Rekordverdächtige Krypto-Raubüberfälle durch nordkoreanische Hacker im Jahr 2024
Nordkoreanische staatlich unterstützte Hacker haben laut Chainalysis im Jahr 2024 einen neuen Rekord aufgestellt und durch 47 gezielte Cyberangriffe Kryptowährungen im Wert von 1,34 Milliarden US-Dollar gestohlen. Diese erschütternde Zahl macht 61 % der weltweiten Krypto-Diebstähle des Jahres aus, was einem Anstieg von 21 % im Vergleich zu 2023 entspricht. Obwohl die Gesamtzahl der Vorfälle weltweit mit 303 ein Allzeithoch erreicht hat, liegt der Gesamtwert der gestohlenen Vorfälle immer noch hinter dem Höchststand von 3,7 Milliarden US-Dollar im Jahr 2022 zurück. Die meisten Verluste ereigneten sich in der ersten Jahreshälfte, wobei von Januar bis Juli 72 % der gesamten gestohlenen Gelder entfielen. Aufsehenerregende Sicherheitsverletzungen, wie der 305 Millionen US-Dollar schwere DMM-Bitcoin-Hack im Mai und der 235 Millionen US-Dollar schwere WazirX-Raub im Juli, unterstreichen das Ausmaß dieser Operationen. Analysten betonen, dass verbesserte Sicherheitsüberprüfungen zwar ausnutzbare Plattformfehler reduziert haben, die schwache Verwaltung privater Schlüssel jedoch eine kritische Schwachstelle bleibt, die weiterhin ausgenutzt wird.
US-Gericht macht Spyware-Hersteller NSO Group für WhatsApp-Hacks verantwortlich
Ein US-Bundesgericht hat gegen den israelischen Spyware-Entwickler NSO Group entschieden und ihn für verantwortlich befunden, durch die Verwendung von WhatsApp-Zero-Day-Exploits zur Bereitstellung seiner Pegasus-Spyware gegen US-Hacking-Gesetze verstoßen zu haben. Die Entscheidung ist ein bedeutender Sieg für das zu Meta gehörende WhatsApp, das die Klage vor fünf Jahren eingereicht hatte und NSO beschuldigte, gegen den Computer Fraud and Abuse Act (CFAA) und den kalifornischen Computer Data Access and Fraud Act (CDAFA) verstoßen zu haben. Pegasus, das an Regierungen zur Überwachung vermarktet wurde, wurde auch nach der Einleitung der Klage im Jahr 2019 bei Null-Klick-Angriffen auf über 1.400 Geräte eingesetzt. WhatsApp betonte die weitreichenden Auswirkungen des Urteils und behauptete, dass Spyware-Unternehmen nicht ohne Rechenschaftspflicht arbeiten können. Während NSO eine direkte Beteiligung an den Aktivitäten seiner Kunden bestritt, wurde die Spyware mit dem Angriff auf Diplomaten, Politiker, Journalisten und Aktivisten weltweit in Verbindung gebracht. Das Gericht muss noch über den Schadenersatz entscheiden, eine Entscheidung wird Anfang nächsten Jahres erwartet.
Clop Ransomware intensiviert Erpressungsbemühungen nach Cleo-Datendiebstahl-Angriffen
Die Betreiber der Clop Ransomware haben ihre Erpressungskampagne nach einem bedeutenden Verstoß gegen die Cleo-Software ausgeweitet. Die Bande nutzte eine Zero-Day-Schwachstelle mit der Nummer CVE-2024-50623 in den Produkten LexiCom, Harmony und VLTrader von Cleo aus, um sensible Daten zu stehlen. Jetzt setzen sie 66 geschädigte Unternehmen unter Druck, innerhalb von 48 Stunden Lösegeldverhandlungen aufzunehmen. Das Dark-Web-Portal von Clop listet teilweise Firmennamen auf und warnt davor, dass vollständige Offenlegungen folgen werden, wenn die Opfer nicht reagieren. Diese jüngste Zero-Day-Exploitation ist Teil des etablierten Musters von Clop, Schwachstellen in sicheren Dateiübertragungslösungen wie MOVEit Transfer und Accellion FTA ins Visier zu nehmen. Die Cleo-Schwachstelle ermöglichte uneingeschränkte Datei-Uploads und -Downloads, was zur Remote-Codeausführung und zum Datendiebstahl führte. Für die betroffenen Produkte von Cleo wurde ein Patch veröffentlicht, obwohl Bedenken hinsichtlich der Robustheit bestehen. Mit über 4.000 Unternehmen, die Cleo-Software weltweit nutzen, bleibt das Ausmaß der Auswirkungen von Clop-Ransomware auf diese Angriffswelle ungewiss.
Kreditkartendaten von ZAGG-Kunden bei Sicherheitsverletzungen durch Dritte offengelegt
ZAGG Inc. hat bekannt gegeben, dass Hacker durch einen Verstoß in der FreshClicks-App, einem Drittanbieter-Tool, das vom E-Commerce-Partner BigCommerce bereitgestellt wird, auf die Kreditkarteninformationen von Kunden zugegriffen haben. Der böswillige Angriff zielte zwischen dem 26. Oktober und dem 7. November 2024 auf den Checkout-Prozess auf der ZAGG-Website ab und stahl Namen, Adressen und Zahlungskartendaten. FreshClicks, das über den App-Marktplatz von BigCommerce angeboten wird, wurde durch eingeschleusten bösartigen Code kompromittiert, der darauf abzielte, sensible Daten zu scrapen. BigCommerce stellte klar, dass seine Kernsysteme nicht betroffen waren, und handelte schnell, um die kompromittierte App aus den betroffenen Stores zu deinstallieren. Als Reaktion darauf hat die ZAGG Abhilfemaßnahmen eingeleitet, die Bundesbehörden informiert und den betroffenen Kunden eine 12-monatige Kreditüberwachung über Experian zur Verfügung gestellt. Während die genaue Anzahl der betroffenen Personen nicht bekannt gegeben wird, rät ZAGG zur Wachsamkeit bei der Überwachung von Finanzaktivitäten und zur Erwägung von Betrugswarnungen oder Kreditsperren, um potenzielle Risiken aus dieser Verletzung zu mindern.
Veraltete D-Link-Router wurden bei jüngsten Angriffen von Malware-Botnets ins Visier genommen
Die Malware-Botnets „Ficora“ und „Capsaicin“ nutzen in einer Welle von Angriffen veraltete und ausgediente D-Link-Router aus und nutzen dabei bekannte Schwachstellen wie CVE-2015-2051, CVE-2019-10891 und CVE-2024-33112 aus. Zu den Zielmodellen gehören beliebte Geräte wie DIR-645 und GO-RT-AC750, die häufig von Privatpersonen und Unternehmen verwendet werden. Nachdem sie sich Zugang verschafft haben, nutzen die Botnets Schwachstellen in der Verwaltungsschnittstelle des Routers aus, um Befehle auszuführen und bösartige Nutzlasten bereitzustellen. Ficora, eine Mirai-Botnet-Variante, verbreitet sich über Brute-Force-Anmeldeinformationen und startet DDoS-Angriffe mit UDP-, TCP- und DNS-Amplification. Capsaicin, das mit der Keksec-Gruppe in Verbindung steht, verwendet Downloader-Skripte, um Geräte zu infizieren und konkurrierende Botnets zu deaktivieren. Beide Botnets nutzen die kompromittierten Router für Datendiebstahl und DDoS-Angriffe. Um sich vor solchen Bedrohungen zu schützen, sollten Benutzer die Gerätefirmware aktualisieren, nicht unterstützte Hardware ersetzen und Geräte mit sicheren Passwörtern sichern, während sie unnötige Fernzugriffsfunktionen deaktivieren.
Chinesische Hacker dringen über Remote-Support-Plattform in das US-Finanzministerium ein
Staatlich geförderte chinesische Hacker sind in das US-Finanzministerium eingedrungen, indem sie Schwachstellen in der Remote Support SaaS-Plattform von BeyondTrust ausgenutzt haben. Der Angriff, der einer Advanced Persistent Threat (APT)-Gruppe zugeschrieben wird, wurde den Gesetzgebern offengelegt, nachdem der Verstoß am 8. Dezember 2024 identifiziert worden war. Die Bedrohungsakteure nutzten einen gestohlenen API-Schlüssel, um Passwörter zurückzusetzen und privilegierten Zugriff auf die Systeme der Behörde zu erhalten, was es ihnen ermöglichte, sensible Dokumente aus der Ferne zu stehlen. Die Untersuchung von BeyondTrust deckte zwei Zero-Day-Schwachstellen auf, CVE-2024-12356 und CVE-2024-12686, die die Kompromittierung ermöglichten. Das Unternehmen hat die betroffenen Instanzen inzwischen abgeschaltet und den gestohlenen Schlüssel widerrufen. Das FBI und die CISA haben bestätigt, dass nach den Bemühungen zur Eindämmung kein laufender Zugang besteht. Dieser Verstoß verdeutlicht ein breiteres Muster von Angriffen durch chinesische Hacker, einschließlich der jüngsten Eingriffe in die Telekommunikation, die auf Textnachrichten und Abhördaten abzielen. Als Reaktion darauf setzen die US-Behörden auf verschlüsselte Kommunikationsinstrumente, um Abhörrisiken entgegenzuwirken.
Fazit
Zusammenfassend lässt sich sagen, dass die sich entwickelnde Cybersicherheitslandschaft weiterhin von ausgeklügelten Bedrohungen geprägt ist, darunter Zero-Day-Exploits, Ransomware-Angriffe und Datenschutzverletzungen, die auf kritische Infrastrukturen abzielen. Unternehmen müssen proaktiv bleiben, indem sie robuste Abwehrmaßnahmen implementieren und sich über neue Schwachstellen informieren. Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir maßgeschneiderte Lösungen, die Unternehmen bei der Eindämmung und Wiederherstellung von Ransomware-Vorfällen unterstützen.
Unsere Dienstleistungen umfassen das Services zur Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen sowie Ransomware-Lösegeldzahlungen. Wenn Ihr Unternehmen mit einer Ransomware-Krise konfrontiert ist oder fachkundige Beratung benötigt, um seine Abwehrmaßnahmen zu verbessern, kontaktieren Sie uns noch heute.