Neue Welle von Telekommunikationsverletzungen durch chinesische Hacker enthüllt
Jüngste Berichte haben enthüllt, dass die staatlich geförderte chinesische Hackergruppe Salt Typhoon weitere US-Telekommunikationsnetze infiltriert hat, darunter Charter Communications, Consolidated Communications und Windstream. Diese Verstöße folgen auf frühere Bestätigungen von AT&T, Verizon und Lumen, die die Hacker nach Angriffen auf sensible Kommunikationsdaten erfolgreich ausgeschlossen hatten. Die Gruppe soll auf Textnachrichten, Anrufprotokolle und sogar auf Details zum Abhören von Strafverfolgungsbehörden zugegriffen haben. Obwohl T-Mobile im November einen Angriffsversuch abgefangen hat, bleibt unklar, ob dieser mit Salt Typhoon in Verbindung steht. US-Beamte haben dringende Maßnahmen zur Sicherung der Telekommunikationsinfrastruktur gefordert, einschließlich der Einführung verschlüsselter Kommunikationsplattformen wie Signal, um Risiken zu minimieren. Als Reaktion auf diese eskalierenden Bedrohungen werden Gesetze zur Stärkung der Abwehr vorgeschlagen, und Bundesbehörden prüfen Verbote für Unternehmen und Geräte, die mit Sicherheitslücken in Verbindung gebracht werden, wie z. B. China Telecom und TP-Link-Router. Diese Maßnahmen zielen darauf ab, die nationalen Kommunikationsnetze vor weiteren Eingriffen zu schützen.
UN-Luftfahrtbehörde untersucht mögliche Sicherheitsverletzung
Die Internationale Zivilluftfahrt-Organisation (ICAO) der Vereinten Nationen hat eine Untersuchung zu einem „gemeldeten Sicherheitsvorfall“ eingeleitet, der mit einem bekannten Bedrohungsakteur in Verbindung steht, der auf internationale Organisationen abzielt. Die Behörde, die 1944 gegründet wurde, um globale Luftfahrtstandards zu entwickeln, erklärte, dass sie sofortige Sicherheitsmaßnahmen ergriffen und eine gründliche Untersuchung durchgeführt habe. Obwohl genaue Details nicht bekannt gegeben werden, folgt die Ankündigung den Behauptungen eines Hackers namens „natohub“, der 42.000 Dokumente durchsickern ließ, die angeblich von der ICAO gestohlen wurden. Die Dokumente enthalten Berichten zufolge sensible persönliche Informationen wie Namen, Adressen und E-Mail-Details. Eine separate Behauptung deutet darauf hin, dass sich die Daten über 57.240 eindeutige E-Mail-Adressen erstrecken und eine Gesamtgröße von 2 GB haben. Dieser Vorfall folgt auf frühere Cyberangriffe der Vereinten Nationen, darunter ein Verstoß gegen das Entwicklungsprogramm der Vereinten Nationen im Jahr 2024 und frühere Kompromittierungen in den Jahren 2021 und 2019. Die ICAO hat sich verpflichtet, nach Abschluss ihrer Voruntersuchung über den aktuellen Stand zu informieren.
US-Bundesstaat Washington verklagt T-Mobile wegen Datenschutzverletzung im Jahr 2021
Der US-Bundesstaat Washington hat eine Klage gegen T-Mobile eingereicht, in der ihm Fahrlässigkeit bei der Sicherung sensibler personenbezogener Daten von über 2 Millionen Einwohnern während eines Verstoßes im Jahr 2021 vorgeworfen wird. Die Angreifer verschafften sich im März 2021 durch Brute-Force-Methoden Zugang zu den Systemen von T-Mobile und nutzten Schwachstellen aus, die sechs Monate lang unentdeckt blieben. Der Verstoß kam erst ans Licht, nachdem gestohlene Daten im Dark Web aufgetaucht waren und die persönlichen Daten von 79 Millionen Personen im ganzen Land offengelegt wurden. Generalstaatsanwalt Bob Ferguson kritisierte die unzureichende Reaktion von T-Mobile und erklärte, dass die Kunden nicht ordnungsgemäß über die Schwere des Verstoßes informiert wurden, insbesondere diejenigen, deren Sozialversicherungsnummern offengelegt wurden. Ferguson hob auch hervor, dass das Unternehmen es versäumt habe, stärkere Cybersicherheitsmaßnahmen zu implementieren, obwohl es wiederholt Ziel von Cyberangriffen sei. Die Klage zielt auf strengere Cybersicherheitsprotokolle, Transparenz bei der Meldung von Verstößen und Strafen nach dem Verbraucherschutzgesetz ab. T-Mobile behauptet, seine Cybersicherheit seit 2021 erheblich verbessert zu haben, bestreitet aber die Vorwürfe des Staates.
CISA warnt vor ausgenutzten Software-Schwachstellen von Oracle und Mitel
Die CISA hat eine Warnung herausgegeben, in der sie die US-Bundesbehörden auffordert, kritische Software-Schwachstellen in Oracle WebLogic Server- und Mitel MiCollab-Systemen zu beheben, die beide aktiv von Angreifern ausgenutzt werden. Eine Schwachstelle, CVE-2024-41713, in der MiCollab-Unified-Communications-Plattform von Mitel ermöglicht es nicht authentifizierten Angreifern, administrative Aktionen durchzuführen und über eine Critical Path Traversal-Schwachstelle auf Benutzer- und Netzwerkdaten zuzugreifen. Darüber hinaus ermöglicht ein separates Mitel MiCollab-Problem (CVE-2024-55550) authentifizierten Angreifern mit Administratorrechten das Lesen beliebiger Dateien, obwohl es keine Berechtigungen ausweitet oder vertrauliche Systeminformationen preisgibt. In der Zwischenzeit stellt eine lange gepatchte Oracle WebLogic Server-Schwachstelle (CVE-2020-2883) weiterhin Risiken für ungepatchte Server dar und ermöglicht nicht authentifizierte Exploits aus der Ferne. Die CISA hat diese Schwachstellen in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen und verlangt von den Bundesbehörden, ihre Systeme bis zum 28. Januar 2025 zu sichern. Unternehmen werden außerdem dringend aufgefordert, diese Schwachstellen vorrangig zu beheben, um eine weitere Ausnutzung zu verhindern.
Medusind-Datendiebstahl legt sensible Informationen von 360.000 Personen offen
Der Anbieter von medizinischen Abrechnungen Medusind hat eine Datenschutzverletzung bekannt gegeben, die die persönlichen und gesundheitlichen Daten von 360.934 Personen betrifft. Bei der Sicherheitsverletzung, die sich im Dezember 2023 ereignete, verschafften sich Cyberkriminelle unbefugten Zugriff auf sensible Daten, darunter Krankenversicherungsdaten, Zahlungsinformationen, Krankenakten und amtliche Ausweise wie Sozialversicherungs- und Führerscheinnummern. Medusind entdeckte den Vorfall, nachdem es verdächtige Aktivitäten in seinem Netzwerk festgestellt hatte, und schaltete die betroffenen Systeme sofort offline. Eine Untersuchung durch Cybersicherheitsexperten bestätigte, dass auf Dateien mit persönlichen Informationen zugegriffen wurde. Um die Risiken zu minimieren, bietet Medusind den Betroffenen zwei Jahre lang kostenlose Identitätsüberwachungsdienste an, einschließlich Kreditüberwachung und Wiederherstellung von Identitätsdiebstahl. Diese Sicherheitsverletzung unterstreicht die wachsende Bedrohung durch Datendiebstahl im Gesundheitswesen, da die jüngsten Vorschläge im Rahmen von HIPAA eine stärkere Verschlüsselung, Multifaktor-Authentifizierung und Netzwerksegmentierung zum Schutz von Patientendaten fordern. Der Vorfall reiht sich in einen besorgniserregenden Trend massiver Verstöße im Gesundheitswesen in den letzten Jahren ein.
Ukrainische Hacktivisten zerstören das Netzwerk des russischen ISP Nodex
Die ukrainische Cyber-Allianz hat die Verantwortung für einen großen Cyberangriff auf den russischen Internetdienstanbieter Nodex übernommen, der zur Zerstörung seines Netzwerks führte. Die Hacktivisten gaben bekannt, dass sie in die Systeme von Nodex eingedrungen, sensible Daten exfiltriert und kritische Infrastrukturen gelöscht hatten, so dass der ISP ohne Backups dastand. Nodex mit Sitz in St. Petersburg bestätigte den Angriff auf VKontakte und bezeichnete ihn als einen geplanten Angriff, der wahrscheinlich von der Ukraine ausging. Die Internetdienste wurden stark gestört, wobei die Konnektivität über Nacht zusammenbrach, wie NetBlocks beobachtete. Nodex hat seitdem seinen Netzwerkkern wiederhergestellt und die teilweise Internetverbindung wiederhergestellt, was den Kunden empfiehlt, ihre Router neu zu starten. Die seit 2016 aktive ukrainische Cyber-Allianz hat als Reaktion auf die anhaltenden Konflikte verschiedene russische Einrichtungen ins Visier genommen, darunter Regierungsbehörden, Medien und Ransomware-Banden. Dieser jüngste Angriff unterstreicht den eskalierenden Cyberkonflikt zwischen den beiden Nationen, da Nodex nun daran arbeitet, seine Systeme wiederherzustellen, während es gleichzeitig mit erheblichen operativen Herausforderungen konfrontiert ist.
Ivanti Connect Secure-Schwachstelle bei Angriffen ausgenutzt
Ivanti hat eine Warnung bezüglich einer kritischen Schwachstelle bei der Remote-Codeausführung , CVE-2025-0282, herausgegeben, die als Zero-Day-Schwachstelle ausgenutzt wird, um Connect Secure-Appliances zu kompromittieren. Die Schwachstelle, ein Stack-basierter Pufferüberlauf, betrifft Ivanti Connect Secure-Versionen vor 22.7R2.5, Policy Secure vor 22.7R1.2 und Neurons für ZTA Gateways vor 22.7R2.3. Obwohl alle drei Produkte anfällig sind, hat das Unternehmen nur bei Connect Secure-Appliances eine aktive Ausnutzung beobachtet. Die Angriffe, die über das Ivanti Integrity Checker Tool erkannt wurden, beinhalteten die Bereitstellung von Malware auf kompromittierten Systemen. Ivanti hat Patches für Connect Secure veröffentlicht, in denen Administratoren aufgefordert werden, ICT-Scans durchzuführen und die Werkseinstellungen zurückzusetzen, bevor sie auf die neueste Firmware aktualisieren. Fixes für Policy Secure- und ZTA-Gateways werden bis zum 21. Januar 2025 erwartet. Die Schwachstelle unterstreicht die anhaltende Bedrohung durch Zero-Day-Exploits und unterstreicht die Bedeutung rechtzeitiger Patches und einer robusten Konfiguration. Ein damit verbundener Fehler, CVE-2025-0283, der eine Privilegienausweitung ermöglicht, wurde ebenfalls gepatcht, bleibt aber ungenutzt.
Datenpanne bei BayMark Health Services legt sensible Patientendaten offen
BayMark Health Services, der größte US-Anbieter von Behandlungen für Substanzstörungen, hat im September 2024 eine Datenschutzverletzung bekannt gegeben, bei der sensible persönliche und gesundheitliche Daten von Patienten offengelegt wurden. Bei der Sicherheitsverletzung, zu der sich die Ransomware-Bande RansomHub bekannte, wurden 1,5 TB gestohlene Daten gestohlen, die später auf Dark-Web-Leak-Seiten veröffentlicht wurden. Die Gruppe arbeitet unter dem Ransomware-as-a-Service (RaaS)-Modell von RansomHub (ehemals Cyclops und Knight) und ist auf Erpressung durch Datendiebstahl spezialisiert. Diese Sicherheitsverletzung folgt auf Angriffe von RansomHub auf hochkarätige Ziele wie Rite Aid, Planned Parenthood, Frontier Communications und das Auktionshaus Christie’s. Darüber hinaus hat die Ransomware-Bande Verbindungen zu durchgesickerten Daten aus der inzwischen eingestellten BlackCat/ALPHV-Ransomware-Operation, die für ihren 22-Millionen-Dollar-Exit-Betrug bekannt ist. Diese Vorfälle verdeutlichen die zunehmende Bedrohung kritischer Infrastrukturen, einschließlich des Gesundheitswesens, durch Ransomware. BayMark bietet betroffenen Patienten eine kostenlose Identitätsüberwachung an, während der Verstoß die Dringlichkeit der vorgeschlagenen Aktualisierungen der HIPAA-Vorschriften unterstreicht, um Gesundheitsdaten vor zunehmenden Cyberbedrohungen zu schützen.
STIIIZY Data Breach legt Kundeninformationen offen
STIIIZY, eine bekannte kalifornische Cannabismarke, hat eine Datenschutzverletzung im Zusammenhang mit sensiblen Kundeninformationen bekannt gegeben, die über ihren kompromittierten Point-of-Sale-Anbieter (POS) gestohlen wurden. Bei der Sicherheitsverletzung, die sich zwischen Oktober und November 2024 ereignete, wurden persönliche Daten wie Namen, Adressen, Führerscheinnummern, Passinformationen, Fotos und Transaktionshistorien offengelegt. Die Everest-Ransomware-Bande übernahm die Verantwortung und behauptete, sie habe Daten von 422.075 Kunden gestohlen, darunter Scans von amtlich ausgestellten Ausweisen und medizinischen Cannabiskarten. Everest ist für seine doppelten Erpressungstaktiken bekannt und exfiltriert nicht nur sensible Daten, sondern verschlüsselt auch die Dateien der Opfer, um den Druck zu maximieren. Die Gruppe ist auch aktiv im Verkauf des Zugangs zu kompromittierten Netzwerken. STIIIZY hat zusätzliche Sicherheitsmaßnahmen implementiert und bietet betroffenen Kunden eine kostenlose Kreditüberwachung an. Aufgrund der Art der gestohlenen Daten werden Kunden dringend aufgefordert, auf betrügerische Konten und Phishing-Versuche zu achten. Der Verstoß unterstreicht die wachsenden Risiken, die von Ransomware-Operationen ausgehen, bei denen doppelte Erpressungstechniken eingesetzt werden.
Fazit
Zusammenfassend lässt sich sagen, dass die zunehmende Verbreitung von Ransomware und anderen Cyberbedrohungen unterstreicht, wie wichtig es ist, fortschrittliche Sicherheitsstrategien zu implementieren und auf potenzielle Sicherheitsverletzungen vorbereitet zu sein. Unternehmen müssen proaktive Maßnahmen zum Schutz sensibler Informationen und zur Aufrechterhaltung der Geschäftskontinuität priorisieren. Zu unseren spezialisierten Dienstleistungen gehören Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen, Ransomware-Lösegeldzahlungen und umfassende Schulungen durch unsere Cyber Defense Academy. Darüber hinaus bieten wir detaillierte Cybersecurity Risk Assessment an und bieten einen Incident Response Retainer an, um Ihrem Unternehmen zu helfen, vorbereitet und widerstandsfähig zu bleiben. Setzen Sie sich noch heute mit uns in Verbindung, um Ihre Systeme zu schützen und Ihr Unternehmen vor neuen Cyberbedrohungen zu schützen.
