Rekordverdächtige Ransomware-Zahlungen im Jahr 2024: eine wachsende Bedrohung
Die Erpressung durch Ransomware nimmt im Jahr 2024 weiter zu, wobei die Opfer in der ersten Jahreshälfte beispiellose 459,8 Millionen US-Dollar zahlten. Dies entspricht einem Anstieg von 2 % im Vergleich zum gleichen Zeitraum im Jahr 2023, in dem bis zum Jahresende ein Rekordwert von 1,1 Milliarden US-Dollar an Lösegeldzahlungen verzeichnet wurde. Trotz erheblicher Bemühungen der Strafverfolgungsbehörden gegen große Ransomware-as-a-Service-Operationen wie LockBit haben diese kriminellen Unternehmen ihre Taktik geändert und sich auf größere, lukrativere Ziele konzentriert. In diesem Jahr wurde bereits die größte jemals verzeichnete Lösegeldzahlung in Höhe von 75 Millionen US-Dollar an die Ransomware-Gruppe Dark Angels gezahlt. Dieser Trend unterstreicht die wachsende Bedrohung, die Ransomware für große Unternehmen darstellt, da die durchschnittliche Lösegeldzahlung von unter 199.000 US-Dollar Anfang 2023 auf erstaunliche 1,5 Millionen US-Dollar im Juni 2024 gestiegen ist. Während immer weniger Unternehmen der Erpressung erliegen, werden die finanziellen Auswirkungen derjenigen, die dies tun, immer schwerwiegender.
Toyota-Datenschutzverletzung: Eine wiederkehrende Sicherheitsherausforderung
Toyota hat eine bedeutende Datenschutzverletzung bestätigt, bei der es um 240 GB an Kunden- und Mitarbeiterdaten ging, die vom ZeroSevenGroup-Bedrohungsakteur durchgesickert sind.
Dieser Verstoß steht nach Angaben des Unternehmens in Verbindung mit einem Drittanbieter, nicht mit den eigenen Systemen von Toyota.
Dieser Vorfall ist der jüngste in einer Reihe von Datenschutzverletzungen, von denen Toyota betroffen ist, und unterstreicht die anhaltenden Sicherheitsprobleme.
Im November 2022 kompromittierte ein Medusa-Ransomware-Angriff Toyota Financial Services und legte sensible persönliche und finanzielle Daten in Europa und Afrika offen.
Anfang 2023 enthüllte Toyota, dass eine falsch konfigurierte Cloud-Datenbank fast ein Jahrzehnt lang Informationen über den Fahrzeugstandort von über 2 Millionen Kunden durchgesickert hatte.
Diese Vorfälle verdeutlichen die anhaltenden Bedrohungen für die Datensicherheit von Toyota, trotz der Bemühungen, die Cloud-Überwachung zu verstärken und zukünftige Lecks zu verhindern.
Mit der Weiterentwicklung von Cyberbedrohungen geben die wiederholten Datenschutzverletzungen von Toyota Anlass zur Besorgnis über die Wirksamkeit seiner Cybersicherheitsmaßnahmen und die Schwachstellen, die von Drittanbietern ausgehen.
Lazarus-Hacker nutzen Windows-Zero-Day aus, um Rootkit zu installieren
Die Hackergruppe Lazarus, berüchtigt für hochkarätige Cyberangriffe, nutzte kürzlich eine Zero-Day-Schwachstelle im Windows AFD.sys Treiber aus, die als CVE-2024-38193 identifiziert wurde.
Dieser Fehler ermöglichte es den Angreifern, Berechtigungen zu erhöhen und das FUDModule-Rootkit zu installieren, eine ausgeklügelte Malware, die entwickelt wurde, um sich der Erkennung zu entziehen, indem sie die Windows-Überwachungsfunktionen deaktiviert.
Die Schwachstelle, die von den Forschern von Gen Digital entdeckt wurde, ist besonders besorgniserregend, da AFD.sys ein Standardtreiber auf allen Windows-Geräten ist, was es Angreifern erleichtert, ihre BYOVD-Strategie (Bring Your Own Vulnerable Driver) auszuführen, ohne ältere, leicht erkennbare Treiber installieren zu müssen.
Die Lazarus-Gruppe hat in der Vergangenheit Zero-Day-Schwachstellen in ihren Cyber-Operationen ausgenutzt, die zuvor bei ähnlichen Angriffen auf Treiber wie appid.sys und Dell dbutil_2_3.sys abzielten.
Diese Vorfälle verdeutlichen die anhaltende Bedrohung, die von Zero-Day-Schwachstellen ausgeht, und die entscheidende Bedeutung rechtzeitiger Sicherheitspatches zum Schutz vor solchen ausgeklügelten Exploits.
US-Regierung warnt vor eskalierenden iranischen Einflussoperationen
Die US-Regierung hat vor verstärkten Bemühungen iranischer Hacker gewarnt, die bevorstehenden Präsidentschaftswahlen durch Cyberoperationen zu beeinflussen.
In einer gemeinsamen Erklärung des Office of the Director of National Intelligence (ODNI), des FBI und der Cybersecurity and Infrastructure Security Agency (CISA) hoben Beamte die Versuche des Iran hervor, an sensible wahlbezogene Informationen zu gelangen, und sein allgemeineres Ziel, das Vertrauen in die demokratischen Institutionen der USA zu untergraben.
Die jüngsten Angriffe, darunter ein Bruch des Wahlkampfteams des ehemaligen Präsidenten Trump, wurden staatlich unterstützten iranischen Akteuren zugeschrieben.
Darüber hinaus werden Desinformationskampagnen, die von Unternehmen wie Microsoft und OpenAI identifiziert wurden, eingesetzt, um die öffentliche Meinung zu beeinflussen, wobei die Einflussoperationen des Iran nach Russland an zweiter Stelle stehen, so der jüngste Bericht von Meta.
Die US-Behörden fordern alle mit Wahlen zu tun haben, verdächtige Aktivitäten zu melden, und betonen, dass die Integrität des Wahlprozesses trotz dieser anhaltenden Cyberbedrohungen sicher bleibt.
CannonDesign bestätigt Datenpanne im Zusammenhang mit Avos Locker Ransomware
CannonDesign, ein führendes Architektur- und Ingenieurbüro, hat eine Datenschutzverletzung bestätigt, die auf einen Avas Locker-Ransomware-Angriff zurückzuführen ist, der sich Anfang 2023 ereignete.
Die Sicherheitsverletzung, von der über 13.000 aktuelle und ehemalige Mitarbeiter betroffen waren, beinhaltete den unbefugten Zugriff auf sensible personenbezogene Daten, darunter Namen, Adressen, Sozialversicherungsnummern und Führerscheininformationen.
Das Eindringen, das zwischen dem 19. und 25. Januar 2023 stattfand, wurde am 25. Januar entdeckt, aber die Untersuchung wurde erst im Mai 2024 abgeschlossen.
Trotz der Bemühungen von CannonDesign wurden die gestohlenen Daten mehrfach online verbreitet.
Die Avos Locker-Gruppe behauptete zunächst, 5,7 TB an Daten gestohlen zu haben, die später von der Dunghill Leaks-Website, die von der Ransomware-Gruppe Dark Angels betrieben wird, durchgesickert sind.
Dieser Datensatz ist seitdem in verschiedenen Dark-Web-Foren wieder aufgetaucht und unterstreicht die anhaltenden Risiken solcher Ransomware-Angriffe und die Herausforderungen beim Schutz sensibler Informationen nach einer Sicherheitsverletzung.
Kritische Cache-Schwachstelle in LiteSpeed setzt WordPress-Seiten Brute-Force-Angriffen aus
Eine kritische Schwachstelle im LiteSpeed Cache WordPress-Plugin (CVE-2024-28000) hat Millionen von Websites anfällig für Takeover-Angriffe gemacht, wodurch nicht autorisierte Benutzer betrügerische Admin-Konten erstellen können.
Der Fehler, der in der Benutzersimulationsfunktion des Plugins entdeckt wurde, ist auf eine schwache Hash-Prüfung zurückzuführen, die durch Brute-Force-Angriffe ausgenutzt werden kann.
Sicherheitsforscher zeigten, dass Angreifer durch das Durchlaufen von 1 Million möglicher Werte für den Sicherheitshash je nach Standort innerhalb von Stunden bis zu einer Woche Zugriff auf Administratorebene erhalten können.
Diese Schwachstelle, die LiteSpeed Cache-Versionen bis 6.3.0.1 betrifft, wurde inzwischen in Version 6.4 gepatcht.
Mit über 2,5 Millionen Websites, die noch aktualisiert werden müssen, sind viele jedoch weiterhin potenziellen Brute-Force-Exploits ausgesetzt.
Dies folgt auf frühere Sicherheitslücken im LiteSpeed-Cache, einschließlich eines Cross-Site-Scripting-Fehlers Anfang des Jahres, der die anhaltenden Risiken für WordPress-Websites mit veralteten Plugins unterstreicht.
Benutzern wird dringend empfohlen, sofort zu aktualisieren, um das Risiko zu minimieren.
Qilin Ransomware zielt jetzt bei ausgeklügelten Angriffen auf Chrome-Anmeldeinformationen ab
Die Ransomware-Gruppe Qilin hat ihre Taktik verschärft, indem sie benutzerdefinierte Stealer einsetzt, um in Google Chrome-Browsern gespeicherte Anmeldeinformationen zu sammeln.
Diese neue Methode, die von Sophos X-Ops beobachtet wurde, stellt eine signifikante Veränderung in den Ransomware-Strategien dar.
Der Angriff beginnt in der Regel damit, dass Qilin sich mit kompromittierten VPN-Anmeldeinformationen Zugang zu einem Netzwerk verschafft, oft ohne Multi-Faktor-Authentifizierung (MFA).
Nach einer Phase der Ruhephase bewegen sich die Angreifer lateral innerhalb des Netzwerks und stellen ein PowerShell-Skript über Group Policy Objects (GPOs) bereit, das auf in Chrome gespeicherte Anmeldeinformationen abzielt.
Diese Anmeldeinformationen werden dann auf die Command-and-Control-Server von Qilin exfiltriert, während die Spuren der Aktivität sorgfältig gelöscht werden, um eine Entdeckung zu vermeiden.
Dieser Ansatz ermöglicht es Qilin, Anmeldeinformationen von allen mit der Domäne verbundenen Geräten zu stehlen, was möglicherweise zu weit verbreiteten Folgeangriffen führt und die Reaktion auf Vorfälle komplexer macht.
Der Diebstahl von Chrome-Anmeldeinformationen stellt eine anhaltende Bedrohung dar, die umfangreiche Abhilfemaßnahmen erfordert, einschließlich des Zurücksetzens von Active Directory-Passwörtern und der Aufforderung an Benutzer, Passwörter für Dienste von Drittanbietern zu ändern.
Um solche Risiken zu minimieren, sollten Unternehmen strenge Richtlinien gegen die Speicherung von Anmeldeinformationen in Browsern durchsetzen, MFA implementieren und die Prinzipien der geringsten Rechte einführen, um die Bewegung eines Angreifers innerhalb eines Netzwerks zu begrenzen.
Halliburton bestätigt Cyberangriff, der zur Abschaltung von Systemen führt
Halliburton, ein weltweit führender Anbieter von Dienstleistungen für die Energiebranche, hat einen Cyberangriff bestätigt, der Anfang dieser Woche die Abschaltung mehrerer Systeme erzwang.
Am 21. August 2024 stellte das Unternehmen fest, dass sich ein unbefugter Dritter Zugang zu seinem Netzwerk verschafft hatte, was Halliburton dazu veranlasste, seinen Cybersicherheitsplan zu aktivieren.
Das Unternehmen leitete sofort eine Untersuchung mit Unterstützung externer Berater ein und ergriff proaktive Maßnahmen, um den Verstoß einzudämmen, einschließlich der Abschaltung bestimmter Systeme.
Obwohl die genaue Art des Angriffs noch nicht bekannt gegeben wurde, arbeitet Halliburton eng mit den Strafverfolgungsbehörden zusammen und setzt seine Bemühungen zur Wiederherstellung der betroffenen Systeme fort.
Dieser Vorfall erinnert an den berüchtigten DarkSide-Ransomware-Angriff auf Colonial Pipeline aus dem Jahr 2021, der in ähnlicher Weise die Abschaltung kritischer Infrastrukturen erzwang.
Die DarkSide-Ransomware-Gang, die dafür bekannt ist, hochkarätige Organisationen ins Visier zu nehmen, stellte schließlich ihre Tätigkeit nach intensiver Prüfung durch die Strafverfolgungsbehörden und die US-Regierung ein, allerdings nicht, bevor Colonial Pipeline 4,4 Millionen US-Dollar Lösegeld gezahlt hatte.
Die Parallelen zwischen diesen Vorfällen unterstreichen die anhaltende Anfälligkeit des Energiesektors für ausgeklügelte Cyberbedrohungen.
Hacker verwenden AppDomain Injection und XSS, um CobaltStrike-Beacons bereitzustellen
Hacker haben eine heimliche Technik namens AppDomain Manager Injection eingesetzt, um CobaltStrike-Beacons bei den jüngsten Angriffen auf Regierungs- und Militäreinrichtungen in Asien einzusetzen.
Diese Methode, kombiniert mit Cross-Site Scripting (XSS)
Die Verwendung der GrimResource-Technik ermöglicht es Angreifern, bösartigen .NET-Code in legitimen Anwendungen auszuführen. Durch das Einschleusen einer bösartigen DLL, die von der AppDomainManager-Klasse von .NET Framework erbt, lassen die Angreifer ihre Aktionen so aussehen, als stammten sie von vertrauenswürdigen, signierten ausführbaren Dateien, um der Erkennung zu entgehen. Der Angriff beginnt mit einer bösartigen MSC-Datei, die XSS-Schwachstellen ausnutzt, was zum Einsatz des CobaltStrike-Beacons für weitere bösartige Aktivitäten führt. Es wird zwar vermutet, dass die Angriffe mit der staatlich geförderten chinesischen Gruppe APT 41 in Verbindung stehen, aber der Einsatz dieser ausgeklügelten Techniken verdeutlicht die wachsende Bedrohung für Unternehmen und die Herausforderungen bei der Abwehr solcher fortschrittlichen Eindringlinge.
Verletzung der Patelco Credit Union setzt 726.000 Kunden einem RansomHub-Angriff aus
Die Patelco Credit Union hat 726.000 Kunden über eine Datenschutzverletzung informiert, die auf einen RansomHub-Ransomware-Angriff Anfang des Jahres zurückzuführen ist.
Die RansomHub-Bande übernahm am 15. August 2024 die Verantwortung für den Verstoß, als sie alle gestohlenen Daten auf ihrem Erpressungsportal veröffentlichte.
Der Verstoß, der sich am 29. Juni 2024 ereignete, zwang Patelco, seine Banksysteme für zwei Wochen herunterzufahren, um den Schaden einzudämmen.
Zunächst konnte die Kreditgenossenschaft nicht bestätigen, ob Kundendaten kompromittiert worden waren, aber weitere Untersuchungen ergaben, dass persönliche Informationen, einschließlich Sozialversicherungsnummern, Führerscheinnummern und E-Mail-Adressen, gestohlen worden waren.
Patelco bietet betroffenen Kunden über Experian zwei Jahre lang Identitätsschutz- und Kreditüberwachungsdienste an.
Die Sicherheitsverletzung unterstreicht die wachsende Bedrohung durch Ransomware-Gruppen wie RansomHub, die weiterhin Finanzinstitute ins Visier nehmen und gestohlene Daten zur Erpressung nutzen.
Fazit
Zusammenfassend lässt sich sagen, dass der alarmierende Anstieg von Ransomware-Angriffen und Datenschutzverletzungen, der im Jahr 2024 deutlich wurde, den dringenden Bedarf an verbesserten Cybersicherheitsmaßnahmen unterstreicht. Die zunehmende Raffinesse dieser Cyberbedrohungen, die auf kritische Infrastrukturen abzielen und beispiellose Lösegeldbeträge erpressen, erfordert eine proaktive und robuste Reaktion zum Schutz sensibler Informationen und der organisatorischen Integrität. Bei BeforeCrypt sind wir auf Cyber-Resilienz spezialisiert und bieten Dienstleistungen an, die auf die Bekämpfung dieser Bedrohungen zugeschnitten sind, darunter Ransomware-Wiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungens. Wenn Ihr Unternehmen vor einer Herausforderung im Bereich der Cybersicherheit steht, zögern Sie nicht, uns zu kontaktieren, um Ihre Abwehr zu stärken und Risiken effektiv zu mindern.