PSAUX Ransomware nutzt RCE-Schwachstellen in CyberPanel aus
Eine jüngste Welle von PSAUX-Ransomware-Angriffen hat Schwachstellen in CyberPanel ausgenutzt, von denen weltweit über 22.000 Instanzen betroffen sind. Der Sicherheitsforscher DreyAnd hat festgestellt, dass die Versionen 2.3.6 und möglicherweise 2.3.7 aufgrund mehrerer kritischer Fehler gefährdet sind. Dazu gehören eine unsachgemäße Authentifizierung, die unbefugten Zugriff auf bestimmte Seiten ermöglicht; Schwachstellen bei der Befehlsinjektion, die es Angreifern ermöglichen, beliebige Befehle auszuführen; und schwache Sicherheitsfilter, die Angreifer mit bestimmten HTTP-Methoden umgehen können. Zusammen öffnen diese Probleme die Tür zur Remotecodeausführung (Remote Code Execution, RCE) auf der Root-Ebene, wodurch Angreifern effektiv die volle Kontrolle über den Server übergeben wird. Als Reaktion darauf veröffentlichte CyberPanel schnell die Version 2.3.8, die diese Sicherheitslücken behebt. Benutzern wird dringend empfohlen, sofort auf diese neueste Version zu aktualisieren, um ihre Systeme zu sichern und weitere Ausnutzung zu verhindern, da Bedrohungsakteure weiterhin aggressiv auf ungepatchte Server abzielen.
Nordkoreanische Andariel Group nutzt RDP aus, um Play Ransomware einzusetzen
Die nordkoreanische Hackergruppe Andariel wurde mit einem kürzlichen Play-Ransomware-Angriff in Verbindung gebracht, bei dem Ransomware-as-a-Service (RaaS) genutzt wurde, um internationale Sanktionen zu umgehen. Berichte von Sicherheitsforschern von Palo Alto Networks deuten darauf hin, dass Andariel entweder als Partner oder als Initial Access Broker fungieren und einen kompromittierten Netzwerkzugriff für den Einsatz von Play-Ransomware bereitstellen kann. Die Gruppe verschaffte sich im Mai 2024 zunächst über ein kompromittiertes Benutzerkonto Zugang zum Netzwerk ihres Ziels und nutzte das Remote Desktop Protocol (RDP), um die Kontrolle zu erlangen. Über mehrere Monate hinweg verstärkten sie ihre Netzwerkpräsenz durch den Einsatz von Tools wie Mimikatz für den Diebstahl von Anmeldedaten, das Sliver-Framework für Command and Control und ihre charakteristische Malware DTrack. Im September führten sie den Ransomware-Verschlüsselungsdienst Play aus und verschlüsselten zahlreiche Geräte. Dieses Muster steht im Einklang mit dem RaaS-Modell, das es den Partnern ermöglicht, durch Lösegeldzahlungen zu profitieren und gleichzeitig Sanktionen zu umgehen. Diese Taktik spiegelt einen breiteren Trend unter staatlich unterstützten Gruppen wider, die sich durch Ransomware-Operationen finanzieren wollen.
Supply-Chain-Angriff von LottieFiles zielt auf Kryptowährung ab
LottieFiles reagierte schnell auf einen Angriff auf die Lieferkette, der das Lottie-Player-Skript kompromittierte und einen Krypto-Drainer einbettete, der darauf ausgelegt war, die Kryptowährung der Benutzer durch betrügerische Wallet-Eingabeaufforderungen zu stehlen. Der Angriff betraf die Versionen 2.0.5 bis 2.0.7, wobei das Skript Website-Besucher aufforderte, ihre Krypto-Wallets zu verbinden, was zu Asset-Diebstahl führte. Die Vorfallsreaktion von LottieFiles umfasste die Veröffentlichung einer sicheren Version, 2.0.8, die auf das saubere 2.0.4 zurückgesetzt wurde, und den Empfehlung, dass die Benutzer sofort aktualisiert werden. Für diejenigen, die nicht in der Lage sind, ein Upgrade durchzuführen, wurde empfohlen, als vorbeugende Maßnahme bei Version 2.0.4 zu bleiben. Dieser Vorfall unterstreicht die zunehmende Verwundbarkeit von SaaS-Tools bei Angriffen auf die Lieferkette, wobei LottieFiles aktiv mit externen Experten zusammenarbeitet, um ihre Plattform weiter zu untersuchen und zu sichern. Entwickler, die von der Sicherheitsverletzung betroffen sind, wurden aufgefordert, die Endbenutzer zu benachrichtigen, um betrügerische Wallet-Verbindungen zu vermeiden, was die wachsenden Risiken unterstreicht, die Krypto-Drainer für die Kryptowährungs-Community darstellen.
qBittorrent-Schwachstelle setzte Benutzer 14 Jahre lang Man-in-the-Middle-Angriffen aus
Eine neu gepatchte Schwachstelle in qBittorrent hat eine Schwachstelle behoben, die Benutzer über 14 Jahre lang anfällig für Man-in-the-Middle-Angriffe (MitM) machte. Dieses Problem trat auf, weil die DownloadManager-Komponente SSL/TLS-Zertifikate nicht validierte, sodass jeder Server – einschließlich bösartiger Server – unzulässige Zertifikate vorlegen konnte. Angreifer, die sich in einem MitM-Szenario befinden, könnten den Netzwerkverkehr von qBittorrent abfangen und manipulieren, indem sie schädliche Daten unentdeckt verändern oder einschleusen. Auf diese Weise könnte ein Angreifer Benutzer dazu veranlassen, kompromittierte Software zu installieren oder Update-Feeds zu ändern, um bösartige Nutzlasten bereitzustellen. Darüber hinaus ermöglichte die Schwachstelle das Einfügen bösartiger Links in RSS-Feeds und das Herunterladen veränderter GeoIP-Datenbanken, was möglicherweise Speicherüberlauf-Exploits auslösen könnte. Obwohl sie oft unterschätzt werden, sind MitM-Angriffe in Regionen mit starker Überwachung besonders besorgniserregend. Die kürzlich veröffentlichte Version 5.0.1 von qBittorrent enthält einen Fix, der SSL-Zertifikate endlich validiert, was ein Update für Benutzer unerlässlich macht.
Hacker nutzen kritische Zero-Day-Schwachstellen in PTZ-Kameras aus
Zwei Zero-Day-Schwachstellen in PTZOptics-PTZ-Kameras (Pan-Tilt-Zoom) haben sie zu Hauptzielen für Hacker gemacht und ermöglichen die Ausnutzung in sensiblen Umgebungen wie Industrieanlagen, im Gesundheitswesen, in Regierungsbüros und Gerichtssälen. Die von GreyNoise im April 2024 entdeckten Schwachstellen CVE-2024-8956 und CVE-2024-8957 ermöglichen es Angreifern, eine schwache Authentifizierung zu umgehen und Befehlsinjektionen auszuführen. Die erste Zero-Day-Schwachstelle ermöglicht den unbefugten Zugriff auf die CGI-API der Kamera und enthüllt Benutzernamen, MD5-Passwort-Hashes und Netzwerkkonfigurationen. Die zweite Zero-Day-Schwachstelle ermöglicht es Angreifern, bösartige Befehle über nicht bereinigte Eingaben einzuschleusen, was zu einer potenziellen vollständigen Kontrolle über die Kamera führt. Exploits können zur Übernahme von Kameras, Bot-Infektionen, Netzwerk-Pivoting oder Unterbrechung von Video-Feeds führen. PTZOptics hat zwar einige Sicherheitspatches veröffentlicht, aber bestimmte Modelle, einschließlich PT20X-NDI-G2, bleiben aufgrund des End-of-Life-Status ungepatcht. GreyNoise warnt weiterhin davor, dass diese Zero-Day-Schwachstellen eine breitere Palette von Geräten betreffen könnten, und fordert die Benutzer auf, Firmware-Updates bei ihren Anbietern zu überprüfen.
HACLA erneut ins Visier genommen: Cactus-Ransomware-Angriff folgt auf vorherigen LockBit-Angriff
Die Wohnungsbehörde der Stadt Los Angeles (HACLA) hat kürzlich einen Cyberangriff durch die Cactus-Ransomware-Bande bestätigt, was einen weiteren Verstoß nach einem früheren Vorfall mit LockBit-Ransomware darstellt. Die HACLA, die einkommensschwachen Menschen in Los Angeles grundlegende Wohnhilfe bietet, erklärte, dass sie externe forensische IT-Experten eingeschaltet habe, als sie von dem Angriff erfuhr. Die Cactus-Ransomware-Gruppe behauptet, 891 GB an sensiblen Daten gestohlen zu haben, darunter personenbezogene Daten, Datenbank-Backups, Finanzdokumente und Unternehmenskorrespondenz, von denen einige bereits als Beweis auf ihrer Leak-Site veröffentlicht wurden. Dies ist nicht die erste Begegnung von HACLA mit einer Ransomware-Variante. Im Jahr 2023 enthüllte HACLA eine Sicherheitsverletzung durch LockBit, die enthüllte, dass Angreifer fast ein Jahr lang den Netzwerkzugriff aufrechterhalten hatten, bevor sie die Verschlüsselung einsetzten. Während dieses Angriffs griff LockBit Berichten zufolge auf umfangreiche persönliche Daten zu und ließ diese durchsickern, nachdem HACLA sich geweigert hatte, ein Lösegeld zu zahlen. Die jüngste Cactus-Sicherheitsverletzung unterstreicht die anhaltenden Herausforderungen beim Schutz von Organisationen des öffentlichen Sektors vor ausgeklügelten Ransomware-Gruppen.
Fazit
Zusammenfassend lässt sich sagen, dass die zunehmende Raffinesse von Ransomware-Gruppen wie Cactus und LockBit die dringende Notwendigkeit für Unternehmen unterstreicht, ihre Abwehrmaßnahmen zu stärken und einen Reaktionsplan zu erstellen. Da öffentliche Einrichtungen zunehmend ins Visier genommen werden, sind umfassende Cybersicherheitsstrategien unerlässlich, um Datenschutzverletzungen zu verhindern und Unterbrechungen zu minimieren. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen an, um Unternehmen bei der Bewältigung von Ransomware-Vorfällen zu unterstützen. Unsere Ransomware-Datenwiederherstellung unterstützen Sie bei der Datenwiederherstellung und Systemsicherheit, während unsere Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen Unternehmen dabei unterstützen, Lösegeldforderungen zu reduzieren und Angriffe effizient abzuwehren. Wenn Ihr Unternehmen mit einer Ransomware-Krise konfrontiert ist, kontaktieren Sie uns noch heute, um die Kontrolle zurückzugewinnen und Ihren Betrieb zu sichern.