Ransomware-Banden nutzen Microsoft Teams für Phishing-Angriffe aus
Ransomware-Banden verfeinern zunehmend ihre Methoden und nutzen Phishing-Schemata, die E-Mail-Bombing mit Imitationstaktiken in Microsoft Teams-Anrufen kombinieren. Bei diesen Angriffen wird häufig Black Basta Ransomware eingesetzt, um Unternehmensnetzwerke zu kompromittieren und gleichzeitig das Vertrauen der Mitarbeiter auszunutzen. In einer beobachteten Kampagne verschickten Ransomware-Banden innerhalb von 45 Minuten Tausende von Spam-E-Mails, bevor sie einen Microsoft Teams-Anruf von einem Konto namens „Help Desk Manager“ initiierten. Diese Strategie verleitete die Opfer dazu, den Fernzugriff zuzulassen und so die Installation von bösartiger Software wie der RPivot-Hintertür zu ermöglichen. Nach der Installation nutzten die Angreifer Tools wie das Remote Desktop Protocol (RDP), um ihre Reichweite zu vergrößern und auf sensible Systeme zuzugreifen. Eine andere Kampagne, die mit der STAC5777 Gruppe in Verbindung steht, verfolgte einen ähnlichen Ansatz, indem sie Phishing-Nachrichten über Microsoft Teams verschickte. Die Opfer wurden davon überzeugt, Microsoft Quick Assist zu installieren, was den Angreifern die direkte Kontrolle über den Einsatz der Black Basta-Ransomware gewährt. Diese Technik beruhte auch auf der Ausnutzung von RDP- und Netzwerkschwachstellen, um ihre Ziele zu erreichen. Um diese Bedrohungen einzudämmen, wird Unternehmen empfohlen, die externe Kommunikation in Microsoft Teams zu blockieren und Tools wie Quick Assist in kritischen Umgebungen zu deaktivieren. Diese proaktiven Maßnahmen können dazu beitragen, das Risiko von Angriffen durch Ransomware-Banden zu verringern, die RDP und andere Schwachstellen ausnutzen.
Cloudflare wehrte einen rekordverdächtigen DDoS-Angriff mit 5,6 Tbit/s ab
Cloudflare hat den bisher größten Distributed-Denial-of-Service-Angriff (DDoS) erfolgreich abgewehrt, der einen Spitzenwert von beispiellosen 5,6 Terabit pro Sekunde erreichte. Dieser massive Angriff, der von einem Mirai-basierten Botnet mit 13.000 kompromittierten Geräten ausging, zielte am 29. Oktober 2024 auf einen Internet Service Provider (ISP) in Ostasien ab. Trotz seiner Intensität dauerte der UDP-basierte Angriff nur 80 Sekunden und verursachte dank der vollautomatischen Erkennungs- und Abwehrsysteme von Cloudflare keine Dienstunterbrechungen. Diese Errungenschaft unterstreicht die Wirksamkeit des autonomen DDoS-Schutzes bei der Abwehr hypervolumetrischer Angriffe. Der Vorfall folgte auf einen rekordverdächtigen DDoS-Angriff Anfang Oktober 2024, der einen Spitzenwert von 3,8 Tbit/s erreichte. Diese hypervolumetrischen Angriffe sind häufiger geworden, wobei Angriffe von mehr als 1 Terabit pro Sekunde in den letzten Monaten des Jahres 2024 ein erstaunliches Wachstum von 1.885 % gegenüber dem Vorquartal aufweisen. Die Telemetriedaten von Cloudflare zeigten, dass Angriffe mit kurzer Dauer immer häufiger werden: 72 % der HTTP-DDoS- und 91 % der DDoS-Angriffe auf Netzwerkebene dauern weniger als 10 Minuten. Diese schnellen Ausbrüche von überwältigendem Datenverkehr, die oft in Spitzenzeiten wie Feiertagen auftreten, unterstreichen die Notwendigkeit eines ständig aktiven, automatisierten DDoS-Schutzes. Auch die Zahl der Lösegeld-DDoS-Angriffe stieg sprunghaft an, mit einem Anstieg von 78 % gegenüber dem Vorquartal und einem Wachstum von 25 % im Vergleich zum Vorjahr im 4. Quartal 2024. Zu den am häufigsten angesprochenen Regionen gehörten China, die Philippinen, Taiwan, Hongkong und Deutschland, wobei Branchen wie Telekommunikation, Dienstleister und Marketing im Vordergrund standen. Da sich DDoS-Bedrohungen ständig weiterentwickeln, unterstreicht Cloudflare die Bedeutung einer proaktiven, integrierten Abwehr zum Schutz vor diesen immer ausgefeilteren und kurzlebigeren Angriffen.
Hacker nutzen 16 Zero-Days am ersten Tag der Pwn2Own Automotive 2025 aus
Am Eröffnungstag von Pwn2Own Automotive 2025 entdeckten und nutzten Sicherheitsforscher 16 einzigartige Zero-Day-Schwachstellen auf und erhielten Geldpreise in Höhe von insgesamt 382.750 US-Dollar. Der Wettbewerb, der im Rahmen der Konferenz Automotive World in Tokio stattfindet, beleuchtet die Schwachstellen in Automobiltechnologien, einschließlich Ladegeräten für Elektrofahrzeuge (EV) und fahrzeuginternen Infotainment-Systemen (IVI). Fuzzware.io ging als Top-Anwärter hervor und hackte die EV-Ladegeräte Autel MaxiCharger und Phoenix Contact CHARX SEC-3150 mit einem Stack-basierten Pufferüberlauf und einem Fehler bei der Ursprungsvalidierung. Diese Leistung sicherte ihnen 50.000 US-Dollar und 10 Master of Pwn-Punkte. Dicht gefolgt davon erhielt Sina Kheirkhah vom Summoning Team 91.750 US-Dollar und 9,25 Master of Pwn-Punkte, nachdem sie einen hartcodierten kryptografischen Schlüsselfehler und drei Zero-Day-Angriffe auf Ubiquiti und Phoenix Contact CHARX SEC-3150-Ladegeräten ausgenutzt hatte. Das Synacktiv-Team demonstrierte sein Fachwissen, indem es das ChargePoint Home Flex (Modell CPH50) EV-Ladegerät durch Signalmanipulation über den Stecker hackte und dabei einen Fehler im OCPP-Protokoll ausnutzte und 57.500 US-Dollar einbrachte. In der Zwischenzeit haben PHP-Hooligans erfolgreich ein vollständig gepatchtes Autel-Ladegerät mit einem Heap-basierten Pufferüberlauf ins Visier genommen und 50.000 US-Dollar eingesammelt. Viettel Cyber Security sicherte sich außerdem 20.000 US-Dollar, nachdem es die Codeausführung auf dem Kenwood In-Vehicle Infotainment-System über eine Zero-Day-Befehlsinjektion des Betriebssystems erreicht hatte. Anbieter haben nun 90 Tage Zeit, Patches für die gemeldeten Schwachstellen zu entwickeln und zu veröffentlichen, bevor sie von der Zero Day Initiative von Trend Micro veröffentlicht werden. Der Wettbewerb, der vom 22. bis 24. Januar stattfindet, bietet Forschern die Möglichkeit, ihre Fähigkeiten an Technologien wie Automotive Grade Linux, Android Automotive OS und BlackBerry QNX zu testen. Die Pwn2Own-Veranstaltungen im letzten Jahr zeigten, wie stark die Cybersicherheit in der Automobilindustrie auf dem Spiel steht. Bei der ersten Pwn2Own Automotive im Januar 2024 wurden 1.323.750 US-Dollar für 49 Zero-Day-Schwachstellen vergeben, einschließlich Tesla-Schwachstellen. Auf der Pwn2Own Vancouver 2024 verdienten die Forscher 1.132.500 US-Dollar, indem sie 29 Zero-Day-Szenarien ausnutzten, wobei Synacktiv insbesondere das Steuergerät eines Tesla Model 3 in weniger als 30 Sekunden hackte.
Tesla-EV-Ladegerät am zweiten Tag von Pwn2Own Tokyo zweimal gehackt
Sicherheitsforscher haben am zweiten Tag des Hacking-Wettbewerbs Pwn2Own Automotive 2025 das Ladegerät für Elektrofahrzeuge Wall Connector von Tesla zweimal erfolgreich gehackt. An diesem Tag wurden auch 23 weitere Zero-Day-Schwachstellen in Geräten wie WOLFBOX, ChargePoint Home Flex, Autel MaxiCharger, Phoenix Contact CHARX und EMPORIA EV-Ladegeräten sowie in Alpine iLX-507, Kenwood DMX958XR und Sony XAV-AX8500 In-Vehicle Infotainment (IVI)-Systemen ausgenutzt. PHP Hooligans waren die ersten, die den Tesla Wall Connector mit Hilfe eines Zero-Day-Bugs mit numerischem Reichweitenvergleich ohne Mindestprüfung kompromittierten. Später präsentierte Synacktiv einen innovativen Angriff, indem es dasselbe Tesla-Ladegerät über seinen Ladeanschluss hackte, was eine öffentlich beispiellose Methode darstellte. Bei weiteren Hacking-Versuchen auf Teslas Wall Connector wurden zwei Bug-Kollisionen gemeldet, an denen PCAutomotive und Sina Kheirkhah vom Summoning Team beteiligt waren, die eine Exploit-Kette von zwei bereits bekannten Fehlern ausnutzten. Gemäß den Wettbewerbsregeln von Pwn2Own Tokyo 2025 waren auf allen Zielgeräten die neuesten Sicherheitsupdates und Betriebssystemversionen installiert. Die Zero Day Initiative (ZDI) von Trend Micro vergab am zweiten Tag Geldpreise in Höhe von 335.500 US-Dollar für die Entdeckung von 23 Zero-Day-Schwachstellen. Sina Kheirkhah führt derzeit den Wettbewerb um den Titel Master of Pwn an. Am ersten Tag des Wettbewerbs nutzten Sicherheitsforscher 16 einzigartige Zero-Day-Schwachstellen aus und erhielten 382.750 US-Dollar an Geldprämien. Gemäß den Regeln von Pwn2Own haben die Anbieter 90 Tage Zeit, um Patches für die gemeldeten Schwachstellen zu veröffentlichen, bevor ZDI sie öffentlich bekannt gibt. Der Wettbewerb Pwn2Own Automotive 2025, der vom 22. bis 24. Januar im Rahmen der Konferenz Automotive World in Tokio stattfindet, konzentriert sich auf Automobiltechnologien. Die Forscher zielen auf Autobetriebssysteme wie Automotive Grade Linux, Android Automotive OS und BlackBerry QNX sowie auf EV-Ladegeräte und IVI-Systeme ab. Während der ersten Ausgabe von Pwn2Own Automotive im Jahr 2024 verdienten die Forscher 1.323.750 US-Dollar für die Ausnutzung von 49 Zero-Day-Bugs, darunter zwei Hacks auf Tesla-Systemen. Der diesjährige Wettbewerb unterstreicht einmal mehr, wie wichtig es ist, die Cybersicherheit in der Automobiltechnik voranzutreiben.
CISA: Hacker nutzen immer noch ältere Ivanti-Bugs aus, um in Netzwerke einzudringen
Die CISA und das FBI haben eine Warnung herausgegeben, dass Angreifer trotz der Veröffentlichung von Patches seit September 2024 weiterhin Sicherheitslücken in Ivanti Cloud Service Appliances (CSA) ausnutzen. Zu den Schwachstellen, die ausgenutzt werden, gehören CVE-2024-8963, eine Umgehung der Admin-Authentifizierung, und CVE-2024-8190, ein kritischer Fehler bei der Remote-Codeausführung. Zwei weitere Schwachstellen, CVE-2024-9379, eine SQL-Injection-Schwachstelle, und CVE-2024-9380, eine weitere Schwachstelle bei der Remotecodeausführung, wurden im Oktober 2024 behoben. Alle vier wurden zuvor in Zero-Day-Angriffen ausgenutzt. Bedrohungsakteure verketten diese Schwachstellen, um ersten Zugriff zu erhalten, Remote-Codeausführung auszuführen, Anmeldeinformationen zu sammeln und Webshells in kompromittierten Netzwerken zu implantieren. Die CISA gab bekannt, dass zwei primäre Exploit-Ketten verwendet werden: eine Kombination aus CVE-2024-8963, CVE-2024-8190 und CVE-2024-9380 und die andere mit CVE-2024-8963 und CVE-2024-9379. In einem bestätigten Fall nutzten Angreifer diese Exploits, um eine Remote-Codeausführung zu erreichen und sich lateral auf zusätzliche Server zu verschieben. Die CISA und das FBI empfehlen dringend, alle Ivanti CSA-Appliances auf die neueste unterstützte Version zu aktualisieren, um weitere Angriffe zu verhindern. Unternehmen wird empfohlen, nach bösartigen Aktivitäten zu suchen, indem sie Indicators of Compromise (IOCs) und Protokolle auf Anzeichen von Remotecodeausführungsversuchen und anderen Exploits analysieren. Sensible Daten und Anmeldeinformationen, die in Ivanti Appliances gespeichert sind, sollten als kompromittiert behandelt werden. Diese Welle von Exploits kommt zu einem Zeitpunkt, an dem Ivanti seine Bemühungen verstärkt, interne Scans, verantwortungsvolle Offenlegungsprozesse und die Patching-Geschwindigkeit zu verbessern. Im vergangenen Jahr wurden auch andere Ivanti-Schwachstellen ausgenutzt, darunter Zero-Day-Angriffe zur Remote-Code-Ausführung auf VPN-Appliances und ZTA-Gateways. Seit Anfang 2025 sind Ivanti Connect Secure VPN-Appliances im Visier einer China-Spionagegruppe, die als UNC5221 bekannt ist. Diese Gruppe hat Zero-Day-Schwachstellen bei der Remote-Codeausführung ausgenutzt, um Malware wie Dryhook und Phasejam auf kompromittierten Geräten bereitzustellen. Mit über 40.000 Unternehmen weltweit, die sich auf Ivanti Produkte für das IT-Asset- und Systemmanagement verlassen, ist die Behebung dieser Schwachstellen entscheidend für die Gewährleistung der Netzwerksicherheit.
Laut UnitedHealth sind nun 190 Millionen Menschen von einer Datenschutzverletzung im Jahr 2024 betroffen
UnitedHealth hat bekannt gegeben, dass 190 Millionen Amerikanern bei dem Ransomware-Angriff auf Change Healthcare ihre persönlichen Daten und Gesundheitsdaten gestohlen wurden, was es zur größten Datenschutzverletzung im Gesundheitswesen in der Geschichte der USA macht. Diese Zahl, fast doppelt so hoch wie die zuvor gemeldeten 100 Millionen, unterstreicht das enorme Ausmaß des Vorfalls. Die Sicherheitsverletzung betraf sensible Daten, darunter Krankenversicherungsinformationen, Krankenakten, Rechnungsdetails, Telefonnummern, Adressen und in einigen Fällen Sozialversicherungsnummern und Personalausweisnummern. Der Angriff wurde von der BlackCat-Ransomware-Bande , auch bekannt als ALPHV, orchestriert, die gestohlene Anmeldeinformationen ausnutzte, um den Citrix Remote Access Service von Change Healthcare zu knacken, dem eine Multi-Faktor-Authentifizierung fehlte. Nachdem sie sich Zugang verschafft hatten, stahlen die Angreifer 6 TB an Daten und verschlüsselten kritische Systeme, wodurch die Gesundheitsversorgung in den USA unterbrochen wurde. Patienten hatten während des Fallouts Schwierigkeiten bei der Einreichung von Ansprüchen, dem Erhalt von Verschreibungsrabatten und dem Zugang zu kritischen Dienstleistungen. Als Reaktion darauf bestätigte UnitedHealth, dass es ein Lösegeld, Berichten zufolge 22 Millionen US-Dollar, an BlackCat-Ransomware-Betreiber für einen Entschlüsseler und zur Verhinderung der Offenlegung öffentlicher Daten gezahlt hat. Die Situation verschlechterte sich jedoch, als der BlackCat-Ransomware-Partner, der hinter dem Angriff stand, behauptete, er sei von seinen Betreibern betrogen worden, die das gesamte Lösegeld einbehielten. Trotz Versprechungen wurden die gestohlenen Daten nicht gelöscht und anschließend an die Ransomware-Gruppe RansomHub weitergegeben, die begann, Teile der Daten durchsickern zu lassen, um zusätzliche Zahlungen zu verlangen. Die Ransomware RansomHub verkomplizierte die Situation weiter und setzte UnitedHealth unter Druck, weitere gestohlene Informationen freizugeben. Obwohl UnitedHealth keine Einzelheiten bestätigte, deutete das plötzliche Verschwinden des Change Healthcare-Eintrags von der Datenleck-Website von RansomHub darauf hin, dass möglicherweise eine zweite Lösegeldzahlung geleistet wurde. Diese wiederholten Forderungen betonten die anhaltenden Risiken, die von BlackCat ransomware und ihren verbundenen Unternehmen ausgehen, sowie die aufkommende Bedrohung durch RansomHub ransomware. Die finanzielle Belastung von UnitedHealth war erheblich: Die Verluste durch den Angriff werden bis April 2024 auf 872 Millionen US-Dollar geschätzt und bis zum 3. Quartal 2024 auf 2,45 Milliarden US-Dollar ansteigen. Dieser Vorfall unterstreicht den dringenden Bedarf an robusten Cybersicherheitsmaßnahmen, wie z. B. der Aktivierung der Multi-Faktor-Authentifizierung, um die Risiken zu mindern, die von Ransomware-Gruppen wie BlackCat Ransomware und RansomHub Ransomware ausgehen.
Fazit
Zusammenfassend lässt sich sagen, dass die sich entwickelnde Bedrohungslandschaft, die von Ransomware-Exploits, Zero-Day-Schwachstellen und ausgeklügelten Phishing-Kampagnen geprägt ist, die Notwendigkeit für Unternehmen unterstreicht, proaktive Cybersicherheitsmaßnahmen zum Schutz ihrer Netzwerke und sensiblen Daten zu ergreifen. Wir bieten branchenführende Lösungen zur Bekämpfung von Ransomware und zur Verbesserung der Cybersicherheit Ihres Unternehmens. Unsere Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen sorgen für eine schnelle Reaktion und Lösung.