Update zum Columbus Ransomware-Vorfall
Im Juli 2024 wurde die Stadt Columbus, Ohio, mit einem groß angelegten Ransomware-Angriff konfrontiert, bei dem die persönlichen und finanziellen Daten von rund 500.000 Personen kompromittiert wurden. Der Angriff auf die Hauptstadt von Ohio, die über 905.000 Einwohner hat, führte zu weitreichenden Unterbrechungen der städtischen Dienstleistungen und der IT-Kommunikation zwischen den Behörden. Anfangs versicherten die Stadtbeamten, dass keine Systeme verschlüsselt seien; Die Rhysida-Ransomware-Bande übernahm jedoch später die Verantwortung und gab an, 6,5 Terabyte an Daten exfiltriert zu haben, darunter sensible Mitarbeiter- und Infrastrukturinformationen. Trotz der Bemühungen, die Situation unter Kontrolle zu bringen, begann die Bande, 45 % der Daten auf einem Darknet-Portal durchsickern zu lassen, als ihre Erpressungsversuche scheiterten. Daraufhin spielte der Bürgermeister von Columbus, Andrew Ginther, die Schwere des Lecks herunter, was vom Sicherheitsexperten David Ross widersprochen wurde, der zeigte, dass die Daten weder verschlüsselt noch beschädigt waren, wie behauptet. Die Stadt leitete daraufhin rechtliche Schritte gegen Ross ein und kündigte kostenlose Kreditüberwachungsdienste für betroffene Einwohner an, während sie sie aufforderte, auf Anzeichen von Identitätsdiebstahl zu achten.
Neue Phishing-Kampagne installiert Linux-VMs mit Hintertür auf Windows-Geräten
Eine neu identifizierte Phishing-Operation mit dem Namen „CRON#TRAP“ führt eine neuartige Taktik ein: die Bereitstellung einer virtuellen Linux-Maschine (VM) mit einer vorinstallierten Hintertür auf Windows-Systemen. Im Gegensatz zu typischen Angriffen von Ransomware-Banden, bei denen virtuelle Umgebungen nach dem Eindringen in Netzwerke manuell installiert werden, automatisiert diese Kampagne den Prozess über Phishing-E-Mails. Die E-Mails locken die Opfer mit einer gefälschten „OneAmerica-Umfrage“ und enthalten eine 285 MB große ZIP-Datei, die eine Windows-Verknüpfung enthält, die eine versteckte QEMU-basierte Linux-VM-Installation startet. Sobald sie aktiv ist, ermöglicht die benutzerdefinierte Linux-VM mit dem Namen „PivotBox“ den dauerhaften Zugriff auf Unternehmensnetzwerke über eine Hintertür mithilfe des Netzwerktunneling-Tools Chisel. Dies ermöglicht eine heimliche Kommunikation mit Command-and-Control-Servern. Durch die Nutzung des legitimen, digital signierten Status von QEMU umgehen Angreifer Sicherheitsalarme, während sie sich an der Überwachung, Dateiverwaltung und Datenexfiltration beteiligen. Da Ransomware-Banden zunehmend solche Taktiken erforschen, werden Unternehmen dringend aufgefordert, QEMU-Aktivitäten zu überwachen, Virtualisierungstools einzuschränken und Virtualisierungskontrollen auf BIOS-Ebene durchzusetzen, um ähnliche Bedrohungen zu vereiteln.
Entwicklerplattform von Schneider Electric bei großer Datenschutzverletzung kompromittiert
Bei Schneider Electric kam es kürzlich zu einer schwerwiegenden Verletzung der Cybersicherheit, bei der Angreifer in einer isolierten Umgebung auf eine Entwicklerplattform zugriffen. Das Eindringen beinhaltete einen unbefugten Zugriff auf das System zur Nachverfolgung der Projektausführung von Schneider Electric, wobei Berichten zufolge offengelegte Anmeldeinformationen ausgenutzt wurden. Im Inneren nutzten die Hacker, die als Ransomware-Gruppe „Hellcat“ identifiziert wurden, angeblich eine REST-API, um 400.000 Zeilen mit Benutzerdaten zu sammeln, darunter 75.000 eindeutige E-Mail-Adressen und vollständige Namen, die mit Mitarbeitern und Kunden verknüpft sind. Das Incident Response Team von Schneider Electric wurde mobilisiert, um die Sicherheitsverletzung zu untersuchen und einzudämmen. Während das Unternehmen versichert, dass seine Kernprodukte und -dienstleistungen sicher bleiben, unterstreicht das Ausmaß der kompromittierten Projekt- und Benutzerinformationen die Schwere des Vorfalls. Die Hellcat-Gruppe fordert 125.000 US-Dollar, um eine weitere Datenoffenlegung zu verhindern, und signalisiert damit eine Verlagerung hin zu Erpressungstaktiken nach einem kürzlichen Rebranding der „International Contract Agency“.
Google-Patches nutzen Android-Schwachstellen im neuesten Update aktiv aus
Das November-Sicherheitsupdate von Google behebt neben 49 weiteren Sicherheitslücken zwei aktiv ausgenutzte Zero-Day-Schwachstellen in Android, CVE-2024-43047 und CVE-2024-43093. Diese Zero-Day-Exploits wurden in gezielten Angriffen eingesetzt, was zu schnellen Maßnahmen führte, um potenzielle Risiken zu mindern. CVE-2024-43047, eine Use-after-free-Schwachstelle in Qualcomm-Komponenten, ermöglicht eine Privilegienausweitung und wurde erstmals im Oktober von Qualcomm gemeldet. In der Zwischenzeit wirkt sich CVE-2024-43093 auf die Systemupdates für Android Framework und Google Play aus und wirkt sich auf die Benutzeroberfläche „Dokumente“ aus. Google hat zwar keine Einzelheiten zu diesen Exploits bekannt gegeben, aber sie könnten für Spyware-Operationen genutzt worden sein. Die Updates beheben Schwachstellen in den Android-Versionen 12 bis 15, wobei zwei Patch-Levels veröffentlicht wurden: 1. November für die wichtigsten Android-Probleme und 5. November für zusätzliche herstellerspezifische Fixes. Benutzern älterer Android-Versionen, die nicht mehr offiziell unterstützt werden, wird empfohlen, ihre Geräte zu aktualisieren oder sich an Distributionen von Drittanbietern zu wenden, um den Schutz vor Zero-Day-Bedrohungen zu gewährleisten. Regelmäßige Updates sind nach wie vor entscheidend, um sich vor solchen Exploits zu schützen.
Cisco behebt kritische Command Injection-Schwachstelle in Industrial Access Points
Cisco hat eine kritische Zero-Day-Schwachstelle, CVE-2024-20418, in seiner Unified Industrial Wireless Software gepatcht, die Ultra-Reliable Wireless Backhaul (URWB) Access Points betrifft. Dieser Fehler, der durch eine unsachgemäße Eingabevalidierung in der webbasierten Verwaltungsschnittstelle verursacht wird, ermöglicht es nicht authentifizierten Angreifern, beliebige Befehle mit Root-Rechten auszuführen, indem sie präparierte HTTP-Anfragen senden. Die Schwachstelle betrifft Catalyst IW9165D und IW9165E Rugged Access Points und Catalyst IW9167E Modelle, wenn anfällige Software im URWB-Modus ausgeführt wird. Es gibt zwar keine Hinweise auf aktive Ausnutzung oder öffentlich zugänglichen Exploit-Code, aber das Potenzial von Brute-Force-Angriffen , um ähnliche Fehler auszunutzen, bleibt besorgniserregend. Cisco war in der Vergangenheit mit Brute-Force-Angriffen auf VPN-Geräte konfrontiert, was die dringende Notwendigkeit unterstreicht, Command Injection-Schwachstellen zu schließen. Administratoren wird empfohlen, den Status des URWB-Modus zu überprüfen, indem sie die Verfügbarkeit des Befehls „show mpls-config“ überprüfen. Die Sicherstellung rechtzeitiger Updates ist entscheidend, um Geräte vor Ausnutzung durch Brute-Force- oder andere Angriffsvektoren zu schützen.
Ungepatchte Mazda Connect-Schwachstellen ermöglichen hartnäckige Malware- und DDoS-Risiken
Mehrere ungepatchte Schwachstellen in Mazda Connect-Infotainmentsystemen, die in Modellen wie dem Mazda 3 (2014–2021) gefunden wurden, setzen Fahrzeuge potenziellen Malware-Installationen und Sicherheitsverletzungen aus. Diese Schwachstellen, einschließlich SQL-Injection – und Command-Injection-Schwachstellen, ermöglichen es Angreifern, beliebigen Code mit Root-Rechten auszuführen, was Bedenken hinsichtlich der Fahrzeugsicherheit und der Netzwerkintegrität aufkommen lässt. Zu den Problemen gehört, dass CVE-2024-8355 SQL-Injection ausnutzt, um Datenbanken zu manipulieren oder bösartigen Code auszuführen, indem Apple-Geräte gefälscht werden. In ähnlicher Weise ermöglichen Fehler bei der Befehlsinjektion (CVE-2024-8359, CVE-2024-8360, CVE-2024-8358) es Angreifern, Betriebssystembefehle über Dateipfade einzuschleusen und so das System zu gefährden. Das Fehlen eines Vertrauensankers (CVE-2024-8357) und die Zulassung von nicht signiertem Code (CVE-2024-8356) ermöglichen weiterhin persistente Malware und nicht autorisierte Firmware-Installationen. Während diese Schwachstellen physischen Zugang erfordern, bieten Szenarien wie Valet-Parking oder Servicebesuche Möglichkeiten zur Ausnutzung. Erfolgreiche Angriffe können zu Datenbankmanipulationen, hartnäckiger Malware, DDoS-Bedrohungen oder sogar zur Kontrolle über kritische Fahrzeugsysteme wie Bremsen und Motoren führen.
Veeam-Schwachstelle bei Akira-, Fog- und Frag-Ransomware-Angriffen ausgenutzt
Eine kritische Remote Code Execution (RCE)-Schwachstelle in Veeam Backup & Replication (VBR), die als CVE-2024-40711 verfolgt wird, wurde von mehreren Ransomware-Gruppen ausgenutzt, darunter Akira ransomware, Fog ransomware und die neu aufgetauchte Frag ransomware. Diese Schwachstelle, die durch eine Deserialisierungsschwachstelle verursacht wird, ermöglicht es nicht authentifizierten Angreifern, beliebigen Code auf ungepatchten Veeam VBR-Servern auszuführen, was einen Einstiegspunkt für die Bereitstellung von Ransomware bietet. Trotz verspäteter Offenlegungsbemühungen von Sicherheitsforschern und -anbietern nutzten Ransomware-Betreiber wie Akira und Fog die Schwachstelle schnell aus, oft zusammen mit gestohlenen VPN-Anmeldeinformationen. Sie nutzten diese Taktiken, um betrügerische Administratorkonten zu erstellen und so die volle Kontrolle über kompromittierte Systeme zu erlangen. Frag ransomware verfolgt seitdem eine ähnliche Strategie und nutzt CVE-2024-40711, um in Netzwerke einzudringen und bösartige Nutzlasten bereitzustellen. Ransomware-Banden wie Akira, Fog und Frag haben es zunehmend auf ungepatchte Schwachstellen in weit verbreiteten Lösungen wie Veeam abgesehen. Ihre Operationen beinhalten oft die Ausnutzung von Fehlkonfigurationen und den Einsatz von heimlichen Living Off The Land Binaries (LOLBins), was die Erkennung und Abwehr erschwert.
Fazit
Zusammenfassend lässt sich sagen, dass sich die Bedrohungslandschaft mit vielfältigen und ausgeklügelten Cyberangriffen wie Ransomware, Datenschutzverletzungen und kritischen Schwachstellen auf verschiedenen Plattformen rasant weiterentwickelt. Für Unternehmen ist es unerlässlich, die Nase vorn zu haben, indem sie proaktive Sicherheitsmaßnahmen ergreifen und strenge Strategien zur Reaktion auf Vorfälle beibehalten. Als Spezialisten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir umfassende Dienstleistungen an, die auf Ihre Bedürfnisse zugeschnitten sind, darunter Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen. Wenn Ihr Unternehmen fachkundige Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Verbesserung seiner Cybersicherheitsabwehr benötigt, zögern Sie nicht, uns zu kontaktieren.