Tag eins von Pwn2Own Ireland enthüllt 52 Zero-Day-Schwachstellen
Am ersten Tag von Pwn2Own Ireland deckten die Teilnehmer 52 Zero-Day-Schwachstellen in einer Vielzahl von vernetzten Geräten auf und erhielten insgesamt beeindruckende Belohnungen in Höhe von 486.250 US-Dollar. Viettel Cyber Security gab das Tempo vor und erzielte mit seinen Zero-Day-Exploits Bestnoten, darunter ein bemerkenswerter Pufferüberlauf in einer Lorex 2K-WLAN-Kamera. Sina Kheirkhah vom Summoning Team beeindruckte mit einer Kette von neun Schwachstellen, übernahm die Kontrolle über Geräte vom QNAP-Router bis zum TrueNAS Mini X und sicherte 100.000 US-Dollar. Zusätzliche Exploits, wie z. B. das Out-of-Bounds-Schreiben von RET2 Systems auf einem Sonos Smart Speaker, brachten ihnen 60.000 US-Dollar und die volle Kontrolle über das Gerät ein. Trotz einiger Rückschläge und technischer Hürden zeigten die Teams effektiv das Ausmaß und die Auswirkungen von Zero-Day-Schwachstellen, als sie um den Preispool von 1 Million US-Dollar konkurrierten. Drei Tage vor Schluss werden die Teilnehmer weitere Schwachstellen in vollständig gepatchten SOHO-Geräten beheben.
Neuer Qilin.B Ransomware Encryptor führt fortschrittliche Umgehung und stärkere Verschlüsselung ein
Die neueste Version der Qilin-Ransomware, bekannt als Qilin.B, bietet verbesserte Verschlüsselungsfunktionen und ausgeklügelte Umgehungstaktiken, die eine ernsthafte Bedrohung für die Cybersicherheit darstellen. Diese in Rust geschriebene Ransomware verfügt über eine AES-256-CTR-Verschlüsselung für eine schnellere Verarbeitung auf kompatibler Hardware, während ChaCha20 für weniger fortschrittliche Systeme beibehalten wird. Qilin.B integriert auch RSA-4096 für den Schlüsselschutz, was eine Entschlüsselung ohne Zugriff auf private Schlüssel nahezu unmöglich macht. Halcyon-Forscher haben diesen Stamm entdeckt und festgestellt, dass er die Datenwiederherstellung stören kann, indem Dienste wie Veeam, SQL-Datenbanken und Sophos Antivirus deaktiviert werden. Qilin.B behindert die Wiederherstellungsbemühungen weiter, indem es Schattenkopien löscht, Ereignisprotokolle löscht und Persistenz in der Windows-Registrierung einrichtet. Mit der Fähigkeit, sich über Netzlaufwerke zu verbreiten, hinterlässt es Lösegeldforderungen in jedem Verzeichnis, die sowohl auf lokale als auch auf Netzwerkordner abzielen. Diese Funktionen sind zwar nicht bahnbrechend, verstärken aber die Wirkung von Qilin.B und tragen zu ausgeklügelten Angriffen von Bedrohungsgruppen auf kritische Systeme weltweit bei.
Cisco patcht VPN-DoS-Schwachstelle im Zusammenhang mit DDoS- und Brute-Force-Angriffen
Cisco hat kürzlich eine kritische Denial-of-Service-Schwachstelle (DoS) in seiner ASA- und Firepower Threat Defense (FTD)-Software gepatcht, die bei groß angelegten Brute-Force- und DDoS-Angriffen auf VPNs identifiziert wurde. Diese Schwachstelle, die als CVE-2024-20481 verfolgt wird, trat auf, als Angreifer betroffene Geräte mit zahlreichen VPN-Anmeldeversuchen überfluteten, Ressourcen erschöpften und einen DoS-Zustand verursachten. Die Schwachstelle nutzt die Ressourcenerschöpfung in RAVPN-Diensten (Remote Access VPN) aus, sodass betroffene Geräte neu geladen werden müssen, um den Dienst wiederherzustellen. Die Schwachstelle wurde im Rahmen breiter Brute-Force-Bemühungen entdeckt, die darauf abzielten, VPN-Anmeldeinformationen zu erhalten, die auf Geräte von Cisco, Fortinet, Checkpoint und anderen abzielten. Diese Angriffe führten oft unbeabsichtigt zu DoS-Problemen, indem sie Ressourcen belasteten. Die Empfehlung von Cisco hebt hervor, dass der Fehler CWE-772 eine unsachgemäße Ressourcenverwaltung während der VPN-Authentifizierung beinhaltet, wodurch Systeme anfällig für DDoS werden. Darüber hinaus hat Cisco Korrekturen für andere kritische Fehler veröffentlicht und die Bedeutung sofortiger Updates zum Schutz vor weiteren DDoS- und Brute-Force-Angriffsrisiken hervorgehoben.
Henry Schein enthüllt Datenpanne ein Jahr nach großem Ransomware-Angriff
Der Anbieter von Lösungen für das Gesundheitswesen, Henry Schein, hat eine Datenschutzverletzung bekannt gegeben, von der über 160.000 Personen betroffen sind und die auf eine Reihe von Ransomware-Angriffen im Jahr 2023 durch die BlackCat-Bande (ALPHV) zurückzuführen ist. Der erste Angriff im Oktober zwang Henry Schein, Systeme offline zu nehmen, um seine Produktions- und Vertriebsabläufe zu schützen. Daraufhin übernahm die BlackCat-Ransomware die Verantwortung und gab an, dass sie 35 TB an sensiblen Daten exfiltriert hatte. Ein zweiter Angriff folgte im November, nachdem die Lösegeldverhandlungen gescheitert waren, mit der Drohung, das Netzwerk erneut zu verschlüsseln. Ein Jahr später bestätigte Henry Schein in einer Mitteilung an den Generalstaatsanwalt von Maine, dass die persönlichen Daten von 166.432 Personen kompromittiert wurden. In Zusammenarbeit mit Cybersicherheitsexperten überprüfte das Unternehmen Anfang 2024 die betroffenen Dateien. Jetzt bietet Henry Schein den betroffenen Personen vorsichtshalber zwei Jahre lang eine kostenlose Identitätsüberwachung mit dem IdentityWorksSM-Service von Experian an, um sich vor potenziellem Betrug und Identitätsdiebstahl zu schützen.
Russland verurteilt REvil Ransomware-Mitglieder wegen Cyberkriminalität und Zahlungsbetrug zu Gefängnisstrafen
In einem umfassenden Vorgehen gegen Cyberkriminalität hat Russland vier Mitglieder der REvil-Ransomware-Bande zu Haftstrafen zwischen 4,5 und 6 Jahren verurteilt. REvil, auch Sodinokibi genannt, ist für seine hochkarätigen Ransomware-Operationen bekannt und wurde 2019 bekannt und sammelte schnell über 100 Millionen US-Dollar ein. Ihr groß angelegter Kaseya-Angriff im Jahr 2021, von dem über 1.500 Unternehmen weltweit betroffen waren, führte dazu, dass die US-Behörden Druck auf Russland ausübten, gegen cyberkriminelle Aktivitäten innerhalb seiner Grenzen vorzugehen. Nach koordinierten internationalen Strafverfolgungsbemühungen zerschlug der russische Föderale Sicherheitsdienst (FSB) die Gruppe im Januar 2022, verhaftete 14 Mitglieder und beschlagnahmte 6,6 Millionen Dollar. Kürzlich verurteilte ein russisches Gericht die Mitglieder Artem Zayets, Alexey Malozemov, Daniil Puzyrevsky und Ruslan Khansvyarov wegen illegalen Umlaufs von Zahlungsmitteln und Verbreitung von Malware. Die verbleibenden vier REvil-Mitglieder warten auf separate Gerichtsverfahren wegen illegalen Computerzugriffs, was ein entscheidendes Ergebnis im Kampf gegen globale Ransomware-Operationen darstellt.
Black Basta Ransomware nutzt Microsoft Teams als Phishing-Tool, um in Netzwerke einzudringen
Die Black-Basta-Ransomware-Gruppe hat ihre Social-Engineering-Taktiken weiterentwickelt und nutzt nun Microsoft Teams, um sich als IT-Support auszugeben und unbefugten Zugriff auf Unternehmensnetzwerke zu erhalten. Black Basta ist seit 2022 aktiv und zielte zunächst mit einer Flut von Spam-E-Mails auf die Mitarbeiter ab, gefolgt von gefälschten IT-Support-Anrufen, um die Opfer dazu zu verleiten, Fernzugriffstools wie AnyDesk zu installieren. In den jüngsten Kampagnen, die von ReliaQuest beobachtet wurden, sind Black Basta-Partner dazu übergegangen, Mitarbeiter direkt über Teams zu kontaktieren, sich als Unternehmens-Helpdesks auszugeben und Entra ID-Mandanten zu verwenden, die legitim erscheinen sollen, wie z. B. „supportserviceadmin.onmicrosoft[.]com.“ Die Angreifer senden eine Reihe von Nachrichten, um Vertrauen zu gewinnen, und teilen manchmal sogar QR-Codes mit geheimen Absichten. Sobald sie Zugriff erhalten, installieren sie Tools wie „AntispamAccount.exe“ und SystemBC (eine Proxy-Malware) und setzen schließlich Cobalt Strike ein, um Geräte zu kontrollieren und Ransomware im Netzwerk zu verbreiten. Um diese Bedrohung zu mindern, raten Experten, die externe Teams-Kommunikation auf vertrauenswürdige Domänen zu beschränken und die Protokollierung für verdächtige Aktivitäten zu aktivieren.
Fog Ransomware nutzt die SonicWall VPN-Schwachstelle aus, um Netzwerke zu verletzen
Die Fog-Ransomware-Operation hat zusammen mit Akira die Angriffe auf Unternehmensnetzwerke über SonicWall VPN-Schwachstellen intensiviert, insbesondere auf die kritische Schwachstelle CVE-2024-40766. Diese Schwachstelle in der SSL-VPN-Zugangskontrolle, die von SonicWall im August 2024 gepatcht wurde, wird weiterhin aktiv ausgenutzt, wobei Arctic Wolf mindestens 30 Verstöße gemeldet hat, die hauptsächlich Akira betreffen, während der Rest auf Fog entfällt. Die Forscher weisen auch auf eine mögliche Zusammenarbeit zwischen den beiden Ransomware-Gruppen hin, die sich die Infrastruktur teilen, um Angriffe zu skalieren. Einmal drin, bewegen sich Bedrohungsakteure schnell – oft erreichen sie die Verschlüsselung innerhalb von Stunden, insbesondere bei virtuellen Maschinen und Backups. Das Fehlen einer Multi-Faktor-Authentifizierung und veraltete Software auf SonicWall-Endpunkten erleichtern den Zugriff, insbesondere wenn die Endpunkte auf dem Standardport 4433 ausgeführt werden. Intrusion-Logs enthüllen in der Regel Remote-Benutzeranmeldungsereignisse, die oft über VPN/VPS maskiert werden, um die echten IPs der Angreifer zu verbergen. Angesichts der Tatsache, dass immer noch rund 168.000 SonicWall-Endpunkte offengelegt sind, unterstreichen die Auswirkungen der Fog-Ransomware die dringende Notwendigkeit sofortiger Patches und Sicherheits-Upgrades.
Fazit
Die eskalierenden Bedrohungen durch vernetzte Geräte und Unternehmensnetzwerke unterstreichen den dringenden Bedarf an verstärkten Cybersicherheitsmaßnahmen. Angesichts von Schwachstellen in VPNs, neuen Ransomware-Stämmen und ausgeklügelten Phishing-Kampagnen stehen Unternehmen vor großen Herausforderungen beim Schutz ihrer Daten und ihres Betriebs. Bei BeforeCrypt sind wir darauf spezialisiert, Unternehmen bei der Bewältigung der Folgen von Cybervorfällen zu unterstützen. Unsere fachkundigen Ransomware-Wiederherstellungsdienste sind darauf ausgelegt, Daten und Systeme schnell wiederherzustellen, selbst in Fällen mit schweren Belastungen wie der Akira Ransomware. Für Unternehmen, die Unterstützung bei strategischen Entscheidungen benötigen, bieten unsere Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen umfassende Lösungen für den effektiven Umgang mit Ransomware-Bedrohungen. Kontaktieren Sie uns noch heute, um sich das Know-how zu sichern, das Sie in den Bereichen Ransomware-Wiederherstellung und Cybersicherheit benötigen.