CISA warnt vor aktiv ausgenutzter MSHTML-Schwachstelle in Windows-Systemen
Die Cybersecurity and Infrastructure Security Agency (CISA) hat eine Richtlinie herausgegeben, in der sie die Bundesbehörden auffordert, eine kritische MSHTML-Schwachstelle (CVE-2024-43461) in Windows zu patchen, nachdem diese von der Void Banshee APT-Gruppe ausgenutzt wurde.
Diese Zero-Day-Schwachstelle , die ursprünglich von Microsoft als nicht ausgenutzt eingestuft wurde, wurde jedoch für Malware-Angriffe verwendet, einschließlich der Bereitstellung von Software, die Informationen stiehlt.
Die Schwachstelle ermöglicht es Angreifern, bösartigen Code über betrügerische Websites oder Dateien auszuführen und so einen Fehler in der Anzeige von Dateierweiterungen für Benutzer auszunutzen.
Bei diesen Angriffen wurden speziell gestaltete HTA-Dateien verwendet, die als PDFs getarnt waren und codierte Braille-Zeichen verwendeten, um den Dateityp zu verschleiern.
Die CISA hat die Schwachstelle in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und eine Frist bis zum 7. Oktober gesetzt, bis zu der die Systeme des Bundes gesichert werden müssen.
Unternehmen auf der ganzen Welt werden außerdem aufgefordert, dem Patchen Vorrang einzuräumen, um das Risiko dieser gezielten Angriffe zu verringern.
Ransomware-Banden nutzen Microsoft Azure-Tools zur Datenexfiltration aus
Ransomware-Gruppen wie BianLian und Rhysida nutzen zunehmend die Azure Storage Explorer- und AzCopy-Tools von Microsoft, um Daten aus kompromittierten Netzwerken zu stehlen. Diese Tools, die in der Regel zum Verwalten und Übertragen großer Datenmengen in Azure Blob Storage verwendet werden, werden ausgenutzt, um vertrauliche Daten in die Cloud zu exfiltrieren. Laut dem Cybersicherheitsunternehmen modePUSH verwenden Angreifer diese Tools, um gestohlene Dateien in Azure Blob-Container hochzuladen, wo sie sie später abrufen können. Der Prozess umfasst das Einrichten von Abhängigkeiten, einschließlich des Upgrades von .NET auf Version 8. Der Status von Azure als vertrauenswürdiger Dienst in Unternehmensumgebungen verringert die Wahrscheinlichkeit, dass es von Unternehmenssicherheitssystemen blockiert wird, sodass Ransomware-Banden Daten unentdeckt exfiltrieren können. Protokolle von AzCopy und Storage-Explorer liefern Ermittlern wichtige Informationen zu gestohlenen Daten. Unternehmen wird empfohlen, die Ausführung dieser Tools zu überwachen und Warnungen für ungewöhnliche Datenübertragungsmuster festzulegen, um diese Angriffe abzuschwächen.
Brute-Force-Angriffe zielen auf Baufirmen ab, die Buchhaltungssoftware verwenden
Hacker starten Brute-Force-Angriffe auf exponierte Buchhaltungsserver der Foundation, die in der Baubranche weit verbreitet sind, um sich Zugang zu Unternehmensnetzwerken zu verschaffen.
Diese Angriffe, die erstmals am 14. September 2024 vom Cybersicherheitsunternehmen Huntress identifiziert wurden, betrafen Unternehmen in verschiedenen Teilbranchen, darunter Sanitär, HLK und Beton.
Die Angreifer nutzen exponierte Dienste und schwache, unveränderte Standardanmeldeinformationen aus und konzentrieren sich dabei auf privilegierte Konten wie „sa“ und „dba“ in Microsoft SQL Server (MSSQL), das von Foundation verwendet wird.
In einigen Fällen haben Angreifer in einer einzigen Stunde bis zu 35.000 Brute-Force-Anmeldeversuche unternommen, um Passwörter zu knacken.
Sobald sie sich darin befinden, verwenden sie die MSSQL-Funktion „xp_cmdshell“, um Systembefehle auszuführen und so weitere Kompromittierungen zu ermöglichen.
Huntress hat 33 öffentlich zugängliche MSSQL-Datenbanken entdeckt, die für diese Angriffe anfällig sind.
Administratoren werden dringend aufgefordert, die Anmeldeinformationen für ihr Konto zu rotieren und unnötigen öffentlichen Zugang zu schließen, um ihre Systeme vor laufenden Brute-Force-Versuchen zu schützen.
Vanilla Tempest nutzt INC-Ransomware bei Angriffen auf das Gesundheitswesen
Microsoft hat berichtet, dass der Ransomware-Ableger Vanilla Tempest jetzt INC-Ransomware einsetzt, um US-Gesundheitsorganisationen ins Visier zu nehmen. Diese Gruppe, die seit Mitte 2021 aktiv ist, hat in der Vergangenheit verschiedene Ransomware-Stämme, darunter BlackCat-Ransomware, Quantum Locker, Zeppelin und Rhysida, bei Angriffen in Sektoren wie Gesundheitswesen, Bildung und Fertigung eingesetzt. Kürzlich wurde beobachtet, dass Vanilla Tempest mit Hilfe von Gootloader-Malware in Netzwerke eindringt und INC-Ransomware einsetzt, nachdem es Systemzugriff erhalten hat. Bei einem kürzlichen Angriff auf das Gesundheitswesen nutzte die Gruppe Tools wie AnyDesk und MEGA-Synchronisationssoftware, um laterale Bewegungen zu erleichtern, bevor Ransomware im Netzwerk des Opfers eingesetzt wurde. In der Geschichte von Vanilla Tempest wird auch BlackCat-Ransomware verwendet, ein berüchtigter Stamm, der bei sehr gezielten Operationen eingesetzt wird. Die sich entwickelnden Taktiken der Gruppe unterstreichen die anhaltende Bedrohung für die Gesundheitssysteme, die aufgrund von Ransomware-Vorfällen Betriebsunterbrechungen erlitten haben.
Vanilla Tempest nutzt RDP und verschiedene Ransomware-Varianten bei Angriffen auf das Gesundheitswesen aus
Microsoft hat Vanilla Tempest, einen Ransomware-Partner, als verantwortlich für die jüngsten Angriffe auf US-Gesundheitsorganisationen identifiziert, bei denen INC-Ransomware zum Einsatz kam.
Die Gruppe verschaffte sich über den Bedrohungsakteur Storm-0494 Zugang zu Zielnetzwerken, indem sie die Gootloader-Malware nutzte und das Remote Desktop Protocol (RDP) für laterale Bewegungen innerhalb kompromittierter Systeme ausnutzte.
Sobald Vanilla Tempest drinnen war, setzte es INC-Ransomware ein, was zu weitreichenden Störungen führte.
Vanilla Tempest ist für seine Vielseitigkeit bekannt und hat in der Vergangenheit verschiedene Ransomware-Varianten verwendet, darunter BlackCat, Quantum Locker, Zeppelin und Rhysida.
Die Gruppe, die zuvor unter dem Namen Vice Society firmierte, hat eine Reihe von Branchen wie Gesundheitswesen, Bildung und Fertigung ins Visier genommen.
Bei diesem jüngsten Angriff auf das Gesundheitswesen erleichterte die Verwendung von RDP und legitimen Tools wie AnyDesk durch die Gruppe ihre bösartigen Aktivitäten weiter und unterstreicht das anhaltende Risiko, das von Ransomware-Operationen in kritischen Sektoren ausgeht.
Mallox Ransomware expandiert mit neuer Linux-Variante, die auf durchgesickertem Kryptina-Code basiert
Ein Mallox-Ransomware-Partner hat damit begonnen, eine modifizierte Version der Kryptina-Ransomware zu verwenden, um Linux-Systeme ins Visier zu nehmen, was eine Verschiebung des Schwerpunkts des Betriebs von Windows- auf Linux- und VMware ESXi-Umgebungen bedeutet. Mallox, auch als TargetCompany bezeichnet, ist als Ransomware-as-a-Service (RaaS) bekannt und hat diese neue Linux-Variante, die von SentinelLabs identifiziert wurde, übernommen, um seine Reichweite zu erweitern. Kryptina, das ursprünglich Ende 2023 als kostengünstige RaaS-Plattform für Linux-Systeme auf den Markt kam, konnte sich nicht nennenswert durchsetzen. Im Februar 2024 wurde der Quellcode von Kryptina jedoch von seinem Administrator „Corlys“ in Hacking-Foren durchgesickert. Mallox-Tochtergesellschaften haben diesen Code seitdem in „Mallox Linux 1.0“ umbenannt und den AES-256-CBC-Verschlüsselungsmechanismus und die Entschlüsselungsroutinen von Kryptina beibehalten. Abgesehen von Änderungen am Erscheinungsbild und den Referenzen der Lösegeldforderungen bleibt die Kernfunktionalität gleich. Die Entwicklung von Mallox zu Linux-basierten Systemen unterstreicht seine Anpassungsfähigkeit innerhalb des Ransomware-Ökosystems und signalisiert breitere Bedrohungen durch diese RaaS-Operation.
Fazit
Die zunehmende Raffinesse von Ransomware-Operationen, wie z. B. denen von Vanilla Tempest und Mallox, unterstreicht die dringende Notwendigkeit für Unternehmen, ihre Cybersicherheitsmaßnahmen zu verstärken. Da Angreifer Schwachstellen auf mehreren Plattformen ausnutzen, von Windows-Systemen bis hin zu Linux- und VMWare-Umgebungen, ist es wichtig, diesen sich entwickelnden Bedrohungen einen Schritt voraus zu sein. Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir fachkundige Ransomware-Wiederherstellungsdienste, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen von Ransomware betroffen ist oder wenn Sie Ihre Abwehrmaßnahmen verbessern möchten, kontaktieren Sie uns noch heute, um professionelle Unterstützung zu erhalten.