Massiver Cyber-Raubüberfall: Hacker stehlen 85 Millionen US-Dollar von Phemex
Phemex, eine große Kryptowährungsbörse, wurde Opfer einer massiven Sicherheitsverletzung, die zum Diebstahl von digitalen Vermögenswerten im Wert von rund 85 Millionen US-Dollar führte. Der Angriff, der sich am 23. Januar 2025 ereignete, kompromittierte die Hot Wallets der Plattform, obwohl die Cold Wallets sicher blieben. Als Reaktion darauf setzte Phemex schnell Ein- und Auszahlungen aus, aktivierte Notfall-Sicherheitsmaßnahmen und arbeitete mit Cybersicherheitsexperten und Strafverfolgungsbehörden zusammen, um den Schaden zu bewerten. Ursprünglich auf 29 Millionen US-Dollar geschätzt, wurden die gestohlenen Gelder später auf 69 Millionen US-Dollar revidiert, bevor sie die endgültige Schätzung von 85 Millionen US-Dollar erreichten. Seitdem hat die Börse ihre Sicherheitsinfrastruktur verstärkt und nach und nach Abhebungen für wichtige Kryptowährungen wie ETH, USDT und SOL wiederhergestellt. Benutzern wird empfohlen, die Verwendung alter Einzahlungsadressen zu vermeiden, um Verzögerungen zu vermeiden. Zwar hat sich keine Gruppe zu dem Angriff bekannt, aber das Ausmaß und die Raffinesse des Angriffs deuten auf eine mögliche Beteiligung fortschrittlicher cyberkrimineller Organisationen wie nordkoreanischer Hackergruppen hin.
DeepSeek stoppt Registrierungen nach großem Cyberangriff
Die chinesische KI-Plattform DeepSeek hat nach einem groß angelegten Cyberangriff vorübergehend die Registrierung neuer Benutzer deaktiviert. Der Anstieg der Popularität des DeepSeek-V3-Modells, das als kostengünstiger Konkurrent für führende KI-Systeme in den USA angepriesen wurde, hat sowohl in der Technologiebranche als auch bei Cyberkriminellen große Aufmerksamkeit auf sich gezogen. Der Angriff fiel mit der KI-Assistenten-App von DeepSeek zusammen, die ChatGPT als die am häufigsten heruntergeladene App im Apple App Store überholte. Als Reaktion darauf schränkte das Unternehmen neue Anmeldungen ein, um die Stabilität des Dienstes zu gewährleisten und gleichzeitig sicherzustellen, dass sich bestehende Benutzer weiterhin anmelden können. Obwohl Details rar bleiben, wird vermutet, dass es sich bei dem Angriff um einen Distributed-Denial-of-Service-Angriff (DDoS) handelt,der auf die API- und Chat-Dienste von DeepSeek abzielt. In der Zwischenzeit haben Cybersicherheitsforscher damit begonnen, die Plattform unter die Lupe zu nehmen, wobei einige ihr Modell erfolgreich jailbreaken, um schädliche Inhalte zu generieren. Die Kombination aus Sicherheitsbedrohungen und -kontrollen unterstreicht die wachsenden Herausforderungen, mit denen KI-Unternehmen bei ihrer schnellen Skalierung konfrontiert sind.
Smiths Group untersucht Sicherheitsverletzung nach Cyberangriff
Der in London ansässige Engineering-Riese Smiths Group hat einen Cybersicherheitsvorfall nach unbefugtem Zugriff auf seine Systeme bekannt gegeben. Das multinationale Unternehmen, das Branchen wie Energie, Luft- und Raumfahrt und Verteidigung bedient, isolierte die betroffenen Systeme schnell und aktivierte seine Business-Continuity-Pläne, nachdem es den Verstoß entdeckt hatte. Das Unternehmen hat zwar noch nicht bestätigt, ob Geschäfts- oder Kundendaten kompromittiert wurden, arbeitet aber eng mit Cybersicherheitsexperten zusammen, um die Auswirkungen zu bewerten. Der Angriff unterstreicht die zunehmenden Risiken durch Zero-Day-Schwachstellen, die Cyberkriminelle häufig ausnutzen, um Unternehmensnetzwerke zu infiltrieren, bevor Sicherheitspatches verfügbar sind. Die Smiths Group hat den Stakeholdern versichert, dass sie alle notwendigen regulatorischen Maßnahmen ergreift und Updates bereitstellen wird, sobald weitere Details bekannt werden. Dieser Verstoß folgt auf eine Reihe von Cybervorfällen, die in jüngster Zeit auf große Unternehmen wie Conduent, Hewlett Packard Enterprise und Nominet abzielten und bei denen Angreifer Zero-Day-Schwachstellen ausnutzten, um kritische Infrastrukturen zu kompromittieren.
Hacker nutzen SimpleHelp RMM-Schwachstellen aus, um Netzwerke zu knacken
Cyberkriminelle nutzen aktiv kürzlich gepatchte Schwachstellen in der SimpleHelp Remote Monitoring and Management (RMM)-Software aus, um sich unbefugten Zugriff auf Netzwerke zu verschaffen. Die Sicherheitslücken, die als CVE-2024-57726, CVE-2024-57727 und CVE-2024-57728 identifiziert werden, ermöglichen es Angreifern, Dateien zu manipulieren und Berechtigungen zu erweitern. Obwohl die Fixes zwischen dem 8. und 13. Januar veröffentlicht wurden, deuten Berichte von Arctic Wolf auf eine laufende Angriffskampagne hin, die auf ungepatchte SimpleHelp-Server abzielt. Es bleibt zwar ungewiss, ob diese spezifischen Schwachstellen dafür verantwortlich sind, aber Forscher empfehlen sofortige Updates, um die Risiken zu mindern. Die Shadowserver Foundation hat 580 exponierte verwundbare Instanzen identifiziert, wobei die meisten Angreifer in den USA vorinstallierte SimpleHelp-Clients nutzen, um nicht autorisierte Verbindungen herzustellen, Aufklärungsbefehle auszuführen und möglicherweise Berechtigungen zu erweitern. Unternehmen, die SimpleHelp verwenden, sollten ein Upgrade auf gepatchte Versionen durchführen und die Deinstallation der Software in Betracht ziehen, wenn sie nicht mehr benötigt wird, um die Angriffsfläche zu verringern. Sicherheitsexperten drängen auf sofortiges Handeln, um weitere Sicherheitsverletzungen zu verhindern.
FBI beschlagnahmt Cracked.io und Nulled.to bei weltweiter Razzia gegen Cyberkriminalität
In einer groß angelegten internationalen Operation hat das FBI die Domains von Cracked.io und Nulled.to ausgeschaltet, zwei berüchtigte Hacking-Foren, die dafür bekannt sind, Cyberkriminalität zu erleichtern, darunter Passwortdiebstahl, Credential Stuffing und Software-Cracking. Im Rahmen der „Operation Talent“ arbeiteten Behörden aus den USA, Europa und mehreren anderen Ländern zusammen, um Plattformen zu zerschlagen, die an illegalen Online-Aktivitäten beteiligt waren. Die Operation zielte auch auf MySellIX und SellIX ab, die für den Handel mit gestohlenen Daten verwendet wurden, sowie auf StarkRDP, einen Dienst, der angeblich von Cyberkriminellen für unbefugten Fernzugriff ausgenutzt wurde. Beschlagnahmte Domain-Banner bestätigen, dass die Strafverfolgungsbehörden Kunden- und Opferdaten von diesen Plattformen erhalten haben, was darauf hindeutet, dass weitere rechtliche Schritte folgen könnten. Während die Mitarbeiter des Forums zunächst Probleme mit dem Rechenzentrum anführten, ist nun klar, dass die Abschaltung Teil einer koordinierten Anstrengung zur Eindämmung von Cyberbedrohungen war. Das harte Durchgreifen signalisiert verstärkte weltweite Bemühungen zur Zerschlagung von Online-Marktplätzen, die es Cyberkriminellen ermöglichen, RDP und kompromittierte Anmeldeinformationen auszunutzen.
Ransomware-Angriff stört den Betrieb des New Yorker Blutspendezentrums
Das New York Blood Center (NYBC), eine der größten unabhängigen Blutspendeorganisationen der Welt, wurde von einem Ransomware-Angriff getroffen, der es dazu zwang, Spendertermine und Blutspendeaktionen zu verschieben. Die Sicherheitslücke, die am 26. Januar entdeckt wurde, veranlasste NYBC, bestimmte Systeme vom Netz zu nehmen, während Cybersicherheitsexperten daran arbeiteten, den Betrieb wiederherzustellen. Obwohl Blutspenden weiterhin angenommen werden, beeinträchtigen Störungen weiterhin die Terminplanung und Logistik. Der Angriff kommt zu einem kritischen Zeitpunkt, da NYBC kürzlich einen Blutnotstand ausgerufen hatte, nachdem die Spenden deutlich zurückgegangen waren. Während unklar bleibt, ob Spenderdaten kompromittiert wurden, sind Ransomware-Gruppen wie Qilin Ransomware dafür bekannt, sensible Informationen zu exfiltrieren, bevor sie Systeme verschlüsseln. Der Gesundheitssektor wurde zunehmend ins Visier genommen, wobei in den letzten Monaten ähnliche Angriffe Londoner Krankenhäuser und große US-Blutbanken betrafen. NYBC hat den Krankenhauspartnern versichert, dass es Problemumgehungen einführt, um die grundlegende Blutversorgung aufrechtzuerhalten.
Mizuno USA bestätigt Datenpanne nach zweimonatigem Netzwerkeinbruch
Mizuno USA hat bekannt gegeben, dass Cyberkriminelle über zwei Monate lang in seinem Netzwerk verweilten und sensible persönliche und geschäftliche Daten gestohlen haben. Die Sicherheitslücke, die am 6. November 2024 entdeckt wurde, enthüllte, dass Angreifer vom 21. August bis zum 29. Oktober auf die Systeme von Mizuno zugegriffen und vertrauliche Dateien exfiltriert hatten. Möglicherweise wurden bei betroffenen Personen ihre Sozialversicherungsnummern, Finanzdaten, Führerscheininformationen oder Passnummern kompromittiert. Der Angriff wurde mit der BianLian-Ransomware in Verbindung gebracht, einer Gruppe, die dafür bekannt ist, private Unternehmen und kritische Infrastrukturen ins Visier zu nehmen. Ransomware-Banden wie BianLian sind zu reinen Erpressungstaktiken übergegangen, bei denen gestohlene Daten durchsickern, anstatt Systeme zu verschlüsseln. Mizuno war bereits im Jahr 2022 Opfer eines Ransomware-Angriffs, der den Geschäftsbetrieb störte. Nach diesem jüngsten Verstoß bietet das Unternehmen betroffenen Personen eine kostenlose Kreditüberwachung an und mahnt zur Wachsamkeit gegenüber Betrug. Der Vorfall unterstreicht die anhaltende Bedrohung, die Ransomware-Gangs für globale Unternehmen darstellen, wobei Mizuno nun ein wiederholtes Ziel von Cyber-Erpressung ist.
Hacker nutzen Googles Gemini-KI zur Vorbereitung auf Cyberangriffe aus
Staatlich geförderte Bedrohungsakteure aus dem Iran, China, Nordkorea und Russland haben die Gemini-KI von Google genutzt, um ihre Cyber-Operationen zu rationalisieren und sich auf Aufklärung, Unterstützung bei der Codierung und Schwachstellenforschung zu konzentrieren. Laut der Threat Intelligence Group von Google nutzen diese Advanced Persistent Threat (APT)-Gruppen Gemini in erster Linie, um die Produktivität zu steigern, anstatt direkte KI-gesteuerte Angriffe zu starten. Iranische Cyberkriminelle waren die aktivsten Nutzer und setzten Gemini für Phishing-Kampagnen, militärische Forschung und Beeinflussungsoperationen ein. Von China unterstützte Hacker nutzen das KI-Tool zur Aufklärung von US-Regierungsstellen und zur Eskalation von Privilegien, während nordkoreanische Gruppen es nutzen, um die Entwicklung von Malware und die Infiltration westlicher Unternehmen unter falschen Identitäten zu unterstützen. Obwohl einige versucht haben, die Sicherheitsmaßnahmen von Gemini durch Jailbreaks zu umgehen, waren diese Bemühungen weitgehend erfolglos. Der zunehmende Missbrauch von KI in der Cyberkriminalität unterstreicht die wachsenden Risiken, die mit generativen KI-Tools verbunden sind, insbesondere da weniger sichere Modelle wie DeepSeek R1 und Qwen 2.5 an Popularität gewinnen.
Fazit
Die Zunahme von Cyberangriffen in allen Branchen, von Kryptowährungsbörsen bis hin zu Gesundheitseinrichtungen, unterstreicht die anhaltende und sich weiterentwickelnde Natur von Cybersicherheitsbedrohungen. Unternehmen müssen proaktiv bleiben, indem sie strenge Sicherheitsmaßnahmen implementieren und ihre Systeme regelmäßig aktualisieren, um Schwachstellen zu minimieren. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir umfassende Lösungen an, darunter Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen. Darüber hinaus bieten wir Fortbildungen im Rahmen unserer Cyber Defense Academy und strategische Assessments wie das Cybersecurity Risk Assessment an. Unser Incident Response Retainer sorgt für schnelle Unterstützung im Falle einer Sicherheitsverletzung. Warten Sie nicht darauf, dass ein Angriff Ihr Unternehmen lahmlegt, sondern wenden Sie sich noch heute an uns und stärken Sie Ihr Unternehmen gegen Cyberbedrohungen.