Versa Networks behebt kritische Zero-Day-Schwachstelle in der Director-Plattform
Versa Networks hat eine kritische Zero-Day-Schwachstelle in seiner Director-Plattform behoben, die bei aktiven Angriffen ausgenutzt wurde.
Bei der Schwachstelle, die als CVE-2024-39717 identifiziert wurde, handelt es sich um eine Schwachstelle beim uneingeschränkten Hochladen von Dateien in der Funktion „Change Favicon“ der Plattform, die es Angreifern mit bestimmten Administratorrechten ermöglicht, bösartige Dateien hochzuladen, die als harmlose PNG-Bilder getarnt sind.
Diese Schwachstelle stellt ein erhebliches Risiko dar, insbesondere für Unternehmen, die die seit 2017 bzw. 2015 verfügbaren Systemhärtungs- und Firewall-Richtlinien von Versa nicht befolgt haben.
Die Schwachstelle wurde bereits von mindestens einem Advanced Persistent Threat (APT)-Akteur ausgenutzt.
Versa hat seine Kunden aufgefordert, ihre Software auf die neueste Version zu aktualisieren und die notwendigen Sicherheitsmaßnahmen zu ergreifen, um potenzielle Risiken zu minimieren.
Die Cybersecurity and Infrastructure Security Agency (CISA) hat ebenfalls auf diese Schwachstelle hingewiesen und fordert die Bundesbehörden auf, ihre Systeme bis zum 13. September zu sichern, um eine weitere Ausnutzung zu verhindern.
Patelco benachrichtigt 726.000 Kunden über eine Datenschutzverletzung bei RansomHub
Die Patelco Credit Union hat über 726.000 Kunden nach einem Angriff der Ransomware-Bande RansomHub auf eine bedeutende Datenschutzverletzung aufmerksam gemacht.
Die Sicherheitsverletzung, die sich am 29. Juni 2024 ereignete, zwang Patelco, seine kundenorientierten Banksysteme für zwei Wochen herunterzufahren, um den Vorfall einzudämmen.
Obwohl zunächst nicht sicher war, ob Daten kompromittiert worden waren, bestätigte eine Untersuchung, dass die Angreifer auf sensible Kundeninformationen zugegriffen haben, darunter vollständige Namen, Sozialversicherungsnummern, Führerscheinnummern, Geburtsdaten und E-Mail-Adressen.
Am 15. August 2024 übernahm die RansomHub-Gruppe die Verantwortung, indem sie die gestohlenen Daten auf ihrem Erpressungsportal im Dark Web veröffentlichte, nachdem die Verhandlungen mit Patelco gescheitert waren.
Als Reaktion darauf bietet Patelco betroffenen Kunden zwei Jahre lang kostenlose Identitätsschutz- und Kreditüberwachungsdienste an und fordert sie auf, wachsam gegenüber potenziellen Phishing- und Social-Engineering-Betrügereien zu bleiben.
US Marshals Service bestreitet Vorwürfe der Hunters International Ransomware Group
Der U.S. Marshals Service (USMS) hat die Behauptungen der Ransomware-Bande Hunters International zurückgewiesen, die die Agentur kürzlich als Opfer auf ihrer Dark-Web-Leak-Site aufgeführt hat.
Nach Angaben eines USMS-Sprechers hat die Behörde die online veröffentlichten Materialien überprüft, die eher von einem früheren Vorfall als von einem neuen Verstoß zu stammen scheinen.
Die Ransomware-Gruppe hat die angeblich gestohlenen Dokumente noch nicht veröffentlicht, hat aber Miniaturbilder als angebliche Beweise geteilt.
Die Daten, die Hunters International angeblich besitzt, stimmen mit Dateien überein, die im März 2023 in einem russischsprachigen Hacking-Forum zum Verkauf angeboten wurden.
Diese Dateien enthalten angeblich sensible Informationen wie Kopien von Pässen, Luftaufnahmen von Militärstützpunkten und Details zu Abhör- und Überwachungsaktivitäten.
Es ist unklar, ob die Ransomware-Gruppe diese Daten vom ursprünglichen Verkäufer erworben hat oder versucht, sie weiterzuverkaufen.
Der USMS hatte zuvor im Februar 2023 einen Ransomware-Angriff eingeräumt, der sich auf ein eigenständiges System mit sensiblen Informationen der Strafverfolgungsbehörden auswirkte.
BlackSuit Ransomware-Verstoß legt Daten von 950.000 Daten eines Softwareanbieters offen
Young Consulting, das jetzt in Connexure umbenannt wurde, hat damit begonnen, 954.177 Personen über eine bedeutende Datenschutzverletzung zu informieren, die auf einen BlackSuit-Ransomware-Angriff am 10. April 2024 zurückzuführen ist.
Der in Atlanta ansässige Anbieter von Softwarelösungen, der sich auf den Markt für Arbeitgeber-Stop-Loss-Versicherungen spezialisiert hat, entdeckte den Verstoß drei Tage, nachdem die Angreifer seine Systeme verschlüsselt hatten.
Nach einer gründlichen Untersuchung, die am 28. Juni abgeschlossen wurde, wurde festgestellt, dass sensible Informationen – einschließlich vollständiger Namen, Sozialversicherungsnummern, Geburtsdaten und Details zu Versicherungsansprüchen – kompromittiert worden waren.
Als Reaktion darauf bietet das Unternehmen den Betroffenen einen 12-monatigen kostenlosen Kreditüberwachungsdienst über Cyberscout an, der bis November 2024 eingeschrieben werden kann.
Die Dringlichkeit für die Betroffenen ist jedoch noch erhöht, da BlackSuit die gestohlenen Daten bereits auf seinem Darknet-Erpressungsportal veröffentlicht hat, wodurch sie möglicherweise weiteren Risiken wie Phishing und Betrug ausgesetzt sind.
BlackSuit, das als Rebranding der berüchtigten Royal-Ransomware identifiziert wurde, hat in den letzten zwei Jahren erhebliche Lösegeldforderungen gestellt, die zahlreichen Organisationen erheblichen finanziellen Schaden zugefügt haben.
Iranische Hacker kollaborieren mit Ransomware-Banden, um US-Organisationen zu erpressen
Eine iranische Hackergruppe namens Pioneer Kitten dringt in US-Organisationen in Bereichen wie Verteidigung, Bildung, Finanzen und Gesundheitswesen ein und arbeitet mit Ransomware-Banden zusammen, um Opfer zu erpressen.
Pioneer Kitten ist seit 2017 aktiv und mit der iranischen Regierung verbunden und monetarisiert den Zugang zu kompromittierten Netzwerken, indem es Domain-Admin-Anmeldeinformationen auf Cybercrime-Marktplätzen verkauft.
Laut einer gemeinsamen Empfehlung der CISA, des FBI und des Verteidigungsministeriums hat Pioneer Kitten kürzlich mit Ransomware-Partnern wie NoEscape, Ransomhouse und ALPHV (BlackCat) zusammengearbeitet, um Verschlüsselungsoperationen durchzuführen und Erpressungsstrategien zu entwickeln, wobei sie oft ihre iranische Herkunft verheimlichten.
Die Gruppe ist dafür bekannt, kritische Schwachstellen in Sicherheitsgeräten auszunutzen, und war auch am Verkauf des Zugangs in Untergrundforen beteiligt, was mit den geopolitischen Interessen des Iran übereinstimmt.
USA bieten Belohnung in Höhe von 2,5 Millionen US-Dollar für Hacker, der mit Angler-Exploit-Kit in Verbindung steht
Das US-Außenministerium und der Geheimdienst haben eine Belohnung von 2,5 Millionen US-Dollar für Informationen ausgesetzt, die zur Festnahme oder Verurteilung des belarussischen Staatsbürgers Wolodymyr Kadarija führen.
Der 38-Jährige wird wegen seiner Rolle in verschiedenen Cybercrime-Aktivitäten gesucht, darunter die Verwaltung von Malvertising-Operationen für das berüchtigte Angler Exploit Kit zwischen Oktober 2013 und März 2022.
Kadariya, der im Internet unter Decknamen wie „Stalin“ und „Eseb“ bekannt ist, wurde im Juni 2023 wegen Überweisungs- und Computerbetrugs angeklagt, die Anklageschrift wurde im August 2024 entsiegelt.
Er ist mit globalen Malware-Verbreitungsoperationen verbunden und arbeitete mit Maksim Silnikau zusammen, der derzeit in den Vereinigten Staaten mit mehreren Anklagen konfrontiert ist.
Das Angler Exploit Kit war berüchtigt dafür, veraltete Software auszunutzen, um Malware zu verbreiten, wobei Kadariya eine Schlüsselrolle bei der Verbreitung durch bösartige Werbung spielte.
Sein aktueller Aufenthaltsort ist unbekannt und die Belohnung bleibt aktiv.
FBI: RansomHub Ransomware hat seit Februar 210 Opfer angegriffen
Seit ihrem Auftauchen im Februar 2024 hat die Ransomware-as-a-Service (RaaS)- Operation RansomHub über 210 Opfer in verschiedenen kritischen Infrastruktursektoren der USA kompromittiert.
Diese RaaS-Gruppe konzentriert sich in erster Linie auf auf Datendiebstahl basierende Erpressung, droht mit der Veröffentlichung gestohlener Dateien, wenn kein Lösegeld gezahlt wird, und verkauft die Daten an den Meistbietenden, wenn die Verhandlungen scheitern.
RansomHub-Tochtergesellschaften wurden mit Verstößen hochkarätiger Organisationen in Verbindung gebracht, darunter Patelco Credit Union, Rite Aid, Christie’s, Frontier Communications und Halliburton.
RansomHub, das sich aus früheren Iterationen entwickelt hat, die als Cyclops und Knight bekannt sind, hat an Zugkraft gewonnen, indem es Partner aus anderen prominenten Ransomware-Varianten wie LockBit und ALPHV angezogen hat.
Das FBI, DIE CISA, MS-ISAC und das HHS haben eine gemeinsame Empfehlung herausgegeben, in der sie Unternehmen auffordern, ihre Abwehrmaßnahmen zu stärken, indem sie Schwachstellen patchen, sichere Passwörter verwenden und die Multifaktor-Authentifizierung aktivieren.
Die Behörden warnen auch davor, Lösegeld zu zahlen, da dies zu weiteren kriminellen Aktivitäten ermutigen könnte und keine Datenwiederherstellung garantiert.
Halliburton-Cyberangriff im Zusammenhang mit der RansomHub-Ransomware-Bande
Die Ransomware-Bande RansomHub steckt hinter dem jüngsten Cyberangriff auf den Öldienstleistungsriesen Halliburton, der die IT-Systeme und den Betrieb des Unternehmens störte. Diese Ransomware-as-a-Service (RaaS)-Operation, die seit Februar 2024 aktiv ist, konzentriert sich auf doppelte Erpressungstaktiken, den Diebstahl von Daten und die Drohung, sie preiszugeben, wenn kein Lösegeld gezahlt wird. Halliburton räumte den Angriff in einer SEC-Einreichung ein, nannte aber nur begrenzte Details. Es wird angenommen, dass RansomHub ein Rebranding der Knight-Ransomware ist, mit Verbindungen zu ehemaligen BlackCat/ALPHV-Partnern. Das FBI hat kürzlich eine Empfehlung zu RansomHub veröffentlicht, in der die Beteiligung des Unternehmens an über 210 Verstößen seit seiner Einführung hervorgehoben wird. Diese Bande hat zahlreiche hochkarätige Organisationen ins Visier genommen und ihre Angriffe eskaliert, indem sie das Know-how aus der BlackCat-Ransomware nutzte.
Forscher wegen Weitergabe von Daten, die von Rhysida Ransomware gestohlen wurden, an Medien verklagt
Die Stadt Columbus, Ohio, hat eine Klage gegen den Sicherheitsforscher David Leroy Ross, bekannt als Connor Goodwolf, eingereicht, weil er angeblich Daten heruntergeladen und verbreitet hat, die während eines Rhysida-Ransomware-Angriffs gestohlen wurden.
Die Stadt wurde am 18. Juli 2024 Opfer des Angriffs, wobei Rhysida später behauptete, 6,5 TB an sensiblen Daten gestohlen zu haben, darunter Polizei- und Staatsakten.
Nachdem Rhysida 45 % der gestohlenen Daten durchgesickert war, teilte Goodwolf Informationen mit den Medien und widersprach damit der Behauptung der Stadt, dass die Daten unbrauchbar seien.
Die Klage wirft Goodwolf vor, illegal sensible Informationen verbreitet zu haben, zu denen auch persönliche Daten von Opfern von Straftaten und Polizisten gehören.
Die Stadt versucht, eine weitere Verbreitung zu verhindern und fordert Schadenersatz in Höhe von über 25.000 US-Dollar.
Nordkoreanische Hacker nutzen Chrome Zero-Day aus, um Rootkits bereitzustellen
Nordkoreanische Hacker, die der Bedrohungsgruppe Citrine Sleet zugeschrieben werden, haben ein kürzlich gepatchtes Zero-Day-System von Google Chrome (CVE-2024-7971) ausgenutzt, um das FudModule-Rootkit bereitzustellen.
Dieser Angriff, der auf den Kryptowährungssektor abzielte, ermöglichte es den Hackern, SYSTEM-Privilegien zu erlangen, indem sie einen Windows-Kernel-Exploit ausnutzten.
Citrine Sleet, auch bekannt als AppleJeus und UNC4736, hat in der Vergangenheit Finanzinstitute ins Visier genommen, insbesondere im Bereich der Kryptowährungen.
Die Angreifer nutzten eine Typverwechslungsschwachstelle in der V8-JavaScript-Engine von Chrome, um Remote-Codeausführung zu erlangen, gefolgt von einem Windows-Kernel-Exploit, um die Berechtigungen zu erweitern.
Das bereitgestellte Rootkit ermöglichte es den Hackern, Kernel-Objekte zu manipulieren und Sicherheitsmechanismen zu umgehen.
Dieser Angriff ist Teil einer breiter angelegten Kampagne nordkoreanischer staatlich geförderter Akteure, die Kryptowährungsorganisationen mit verschiedenen fortschrittlichen Techniken ins Visier genommen haben, darunter trojanisierte Software und Angriffe auf die Lieferkette.
Der Linux-Verschlüsselungsprogramm von Cicada3301 Ransomware zielt auf VMware ESXi-Systeme ab
Die neu entstandene Ransomware-as-a-Service (RaaS)-Operation Cicada3301 hat bereits 19 Opfer weltweit gefordert und zielt mit ihrem Linux-Verschlüsselungsprogramm hauptsächlich auf VMware ESXi-Systeme ab.
Diese Gruppe verfolgt eine doppelte Erpressungsstrategie, bei der sie in Netzwerke eindringt, Daten stiehlt und Dateien mit Ransomware verschlüsselt und die Opfer zur Zahlung zwingt, indem sie droht, die gestohlenen Informationen preiszugeben.
Insbesondere verschlüsselt die Ransomware Cicada3301 Dateien mit dem ChaCha20-Algorithmus und hängt den Dateinamen eine zufällige Erweiterung von sieben Zeichen an, ähnlich der Taktik, die von der berüchtigten BlackCat/ALPHV-Ransomware verwendet wird.
Die Opfer erhalten eine Lösegeldforderung mit dem Namen „RECOVER-[extension]-DATA.txt“, die sie vor dem Datenleck warnt, wenn das Lösegeld nicht gezahlt wird.
Der Verschlüsselungsprogramm von Cicada3301 ist in der Lage, virtuelle VMware ESXi-Maschinen herunterzufahren und Snapshots vor der Verschlüsselung zu löschen, um maximale Unterbrechungen und Auswirkungen auf Unternehmensumgebungen zu gewährleisten.
Der schnelle Erfolg und die ausgeklügelten Operationen dieser Ransomware-Gruppe deuten auf Verbindungen zu erfahrenen Akteuren hin, die möglicherweise mit der ehemaligen ALPHV-Gruppe in Verbindung stehen.
Der Fokus von Cicada3301 auf ESXi-Umgebungen und die Verwendung von zufälligen Dateierweiterungen unterstreicht seine Absicht, den Schaden zu maximieren, was es zu einer erheblichen Bedrohung in der Cybersicherheitslandschaft macht.
Fazit
Der jüngste Anstieg von Cyberangriffen, der von Zero-Day-Exploits bis hin zu Ransomware-Vorfällen reicht, unterstreicht, wie wichtig es für Unternehmen ist, ihre Cybersicherheitsabwehr zu stärken. Die zunehmende Zusammenarbeit zwischen nationalstaatlichen Akteuren und Ransomware-Banden verkompliziert die Bedrohungslandschaft weiter und macht es unerlässlich, diesen sich entwickelnden Bedrohungen einen Schritt voraus zu sein. Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir umfassende Dienstleistungen an, darunter Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen. Wenn Ihr Unternehmen fachkundige Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Sicherheitslage benötigt, zögern Sie nicht, uns noch heute zu kontaktieren.