Ransomware-Angriff unterbricht Abläufe in der Lieferkette
Blue Yonder, ein führendes Supply-Chain-Management-Unternehmen, sah sich nach einem Ransomware-Angriff am 21. November 2024 mit einer erheblichen Störung konfrontiert. Dieser Vorfall wirkte sich auf die Managed-Services-Umgebung des Unternehmens aus, die kritische Abläufe für Großkunden unterstützt, darunter britische Lebensmittelketten wie Morrisons und Sainsbury. Der Angriff hat einige Unternehmen gezwungen, Notfallmaßnahmen zu ergreifen, wie z. B. langsamere Backup-Prozesse, während andere wie Starbucks auf manuelle Gehaltsabrechnungssysteme zurückgegriffen haben. Die Dienstleistungen von Blue Yonder, bekannt für KI-gesteuerte Lösungen in den Bereichen Bestandsoptimierung und Logistik, sind für über 3.000 globale Kunden, darunter namhafte Marken wie Nestlé und Tesco, von entscheidender Bedeutung. Das Unternehmen arbeitet mit Cybersicherheitsexperten zusammen, um Dienste wiederherzustellen, und hat fortschrittliche Verteidigungsprotokolle implementiert, obwohl die Zeitpläne für die Wiederherstellung ungewiss bleiben. Trotz der Komplexität der Ransomware-Variante versichert Blue Yonder seinen Kunden, dass seine Public-Cloud-Umgebung keine Anzeichen einer Kompromittierung gezeigt hat, und fordert sie auf, über die offizielle Kommunikation auf dem Laufenden zu bleiben.
Ausgeklügelte Zero-Day-Exploits zielen auf Browser und Systeme ab
Die in Russland ansässige Cybercrime-Gruppe RomCom hat fortschrittliche Angriffe gestartet, indem sie zwei Zero-Day-Schwachstellen verkettet hat, die Firefox- und Windows-Systeme betreffen. Die erste Schwachstelle (CVE-2024-9680) in der Animationszeitleiste von Firefox ermöglichte es Angreifern, Code innerhalb der Browser-Sandbox auszuführen, während die zweite (CVE-2024-49039) den Windows Task Scheduler ausnutzte, um die Sandbox vollständig zu umgehen. Diese Schwachstellen, die im Oktober bzw. November 2024 gepatcht wurden, wurden zusammen genutzt, um die RomCom-Hintertür über bösartige Websites zu verbreiten, ohne dass eine Benutzerinteraktion erforderlich war. Die Hintertür ermöglichte es Angreifern, Befehle auszuführen und weitere Payloads auf kompromittierten Systemen bereitzustellen. Bemerkenswert ist, dass die Gruppe auch Benutzer des Tor-Browsers durch manipulierte JavaScript-Exploits ins Visier nahm, was die Präzision der Operation unterstreicht. ESET-Forscher haben diese weit verbreitete Kampagne identifiziert, die auf Sektoren wie Verteidigung, Energie und Behörden in der Ukraine, Europa und Nordamerika abzielt. Mit einer Geschichte der Nutzung von Zero-Day-Schwachstellen für Spionage- und Ransomware-Aktivitäten bleibt RomCom ein beeindruckender Bedrohungsakteur.
Chinesische Hacker nutzen Router bei Einbruch in das T-Mobile-Netz aus
T-Mobile enthüllte, dass staatlich geförderte chinesische Hacker, bekannt als „Salt Typhoon“, in sein Netzwerk eindrangen, indem sie Router kompromittierten, um laterale Bewegungen zu erleichtern. Die Sicherheitsmaßnahmen des Unternehmens, einschließlich Netzwerksegmentierung und proaktiver Überwachung, vereitelten jedoch die Angreifer, bevor auf Kundendaten zugegriffen werden konnte. Salt Taifun, auch als Earth Estries und Ghost Emperor bezeichnet, hat in der Vergangenheit immer wieder Regierungs- und Telekommunikationssektoren ins Visier genommen, vor allem in Südostasien. Jeff Simon, Chief Security Officer von T-Mobile, betonte, dass Aufklärungsbefehle zwar erkannt wurden, sensible Kundeninformationen, einschließlich Anrufe und Nachrichten, jedoch sicher blieben. Der Angriff ging von einem kompromittierten Mobilfunknetz aus, was T-Mobile dazu veranlasste, die Konnektivität zu unterbrechen, um weitere Risiken zu vermeiden. Dieser Verstoß ist Teil einer breiter angelegten Kampagne, die mit chinesischen Hackern in Verbindung steht, die es auf Telekommunikationsanbieter wie AT&T und Verizon abgesehen haben und zu unbefugtem Zugriff auf Regierungskommunikation und Internetverkehr geführt haben. T-Mobile hat seine Ergebnisse mit Regierungsbehörden und Industriepartnern geteilt, um die Zusammenarbeit im Sicherheitsbereich zu verbessern.
Hacker nutzen die Godot-Engine aus, um Gamer und Entwickler ins Visier zu nehmen
Hacker haben die Godot-Spiel-Engine genutzt, um GodLoader-Malware zu verbreiten und über 17.000 Geräte in einer hochentwickelten Kampagne zu infizieren. Durch das Einbetten schädlicher Skripte in die .pck-Dateien von Godot umgehen Angreifer Erkennungssysteme und führen bösartigen Code auf den Geräten der Opfer aus. Diese Kampagne richtete sich an Gamer und Entwickler auf Plattformen wie Windows, macOS und Linux, stiehlte Anmeldeinformationen und lud Payloads wie den XMRig-Krypto-Miner herunter. Darüber hinaus wurden infizierte Systeme Berichten zufolge verwendet, um DDoS-Angriffe (Distributed Denial-of-Service) zu erleichtern und die Auswirkungen der Bedrohung zu verstärken. Die Malware wurde über das Stargazers Ghost Network verbreitet, eine Malware-as-a-Service-Plattform , die über 200 GitHub-Repositories und 3.000 Konten nutzt, um bösartige Tools bereitzustellen, die als legitime Software getarnt sind. Trotz des Ausmaßes des Angriffs betonten die Godot-Entwickler, dass die Schwachstelle nicht nur für die Engine gilt, und ermutigten die Benutzer, Software nur von vertrauenswürdigen Quellen herunterzuladen, um das Risiko einer Ausnutzung zu verringern.
Bologna FC von RansomHub-Ransomware-Angriff betroffen, Daten online durchgesickert
Der Bologna Football Club 1909 hat einen Angriff der Gruppe hinter der RansomHub-Ransomware bestätigt, der zum Diebstahl und zur Online-Veröffentlichung sensibler Daten führte. Der italienische Klub warnte, dass der Besitz oder die Weitergabe der durchgesickerten Daten, zu denen Sponsorenverträge, Finanzunterlagen, medizinische Informationen von Spielern und Transferstrategien gehören, eine Straftat darstellt. Die RansomHub-Gruppe drohte zunächst damit, die Daten zu veröffentlichen, wenn kein Lösegeld gezahlt würde, und ließ später den Datensatz durchsickern, als keine Zahlung erfolgte. Zu den offengelegten Daten gehören persönliche und vertrauliche Daten von Spielern, Mitarbeitern und Fans sowie kommerzielle Strategien und Stadioninformationen. RansomHub rechtfertigte sein Vorgehen damit, dass es dem Club vorwarf, sensible Informationen nicht zu schützen. Ransomware-Angriffe auf Sportorganisationen sind selten, aber weitreichend, wobei frühere Fälle hochkarätige Teams wie ASVEL und die San Francisco 49ers betrafen. Die Sicherheitsverletzung beim FC Bologna unterstreicht die wachsenden Risiken von Cyberangriffen in der Sportbranche.
Russland verhaftet Cyberkriminellen, der mit mehreren Ransomware-Operationen in Verbindung gebracht wird
Die russischen Behörden haben Michail Pawlowitsch Matwejew, bekannt unter Decknamen wie Wazawaka und Boriselcin, wegen seiner Beteiligung an Ransomware-Banden wie LockBit und Hive verhaftet. Matveev soll Malware entwickelt haben, um Daten gegen Lösegeld zu verschlüsseln und damit auf kommerzielle Organisationen und kritische Infrastrukturen abzuzielen. Die US-Staatsanwaltschaft hatte ihn zuvor angeklagt, im Jahr 2020 die LockBit-Ransomware gegen eine Strafverfolgungsbehörde in New Jersey und im Jahr 2022 die Hive-Ransomware gegen eine gemeinnützige Gesundheitsorganisation eingesetzt zu haben. Es wird auch angenommen, dass er mit der Ransomware-Gruppe Babuk in Verbindung steht, die dafür berüchtigt ist, das Metropolitan Police Department in Washington, D.C., ins Visier zu nehmen. Matveev sprach offen über seine Cybercrime-Aktivitäten im Internet, auch über seinen aktiven Twitter-Account, wo er die Strafverfolgungsbehörden verspottete. Das US-Außenministerium hat eine Belohnung von 10 Millionen US-Dollar für Informationen ausgesetzt, die zu seiner Ergreifung führen, und unterstreicht damit seine Rolle bei der Orchestrierung hochkarätiger Angriffe, an denen Ransomware-Banden wie Hive und LockBit beteiligt sind.
Neue PhaaS-Plattform Rockstar 2FA zielt auf Microsoft 365-Konten ab
Das Aufkommen von Rockstar 2FA, einer Phishing-as-a-Service (PhaaS)-Plattform, hat das Risiko eines groß angelegten Diebstahls von Anmeldeinformationen durch Advanced Adversary-in-the-Middle (AiTM)-Angriffe erhöht. Diese Plattform ermöglicht es Angreifern, die Multifaktor-Authentifizierung (MFA) zu umgehen, indem sie gültige Sitzungscookies von Opfern abfangen, die sich auf gefälschten Microsoft 365-Anmeldeseiten anmelden. Durch die Nutzung von Phishing-as-a-Service-Tools erfasst Rockstar 2FA Cookies, nachdem die Opfer den Authentifizierungsprozess abgeschlossen haben, und ermöglicht so einen direkten Kontozugriff, ohne dass die Anmeldeinformationen erforderlich sind. Rockstar 2FA ist eine aktualisierte Iteration früherer Kits wie DadSec und Phoenix und hat seit Mitte 2024 an Popularität gewonnen und bietet Funktionen wie zufällige Links, automatisierte Umgehungstaktiken und Marken-Login-Themen. Dieser PhaaS-Dienst wird auf Plattformen wie Telegram beworben und hat über 5.000 Phishing-Domains und Phishing-Kampagnen ermöglicht, die legitime E-Mail-Marketing-Tools verwenden, um bösartige Nachrichten zu verbreiten. Trotz des harten Vorgehens der Strafverfolgungsbehörden gegen PhaaS-Betreiber unterstreichen Tools wie Rockstar 2FA die anhaltende Bedrohung, die von zugänglichen und kostengünstigen Phishing-Lösungen ausgeht.
Fazit
Angesichts dieser Vorfälle ist klar, dass Cyberbedrohungen wie Ransomware-Angriffe erhebliche Risiken für Unternehmen in verschiedenen Branchen darstellen. Die Bedeutung robuster Cybersicherheitsmaßnahmen und schneller Wiederherstellungsstrategien für die Aufrechterhaltung der Kontinuität des Geschäftsbetriebs kann nicht hoch genug eingeschätzt werden. Bei BeforeCrypt sind wir darauf spezialisiert, den durch solche Angriffe verursachten Schaden mit unseren fachkundigen Dienstleistungen für Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen zu mindern.