Sandworm-Cyberangriffe zielen auf 20 wichtige Organisationen in der Ukraine ab
Jüngste Berichte des ukrainischen Computer Emergency Response Teams (CERT-UA) zeigen, dass die berüchtigte russische Hackergruppe Sandworm, auch bekannt als BlackEnergy, Seashell Blizzard, Voodoo Bear und APT44, ihre Bemühungen darauf ausgerichtet hat, den Betrieb von etwa 20 kritischen Infrastruktureinrichtungen in der Ukraine zu stören. Diese Cyberkriminellen, von denen angenommen wird, dass sie mit dem russischen GRU in Verbindung stehen, haben in der Vergangenheit Cyberspionage und zerstörerische Angriffe durchgeführt. Im März 2024 dokumentierte das CERT-UA die Aktivitäten von Sandworm, die darauf abzielten, die Informations- und Kommunikationssysteme von Energie-, Wasser- und Wärmeversorgern in zehn ukrainischen Regionen zu stören. Die Angreifer nutzten Software-Schwachstellen in Lieferketten und Softwareanbietern aus und setzten dabei eine Kombination aus zuvor identifizierter Malware und neu entwickelten Schadwerkzeugen wie BIASBOAT und LOADGRIP für Linux ein. Schlechte Cybersicherheitspraktiken unter den Zielpersonen erleichterten diese Verstöße, was das CERT-UA dazu veranlasste, umfangreiche Maßnahmen zur Bekämpfung von Cyberangriffen zu ergreifen, einschließlich der Information betroffener Unternehmen, der Entfernung von Malware und Sicherheitsverbesserungen. Es wird vermutet, dass die Aktionen von Sandworm die Auswirkungen potenzieller russischer Raketenangriffe auf diese kritischen Infrastruktureinrichtungen verstärken. Darüber hinaus haben die jüngsten Enthüllungen von Mandiant Sandworm mit Hacktivisten-Gruppen in Verbindung gebracht, die an Angriffen auf die Infrastruktur in Europa und den USA beteiligt sind, was die Bedeutung der Ergebnisse des CERT-UA weiter unterstreicht.
Synlab Italia stellt Betrieb nach Ransomware-Vorfall ein
Synlab Italia hat nach einem Ransomware-Angriff, der seine IT-Systeme lahmgelegt hat, alle medizinischen Diagnose- und Testoperationen eingestellt. Synlab Italia ist ein wichtiger Teil des Synlab-Netzwerks, das sich über 30 Länder erstreckt, und betreibt 380 Labore und medizinische Zentren in ganz Italien, die einen Jahresumsatz von 426 Millionen US-Dollar erzielen und jährlich 35 Millionen Analysen durchführen.
Die Sicherheitsverletzung, die sich in den frühen Morgenstunden des 18. April ereignete, führte zu einer sofortigen Abschaltung aller Unternehmenscomputer, um weiteren Schaden gemäß den IT-Sicherheitsprotokollen des Unternehmens zu begrenzen. Synlab Italia hat dies zwar nicht bestätigt, aber es gibt Bedenken, dass sensible medizinische Daten kompromittiert worden sein könnten.
Infolgedessen wurden alle Labordienstleistungen, einschließlich der Probenentnahme und -analyse, auf unbestimmte Zeit ausgesetzt, wobei die Kunden angewiesen wurden, Synlab aufgrund inaktiver E-Mail-Dienste telefonisch zu kontaktieren. Es werden Anstrengungen unternommen, um die IT-Infrastruktur zu bereinigen und den Betrieb wiederherzustellen, obwohl kein konkreter Zeitplan angegeben wurde. Synlab empfiehlt seinen Kunden, ihre Website und Social-Media-Kanäle auf Aktualisierungen zu überprüfen.
Microsoft warnt vor Ausnutzung der Windows-Sicherheitslücke APT28
Microsoft gibt eine Warnwarnung bezüglich der Ausnutzung einer Sicherheitsanfälligkeit im Windows Print Spooler durch die russische Bedrohungsgruppe APT28 heraus. Diese Schwachstelle ermöglicht die Eskalation von Privilegien und erleichtert den Diebstahl von Anmeldeinformationen und Daten durch ein neu identifiziertes Hacking-Tool namens GooseEgg.
APT28 nutzt Berichten zufolge GooseEgg, um die Schwachstelle CVE-2022-38028 seit mindestens Juni 2020 auszunutzen, möglicherweise sogar schon seit April 2019. Trotz des Patches von Microsoft im Oktober 2022 hat das Unternehmen die Ausnutzung in seinem Advisory noch nicht offiziell bestätigt.
Die böswilligen Akteure, die mit der russischen Hauptnachrichtendienstdirektion des Generalstabs (GRU) verbunden sind, setzen GooseEgg ein, um zusätzliche Nutzlasten auszuführen, Befehle mit Berechtigungen auf SYSTEM-Ebene auszugeben und in kompromittierten Systemen zu verharren. Zu ihren Taktiken gehört das Weglassen von Post-Compromise-Tools wie „execute.bat“ und „servtask.bat“ sowie das Einbetten bösartiger DLL-Dateien in den PrintSpooler-Dienst, um die laterale Bewegung und die Remotecodeausführung zu erleichtern.
Microsoft identifiziert Ziele, die unter anderem ukrainische, westeuropäische und nordamerikanische Regierungssektoren umfassen, und unterstreicht die Fähigkeit von GooseEgg, verschiedene böswillige Ziele zu unterstützen. Diese Warnung unterstreicht die anhaltende Bedrohung, die von APT28 ausgeht, das für seine Geschichte ausgeklügelter Cyberangriffe in verschiedenen geopolitischen Bereichen bekannt ist.
Nutzung von Antiviren-Updates für die Verbreitung von Malware
Hacker nutzen den Update-Mechanismus des eScan-Antivirenprogramms aus und verbreiten die GuptiMiner-Malware in Unternehmensnetzwerken. Diese fortschrittliche Bedrohung, die mit DNS-Manipulations- und DLL-Sideloading-Funktionen ausgestattet ist, infiltriert Systeme über eine geschickt getarnte DLL-Datei in legitimen Update-Paketen. Trotz der Bemühungen von eScan, Schwachstellen zu patchen, deuten anhaltende Infektionen auf potenzielle Schwachstellen in Client-Systemen hin.
Die Forscher ziehen auch Parallelen zwischen GuptiMiner und der nordkoreanischen APT-Gruppe Kimsuki und stellen Ähnlichkeiten bei den Funktionen zum Informationsdiebstahl und der Domain-Nutzung fest. Die Angreifer setzen eine Reihe von Malware-Tools ein, darunter erweiterte Backdoors und den XMRig Monero Miner, der einen umfassenden Ansatz zur Cyber-Infiltration demonstriert.
Während eScan Maßnahmen zur Minderung der Schwachstelle ergriffen hat, verdeutlichen die anhaltenden Infektionen die anhaltende Bedrohungslandschaft. Dies unterstreicht die Bedeutung proaktiver Verteidigungsstrategien und kontinuierlicher Wachsamkeit gegenüber sich entwickelnden Cyberbedrohungen.
US-Regierung verhängt Sanktionen gegen Iraner im Zusammenhang mit Cyberangriffen
Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums hat Sanktionen gegen vier iranische Personen wegen der Teilnahme an Cyberangriffen auf die US-Regierung, Rüstungsunternehmen und private Unternehmen verhängt. Darüber hinaus wurden zwei Tarnfirmen – Mehrsam Andisheh Saz Nik (MASN) und Dadeh Afzar Arman (DAA) – sanktioniert, die mit dem Cyber Electronic Command (IRGC-CEC) des Korps der iranischen Revolutionsgarden in Verbindung stehen. Diese Maßnahmen zielen darauf ab, in den USA ansässige Vermögenswerte und Interessen einzufrieren, die mit den benannten Personen und Organisationen verbunden sind, einschließlich derjenigen, die sich in ihrem Besitz befinden. Transaktionen mit ihren Vermögenswerten sind ohne Genehmigung des OFAC verboten, und der Umgang mit ihnen birgt das Risiko von Sanktionen oder Durchsetzungsmaßnahmen. Das US-Außenministerium bietet Belohnungen von bis zu 10 Millionen US-Dollar für Informationen, die zur Ergreifung von Schlüsselpersonen und -organisationen führen, die an diesen Cyberaktivitäten beteiligt sind.
CoralRaider nutzt CDN-Cache für die Verbreitung von Malware aus
CoralRaider, ein Bedrohungsakteur, nutzt einen Content Delivery Network (CDN)-Cache, um Malware zu verbreiten, die Informationen stiehlt und auf Systeme in den USA, Großbritannien, Deutschland und Japan abzielt. Die Gruppe liefert LummaC2-, Rhadamanthys- und Cryptbot-Infostealer über Plattformen für Malware-as-a-Service , wobei Cisco Talos die Kampagne aufgrund früherer Angriffsähnlichkeiten CoralRaider zuschreibt.
Die Opfer erhalten Archive, die bösartige Windows-Verknüpfungsdateien (. LNK), das PowerShell-Befehle zum Herunterladen und Ausführen einer verschleierten HTML-Anwendungsdatei (HTA) aus einer vom Angreifer kontrollierten CDN-Unterdomäne auslöst. Diese Taktik ermöglicht es CoralRaider, die Netzwerkverteidigung zu umgehen und der Erkennung zu entgehen. Die Malware zielt auf Datenbanken für Passwort-Manager und Authentifikator-Apps ab und birgt erhebliche Risiken, insbesondere mit den erweiterten Fähigkeiten von Cryptbot. CoralRaider, das seit mindestens 2023 aktiv ist und möglicherweise in Vietnam ansässig ist, hat in seiner neuesten Kampagne seine globale Reichweite über asiatische Länder hinaus ausgeweitet.
Ring-Kunden erhalten 5,6 Millionen US-Dollar im Vergleich zu Datenschutzverletzungen
Die Federal Trade Commission (FTC) verteilt 5,6 Millionen US-Dollar an Rückerstattungen an Ring-Nutzer, die von Datenschutzverletzungen betroffen sind, bei denen Amazon-Mitarbeiter und -Auftragnehmer ohne Zustimmung auf private Video-Feeds zugegriffen haben oder aufgrund unzureichender Sicherheitsvorkehrungen, die zu Konto- und Geräte-Hacking geführt haben.
Der Vergleich folgt auf eine Beschwerde vom Mai 2023, in der Ring vorgeworfen wird, keine angemessenen Sicherheitsmaßnahmen ergriffen zu haben. Ring, eine Tochtergesellschaft von Amazon, bietet Smart-Home-Sicherheitsprodukte wie Videotürklingeln und Überwachungskameras an.
In der ursprünglichen Beschwerde der FTC wurden die Richtlinien für den Mitarbeiterzugriff von Ring und das Fehlen grundlegender Sicherheitsmaßnahmen wie der Multi-Faktor-Authentifizierung bis 2019 hervorgehoben, die den unbefugten Zugriff erleichterten. Zahlungen werden über PayPal an über 117.000 betroffene Kunden gesendet, die das Geld innerhalb von 30 Tagen einlösen müssen. Die FTC identifizierte berechtigte Kunden auf der Grundlage der bereitgestellten Daten und empfiehlt, sich für weitere Details auf ihre FAQ-Seite zu beziehen.
ArcaneDoor-Hacker nutzen Cisco Zero-Days für Sicherheitsverletzungen in Regierungsnetzwerken aus
Cisco hat eine Warnung vor einer staatlich unterstützten Hackergruppe herausgegeben, die seit November 2023 zwei Zero-Day-Schwachstellen in den Firewalls Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) ausnutzt. Die Hacker, die von Cisco Talos als UAT4356 und von Microsoft als STORM-1849 bezeichnet werden, starteten eine Cyberspionagekampagne mit dem Namen ArcaneDoor, die auf verwundbare Edge-Geräte weltweit abzielt.
Die Schwachstellen CVE-2024-20353 (Denial-of-Service) und CVE-2024-20359 (persistente lokale Codeausführung) ermöglichten es Bedrohungsakteuren, bisher unbekannte Malware zu installieren und die Persistenz auf kompromittierten Geräten aufrechtzuerhalten. Ein Implantat, Line Dancer, erleichterte den Fernzugriff und die Paketexfiltration, während Line Runner als persistente Hintertür mit Abwehrumgehungsmechanismen diente.
Eine gemeinsame Empfehlung von Cybersicherheitsbehörden hebt die Fähigkeiten der böswilligen Akteure hervor und fordert die Benutzer auf, ihre Geräte zu aktualisieren und auf verdächtige Aktivitäten zu überwachen. Cisco betont die Bedeutung von Patches, Protokollierung und Implementierung starker Authentifizierungsmaßnahmen für alle Netzwerkgeräte.
WP Automatic Plugin Ziel von Millionen von SQL-Injection-Angriffen
Hacker nutzen eine kritische Schwachstelle im WP Automatic-Plugin für WordPress aus, die es ihnen ermöglicht, administrative Benutzerkonten zu erstellen und Hintertüren für dauerhaften Zugriff zu installieren. Die Schwachstelle CVE-2024-27956 mit einem Schweregrad von 9,9/10 wurde am 13. März von PatchStack-Forschern publik gemacht. Es betrifft WP Automatic-Versionen vor 3.9.2.0 und ermöglicht SQL-Injection-Angriffe über den Benutzerauthentifizierungsmechanismus des Plugins.
Seit der Enthüllung wurden über 5,5 Millionen Angriffsversuche von WPScan beobachtet, wobei Angreifer Hintertüren erstellen und Code verschleiern, um der Erkennung zu entgehen. Angreifer benennen die anfällige Datei auch in „csv.php“ um, um zu verhindern, dass andere das gleiche Problem ausnutzen. WPScan rät Administratoren, das Plugin auf Version 3.92.1 oder höher zu aktualisieren und ihre Websites regelmäßig zu sichern, um das Risiko einer Kompromittierung zu verringern.
Phishing-Angriff
Das Los Angeles County Department of Health Services (DHS) hat eine Datenschutzverletzung gemeldet, nachdem kürzlich bei einem Phishing-Angriff die persönlichen und gesundheitlichen Daten von Tausenden von Patienten kompromittiert wurden. Die Sicherheitslücke betraf 23 Mitarbeiter, deren Zugangsdaten bei einem Phishing-Angriff im Februar gestohlen wurden, was zu einem unbefugten Zugriff auf die Daten der Patienten führte, die in ihren E-Mail-Postfächern gespeichert waren.
Nach Angaben des DHS könnten die Daten von etwa 6.085 Personen von der Sicherheitsverletzung betroffen sein. Zu den kompromittierten Daten gehörten persönliche Daten von Patienten, Krankenakten und Informationen zu Krankenversicherungen. Sozialversicherungsnummern und Finanzinformationen wurden jedoch nicht kompromittiert.
Nach der Entdeckung ergriff das DHS Maßnahmen, um die betroffenen Konten zu sichern, die Geräte der Mitarbeiter zurückzusetzen und die Mitarbeiter für Phishing-Bedrohungen zu sensibilisieren. Obwohl keine Hinweise auf Missbrauch gefunden wurden, wird betroffenen Patienten empfohlen, ihre Krankenakten bei Gesundheitsdienstleistern zu überprüfen. Der Verstoß wurde den zuständigen Behörden zur weiteren Untersuchung gemeldet.
Fazit
Sandworm-Cyberangriffe, die auf wichtige Organisationen in der Ukraine abzielen, Synlab Italia, das den Betrieb aufgrund eines Ransomware-Vorfalls einstellt, und Microsoft-Warnung vor APT28, das Windows-Schwachstellen ausnutzt, unterstreichen die anhaltende Bedrohung durch Cyberkriminalität. Inmitten all dieser Herausforderungen glänzt unsere Expertise in den Bereichen Ransomware-Wiederherstellung und Cybersicherheit. Wir bieten spezialisierte Dienstleistungen wie Ransomware-Datenrettung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.