Spanien verhaftet drei wegen Nutzung einer pro-russischen Hacktivisten-Plattform
Die spanischen Behörden haben drei Personen festgenommen, die an DDoSia beteiligt sind, einer Plattform, die für die Durchführung von DDoS-Angriffen (Distributed Denial of Service) verwendet wird. Diese Verhaftungen erfolgten in Sevilla, Huelva und Manacor, wo die Polizei auch Computerausrüstung und Dokumente beschlagnahmte, die für die Ermittlungen von entscheidender Bedeutung sind. Trotz dieser Verhaftungen setzte die Hacktivistengruppe am folgenden Montag ihre DDoS-Angriffe gegen Ziele der Europäischen Union fort. DDoSia, das von der pro-russischen Gruppe NoName057 betrieben wird, verwendet eine von der Gruppe entwickelte Software, um Angriffe auszuführen und dabei die Bandbreite der Freiwilligen zu nutzen. Diese Plattform hat insbesondere staatliche Stellen in Polen und der Schweiz ins Visier genommen, was zu erheblichen Serviceunterbrechungen geführt hat. Im Juni 2023 meldete das Cybersicherheitsunternehmen Sekoia ein Wachstum der Aktivitäten von DDoSia um 2.400 % mit über 13.000 Nutzern auf seinem Telegram-Kanal. Spanische Ermittler arbeiten nun daran, weitere Teilnehmer zu identifizieren, die an diesen Angriffen beteiligt waren, und unterstreichen die ernsthafte und anhaltende Bedrohung, die von solchen Hacktivisten-Operationen ausgeht.
Play Ransomware zielt mit neuer Linux-Variante auf virtuelle VMware ESXi-Maschinen ab
Play-Ransomware hat einen neuen Linux-Locker entwickelt, der speziell für die Verschlüsselung von virtuellen VMware ESXi-Maschinen entwickelt wurde, und markiert damit den ersten bekannten Angriff auf ESXi-Umgebungen. Diese Ransomware-Variante wurde vom Cybersicherheitsunternehmen Trend Micro entdeckt und prüft vor der Ausführung auf eine ESXi-Umgebung, was fortschrittliche Umgehungstechniken auf Linux-Systemen demonstriert. Diese Verschiebung steht im Einklang mit einem breiteren Trend, bei dem Ransomware-Gruppen ESXi-VMs aufgrund ihrer weit verbreiteten Verwendung in der Unternehmensdatenspeicherung und beim Hosting kritischer Anwendungen ins Visier nehmen. Das Deaktivieren und Verschlüsseln dieser VMs kann den Geschäftsbetrieb erheblich beeinträchtigen. Play Ransomware verwendet URL-Kürzungsdienste von einem Bedrohungsakteur namens Prolific Puma und fügt eine . PLAY auf verschlüsselte Dateien zugreifen. Außerdem hinterlässt er eine Lösegeldforderung im Stammverzeichnis der VM, die im Anmeldeportal des ESXi-Clients sichtbar ist. Zu den prominenten Opfern von Play-Ransomware gehören Rackspace und die Stadt Oakland, wobei das FBI, die CISA und das ACSC zu verbesserten Sicherheitsmaßnahmen raten, um solche Bedrohungen abzuschwächen.
KnowBe4 sieht sich nach der Einstellung eines nordkoreanischen Hackers einem Infostealer-Angriff ausgesetzt
KnowBe4, ein amerikanisches Cybersicherheitsunternehmen, hat kürzlich aufgedeckt, dass ein neu eingestellter Principal Software Engineer in Wirklichkeit ein nordkoreanischer staatlicher Akteur war, der versuchte, informationsstehlende Malware auf Unternehmensgeräten zu installieren.
Glücklicherweise erkannten und vereitelten die Sicherheitsmaßnahmen des Unternehmens die bösartigen Aktivitäten, bevor es zu einer Datenschutzverletzung kam.
Dieser Vorfall unterstreicht die anhaltende Bedrohung durch nordkoreanische Agenten, die sich als IT-Experten ausgeben, eine Gefahr, auf die das FBI seit 2023 hinweist.
Nordkorea beschäftigt einen großen Kader von IT-Arbeitern, die ihre wahre Identität verbergen, um eine Anstellung in amerikanischen Unternehmen zu erhalten und die Einnahmen zur Finanzierung nationaler Cyberoperationen und der Sammlung von Informationen zu verwenden.
Trotz gründlicher Hintergrundüberprüfungen und mehrerer Videointerviews stellte KnowBe4 später fest, dass die Person eine gestohlene Identität und KI-Tools verwendet hatte, um ein überzeugendes Profil zu erstellen.
Der Verdacht kam am 15. Juli 2024 auf, als das EDR-System von KnowBe4 Malware-Aktivitäten von der Mac-Workstation des neuen Mitarbeiters meldete.
Die Malware zielte auf Webbrowser-Daten ab und sammelte wahrscheinlich Anmeldeinformationen aus früheren Sitzungen.
Bei der Konfrontation entschuldigte sich der Schauspieler zunächst, brach aber bald jede Kommunikation ab.
Um solche Risiken zu mindern, rät KnowBe4 dazu, neue Mitarbeiter in einer Sandbox-Umgebung zu isolieren, die Remote-Nutzung externer Geräte zu vermeiden und Inkonsistenzen in den Lieferadressen als potenzielle Warnsignale zu behandeln.
Das US-Außenministerium bietet bis zu 10 Millionen US-Dollar an
Das US-Außenministerium bietet bis zu 10 Millionen US-Dollar für Informationen, die zur Festnahme von Rim Jong Hyok führen, einem nordkoreanischen Militärhacker, der mit der Hackergruppe Andariel in Verbindung steht.
Hyok und seine Gruppe wurden mit Maui-Ransomware-Angriffen auf kritische Infrastrukturen und Organisationen des Gesundheitswesens in den USA in Verbindung gebracht. Hyok wird wegen Verschwörung zum Computer-Hacking und zur Förderung von Geldwäsche angeklagt und hat einen Bundeshaftbefehl im Bezirk Kansas ausgestellt.
US-Ermittlungen haben diese Hacker mit Ransomware-Vorfällen in Verbindung gebracht, die zwei US-Luftwaffenstützpunkte, fünf Gesundheitsdienstleister, vier Rüstungsunternehmen und das Office of Inspector General der NASA betrafen.
Das Außenministerium stellte fest, dass Hyok und seine Komplizen US-Krankenhäuser gehackt, Maui-Ransomware installiert und Lösegelder erpresst haben, um weitere Cyberoperationen zu finanzieren.
Bei einem bemerkenswerten Vorfall im November 2022 stahlen Andariel-Hacker über 30 Gigabyte an Daten, darunter Informationen über Militärflugzeuge und Satelliten, von einem US-Rüstungsunternehmen.
Das Programm „Rewards for Justice“, das Belohnungen für Informationen über Bedrohungen der nationalen Sicherheit der USA anbietet, kümmert sich um die Tipps und hat einen speziellen Tor SecureDrop-Server für Einreichungen eingerichtet.
Darüber hinaus identifizierte eine gemeinsame Empfehlung der CISA, des FBI und der Cybersicherheitsbehörden aus Großbritannien und Südkorea Andariel als APT45, Onyx Sleet und andere Aliasnamen, was sie mit dem nordkoreanischen Reconnaissance General Bureau in Verbindung brachte.
Andariel konzentriert sich auf den Diebstahl sensibler militärischer und geistiger Eigentumsinformationen, die eine erhebliche Bedrohung für verschiedene Branchen weltweit darstellen.
Organisationen kritischer Infrastrukturen wird empfohlen, die in der Empfehlung empfohlenen Risikominderungen zu befolgen.
Russische Ransomware-Gangs machen 69 % aller Lösegelderlöse aus
Russischsprachige Cyberkriminelle waren im vergangenen Jahr für 69 % aller Kryptowährungserlöse im Zusammenhang mit Ransomware-Angriffen verantwortlich und haben über 500 Millionen US-Dollar angehäuft. Diese Daten stammen von TRM Labs, einem Blockchain-Intelligence-Unternehmen, das kryptogestützte Finanzkriminalität verfolgt. Während Nordkorea beim Diebstahl von Kryptowährungen durch Sicherheitsverletzungen führend ist, dominieren russische Akteure andere Formen der Krypto-bezogenen Cyberkriminalität. Zu den wichtigsten russischen Ransomware-Gruppen gehörten im Jahr 2023 LockBit, Black Basta, ALPHV/BlackCat, Cl0p, PLAY und Akira. Trotz einiger Störungen, wie der Abschaltung von ALPHV/BlackCat und der reduzierten Aktivität von LockBit aufgrund von Strafverfolgungsbemühungen, sind neue Gruppen wie RansomHub entstanden, um die Lücke zu füllen. Allein LockBit und ALPHV haben im vergangenen Jahr mindestens 320 Millionen US-Dollar an Kryptowährungs-Lösegeldern eingesammelt, wobei die Gesamterlöse aus russischer Ransomware 500 Millionen US-Dollar überstiegen. Russische Cyberkriminelle zeichnen sich nicht nur durch Ransomware aus, sondern auch durch das Betreiben von Darknet-Märkten, die im Jahr 2023 95 % der weltweiten illegalen Verkäufe ausmachten. Die größten russischen Darknet-Märkte wickelten Transaktionen im Wert von 1,4 Milliarden US-Dollar ab und übertrafen damit die westlichen Pendants bei weitem. Darüber hinaus ist Russland eine wichtige Drehscheibe für Geldwäsche, wobei Garantex, ein in Russland ansässiges Unternehmen, für 82 % der Kryptowährung verantwortlich ist, die von sanktionierten Organisationen weltweit abgewickelt wird. TRM führt die hohe Beteiligung der Russen an der Cyberkriminalität auf historische, regulatorische und normative Faktoren sowie auf die politische Isolation Russlands zurück, die die Verfolgung und Festnahme dieser Kriminellen erschwert. Der anhaltende Krieg in der Ukraine hat den Fluss illegaler Gelder weiter intensiviert, wobei 85 Millionen US-Dollar von Russland an chinesische Unternehmen geflossen sind, die militärische Ausrüstung an die russischen Streitkräfte liefern.
FBCS-Datenschutzverletzung betrifft mittlerweile über 4,2 Millionen Menschen
Financial Business and Consumer Solutions (FBCS) hat den Umfang seiner Datenschutzverletzung vom Februar aktualisiert und bekannt gegeben, dass der Vorfall nun etwa 4,2 Millionen Menschen in den Vereinigten Staaten betrifft.
Zunächst berichtete das Unternehmen, dass rund 1,9 Millionen Menschen betroffen waren.
Diese Zahl wurde später auf 3,2 Millionen korrigiert.
In der jüngsten Aktualisierung teilte FBCS in Zusammenarbeit mit der Generalstaatsanwaltschaft von Maine mit, dass insgesamt 4.253.394 Menschen von der Sicherheitsverletzung betroffen sind.
Zu den kompromittierten Daten gehören vertrauliche Informationen wie Sozialversicherungsnummern, Geburtsdaten und Führerscheinnummern.
Die Betroffenen wurden benachrichtigt und bieten kostenlose Dienste zur Kreditüberwachung und Identitätswiederherstellung an.
Obwohl die genaue Art des Angriffs unklar bleibt, wird Einzelpersonen empfohlen, wachsam gegenüber potenziellen Phishing-Versuchen zu bleiben und ihre Kreditauskünfte auf Anzeichen von Betrug zu überwachen.
Fazit
Die zunehmende Raffinesse und Häufigkeit von Cyber-Bedrohungen, einschließlich Ransomware-Angriffen, unterstreicht, wie wichtig eine proaktive und umfassende Cybersicherheitsstrategie ist. Die jüngsten Ereignisse unterstreichen den dringenden Bedarf an robusten Abwehrmaßnahmen und effektiven Reaktionsplänen, um die Auswirkungen solcher Angriffe abzumildern. Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir grundlegende Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen an. Wenn Sie fachkundige Unterstützung benötigen, um einen Ransomware-Vorfall zu bewältigen und sich davon zu erholen, wenden Sie sich an uns, um maßgeschneiderte Lösungen zu erhalten.