USA erheben Anklage gegen Phobos Ransomware-Administrator nach Auslieferung
Evgenii Ptitsyn, ein russischer Staatsbürger, wurde von Südkorea an die USA ausgeliefert, um sich dort einer Anklage im Zusammenhang mit der Phobos-Ransomware zu stellen. Phobos wird als Ransomware-as-a-Service (RaaS) betrieben und war mit Sicherheitsverletzungen in über 1.000 Unternehmen weltweit in Verbindung gebracht, wobei Lösegeldzahlungen von über 16 Millionen US-Dollar geleistet wurden. Die Behörden werfen Ptitsyn und seinen Mitverschwörern vor, ihren Partnern Werkzeuge zur Verfügung gestellt zu haben, um Ransomware einzusetzen, Systeme zu verschlüsseln und Opfer zu erpressen. Zwischen Mai und November 2024 entfielen 11 % der Einreichungen auf der ID Ransomware-Plattform auf Phobos. Die Opfer reichten von Schulen über Krankenhäuser bis hin zu Unternehmen, denen oft mit öffentlichen Datenlecks gedroht wurde, wenn keine Lösegelder gezahlt würden. Unter Verwendung von Darknet-Plattformen und Aliasnamen wie „derxan“ koordinierte Ptitsyn angeblich den Verkauf von Ransomware und verwaltete gleichzeitig Kryptowährungszahlungen, die mit verbundenen Unternehmen verbunden waren. Im Falle einer Verurteilung in mehreren Anklagepunkten, darunter Überweisungsbetrug und Hacking, drohen Ptitsyn schwere Strafen, was die laufenden Bemühungen zur Zerschlagung von RaaS-Operationen wie der Phobos-Ransomware unterstreicht.
Palo Alto Networks patcht zwei aktiv ausgenutzte Zero-Day-Schwachstellen
Palo Alto Networks hat zwei kritische Zero-Day-Schwachstellen behoben, die sich auf seine Next-Generation Firewalls (NGFW) auswirken. Die erste, CVE-2024-0012, ist eine Authentifizierungsumgehung in der PAN-OS-Verwaltungsweboberfläche, die es Angreifern ermöglicht, ohne Authentifizierung Administratorrechte zu erlangen. Die zweite, CVE-2024-9474, ist eine Schwachstelle bei der Rechteausweitung, die es böswilligen Administratoren ermöglicht, Aktionen auf Root-Ebene auszuführen. Während das Unternehmen Anfang des Monats zunächst vor der Schwachstelle CVE-2024-0012 gewarnt hatte, wurden beide Schwachstellen seitdem in begrenzten Angriffen ausgenutzt, die auf exponierte Webschnittstellen abzielten. Trotz der Behauptungen über eine minimale Gefährdung ergaben Untersuchungen von Shadowserver und Shodan weltweit Tausende von anfälligen PAN-OS-Verwaltungsschnittstellen, von denen sich die meisten in den USA, Indien und Mexiko befinden. Die CISA hat diese Schwachstellen als hochriskant eingestuft und die Bundesbehörden angewiesen, bis zum 9. Dezember Patches zu implementieren. Diese Vorfälle unterstreichen die Dringlichkeit, mit dem Internet verbundene Geräte vor anhaltenden Cyberbedrohungen zu schützen.
Microsoft startet Zero Day Quest mit Belohnungen in Höhe von 4 Millionen US-Dollar
Auf seiner Konferenz Ignite 2024 in Chicago stellte Microsoft Zero Day Quest vor, eine neue Initiative, die darauf abzielt, die Sicherheit seiner Cloud- und KI-Plattformen zu verbessern. Dieses globale Hacking-Event, das Teil der Secure Future Initiative (SFI) von Microsoft ist, bietet Belohnungen in Höhe von 4 Millionen US-Dollar für die Identifizierung kritischer Schwachstellen. Die Veranstaltung beginnt mit einer Research Challenge, die vom 19. November 2024 bis zum 19. Januar 2025 läuft und allen Sicherheitsforschern offen steht. Einreichungen, die sich auf bestimmte Szenarien beziehen, können erweiterte Prämien und die Berechtigung zur Teilnahme an der exklusiven Vor-Ort-Veranstaltung 2025 in Redmond, Washington, erhalten. Um der KI-Sicherheit Priorität einzuräumen, verdoppelt Microsoft die Prämien für KI-bezogene Schwachstellen und gewährt Forschern direkten Zugang zu seinem AI Red Team. Angesichts zunehmender Sicherheitsbedenken – wie z. B. Angriffe auf die Cloud-basierte Exchange-E-Mail-Plattform von Microsoft – spiegelt diese Initiative das Engagement des Unternehmens für die Verbesserung der Cybersicherheit wider. Die Erkenntnisse aus Zero Day Quest werden in Verbesserungen für alle Microsoft-Produkte einfließen und die Sicherheit standardmäßig, designbedingt und im Betrieb erhöhen.
Helldown Ransomware nutzt VPN-Schwachstellen von Zyxel aus
Die Ransomware-Gruppe Helldown hat sich zu einer wachsenden Bedrohung entwickelt, die Schwachstellen in Zyxel-Firewalls ausnutzt, um Netzwerke zu infiltrieren, Daten zu stehlen und Geräte zu verschlüsseln. Die Operation, die seit Mitte 2024 aktiv ist, richtet sich in erster Linie an kleine und mittlere Unternehmen in den USA und Europa. Mithilfe von Ransomware-Dateierweiterungen zur Identifizierung von Opfern verschlüsselt Helldown Dateien und hinterlässt Lösegeldforderungen mit eindeutigen Identifikatoren wie „Readme.[victim string]. txt.“ Es gibt Hinweise darauf, dass Helldown-Angriffe mit einer Firewall-Schwachstelle von Zyxel (CVE-2024-42057) in Verbindung gebracht werden, einer Command-Injection-Schwachstelle, die es Angreifern ermöglicht, Betriebssystembefehle über IPSec-VPNs auszuführen. Trotz eines Patches vom September 2024 vermuten Forscher, dass Helldown private n-day-Exploits verwendet, um Geräte zu kompromittieren, auf denen noch veraltete Firmware läuft. Opfer melden oft nicht autorisierte Konten wie „OKSDW82A“, die für laterale Bewegungen und die Deaktivierung der Endpunktabwehr erstellt wurden. Obwohl die Verschlüsselungstools von Helldown nach wie vor einfach sind, unterstreicht das schnelle Wachstum den dringenden Bedarf an robuster Netzwerkverteidigung, insbesondere für Systeme, die auf anfällige Firewalls angewiesen sind.
Hinter dem Fortinet VPN-Designfehler verbergen sich erfolgreiche Brute-Force-Angriffe
Ein Designfehler im Protokollierungsmechanismus von Fortinet VPN ermöglicht es Angreifern, erfolgreiche Brute-Force-Anmeldeversuche zu maskieren und Administratoren in die Irre zu führen, indem sie glauben, dass alle Versuche fehlgeschlagen sind. Das Problem tritt auf, weil das VPN von Fortinet erfolgreiche Anmeldungen nur während der Autorisierungsphase protokolliert, während fehlgeschlagene Versuche während der Authentifizierungsphase protokolliert werden. Wenn ein Angreifer den Prozess nach der Authentifizierung anhält, können gültige Anmeldeinformationen überprüft werden, ohne dass ein erfolgreicher Anmeldedatensatz generiert wird. Forscher von Pentera haben diese Schwachstelle identifiziert und ihre Ausnutzung mit Hilfe von Sicherheitstools demonstriert. Angreifer können Anmeldeinformationen validieren und sie entweder verkaufen oder später für unentdeckte Sicherheitsverletzungen verwenden. Obwohl Administratoren Brute-Force-Versuche über fehlgeschlagene Anmeldeprotokolle erkennen können, wissen sie nicht, ob gültige Anmeldeinformationen erkannt wurden. Fortinet erkennt den Fehler zwar an, stuft ihn aber nicht als Schwachstelle ein, so dass Unternehmen die Überwachung und Abwehr gegen diesen potenziellen Exploit manuell verstärken müssen. Dies unterstreicht die Notwendigkeit der Wachsamkeit bei VPN-Sicherheitspraktiken.
Microsoft unterbricht ONNX-Phishing-as-a-Service-Infrastruktur
Microsoft hat die Phishing-as-a-Service-Operation (PhaaS) von ONNX zerschlagen, indem es seit 2017 240 Domains beschlagnahmt hat, die für Phishing-Angriffe auf Einzelpersonen und Unternehmen weltweit verwendet wurden. ONNX, auch bekannt als Caffeine oder FUHRER, war ein führender PhaaS-Anbieter, der Phishing-Kits vertrieb, die es Cyberkriminellen ermöglichten, sich als Unternehmen wie Microsoft, Google und DropBox auszugeben. Die Phishing-as-a-Service-Angebote von ONNX umfassten Abonnementmodelle zu Preisen zwischen 150 und 550 US-Dollar pro Monat und boten Tools zur Umgehung der Zwei-Faktor-Authentifizierung (2FA) und zum Einsatz fortschrittlicher Techniken wie QR-Code-Phishing. Diese Taktik nutzte die Nutzung mobiler Geräte in BYOD-Programmen am Arbeitsplatz aus, was die Erkennung besonders schwierig machte. Die Maßnahme von Microsoft, die durch einen Gerichtsbeschluss erreicht wurde, leitete die bösartige Infrastruktur von ONNX um und unterbrach den Zugang für seine Betreiber und Kunden dauerhaft. Diese Intervention ist Teil umfassenderer Bemühungen, PhaaS-Operationen zu bekämpfen und cyberkriminelle Aktivitäten zu unterbinden, indem Barrieren errichtet und zukünftige Angriffe abgeschreckt werden.
BianLian Ransomware-Gang geht auf exklusive Erpressung durch Datendiebstahl um
Die BianLian-Ransomware-Bande ist von der Verschlüsselung von Dateien dazu übergegangen, sich ausschließlich auf Datendiebstahl zur Erpressung zu konzentrieren, wie aus einer gemeinsamen Empfehlung der CISA, des FBI und des Australian Cyber Security Centre hervorgeht. Früher verwendete die Gruppe ein Modell der doppelten Erpressung, nun nutzt sie gestohlene RDP-Anmeldeinformationen für den Netzwerkzugriff und umgeht die Verschlüsselung seit Anfang 2024 vollständig. Die seit 2022 aktive Ransomware-Bande nutzt Schwachstellen wie ProxyShell und CVE-2022-37969 aus, um Windows- und ESXi-Infrastrukturen zu kompromittieren. Sie verschleiern ihre Aktivitäten mit SOCK5-Tunneln und Ngrok und verwenden PowerShell-Skripte, um gestohlene Daten zu komprimieren und zu exfiltrieren. Zu ihren Techniken gehören das Erstellen gefälschter Domain-Admin-Konten und das Bereitstellen von Webshells auf Exchange-Servern, um die Persistenz aufrechtzuerhalten. Mit 154 Opfern, die auf ihrem Erpressungsportal aufgeführt sind, darunter prominente Unternehmen wie Air Canada, entwickelt sich die Bande weiter. Sicherheitsexperten empfehlen, den RDP-Zugriff einzuschränken, PowerShell zu deaktivieren und robuste Kontoverwaltungspraktiken durchzusetzen, um solche Bedrohungen einzudämmen.
Fazit
Angesichts der oben beschriebenen eskalierenden Ransomware- und Cyber-Bedrohungen ist es klar, dass Unternehmen ihre Cyberabwehr proaktiv stärken und sich auf potenzielle Vorfälle vorbereiten müssen. Um die Komplexität von Cyberangriffen zu bewältigen, sind fachkundige Unterstützung und strategische Reaktionsmechanismen erforderlich. Als erfahrene Spezialisten für Cyber-Resilienz bieten wir umfassende Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen.