Erhebliche Datenschutzverletzung bei FBCS betrifft fast zwei Millionen
Financial Business and Consumer Solutions (FBCS), ein US-amerikanisches Inkassobüro, hat eine erhebliche Datenschutzverletzung gemeldet, von der etwa 1,9 Millionen Personen betroffen sind. Dieser Verstoß ereignete sich, nachdem ein unbefugter Zugriff auf die Netzwerksysteme des Unternehmens festgestellt wurde. Bei dem Eindringen, das vom 14. bis zum 26. Februar 2024 aktiv war, wurden sensible Informationen wie Namen, Sozialversicherungsnummern, Geburtsdaten, Kontodaten und Führerscheinnummern kompromittiert. Diese Gefährdung kann das Risiko von Phishing-, Betrugs- und Social-Engineering-Angriffen erhöhen, die auf betroffene Personen abzielen. Als Reaktion darauf hat FBCS ein Jahr lang eine kostenlose Kreditüberwachung angeboten und seinen Sicherheitsrahmen verbessert, um zukünftige Verstöße zu verhindern. Das Unternehmen rät den Betroffenen, bei unaufgeforderten Mitteilungen vorsichtig zu sein und ihre Kontoauszüge und Bonitätsauskünfte regelmäßig auf ungewöhnliche Aktivitäten zu überprüfen.
London Drugs schließt vorübergehend Filialen nach Cybersicherheitsvorfall
Die kanadische Apothekenkette London Drugs hat aufgrund einer am 28. April 2024 festgestellten Cybersicherheitsverletzung alle ihre Filialen in Westkanada vorübergehend geschlossen. Das Unternehmen reagierte schnell, indem es externe Cybersicherheitsexperten engagierte, um bei der Eindämmung des Verstoßes zu helfen und eine gründliche forensische Untersuchung durchzuführen. Trotz der strengen Maßnahmen, einschließlich der Schließung von Einzelhandelsstandorten, gibt es derzeit keine Hinweise darauf, dass Kunden- oder Mitarbeiterdaten kompromittiert wurden. London Drugs hat betont, dass es robuste Gegenmaßnahmen ergriffen hat, um sein Netzwerk und seine Daten vor weiteren Bedrohungen zu schützen. Kunden mit dringendem Apothekenbedarf werden gebeten, sich direkt an ihre lokalen Geschäfte zu wenden, um Unterstützung zu erhalten. London Drugs prüft die Situation weiterhin und wird die zuständigen Datenschutzbeauftragten und betroffenen Personen benachrichtigen, wenn sich herausstellt, dass personenbezogene Daten gefährdet sind.
Verwirrtes Erdmännchen: DNS durch Chinas große Firewall ausnutzen
Die als „Muddling Meerkat“ bekannte Cybergruppe, die mit staatlich geförderten Aktivitäten Chinas in Verbindung steht, manipuliert seit Oktober 2019 globale DNS-Systeme, wobei die Aktivität im September 2023 ihren Höhepunkt erreichte. Diese Gruppe verändert auf einzigartige Weise Mail-Exchange-Einträge (MX) über Chinas Große Firewall, ein Ansatz, der bisher nicht auf dieses massive Zensursystem zurückgeführt wurde. Forscher von Infoblox, die diese Manöver aufgedeckt haben, stellen die Raffinesse und Subtilität dieser Angriffe fest, die darauf abzielen, das E-Mail-Routing zu manipulieren und die Netzwerkabwehr weltweit zu testen. Die Great Firewall fängt normalerweise DNS-Anfragen ab, um Inhalte zu blockieren oder zu filtern, aber in diesem Fall wird sie verwendet, um falsche DNS-Antworten einzuschleusen. Diese Aktivitäten könnten möglicherweise E-Mails umleiten oder DNS-Caches vergiften, um die Widerstandsfähigkeit und das Verhalten von Netzwerken außerhalb Chinas zu untersuchen. Trotz ihrer Komplexität bleiben die Ziele der Aktionen von Muddling Meerkat unklar, was darauf hindeutet, dass sie Teil einer umfassenderen Strategie sein könnten, um Netzwerkschwachstellen zu kartieren oder störendes DNS-„Rauschen“ zu erzeugen.
Datenpanne beim Philadelphia Inquirer betrifft Tausende
Im Mai 2023 enthüllte der Philadelphia Inquirer, eine der ältesten und am häufigsten ausgezeichneten Zeitungen in den Vereinigten Staaten, dass persönliche und finanzielle Daten von 25.549 Personen kompromittiert wurden. Die Sicherheitslücke wurde entdeckt, als das Content-Management-System der Zeitung unerwartet offline ging, was zu Unterbrechungen in der Printpublikation führte. Zu den Sofortmaßnahmen gehörten die Abschaltung bestimmter Systeme und die Beauftragung von Kroll-Forensikern, um die verdächtigen Aktivitäten zu untersuchen. Die Untersuchung ergab, dass vom 11. bis zum 13. Mai 2023 Eindringlinge durch unbefugten Zugriff Dateien mit sensiblen Informationen wie Namen in Verbindung mit Konto- und Kreditkartennummern einsehen und möglicherweise kopieren konnten. Nach dem Verstoß bot der Inquirer den betroffenen Abonnenten zwei Jahre lang kostenlose Kreditüberwachungs- und Identitätswiederherstellungsdienste an. Die kubanische Ransomware-Bande übernahm später die Verantwortung für den Angriff, obwohl der Inquirer die Authentizität einiger Dokumente bestritt, die von der Gruppe in Darknet-Foren veröffentlicht wurden.
Steigende Bedrohung: Latrodectus-Malware nutzt Microsoft- und Cloudflare-Themes für Phishing-Angriffe
Die Latrodectus-Malware, auch bekannt als Unidentified 111 und IceNova, wurde in neuen Phishing-Kampagnen identifiziert, die Microsoft Azure- und Cloudflare-Themes geschickt nutzen, um E-Mail-Sicherheitssysteme zu umgehen. Latrodectus wurde ursprünglich vom Sicherheitsteam von Walmart entdeckt und von ProofPoint und dem Team Cymru weiter untersucht und dient als ausgeklügelte Hintertür zum Herunterladen zusätzlicher schädlicher Nutzlasten. Diese Malware wird mit den Entwicklern des IcedID-Malware-Loaders in Verbindung gebracht, und es gibt Spekulationen über ein mögliches Auslaufen von IcedID zugunsten von Latrodectus.
Jüngste Berichte deuten darauf hin, dass diese Phishing-Angriffe oft mit Antwortketten-E-Mails beginnen, bei denen Angreifer bösartige Links oder Anhänge in laufende E-Mail-Konversationen einschleusen. Die neuesten Taktiken umfassen PDF-Dokumente und URLs, die legitime Dienste wie Microsoft Azure imitieren, um Benutzer dazu zu verleiten, bösartige Dateien herunterzuladen. Zum Beispiel werden Benutzer auf eine gefälschte Cloudflare-Captcha-Seite geleitet, die die automatische Erkennung durch Sicherheitssoftware geschickt vereitelt und eine Benutzerantwort erfordert, um mit dem Herunterladen einer JavaScript-Datei fortzufahren, die letztendlich die Malware installiert.
Einmal installiert, arbeitet Latrodectus diskret und wartet auf weitere Befehle oder die Installation zusätzlicher Malware, die zu schwerwiegenderen Netzwerkverletzungen führen kann. Die Bedrohung, die von Latrodectus ausgeht, ist erheblich, da es für erste Verletzungen des Unternehmensnetzwerks verwendet wird und möglicherweise den Weg für zerstörerischere Angriffe, einschließlich Ransomware, ebnet. Dies unterstreicht die dringende Notwendigkeit von Wachsamkeit und sofortigem Handeln, wenn Latrodectus auf einem Gerät erkannt wird.
Kritische GitLab-Schwachstelle aktiv ausgenutzt, warnt CISA
Die Cybersecurity and Infrastructure Security Agency (CISA) warnt vor einer schwerwiegenden Sicherheitslücke in GitLab, die derzeit von Angreifern ausgenutzt wird. Die als CVE-2023-7028 identifizierte Schwachstelle ermöglicht Kontoübernahmen durch nicht autorisiertes Zurücksetzen von Passwörtern. Diese Schwachstelle ist auf unsachgemäße Zugriffskontrollmechanismen zurückzuführen, die es Angreifern ermöglichen, E-Mails zum Zurücksetzen des Passworts an ihre eigenen Konten umzuleiten, sodass sie die Kontrolle ohne Benutzerinteraktion übernehmen können.
Die Schwachstelle betrifft zwar keine Konten, die mit der Zwei-Faktor-Authentifizierung (2FA) gesichert sind, stellt jedoch ein erhebliches Risiko für diejenigen dar, die nicht über diese zusätzliche Sicherheitsebene verfügen. GitLab, eine Drehscheibe für sensible Daten, einschließlich proprietärem Code und API-Schlüsseln, hat das Problem in mehreren Versionen seiner Community- und Enterprise-Editionen behoben und Patches veröffentlicht, um diese Sicherheitslücke zu schließen.
Seit den neuesten Updates sind Tausende von GitLab-Instanzen nicht gepatcht und online verfügbar, was sie anfällig für Exploits macht. Dies könnte zu weiteren Kompromittierungen innerhalb von Supply-Chain-Systemen führen, insbesondere in CI/CD-Umgebungen, in denen Schadcode unbemerkt eingefügt werden kann.
Die CISA hat dieses Problem in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und die US-Bundesbehörden angewiesen, die betroffenen Systeme bis zum 22. Mai zu patchen. Die Richtlinie richtet sich zwar speziell an Bundesbehörden, ist aber auch eine wichtige Erinnerung für private Einrichtungen, die GitLab nutzen, um die Sicherung ihrer Anlagen zu priorisieren. Unternehmen wird empfohlen, die notwendigen Patches anzuwenden, falls sie dies noch nicht getan haben, und ihre Systeme gemäß den Richtlinien von GitLab zur Reaktion auf Vorfälle auf Anzeichen einer Kompromittierung zu überprüfen.
Ransomware-Angriff stört IT-Netzwerk in Wichita
Die Stadt Wichita im US-Bundesstaat Kansas hat nach einem Ransomware-Angriff am Wochenende wichtige Teile ihres IT-Netzwerks vorübergehend abgeschaltet. Als größte Stadt in Kansas mit rund 400.000 Einwohnern reagierte Wichita auf diese Cyberbedrohung mit einer schnellen Abschaltung seiner Computersysteme, um die Ausbreitung der Malware einzudämmen. Diese entschlossene Maßnahme erfolgte, nachdem die Systeme der Stadt am Sonntag, den 5. Mai, kompromittiert wurden, was zur Verschlüsselung der Daten durch unbekannte Angreifer führte.
Derzeit ist noch unklar, ob vor der Verschlüsselung Daten extrahiert wurden. Ein solcher Diebstahl ist jedoch eine gängige Taktik unter Ransomware-Gruppen, die oft lange vor den sichtbaren Auswirkungen des Angriffs erfolgt. Die Stadt führt eine umfassende Bewertung durch, um das volle Ausmaß und die Auswirkungen des Verstoßes zu ermitteln. In der Zwischenzeit arbeiten wichtige städtische Dienste wie Polizei und Feuerwehr weiterhin mit Notfallplänen, die für solche Störungen ausgelegt sind.
Die Online-Zahlungssysteme der Stadt, einschließlich Versorgungsunternehmen und gerichtsbezogener Zahlungen, sind betroffen, was auf das Ausmaß der Auswirkungen hinweist. Lokale und bundesstaatliche Strafverfolgungsbehörden wurden benachrichtigt und sind an der Bewältigung der Folgen des Vorfalls beteiligt, während die Ermittlungen fortgesetzt werden.
Fazit
Angesichts der jüngsten Ransomware-Angriffe, die wichtige Dienste stören und sensible Daten kompromittieren, ist klar, dass Unternehmen ihre Cybersicherheits-Frameworks und Strategien zur Reaktion auf Vorfälle stärken müssen. Die rasante Zunahme solcher Bedrohungen unterstreicht die Notwendigkeit robuster Schutzmaßnahmen und schneller, koordinierter Maßnahmen, um die Auswirkungen zu minimieren und den Betrieb effizient wiederherzustellen.
Als erfahrene Experten für Cybersicherheit bieten wir umfassende Lösungen durch unsere Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen. Wenn Ihr Unternehmen mit Herausforderungen im Bereich der Cybersicherheit konfrontiert ist oder Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff benötigt, ist unser spezialisiertes Team bereit, Ihnen die notwendige Unterstützung zu bieten, um Ihre Systeme zu sichern und wiederherzustellen.
