Große Telekommunikationsanbieter befassen sich mit Sicherheitslücken im Zusammenhang mit chinesischer Spionagegruppe
AT&T und Verizon haben Cyberangriffe bestätigt, die mit einer ausgeklügelten chinesischen Hackergruppe in Verbindung stehen, die es auf globale Telekommunikationsanbieter abgesehen hat. Beide Unternehmen versicherten, dass die Angreifer, die als Teil der Salt Typhoon-Gruppe identifiziert wurden, von ihren Systemen ausgeschlossen wurden. Verizon meldete keine laufenden Bedrohungsaktivitäten und erklärte, dass umfangreiche Maßnahmen den Verstoß eingedämmt haben. In ähnlicher Weise enthüllte AT&T, dass sich der Angriff auf eine kleine Anzahl von Personen mit nachrichtendienstlichem Wert konzentrierte, und obwohl einige Kundendaten betroffen waren, ist die Situation unter Kontrolle. In der Zwischenzeit enthüllte T-Mobile im November einen unabhängigen Verstoß gegen seine Router, wodurch die kompromittierten Systeme schnell isoliert wurden. Die US-Regierung intensiviert ihre Bemühungen um die Sicherung der Telekommunikationsinfrastruktur und diskutiert ein mögliches Verbot chinesischer Technologien wie TP-Link-Router. Darüber hinaus zielen neue Gesetze und regulatorische Maßnahmen darauf ab, die Cybersicherheit in den amerikanischen Telekommunikationsnetzen zu stärken, um eskalierenden Bedrohungen durch staatlich geförderte Akteure entgegenzuwirken.
Chinesische Hacker nutzen Zero-Day-Schwachstellen aus, um in das US-Finanzministerium einzudringen
Das US-Finanzministerium bestätigte einen Cyberangriff durch staatlich geförderte chinesische Akteure, die Zero-Day-Schwachstellen in einer von BeyondTrust bereitgestellten Remote-Support-Plattform ausnutzten. Die Sicherheitsverletzung, die erstmals am 8. Dezember entdeckt wurde, ermöglichte es Angreifern, auf Behördensysteme zuzugreifen, indem sie einen gestohlenen Remote Support SaaS-API-Schlüssel nutzten. Dieser Schlüssel ermöglichte das Zurücksetzen von Passwörtern für privilegierte Konten und gewährte den Bedrohungsakteuren einen tieferen Zugriff auf vertrauliche Dokumente. BeyondTrust identifizierte und patchte zwei kritische Zero-Day-Schwachstellen, CVE-2024-12356 und CVE-2024-12686, die zur Kompromittierung der Plattform verwendet wurden. Nach der Entdeckung wurden alle betroffenen Systeme heruntergefahren und der gestohlene API-Schlüssel widerrufen. Das FBI und die CISA arbeiteten bei der Untersuchung zusammen und kamen zu dem Schluss, dass die Angreifer keinen Zugriff mehr auf die Systeme des Finanzministeriums haben. Dieser Vorfall unterstreicht die wachsenden Risiken, die von Zero-Day-Schwachstellen ausgehen, und unterstreicht die Notwendigkeit robuster Cybersicherheitsmaßnahmen in allen Bundesbehörden, um solche fortschrittlichen anhaltenden Bedrohungen zu entschärfen.
Vorgeschlagene HIPAA-Aktualisierungen befassen sich mit zunehmenden Datenschutzverletzungen im Gesundheitswesen
Das US-Gesundheitsministerium (HHS) hat Pläne angekündigt, die HIPAA-Vorschriften als Reaktion auf die eskalierenden Datenschutzverletzungen im Gesundheitswesen zu überarbeiten, darunter hochkarätige Vorfälle wie den Black-Basta-Ransomware-Angriff. Die vorgeschlagenen Änderungen zielen darauf ab, die Sicherheit von Patientendaten zu verbessern, indem Verschlüsselung, Multifaktor-Authentifizierung und Netzwerksegmentierung vorgeschrieben werden, um laterale Bewegungen bei Sicherheitsverletzungen einzudämmen. Das HHS Office for Civil Rights betonte die Dringlichkeit dieser Aktualisierungen und verwies auf die zunehmende Häufigkeit von Verstößen, von denen Hunderttausende von Menschen betroffen sind. Der Angriff der Black-Basta-Ransomware auf Ascension, einen der größten privaten Gesundheitsdienstleister, hat die Folgen solcher Verstöße deutlich gemacht: Bei denen die Daten von 5,6 Millionen Patienten kompromittiert und elektronische medizinische Systeme unbrauchbar gemacht wurden. Diese vorgeschlagenen Regeln, die im ersten Jahr voraussichtlich 9 Milliarden US-Dollar kosten werden, gelten als unerlässlich für den Schutz kritischer Infrastrukturen im Gesundheitswesen und die Patientensicherheit vor immer ausgefeilteren Cyber-Bedrohungen.
Die wichtigsten Cybersicherheitsvorfälle des Jahres 2024: Ransomware und DDoS-Angriffe
Zu den bemerkenswertesten Cybersicherheitsereignissen des Jahres 2024 gehörten hochkarätige Vorfälle mit DDoS-Angriffen und Ransomwares wie BlackSuit, BlackCat und LockBit. Im Oktober sah sich das Internet Archive einem doppelten Angriff ausgesetzt, mit einem massiven DDoS-Angriff und einer Datenschutzverletzung, bei der Benutzerdaten von 33 Millionen Konten offengelegt wurden. In der Zwischenzeit verursachte die BlackSuit-Ransomware weitreichende Störungen in der Automobilindustrie, indem sie die Systeme von CDK Global lahmlegte und Autohäuser in den USA nicht mehr in der Lage war, Verkäufe, Finanzierungen und Reparaturen abzuwickeln. Auch im Gesundheitswesen kam es zu erheblichen Turbulenzen, als die BlackCat-Ransomware auf die Tochtergesellschaft von UnitedHealth, Change Healthcare, abzielte, kritische Systeme verschlüsselte und 6 TB Daten stahl, von denen über 100 Millionen Patienten betroffen waren. In ähnlicher Weise erlitt die LockBit-Ransomware einen schweren Rückschlag, als die Strafverfolgungsbehörden im Februar ihre Infrastruktur beschlagnahmten, obwohl die Gruppe einen kurzen Wiederaufstieg schaffte, bevor sie an Bedeutung verlor. Diese Vorfälle unterstreichen die sich weiterentwickelnde Raffinesse von Cyberbedrohungen und den dringenden Bedarf an verbesserten Verteidigungsstrategien.
Neuer DoubleClickjacking-Angriff nutzt Doppelklicks von Benutzern aus
Es ist eine neuartige Variante des Clickjackings entstanden, die als „DoubleClickjacking“ bezeichnet wird und es Angreifern ermöglicht, die Doppelklicks der Benutzer zu manipulieren, um sensible Aktionen auf legitimen Websites zu autorisieren. Im Gegensatz zu herkömmlichem Clickjacking, das auf iframes und Cross-Site-Anfragen basiert, umgeht DoubleClickjacking bestehende Abwehrmechanismen, indem es das Timing von Doppelklicks ausnutzt. Angreifer locken Benutzer mit Ködern wie Belohnungen oder Captchas und leiten Klicks auf versteckte Autorisierungsschaltflächen auf legitimen Seiten um. Demonstrationen des Cybersicherheitsexperten Paulos Yibelo zeigen, dass diese Technik Plattformen wie Shopify, Slack und Salesforce sowie Browsererweiterungen wie Krypto-Wallets und VPNs erfolgreich kompromittiert. Der Angriff ist über Web- und mobile Plattformen hinweg effektiv und nutzt die natürlichen Interaktionen der Benutzer. Um diese Bedrohung zu mindern, empfiehlt Yibelo JavaScript-Lösungen, um sensible Schaltflächen zu deaktivieren, bis eine absichtliche Benutzergeste erkannt wird. Darüber hinaus könnte die Implementierung eines HTTP-Headers, der einen schnellen Kontextwechsel bei Doppelklicks blockiert, weiteren Schutz vor diesem ausgeklügelten Exploit bieten.
Ransomware-Angriff legt sensible Daten aus dem RIBridges-System von Rhode Island offen
Die Ransomware-Bande Brain Cipher hat damit begonnen, sensible Daten preiszugeben, die bei ihrem Angriff auf die Sozialdienstplattform „RIBridges“ in Rhode Island gestohlen wurden. RIBridges, das von Deloitte verwaltet wird, unterstützt wichtige Programme wie Gesundheitsversorgung und Lebensmittelhilfe. Am 10. Dezember bestätigte Deloitte, dass Bedrohungsakteure in das System eingedrungen sind, indem sie bösartigen Code eingeschleust und Daten exfiltriert haben. Die gestohlenen Dateien, die jetzt teilweise durchgesickert sind, enthalten Berichten zufolge persönliche Informationen von etwa 650.000 Personen, darunter Sozialversicherungsnummern, Bankdaten und Daten von Minderjährigen. Brain Cipher, das seit Mitte 2024 aktiv ist, ist dafür bekannt, einen Verschlüsselungsdienst zu verwenden, der auf dem durchgesickerten LockBit 3.0-Builder basiert, und betreibt eine Datenleck-Site, um Opfer zu erpressen. Während die Datenleck-Site der Gruppe derzeit offline ist, möglicherweise aufgrund eines DDoS-Angriffs, bleibt ihre Verhandlungsseite aktiv. Staatliche Beamte haben die Einwohner aufgefordert, ihre Kreditwürdigkeit zu überwachen und wachsam gegenüber Phishing-Betrügereien zu bleiben, die die gestohlenen Daten ausnutzen.
Fazit
Der RIBridges-Verstoß unterstreicht die wachsende Raffinesse von Ransomware-Gruppen wie Brain Cipher und unterstreicht die Bedeutung proaktiver Cybersicherheitsmaßnahmen. Angesichts des Risikos sensibler Daten und des Potenzials für weitreichende Schäden müssen Unternehmen robuste Verteidigungsstrategien und Wiederherstellungspläne priorisieren. Bei BeforeCrypt sind wir darauf spezialisiert, Unternehmen bei der Wiederherstellung von Ransomware-Angriffen mit unseren Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen zu unterstützen. Wenn Ihr Unternehmen mit einer Ransomware-Krise konfrontiert ist oder Unterstützung bei der Verhinderung künftiger Vorfälle benötigt, wenden Sie sich noch heute an unsere Experten, um die Kontrolle wiederzuerlangen und Ihre kritischen Daten zu schützen.
