Keytronic droht nach Ransomware-Angriff ein Verlust von 17 Millionen US-Dollar
Keytronic, ein führender Anbieter von Dienstleistungen für die Elektronikfertigung, gab kürzlich Verluste von über 17 Millionen US-Dollar aufgrund eines Ransomware-Angriffs bekannt, der sich im Mai 2024 ereignete.
Ursprünglich bekannt für die Herstellung von Tastaturen und Mäusen, hat sich Keytronic zu einem der weltweit größten Hersteller von Leiterplattenbaugruppen (PCBA) entwickelt.
Der Ransomware-Angriff wirkte sich stark auf die Geschäftstätigkeit in den USA und Mexiko aus und führte im vierten Quartal zu unerwarteten Ausgaben in Höhe von über 2,3 Millionen US-Dollar und einem Umsatzverlust von 15 Millionen US-Dollar.
Während das Unternehmen davon ausgeht, die meisten dieser Aufträge bis 2025 zurückzuerhalten, führte der Angriff auch zum Diebstahl sensibler Daten, einschließlich Mitarbeiter- und Kundeninformationen.
Dieser Vorfall unterstreicht die wachsende Bedrohung durch Ransomware-as-a-Service (RaaS), ein Modell, bei dem Ransomware-Tools an Cyberkriminelle vermietet werden.
Obwohl Keytronic den spezifischen Bedrohungsakteur nicht identifiziert hat, übernahm die berüchtigte Ransomware-Gruppe Black Basta später die Verantwortung für den Verstoß.
Nordkoreanische Hacker nutzen VPN-Update-Fehler aus, um Malware zu verbreiten
Das südkoreanische National Cyber Security Center (NCSC) hat eine Warnung vor staatlich geförderten nordkoreanischen Hackern herausgegeben, die Schwachstellen in VPN-Software-Updates ausnutzen, um Malware zu installieren und Netzwerke zu infiltrieren.
Dieser Cyberangriff steht im Zusammenhang mit Nordkoreas umfassenderen Bemühungen, Geschäftsgeheimnisse zu stehlen, insbesondere im Hinblick auf die von Kim Jong-un im Jahr 2023 angekündigte Initiative zur industriellen Modernisierung.
Hinter diesen Operationen stecken zwei Advanced Persistent Threat (APT)-Gruppen, Kimsuky (APT43) und Andariel (APT45), die beide mit der berüchtigten Lazarus-Gruppe verbunden sind.
In einem Fall kompromittierte Kimsuky die Website eines südkoreanischen Bauhandelsunternehmens und verteilte trojanisierte Software-Updates, die sensible Daten erfassten.
In einem anderen Fall nutzte Andariel eine Schwachstelle im Kommunikationsprotokoll eines inländischen VPNs, um bösartige Updates zu verbreiten, und setzte die DoraRAT-Malware ein, um große Dateien wie Dokumente zur Maschinenkonstruktion zu stehlen.
Dieser Angriff verdeutlicht die wachsende Bedrohung, die von Ransomware-as-a-Service (RaaS) und anderen ausgeklügelten Cyberspionage-Taktiken ausgeht.
Ransomware-Gang zielt mit SharpRhino-Malware auf IT-Mitarbeiter ab
Die Ransomware-Gruppe Hunters International zielt aktiv auf IT-Experten mit einem neu entwickelten C#-Fernzugriffstrojaner (RAT) namens SharpRhino ab.
Diese Malware wurde strategisch entwickelt, um in Unternehmensnetzwerke einzudringen, indem sie eine Erstinfektion erreicht, Berechtigungen auf kompromittierten Systemen ausweitet, PowerShell-Befehle ausführt und schließlich Ransomware einsetzt.
Die Malware wird über Typosquatting-Websites verbreitet, die legitime Tools wie Angry IP Scanner nachahmen und IT-Mitarbeiter dazu verleiten, sie herunterzuladen.
Nach der Installation ändert SharpRhino die Windows-Registrierung für die Persistenz und verwendet PowerShell-Skripte, um bösartige Aktionen heimlich auszuführen.
Hunters International, eine Gruppe, die im Verdacht steht, eine umbenannte Version der berüchtigten Hive-Ransomware-Operation zu sein, hat im Jahr 2024 bereits 134 Angriffe durchgeführt.
Um sich vor solchen Bedrohungen zu schützen, sollten IT-Teams einen robusten Backup-Plan implementieren, die Netzwerksegmentierung sicherstellen und die gesamte Software auf dem neuesten Stand halten, um das Risiko einer Rechteausweitung und lateralen Bewegung innerhalb ihrer Netzwerke zu minimieren.
Google behebt Zero-Day-Exploit des Android-Kernels bei gezielten Angriffen
Das neueste Android-Sicherheitsupdate von Google behebt einen kritischen Zero-Day-Angriff, bei dem eine Schwachstelle im Linux-Kernel ausgenutzt wird, die als CVE-2024-36971 verfolgt wird.
Dieser Zero-Day-Fehler, ein Use-after-free-Problem (UAF) innerhalb des Netzwerkroutenmanagements des Android-Kernels, wurde aktiv in gezielten Angriffen ausgenutzt.
Die Schwachstelle ermöglicht es Angreifern mit Systemausführungsberechtigungen, das Netzwerkverhalten zu manipulieren und beliebigen Code auf ungepatchten Geräten auszuführen.
Dieser Zero-Day-Angriff, der von der Threat Analysis Group (TAG) von Google entdeckt wurde, verdeutlicht die schwerwiegenden Risiken, die von bisher unbekannten Schwachstellen ausgehen, die in freier Wildbahn ausgenutzt werden, insbesondere von staatlich geförderten Bedrohungsakteuren.
Google hat schnell reagiert und Patches als Teil seiner Sicherheitsupdates im August veröffentlicht.
Während Pixel-Geräte sofortigen Schutz erhalten, können andere Android-Geräte anfällig bleiben, bis ihre Hersteller zusätzliche Tests abschließen und die Updates einführen.
Diese Verzögerung unterstreicht, wie wichtig es ist, Zero-Day-Angriffe umgehend zu bekämpfen, um die Gefährdung durch solche kritischen Bedrohungen zu minimieren.
McLaren-Krankenhäuser durch INC-Ransomware-Angriff gestört
McLaren Health Care, ein gemeinnütziges Gesundheitssystem, das 13 Krankenhäuser in ganz Michigan betreibt, sah sich am Dienstag aufgrund eines Angriffs im Zusammenhang mit der Ransomware-Operation INC Ransom mit erheblichen Störungen des IT- und Telefonsystems konfrontiert.
Dieser Angriff hat den Zugriff auf kritische Patienteninformationsdatenbanken kompromittiert, was McLaren dazu veranlasste, Patienten zu raten, detaillierte Aufzeichnungen ihrer Medikamente zu Terminen mitzubringen und nicht dringende Eingriffe möglicherweise aus Vorsicht zu verschieben.
Während McLaren die Einzelheiten des Vorfalls nicht offiziell bestätigt hat, berichteten Mitarbeiter des McLaren Bay Region Hospital, dass sie eine Lösegeldforderung erhalten haben, die darauf hinweist, dass die Systeme des Krankenhauses verschlüsselt sind und dass gestohlene Daten veröffentlicht werden, wenn kein Lösegeld gezahlt wird.
Dieser Vorfall ist besonders besorgniserregend, da die Ransomware-Gruppe ALPHV/BlackCat zuvor die Verantwortung für einen Angriff auf McLaren im Juli 2023 übernommen hat, der zu einer Datenschutzverletzung führte, von der fast 2,2 Millionen Menschen betroffen waren.
Die anhaltenden Bedrohungen durch Gruppen wie INC Ransom und ALPHV/BlackCat verdeutlichen das anhaltende Risiko von Zero-Day-Angriffen im Gesundheitswesen.
Neuer CMoon USB-Wurm zielt bei Datendiebstahl auf Russen ab
Ein neuer, sich selbst vermehrender Wurm namens „CMoon“ hat es seit Anfang Juli 2024 auf russische Nutzer abgesehen und sich über die Website eines kompromittierten Gasversorgungsunternehmens verbreitet.
Laut Kaspersky-Forschern ist CMoon darauf ausgelegt, Kontoanmeldeinformationen und andere sensible Daten zu stehlen, mit Funktionen wie dem Laden zusätzlicher Malware, dem Erstellen von Screenshots und dem Starten von DDoS-Angriffen (Distributed Denial of Service).
Die Verbreitung des Wurms begann, als die Bedrohungsakteure legitime Dokumentenlinks auf der Website des Unternehmens durch bösartige ausführbare Dateien ersetzten.
Diese wurden als selbstextrahierende Archive ausgeliefert, die sowohl die Originaldokumente als auch die CMoon-Payload enthielten.
Obwohl die kompromittierten Dateien Ende Juli von der Website entfernt wurden, könnten die Selbstreplikationsmechanismen von CMoon eine autonome Weiterverbreitung ermöglichen.
CMoon richtet sich speziell an hochwertige Unternehmen und nicht an zufällige Internetnutzer, was die ausgeklügelte Natur des Vorgangs widerspiegelt.
Der Wurm überwacht auch angeschlossene USB-Laufwerke, ersetzt Dateien durch Verknüpfungen zu seiner ausführbaren Datei und exfiltriert interessante Daten auf einen externen Server.
Trotz des gezielten Charakters dieser Kampagne gibt die Fähigkeit von CMoon, sich autonom zu verbreiten, Anlass zur Sorge vor breiteren, unbeabsichtigten Auswirkungen.
FBI bestätigt, dass BlackSuit Ransomware hinter über 500 Millionen US-Dollar an Lösegeldforderungen steckt
Das FBI und die CISA haben bestätigt, dass sich die Ransomware-Gruppe Royal in BlackSuit Ransomware umbenannt hat und seit ihrem Auftauchen über 500 Millionen US-Dollar von den Opfern verlangt. Diese Enthüllung, die in einem Update eines gemeinsamen Advisorys geteilt wurde, unterstreicht, dass BlackSuit seit September 2022 aktiv ist und dessen Wurzeln bis zum berüchtigten Conti-Cybercrime-Syndikat zurückreichen. Die Gruppe, die ursprünglich unter dem Namen Royal firmierte, wurde nach dem Einsatz ihres neuen Zeon-Verschlüsselungsprogramms nach hochkarätigen Angriffen wie dem auf die Stadt Dallas im Juni 2023 umbenannt. Die BlackSuit-Ransomware, die zahlreiche Ähnlichkeiten mit ihrem Vorgänger Royal aufweist, hat über 350 Unternehmen ins Visier genommen, mit Lösegeldforderungen zwischen 1 und 10 Millionen US-Dollar, darunter in einem Fall erstaunliche 60 Millionen US-Dollar. Die Empfehlung des FBI und der CISA bringt BlackSuit mit bedeutenden Vorfällen in Verbindung, wie z. B. dem jüngsten IT-Ausfall von CDK Global, der den Betrieb von über 15.000 Autohäusern in ganz Nordamerika unterbrach. Dieser Angriff zwang CDK, IT-Systeme herunterzufahren, was die schwerwiegenden Auswirkungen von Zero-Day-Angriffen und die unaufhaltsame Entwicklung von Ransomware-Bedrohungen zeigt.
SEC beendet Untersuchung von MOVEit-Angriffen, von denen 95 Millionen Menschen betroffen sind
Die SEC hat ihre Untersuchung des Umgangs von Progress Software mit der massiven Datenschutzverletzung abgeschlossen, die durch eine Zero-Day-Schwachstelle in der MOVEit Transfer-Software verursacht wurde, bei der die personenbezogenen Daten von über 95 Millionen Menschen offengelegt wurden.
In einer kürzlich eingereichten Einreichung des Formulars 8-K gab Progress Software bekannt, dass die Abteilung für Vollstreckung der SEC keine Durchsetzungsmaßnahmen in Bezug auf den Vorfall empfehlen wird.
Der Verstoß, der sich am Feiertagswochenende 2023 ereignete, wurde von der berüchtigten Ransomware-Bande Clop orchestriert.
Clop nutzte die Zero-Day-Schwachstelle in MOVEit Transfer aus und startete eine groß angelegte Datendiebstahlkampagne, die sich an Organisationen auf der ganzen Welt richtete und Regierungsbehörden, Finanzinstitute, Gesundheitsdienstleister, Fluggesellschaften und Bildungseinrichtungen betraf.
Laut Emsisoft sollte die Clop-Bande durch diesen Angriff, bei dem die Daten von mehr als 2.770 Unternehmen kompromittiert wurden, zwischen 75 und 100 Millionen US-Dollar an Lösegeldzahlungen verdienen.
Trotz der Entscheidung der SEC sieht sich Progress Software weiterhin mit Hunderten von Sammelklagen konfrontiert, die nun vor Bundesgerichten in Massachusetts zusammengefasst sind und auf die umfangreichen Auswirkungen der Aktionen der Clop-Ransomware-Bande zurückzuführen sind.
Fazit
Zusammenfassend lässt sich sagen, dass die zunehmende Raffinesse von Cyberbedrohungen, von Ransomware-Angriffen bis hin zu Zero-Day-Exploits, den dringenden Bedarf an robusten Cybersicherheitsmaßnahmen unterstreicht.
Die zunehmende Verbreitung von Angriffen wie denen auf Keytronic, McLaren Health Care und andere unterstreicht, wie wichtig es ist, darauf vorbereitet zu sein, schnell und effektiv zu reagieren. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen mit einem Ransomware-Vorfall konfrontiert ist oder seine Abwehrmaßnahmen verstärken muss, kontaktieren Sie uns noch heute.