Hacker nutzen Minesweeper-Klon aus, um Finanzorganisationen zu infiltrieren
Cyberangreifer haben eine neuartige Strategie entwickelt, um in europäische und US-amerikanische Finanzinstitute einzudringen, indem sie bösartige Skripte in einen Python-basierten Klon des klassischen Minesweeper-Spiels einbetten. Die ukrainischen Cybersicherheitsbehörden CSIRT-NBU und CERT-UA haben diese ausgeklügelten Angriffe der Bedrohungsgruppe „UAC-0188“ zugeschrieben. Die Angreifer verwenden legitimen Python-Code, um Skripte zu verbergen, die die SuperOps Remote Management and Monitoring (RMM)-Software herunterladen und installieren und unbefugten Zugriff auf kompromittierte Systeme gewähren. Der Angriff beginnt durch Phishing-E-Mails, die sich als medizinisches Zentrum ausgeben und die Empfänger auffordern, eine scheinbar harmlose 33-MB-Datei mit Minesweeper-Code herunterzuladen. Diese Datei verbirgt eine base64-codierte Zeichenfolge, die in eine ZIP-Datei decodiert wird und schließlich das SuperOps RMM-Tool installiert. Der strategische Einsatz vertrauter Softwareelemente hilft, Sicherheitsabwehrmaßnahmen zu umgehen, was erhebliche Risiken für den Finanz- und Versicherungssektor birgt. CERT-UA rät Organisationen, die SuperOps RMM nicht verwenden, die damit verbundenen Netzwerkaktivitäten als potenziellen Indikator für eine Kompromittierung zu überwachen.
Christie’s bestätigt Datenschutzverletzung nach RansomHub-Bedrohung
Christie’s, das renommierte Auktionshaus, hat eine Datenschutzverletzung bestätigt, nachdem die Erpresserbande RansomHub die Verantwortung übernommen und gedroht hatte, gestohlene Daten preiszugeben. Der Vorfall, der sich Anfang dieses Monats ereignete, beinhaltete unbefugten Zugriff auf Teile des Christie’s-Netzwerks, was sich auf einige Kundendaten auswirkte. Ein Sprecher von Christie’s erklärte, dass schnell Maßnahmen ergriffen wurden, um ihre Systeme zu schützen, einschließlich der Offline-Schaltung ihrer Website, und dass die kompromittierten Daten auf bestimmte persönliche Informationen beschränkt waren. Finanz- und Transaktionsaufzeichnungen bleiben davon unberührt. Die RansomHub-Gruppe, die Christie’s auf ihrer Dark-Web-Erpressungsseite aufgeführt hat, behauptet, sensible Informationen von 500.000 Kunden zu besitzen, und nutzt potenzielle DSGVO-Bußgelder und Reputationsschäden, um Christie’s unter Druck zu setzen. Die Gruppe verlangt in der Regel Lösegeld, um die Veröffentlichung von Daten zu vermeiden, obwohl sie auch dafür bekannt ist, gestohlene Dateien zu versteigern. Christie’s benachrichtigt betroffene Kunden, Datenschutzbehörden und Regierungsbehörden über den Verstoß und setzt die Untersuchung des Vorfalls fort.
Erste amerikanische Datenschutzverletzung im Dezember betrifft 44.000 Personen
Die First American Financial Corporation, die zweitgrößte Titelversicherungsgesellschaft der Vereinigten Staaten, gab bekannt, dass ein Cyberangriff im Dezember 44.000 Menschen betraf. First American wurde 1889 gegründet und bietet Finanz- und Abwicklungsdienstleistungen für Wohn- und Gewerbeimmobilientransaktionen an, beschäftigt über 21.000 Mitarbeiter und erwirtschaftete im vergangenen Jahr einen Umsatz von 6 Milliarden US-Dollar.
Am 21. Dezember gab das Unternehmen nur minimale Details über den Vorfall bekannt, was dazu führte, dass einige Systeme offline genommen wurden, um den Verstoß zu entschärfen. In einer kürzlich bei der US-Börsenaufsichtsbehörde SEC eingereichten Einreichung bestätigte First American, dass die Angreifer auf sensible Daten von 44.000 Personen zugegriffen haben. Das Unternehmen benachrichtigt betroffene Personen und bietet kostenlose Kreditüberwachungs- und Identitätsschutzdienste an.
Dieser Verstoß folgt auf eine Strafe in Höhe von 1 Million US-Dollar, die im November für einen Verstoß gegen die Cybersicherheit im Jahr 2019 gezahlt wurde, bei dem persönliche und finanzielle Daten offengelegt wurden. Der Verstoß ist Teil eines größeren Trends, bei dem Fidelity National Financial im November ebenfalls einen erheblichen Cyberangriff erlitt, von dem 1,3 Millionen Kunden betroffen waren.
Check Point-Probleme Notfalllösung für VPN-Zero-Day-Schwachstelle
Check Point hat dringend Hotfixes veröffentlicht, die eineZero-Day-Schwachstelle beheben, die ausgenutzt wurde, um Fernzugriff auf Firewalls und Unternehmensnetzwerke zu erhalten. Bei der Schwachstelle, die als CVE-2024-24919 identifiziert wurde, handelt es sich um eine Schwachstelle mit hohem Schweregrad bei der Offenlegung von Informationen, die es Angreifern ermöglicht, bestimmte Daten auf dem Internet exponierten Check Point Security Gateways mit aktiviertem Remote Access VPN oder Mobile Access Software Blades zu lesen. Diese Schwachstelle, die ursprünglich durch einen Anstieg der Angriffe auf VPN-Geräte entdeckt wurde, betrifft verschiedene Check Point-Produkte, darunter CloudGuard Network, Quantum Maestro und Quantum Security Gateways in mehreren Versionen. Die Installation der Hotfixes, die über das Security Gateway-Portal verfügbar sind, sollte etwa 10 Minuten dauern und einen Neustart erfordern. Nach der Installation werden Versuche mit schwachen Anmeldeinformationen automatisch blockiert. Bei End-of-Life-Versionen müssen Hotfixes manuell angewendet werden. Check Point hat auch zusätzliche Ressourcen bereitgestellt, darunter eine FAQ-Seite, ein Handbuch zur Aktualisierung von Active Directory-Passwörtern und ein Skript zur Überprüfung des Remotezugriffs für erweiterte Sicherheitsmaßnahmen.
BBC erleidet Datenschutzverletzung bei aktuellen und ehemaligen Mitarbeitern
Die BBC kündigte am 21. Mai eine Datenschutzverletzung an, bei der unbefugter Zugriff auf Dateien auf einem Cloud-basierten Dienst erfolgte und persönliche Daten von BBC-Pensionsplanmitgliedern gefährdet wurden. Etwa 25.000 Personen, darunter aktuelle und ehemalige Mitarbeiter, waren betroffen. Zu den verletzten Daten gehören vollständige Namen, Sozialversicherungsnummern, Geburtsdaten, Geschlecht und Privatadressen.
Die BBC bestätigte, dass Telefonnummern, E-Mail-Adressen, Bankdaten, Finanzinformationen sowie Benutzernamen und Passwörter von „myPension Online“ nicht kompromittiert wurden. Das Portal der Altersvorsorge bleibt sicher und betriebsbereit. Betroffene Personen werden per E-Mail oder Post benachrichtigt. Das britische Information Commissioner’s Office (ICO) und die Rentenregulierungsbehörde wurden informiert.
Die BBC entschuldigte sich und erklärte, es gebe keine Beweise für Datenmissbrauch, riet aber zur Wachsamkeit gegenüber potenziellen Daten- und Cyberbedrohungen. Eine FAQ-Seite mit Anleitungen zur Zwei-Faktor-Authentifizierung und einem 24-monatigen Kredit- und Webüberwachungsdienst von Experian ist verfügbar. Weitere Informationen zu empfohlenen Maßnahmen finden Sie auf der Website des National Cyber Security Center (NCSC). Keine Ransomware oder Datenerpressergruppen haben die Verantwortung für den Verstoß übernommen.
Daten von 560 Millionen Ticketmaster-Kunden angeblich nach Verstoß zum Verkauf
Ein Bedrohungsakteur namens ShinyHunters verkauft angeblich die persönlichen und finanziellen Informationen von 560 Millionen Ticketmaster-Kunden für 500.000 US-Dollar im Hacking-Forum BreachForums. Die Daten, die Berichten zufolge über einen Managed Service Provider aus den AWS-Instanzen von Ticketmaster gestohlen wurden, umfassen 1,3 TB an Kundeninformationen wie Namen, Adressen, Telefonnummern, E-Mail-Adressen und detaillierte Tickettransaktionsdaten von 2012 bis 2024. Darüber hinaus sind gehashte Kreditkartennummern, die letzten vier Ziffern, Kartentypen, Authentifizierungstypen und Ablaufdaten Teil der kompromittierten Daten.
ShinyHunters enthüllte, dass es potenzielle Käufer gibt, möglicherweise auch Ticketmaster selbst. Ticketmaster hat jedoch nicht auf mehrere Anfragen nach Bestätigung reagiert. Das FBI lehnte es auch ab, sich zu ihrer Beteiligung an den Ermittlungen zu äußern.
Dieser mutmaßliche Verstoß hat zu einer geplanten Sammelklage gegen Ticketmaster und seine Muttergesellschaft Live Nation geführt, in der Schadenersatz und Kreditüberwachungsdienste für betroffene US-Bürger gefordert werden. Dies folgt auf eine Reihe von rechtlichen Problemen für Ticketmaster, darunter eine Geldstrafe in Höhe von 10 Millionen US-Dollar für den illegalen Zugriff auf Systeme von Mitbewerbern im Jahr 2020 und eine Datenschutzverletzung im Jahr 2018, von der 5 % des Kundenstamms betroffen waren.
Ticketmaster, ein Teil von Live Nation Entertainment, verarbeitet jährlich über 500 Millionen Tickets und dominiert fast 80 % der US-Ticketing-Branche.
KI-Plattform umarmt Gesicht verletzt, Authentifizierungstoken gestohlen
Hugging Face, eine KI-Plattform, gab bekannt, dass ihre Spaces-Plattform verletzt wurde, was zum Diebstahl von Authentifizierungsgeheimnissen ihrer Mitglieder führte. Hugging Face Spaces hostet KI-Apps, die von der Community erstellt wurden, und ermöglicht es den Mitgliedern, sie zu demonstrieren. Der Verstoß, der Anfang dieser Woche entdeckt wurde, beinhaltete unbefugten Zugriff auf Spaces-Geheimnisse, was zu Bedenken führte, dass eine Teilmenge dieser Geheimnisse kompromittiert worden sein könnte.
Als Reaktion darauf widerrief Hugging Face die kompromittierten Authentifizierungstoken und benachrichtigte die betroffenen Benutzer per E-Mail. Das Unternehmen riet allen Spaces-Benutzern, ihre Token zu aktualisieren und zur besseren Sicherheitskontrolle auf feinkörnige Zugriffstoken umzusteigen. Externe Cybersicherheitsexperten wurden beauftragt, den Verstoß zu untersuchen, und der Vorfall wurde den Strafverfolgungs- und Datenschutzbehörden gemeldet.
Hugging Face hat erhebliche Sicherheitsverbesserungen implementiert, darunter das Entfernen von Organisations-Token, die Verbesserung der Schlüsselverwaltungsdienste und die Verbesserung der Erkennung und Ungültigkeit von Token-Lecks. Sie planen auch, klassische Lese- und Schreibtoken zugunsten von feinkörnigen Zugriffstoken auslaufen zu lassen.
Mit zunehmender Popularität von Hugging Face zieht es zunehmend Bedrohungsakteure an. Im Februar identifizierte das Cybersicherheitsunternehmen JFrog bösartige KI-Modelle auf der Plattform, und kürzlich fanden Forscher von Wiz eine Schwachstelle, die den mandantenübergreifenden Zugriff auf die Modelle anderer Kunden ermöglichte. Hugging Face verstärkt weiterhin seine Sicherheitsmaßnahmen zum Schutz vor solchen Bedrohungen.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft mit verschiedenen Bedrohungen behaftet ist, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.