zahlungen einsammelte. Untersuchungen haben auch Verbindungen zwischen NetWalker und Alpha Ransomware aufgedeckt, wobei es Hinweise darauf gibt, dass der Code von NetWalker neue Ransomware-Varianten antreiben könnte. Als Teil seiner Strafe muss Hulea über 21 Millionen US-Dollar an Vermögenswerten einbüßen, darunter ein Luxusresort auf Bali, das durch Ransomware-Erlöse finanziert wurde. Der Fall unterstreicht die anhaltende Bedrohung, die von Ransomware-as-a-Service-Modellen ausgeht, die es Cyberkriminellen ermöglichen, sich entwickelnde Ransomware-Varianten mit verheerender Wirkung einzusetzen.
Krispy Kreme bei jüngstem Cyberangriff von Play Ransomware ins Visier genommen
Die Play-Ransomware-Bande hat die Verantwortung für einen Cyberangriff auf Krispy Kreme im November übernommen, der das Online-Bestellsystem des Unternehmens störte und den Geschäftsbetrieb beeinträchtigte. Das Unternehmen, das 15,5 % seines Umsatzes durch digitale Bestellungen erzielt, meldete den Verstoß in einer kürzlich bei der SEC eingereichten Einreichung. Krispy Kreme reagierte schnell und beauftragte Cybersicherheitsexperten, um seine Systeme zu untersuchen und zu sichern. Die Betreiber von Play Ransomware behaupten, dass sie sensible Daten gestohlen haben, darunter Finanzunterlagen, Gehaltsabrechnungsinformationen und vertrauliche Kundendokumente, und drohen damit, die Daten als Teil ihrer doppelten Erpressungsstrategie freizugeben. Play Ransomware ist dafür bekannt, hochkarätige Opfer ins Visier zu nehmen, und hat bereits Organisationen wie Rackspace und die Stadt Oakland angegriffen. Dieser Vorfall unterstreicht die anhaltende Bedrohung durch die seit 2022 aktive Play-Ransomware, die gestohlene Daten nutzt, um die Opfer zu Lösegeldzahlungen zu drängen. Unternehmen werden daran erinnert, Cybersicherheitsmaßnahmen zur Abwehr dieser immer häufiger auftretenden Angriffe zu priorisieren.
Mutmaßlicher LockBit-Entwickler wegen Rolle bei Ransomware-Operationen angeklagt
Das US-Justizministerium hat Rostislav Panev, einen russisch-israelischen Doppelbürger, wegen seiner Beteiligung an der Entwicklung der LockBit-Ransomware und ihres Datendiebstahl-Tools StealBit angeklagt. Panev wird beschuldigt, die von der LockBit-Bande genutzte Infrastruktur verwaltet und an Ransomware-Anpassungen mitgewirkt zu haben, einschließlich Arbeiten, die Elemente des Quellcodes der Conti-Ransomware enthielten. Die israelischen Behörden entdeckten zum Zeitpunkt seiner Festnahme den Quellcode von LockBit und Conti sowie Zugangsdaten für das Kontrollpanel von LockBit auf Panevs Computer. Dieses Repository enthielt angeblich Tools, die von LockBit-Partnern verwendet wurden, um maßgeschneiderte Ransomware-Builds für Opfer zu erstellen. Berichten zufolge hat Panev während seiner Zeit bei der Gruppe über 230.000 US-Dollar in Kryptowährung verdient und monatliche Zahlungen erhalten, die über illegale Dienste gewaschen wurden. Panev ist der jüngste, der im Rahmen des weltweiten Vorgehens gegen LockBit, das den Betrieb weiterhin stört, angeklagt wird. Die Ermittler brachten die Entwicklung von „LockBit Green“ auch mit dem umfunktionierten Conti-Verschlüsselungsprogramm in Verbindung.
Fazit
Zusammenfassend lässt sich sagen, dass die Zunahme von Ransomware-Angriffen wie denen auf Krispy Kreme, die umfangreichen Operationen von LockBit und andere ausgeklügelte Bedrohungen die dringende Notwendigkeit proaktiver Cybersicherheitsmaßnahmen unterstreicht. Unternehmen müssen wachsam bleiben und robuste Sicherheitsprotokolle einführen, um diese sich ständig weiterentwickelnden Bedrohungen zu entschärfen. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir maßgeschneiderte Lösungen an, darunter Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen. Wenn Ihr Unternehmen von Ransomware betroffen ist oder seine Abwehrmaßnahmen stärken möchte, kontaktieren Sie uns noch heute, um die Kontrolle zurückzugewinnen und Ihre Systeme zu schützen.