Ausnutzung der VMware ESXi-Schwachstelle durch Ransomware-Gangs
Ransomware-Gruppen nutzen aktiv eine Schwachstelle in VMware ESXi aus, die als CVE-2024-37085 verfolgt wird, um administrative Kontrolle über domänengebundene Hypervisoren zu erlangen.
Dieser von Microsoft-Forschern entdeckte und in ESXi 8.0 U3 gepatchte Fehler mit mittlerem Schweregrad ermöglicht es Angreifern mit ausreichenden Active Directory (AD)-Berechtigungen, eine „ESX Admins“-Gruppe zu erstellen.
Diese Gruppe gewährt nach der Neuerstellung vollständige Administratorrechte auf dem ESXi-Host und erleichtert so den unbefugten Zugriff.
Obwohl sie hochrangige Berechtigungen und Benutzerinteraktionen erfordern, haben mehrere Ransomware-Betreiber, darunter auch solche, die mit Black Basta und Akira in Verbindung stehen, diese Schwachstelle genutzt, um sensible Daten zu stehlen, sich seitlich innerhalb von Netzwerken zu bewegen und kritische Systeme zu verschlüsseln.
Der jüngste Trend unterstreicht eine Verschiebung hin zu virtuellen ESXi-Maschinen, da diese eine Rolle beim Hosten wichtiger Anwendungen und Daten spielen und bei einer Kompromittierung zu erheblichen Betriebsunterbrechungen führen.
Die Zunahme von Vorfällen mit ESXi-Hypervisoren unterstreicht die wachsende Bedrohung für virtualisierte Umgebungen.
Black Basta Ransomware wendet fortschrittliche Ausweichtaktiken an
Die Black Basta-Ransomware-Bande hat Widerstandsfähigkeit und Anpassungsfähigkeit bewiesen, indem sie benutzerdefinierte Tools und ausgeklügelte Taktiken integriert hat, um der Erkennung zu entgehen und sich innerhalb von Netzwerken zu vermehren.
Black Basta ist seit April 2022 aktiv und hat weltweit über 500 erfolgreiche Angriffe durchgeführt.
Mit einer doppelten Erpressungsstrategie kombiniert die Bande Datendiebstahl mit Verschlüsselung und fordert Lösegelder in Höhe von mehreren Millionen Dollar.
Nach der Unterbrechung ihres ersten Zugangspartners, des QBot-Botnets, durch die Strafverfolgungsbehörden bildete Black Basta neue Allianzen, um ihre Angriffsfähigkeiten aufrechtzuerhalten.
Die Gruppe, die von Mandiant als UNC4393 verfolgt wird, hat neue Malware entwickelt, die ihre Entwicklung zeigt.
Zu den bemerkenswerten Verstößen in diesem Jahr gehören Veolia North America, Hyundai Motor Europe und Keytronic.
Nach QBot gingen sie dazu über, DarkGate- und SilentNight-Malware über Malvertising zu verbreiten.
Die Verlagerung von öffentlichen Tools hin zu benutzerdefinierter Malware wie DawnCry und PortYard verdeutlicht ihre wachsende Raffinesse.
Zu den weiteren benutzerdefinierten Tools gehören CogScan, SystemBC, KnockTrock und KnowTrap, die ihre ständige Bedrohung für die globale Cybersicherheit hervorheben.
Dark Angels-Ransomware erzielt Rekordzahlung in Höhe von 75 Millionen US-Dollar
Die Ransomware-Bande Dark Angels hat mit einer Lösegeldzahlung in Höhe von 75 Millionen US-Dollar von einem Fortune-50-Unternehmen einen Meilenstein erreicht, wie Zscaler ThreatLabz berichtet.
Diese Summe, die von Chainalysis bestätigt wurde, übertrifft den bisherigen Rekord von 40 Millionen US-Dollar, den CNA nach einem Angriff der Evil Corp gezahlt hat.
Das ins Visier genommene Unternehmen, das nicht namentlich genannt wird, aber als Fortune-50-Unternehmen gilt, wurde Anfang 2024 angegriffen.
Spekulationen deuten auf den Pharmariesen Cencora hin, der im Februar 2024 einem Cyberangriff ausgesetzt war, obwohl es keine Bestätigung gab.
Dark Angels, das seit Mai 2022 in Betrieb ist, dringt in Netzwerke ein, stiehlt Daten und setzt seine Ransomware-Variante ein, sobald es administrativen Zugriff erhält.
Ursprünglich verwendete die Bande Babuk-basierte Verschlüsselungsprogramme, später übernahm sie einen Linux-Verschlüsselungsprogramm, ähnlich dem Tool von Ragnar Locker.
Sie nutzen eine Datenleck-Website, „Dunghill Leaks“, zur Erpressung.
Die „Big Game Hunting„-Strategie der Gruppe konzentriert sich auf weniger, aber hochwertige Ziele für größere Auszahlungen, ein Trend, der bei Ransomware-Betreibern immer beliebter wird.
Microsoft bestätigt massiven Azure-Ausfall durch DDoS-Angriff
Microsoft hat bestätigt, dass ein neunstündiger Ausfall am Dienstag, der mehrere Microsoft 365- und Azure-Dienste weltweit betraf, das Ergebnis eines Distributed-Denial-of-Service-Angriffs (DDoS) war. Die Unterbrechung betraf Dienste wie Microsoft Entra, Intune, Power BI, Azure App Services und das Azure-Portal. Laut einer Erklärung zur Risikominderung löste der DDoS-Angriff die Schutzmechanismen von Microsoft aus, aber ein Fehler in deren Implementierung verschlimmerte den Ausfall, anstatt ihn abzuschwächen. Microsoft reagierte, indem es Änderungen an der Netzwerkkonfiguration vornahm und den Datenverkehr umleitete, um das Problem zu beheben. Der Ausfall, der ursprünglich auf einen „unerwarteten Nutzungsanstieg“ zurückzuführen war, führte dazu, dass die Komponenten von Azure Front Door und Azure Content Delivery Network unterdurchschnittlich funktionierten, was zu Fehlern und Latenzzeiten führte. Microsoft plant, innerhalb von 72 Stunden eine vorläufige Überprüfung nach dem Vorfall und innerhalb von zwei Wochen eine detaillierte abschließende Überprüfung nach dem Vorfall zu veröffentlichen. Dieser Vorfall folgt auf frühere DDoS-Angriffe, darunter einer von Anonymous Sudan im Juni 2023, und reiht sich in eine Reihe erheblicher Ausfälle ein, die sich in den letzten zwei Jahren auf Microsoft-Dienste ausgewirkt haben.
Weltweit führender Silberproduzent Fresnillo enthüllt Cyberangriff
Fresnillo PLC, der weltweit größte Silberproduzent und einer der führenden Produzenten von Gold, Kupfer und Zink, hat einen Cyberangriff bekannt gegeben, der zu einem unbefugten Zugriff auf seine IT-Systeme und Daten führte.
In einer Einreichung bei der Londoner Börse am Dienstag meldete der Bergbauriese den Verstoß, versicherte aber, dass sein Betrieb nicht beeinträchtigt wird und keine signifikanten finanziellen oder materiellen Auswirkungen zu erwarten sind.
Nach der Feststellung des Verstoßes implementierte Fresnillo Reaktionsmaßnahmen und beauftragte externe forensische Experten, um die Auswirkungen des Vorfalls zu untersuchen und zu bewerten.
Das Unternehmen betonte sein Engagement für Cybersicherheit und die laufenden Bemühungen, die Situation zu lösen.
Fresnillo betreibt acht Minen in Mexiko und besitzt Bergbaukonzessionen und Explorationsprojekte in Mexiko, Peru und Chile.
Trotz des Cyberangriffs können alle Geschäftsbereiche ihre Aktivitäten ohne Unterbrechung fortführen.
Der proaktive Ansatz des Unternehmens zielt darauf ab, potenzielle Risiken zu mindern und die Geschäftskontinuität zu gewährleisten.
Dieser Vorfall folgt auf ähnliche Verstöße im Bergbausektor und verdeutlicht die wachsenden Cybersicherheitsbedrohungen, mit denen große Akteure der Branche konfrontiert sind.
Sitting Ducks: DNS-Angriffe kapern über 35.000 Domains
Hacker haben mehr als 35.000 Domains durch Sitting Ducks-Angriffe gekapert, indem sie Konfigurationsfehler bei Registraren und eine schwache Eigentumsprüfung durch DNS-Anbieter ausgenutzt haben.
Diese Angriffe ermöglichen es Kriminellen, Domains ohne Zugriff auf das Konto des Eigentümers zu beanspruchen und dabei falsch konfigurierte DNS-Einstellungen auszunutzen.
Die Forscher von Infoblox und Eclypsium fanden heraus, dass täglich über eine Million Domains anfällig für solche Angriffe sind.
Obwohl diese Methode bereits 2016 identifiziert wurde, ist sie nach wie vor eine einfachere Alternative zu anderen Domain-Hijacking-Techniken.
Zu den wichtigsten Bedingungen gehören die Verwendung unterschiedlicher Anbieter für die Registrierung und DNS-Dienste, lahme Delegierung (unvollständige Auflösung von DNS-Einträgen) und laxe Domain-Claiming-Prozesse durch DNS-Anbieter.
Russische cyberkriminelle Gruppen haben diese Taktiken für Spam, Betrug, Malware und Phishing eingesetzt.
GoDaddy gehört zu den Betroffenen, mit anhaltenden Sicherheitslücken bei mehreren DNS-Anbietern.
Infoblox und Eclypsium verfolgen diese Angriffe seit 2018, wobei Domains für kurze bis längere Zeiträume gekapert wurden.
Domaininhaber sollten die DNS-Konfigurationen regelmäßig aktualisieren, und Registrare benötigen proaktive Überprüfungen und Warnungen.
Die Regulierungsbehörden müssen strengere DNS-Sicherheitsstandards durchsetzen, um solche Angriffe zu verhindern.
Hacker dringen in den ISP ein, um Software-Updates mit Malware zu vergiften
Die chinesische Hackergruppe StormBamboo hat einen ungenannten Internetdienstanbieter (ISP) kompromittiert, um Malware in automatische Software-Updates einzuschleusen.
StormBamboo, auch bekannt als Evasive Panda, Daggerfly und StormCloud, ist seit 2012 aktiv und richtet sich an Unternehmen in China, Hongkong, Macao, Nigeria sowie Südost- und Ostasien.
Volexity-Forscher enthüllten, dass StormBamboo unsichere HTTP-Update-Mechanismen ausnutzte, um Malware auf Windows- und macOS-Geräten bereitzustellen.
Der Angreifer fing DNS-Anfragen ab, leitete sie an bösartige IP-Adressen weiter und verbreitete Malware von seinen Command-and-Control-Servern.
Zum Beispiel kompromittierten sie die Update-Anfragen von 5KPlayer, um eine Backdoor-Version zu installieren.
Nach der Infektion wurde auf den Systemen eine bösartige Chrome-Erweiterung, ReloadText, installiert, um Cookies und E-Mail-Daten zu stehlen.
Volexity stellte fest, dass StormBamboo mehrere Softwareanbieter mit unsicheren Update-Prozessen ins Visier genommen hat.
Der ISP hat in Zusammenarbeit mit Volexity die Netzwerkkomponenten neu gestartet, um das DNS-Poisoning zu stoppen.
Dieser Angriff folgt ähnlichen Taktiken, die in den Jahren 2023 und 2024 gegen NGOs und Organisationen beobachtet wurden.
Anstieg der Magniber-Ransomware-Angriffe wirkt sich auf Privatanwender weltweit aus
Eine neue Magniber-Ransomware-Kampagne verschlüsselt die Geräte von Privatanwendern weltweit und verlangt Lösegelder ab 1.000 US-Dollar.
Magniber ist seit 2017 aktiv und verbreitet sich über Windows-Zero-Days, gefälschte Updates und trojanisierte Software-Cracks.
Die Zahl der Infektionen ist in jüngster Zeit sprunghaft angestiegen, seit dem 20. Juli wurden fast 720 Fälle gemeldet.
Opfer berichten von Verschlüsselung nach dem Ausführen von Software-Cracks.
Die Ransomware hängt zufällige Erweiterungen an Dateien an und hinterlässt eine READ_ME.htm Lösegeldforderung mit Zahlungsanweisungen.
Die Lösegelder erhöhen sich auf 5.000 US-Dollar, wenn sie nicht innerhalb von drei Tagen gezahlt werden.
Für aktuelle Versionen ist keine kostenlose Entschlüsselung verfügbar.
Benutzern wird empfohlen, illegale Software-Cracks zu vermeiden, um eine Infektion zu verhindern.
Betroffene können sich in speziellen Support-Foren Hilfe suchen.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft mit verschiedenen Bedrohungen behaftet ist, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.