Cox behebt API-Schwachstelle, die Millionen von Modems Angriffen aussetzt
Cox Communications hat kürzlich eine kritische Schwachstelle bei der Umgehung der Autorisierung behoben, die Millionen seiner Modems anfällig für Remote-Angriffe machte. Dieser vom Bug-Bounty-Jäger Sam Curry entdeckte Fehler ermöglichte es Angreifern, Backend-APIs auszunutzen, Modemeinstellungen zurückzusetzen und auf sensible Kundeninformationen zuzugreifen. Als größter privater Breitbandanbieter in den USA bedient Cox fast sieben Millionen Haushalte und Unternehmen in über 30 Bundesstaaten. Diese Schwachstelle gewährte Angreifern ähnliche Berechtigungen wie dem technischen Support des ISP, die es ihnen ermöglichten, personenbezogene Daten wie MAC-Adressen, E-Mails und Telefonnummern zu stehlen. Darüber hinaus könnten sie Wi-Fi-Passwörter sammeln und nicht autorisierte Befehle ausführen. Nach Currys Entdeckung am 3. März deaktivierte Cox die exponierten APIs innerhalb von sechs Stunden und patchte das Problem am nächsten Tag. Eine anschließende Untersuchung durch Cox ergab keine Beweise für eine frühere Ausnutzung dieser Sicherheitslücke.
Inkassobüro FBCS erhöht die Zahl der Datenschutzverletzungen auf 3,2 Millionen Menschen
Das Inkassobüro Financial Business and Consumer Solutions (FBCS) berichtet nun, dass im Februar über 3,2 Millionen Menschen von einer Datenschutzverletzung betroffen waren. Ursprünglich gab FBCS Ende April bekannt, dass bei dem Vorfall vom 14. Februar die sensiblen Daten von rund 1,9 Millionen Menschen kompromittiert wurden. Zu den kompromittierten Daten gehören vollständige Namen, Sozialversicherungsnummern (SSNs), Geburtsdaten, Kontodaten und Führerscheinnummern. Am 29. Mai reichte FBCS eine ergänzende Mitteilung an das Büro des Generalstaatsanwalts von Maine ein, in der die Gesamtzahl der betroffenen Personen auf 3.226.631 revidiert wurde. Betroffene Personen werden benachrichtigt und erhalten Anweisungen, sich für einen kostenlosen 24-monatigen Kreditüberwachungs- und Identitätswiederherstellungsdienst über CyEx anzumelden. FBCS rät den Betroffenen, wachsam gegenüber Phishing-, Betrugs- und Social-Engineering-Angriffen zu sein. Um zukünftige Verstöße zu verhindern, hat FBCS eine neue, sicherere Umgebung implementiert. Es wurden keine Details zu den Einzelheiten des Verstoßes veröffentlicht.
FBI stellt 7.000 LockBit-Schlüssel wieder her und fordert Ransomware-Opfer auf, sich zu melden
Das FBI fordert Opfer von Angriffen der LockBit-Ransomware auf, sich zu melden, nachdem sie über 7.000 Entschlüsselungsschlüssel gesichert haben, um verschlüsselte Daten kostenlos wiederherzustellen. Bryan Vorndran, stellvertretender Direktor der FBI Cyber Division, kündigte dies auf der Boston Conference on Cyber Security 2024 an. Die Schlüssel wurden erhalten, nachdem das FBI den Betrieb von LockBit im Rahmen der „Operation Cronos“ unterbrochen hatte, die im Februar 2024 die Infrastruktur der Ransomware-Gruppe lahmlegte. Während der Operation beschlagnahmten die Strafverfolgungsbehörden 34 Server mit über 2.500 Entschlüsselungsschlüsseln, was zur Erstellung eines kostenlosen LockBit 3.0 Black Ransomware-Entschlüsselers führte. Trotz dieser Bemühungen bleibt LockBit aktiv, da es auf neue Server und Dark-Web-Domains umgestiegen ist. Das FBI kontaktiert bekannte Opfer und ermutigt andere, Vorfälle bei ic3.gov zu melden. Das US-Außenministerium bietet erhebliche Belohnungen für Informationen, die zur Verhaftung oder Verurteilung von LockBit-Führungskräften und -Partnern führen, was die laufenden internationalen Bemühungen zur Bekämpfung von Ransomware widerspiegelt.
Linux-Version von TargetCompany Ransomware zielt auf VMware ESXi ab
Forscher haben eine neue Linux-Variante der TargetCompany-Ransomware entdeckt, die sich auf VMware ESXi-Umgebungen konzentriert. TargetCompany ist seit Juni 2021 aktiv und auch als Mallox, FARGO und Tohnichi bekannt und hat sich hauptsächlich auf Datenbanken in Asien konzentriert. Trotz eines vorübergehenden Rückschlags im Februar 2022 mit dem Entschlüsselungstool von Avast nahm die Gruppe ihre Aktivitäten wieder auf, indem sie Microsoft SQL-Server ins Visier nahm.
Trend Micro berichtet, dass diese neue Variante ein benutzerdefiniertes Shell-Skript verwendet, um Administratorrechte zu erhalten, die Nutzlast bereitzustellen und Daten zu exfiltrieren. Das Skript sucht nach VMware ESXi-Umgebungen und sendet Opferinformationen an einen Command-and-Control-Server. Es verschlüsselt VM-bezogene Dateien und hinterlässt eine Lösegeldforderung mit Entschlüsselungsanweisungen. Nach seinen Aufgaben löscht es die Nutzlast, um eine Erkennung zu vermeiden.
Trend Micro schreibt diese Angriffe einem Partner namens „Vampire“ zu, dessen IP-Adressen mit einem ISP in China verknüpft sind. Zu den Empfehlungen zur Risikominderung gehören die Aktivierung von MFA, das Erstellen von Backups und das Aktualisieren von Systemen.
Neue Fog Ransomware zielt über gehackte VPNs auf den US-Bildungssektor ab
Eine neue Ransomware-Operation namens „Fog“, die im Mai 2024 gestartet wurde, zielt auf den US-Bildungssektor ab, indem sie kompromittierte VPN-Anmeldeinformationen verwendet. Fog wurde von Arctic Wolf Labs entdeckt und hat noch kein Erpressungsportal eingerichtet, aber BleepingComputer bestätigt, dass die Bande Daten für doppelte Erpressungsangriffe stiehlt.
Fog-Betreiber erhalten den ersten Zugriff mit kompromittierten VPN-Anmeldeinformationen von mindestens zwei verschiedenen Anbietern. Sie verwenden dann „Pass-the-Hash“-Angriffe auf Administratorkonten, um RDP-Verbindungen zu Windows-Servern mit Hyper-V herzustellen, oder verwenden Credential Stuffing, gefolgt von der PsExec-Bereitstellung.
Sobald Fog drinnen ist, deaktiviert es Windows Defender und sammelt Systeminformationen, bevor die Multithread-Verschlüsselung initiiert wird. Die Ransomware beendet Prozesse, verschlüsselt VM-Speicherdateien und löscht Backups, um die Wiederherstellung zu behindern. Verschlüsselte Dateien erhalten eine ‚. FOG“ oder „. FLOCKED‘-Erweiterung.
Eine Lösegeldforderung mit dem Namen readme.txt leitet die Opfer zu Verhandlungen auf eine Tor-Site weiter. Lösegelder verlangen Hunderttausende von Dollar, wobei größere Beträge für größere Organisationen wahrscheinlich sind. Es ist unklar, ob Fog als Ransomware-as-a-Service (RaaS) oder von einer kleinen Gruppe von Cyberkriminellen betrieben wird.
DDoS-Angriffe zielen auf politische Parteien in der EU ab, während die Wahlen beginnen
Hacktivisten starten DDoS-Angriffe auf europäische politische Parteien, die sich ihren Interessen widersetzen, berichtet Cloudflare. Die Anschläge fallen mit den Wahlen zum Europäischen Parlament zusammen, die in den Niederlanden bereits im Gange sind und bald in 26 weiteren EU-Ländern beginnen werden. Cloudflare hat drei DDoS-Angriffswellen auf wahlbezogene Websites in den Niederlanden abgewehrt, darunter auch politische Parteien. Am 5. und 6. Juni wurden zwei Angriffe registriert: Der erste erreichte einen Spitzenwert von 115 Millionen Anfragen pro Stunde und der zweite mit 44 Millionen Anfragen pro Stunde. Die Hacktivistengruppe „HackNeT“ übernahm die Verantwortung für diese Angriffe auf Telegram und richtete sich gegen die PVV (Partei für die Freiheit) und die FvD (Forum für Demokratie). Beide Parteien, rechte Nationalisten, haben sich skeptisch gegenüber der EU und der NATO geäußert und Sympathie für Russland gezeigt. Darüber hinaus meldete das Bundesinnenministerium am 1. Juni 2024 einen „schweren Cyberangriff“ auf das Netz der CDU. Die CDU hat sich lautstark gegen das Vorgehen Russlands in der Ukraine ausgesprochen und unterstützt die anhaltenden Sanktionen. Die deutschen Behörden arbeiten daran, alle Bundestagsparteien vor ähnlichen Bedrohungen zu schützen.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft mit verschiedenen Bedrohungen behaftet ist, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.