Datenpanne des Roblox-Anbieters betrifft Teilnehmer der Entwicklerkonferenz
Roblox, die beliebte Online-Gaming-Plattform, hat kürzlich eine Datenschutzverletzung aufgedeckt, von der die Teilnehmer ihrer Entwicklerkonferenzen von 2022 bis 2024 betroffen sind. Durch die Sicherheitsverletzung, die auf den unbefugten Zugriff auf die Systeme von FNTech – dem Anbieter, der die Konferenzanmeldungen verwaltet – zurückzuführen ist, wurden personenbezogene Daten offengelegt, darunter vollständige Namen, E-Mail-Adressen und IP-Adressen der Teilnehmer. Dieser Vorfall, der auf der Social-Media-Plattform X gemeldet wurde, wurde in die HIBP-Datenbank (Have I Been Pwned) aufgenommen und enthüllte, dass 10.386 eindeutige E-Mail-Adressen kompromittiert wurden, von denen 63 % neu offengelegt wurden. Roblox versicherte seiner Community, dass Maßnahmen ergriffen werden, um zukünftige Verstöße zu verhindern. Obwohl kein unmittelbares Risiko für Entwickler besteht, erhöht die Gefährdung die Möglichkeit von Phishing-Angriffen, was für eine Plattform mit einer großen Nutzerbasis und aktiven wirtschaftlichen Interaktionen ein Problem darstellt. Diese Sicherheitsverletzung folgt auf frühere Vorfälle, darunter ein Leck von 4.000 Entwicklerkonten im Jahr 2023 und die SearchBlox-Malware aus dem Jahr 2022, von der über 200.000 Benutzer betroffen waren.
CloudSorcerer-Hacker nutzen Cloud-Dienste aus, um russische Regierungsdaten zu stehlen
Eine neu identifizierte Advanced Persistent Threat (APT)-Gruppe mit dem Namen CloudSorcerer hat russische Regierungsorganisationen in ausgeklügelten Cyberspionageangriffen ins Visier genommen. CloudSorcerer wurde im Mai 2024 von Kaspersky entdeckt und verwendet benutzerdefinierte Malware, die legitime Cloud-Dienste für Command-and-Control-Vorgänge (C2) und Datenspeicherung nutzt. Die Taktiken dieser Gruppe weisen Ähnlichkeiten mit denen von CloudWizard APT auf, obwohl sich ihre Malware erheblich unterscheidet, was auf einen neuen Bedrohungsakteur hindeutet.
Die Malware von CloudSorcerer, die manuell ausgeführt wird, passt ihr Verhalten basierend auf dem Prozess an, den sie infiltriert, wie z. B. „mspaint.exe“ oder „msiexec.exe“. Die erste Kommunikation umfasst ein GitHub-Repository, das weitere C2-Vorgänge über Dienste wie Microsoft Graph, Yandex Cloud oder Dropbox leitet. Die Hintertür sammelt umfangreiche Systeminformationen und unterstützt verschiedene Befehle, einschließlich Dateimanipulation und Fernsteuerung von Prozessen. Kaspersky hebt die dynamische Anpassung der Malware und die verdeckte Kommunikation als Kennzeichen ihrer Raffinesse hervor. Erkennungsindikatoren und Yara-Regeln sind im detaillierten Bericht von Kaspersky enthalten.
Datenschutzverletzung bei Neiman Marcus legt 31 Millionen E-Mail-Adressen offen
Im Mai 2024 enthüllte der Luxuseinzelhändler Neiman Marcus eine bedeutende Datenschutzverletzung, bei der über 31 Millionen E-Mail-Adressen von Kunden offengelegt wurden. Diese Enthüllung stammt vom Gründer von Have I Been Pwned, Troy Hunt, der die kompromittierten Daten analysiert hat. In der beim Büro des Generalstaatsanwalts von Maine eingereichten Benachrichtigung über die Sicherheitsverletzung hieß es ursprünglich, dass 64.472 Personen betroffen waren. Hunt entdeckte und überprüfte jedoch die Legitimität von 30 Millionen eindeutigen E-Mail-Adressen in der gestohlenen Datenbank.
Die Vorfallbenachrichtigung von Neiman Marcus bestätigte die Offenlegung sensibler Informationen, darunter Namen, Kontaktdaten, Geburtsdaten, Geschenkkarteninformationen, Transaktionsdaten, teilweise Kreditkartennummern, Sozialversicherungsnummern und Mitarbeiter-IDs. Die Sicherheitsverletzung steht im Zusammenhang mit dem unbefugten Zugriff auf eine von Snowflake bereitgestellte Cloud-Datenbankplattform. Der Bedrohungsakteur, bekannt als „Sp1d3r“, bot die gestohlenen Daten zunächst in einem Hacking-Forum zum Verkauf an, entfernte den Beitrag jedoch später, was auf mögliche Verhandlungen mit Neiman Marcus hindeutet. Der Vorfall unterstreicht den dringenden Bedarf an robusten Sicherheitsmaßnahmen, wie z. B. Multi-Faktor-Authentifizierung, um Cloud-basierte Systeme zu schützen.
Hacker lassen 39.000 Print-at-Home-Ticketmaster-Tickets für 154 Veranstaltungen durchsickern
In einer kürzlichen Erpressungskampagne gegen Ticketmaster haben Hacker fast 39.000 Print-at-Home-Tickets für 154 bevorstehende Konzerte und Veranstaltungen durchgesickert, darunter große Acts wie Pearl Jam, Foo Fighters und Phish. Der Bedrohungsakteur, bekannt als „Sp1derHunters“, griff über gestohlene Snowflake-Kontodaten auf die Tickets zu, was mindestens 165 Organisationen betraf.
Dieser Vorfall folgt einem breiteren Muster von Datendiebstählen mit Snowflake-Konten, bei denen die Hacker zunächst 500.000 US-Dollar von Ticketmaster forderten, um Datenlecks zu verhindern. Trotz der Zusicherung von Ticketmaster, dass ihre SafeTix-Technologie gestohlene mobile Tickets durch rotierende Barcodes unbrauchbar macht, konterte Sp1derHunters mit der Veröffentlichung von Print-at-Home-Tickets, die nicht dynamisch aktualisiert werden können.
Datenpanne bei der Evolve Bank betrifft 7,6 Millionen Amerikaner
Evolve Bank & Trust hat kürzlich eine bedeutende Datenschutzverletzung bekannt gegeben, von der 7,6 Millionen Menschen betroffen sind. Der Verstoß ereignete sich während eines LockBit-Ransomware-Angriffs , der ursprünglich fälschlicherweise als gegen die US-Notenbank gerichtet dargestellt wurde. Evolve bestätigte, dass die Daten ihnen gehörten, nachdem eine Untersuchung ergeben hatte – wie es bei verschiedenen Ransomware-Varianten oft der Fall ist – dass ein Mitarbeiter auf einen bösartigen Link klickte und dem Angreifer unbefugten Zugriff auf die Datenbank und die Dateifreigaben der Bank gewährte. Ein weiteres Beispiel dafür, warum Security Awareness Training und Beratung für Mitarbeiter ein wichtiger Aspekt für jedes Unternehmen ist.
Während die Kundengelder sicher blieben, betraf der Verstoß mehrere Fintech-Partner, darunter Affirm, Wise und Bilt. Evolve hat damit begonnen, betroffene Personen zu benachrichtigen und bietet zwei Jahre lang Dienstleistungen zur Kreditüberwachung und zum Identitätsschutz an. Die Sicherheitsverletzung, die am 29. Mai 2024 entdeckt wurde, begann tatsächlich am 9. Februar 2024 und ermöglichte den Angreifern einen fast viermonatigen Zugriff.
Die Arten der offengelegten Daten wurden nicht angegeben. Betroffenen wird empfohlen, ihre Konten und Kredithistorien genau zu überwachen. Die Partner von Evolve, darunter Shopify, Stripe und Mercury, haben noch nicht bestätigt, ob sie von diesem Vorfall betroffen sind.
Chinesische APT40-Hacker kapern SOHO-Router für Cyberspionage
Eine gemeinsame Empfehlung internationaler Cybersicherheitsagenturen warnt vor der staatlich geförderten chinesischen Hackergruppe APT40, auch bekannt als Kryptonite Panda, die Router für kleine Büros/Home-Office (SOHO) gekapert hat, um Cyberspionage-Angriffe zu starten. APT40 ist seit 2011 aktiv und richtet sich an staatliche und wichtige private Einrichtungen in den USA und Australien. Die Gruppe nutzt Schwachstellen in öffentlich zugänglichen Infrastrukturen und Netzwerkgeräten aus, anstatt sich auf Phishing oder Social Engineering zu verlassen.
APT40 nutzt schnell neu aufgedeckte Schwachstellen aus, darunter solche in Log4J, Atlassian Confluence und Microsoft Exchange. Nach dem Eindringen in Systeme stellen sie Webshells für die Persistenz bereit und verwenden gültige Anmeldeinformationen, die über Kerberoasting zusammen mit Remote Desktop Protocol (RDP) für die laterale Bewegung innerhalb des Netzwerks erfasst wurden. Insbesondere entführt APT40 EoL SOHO-Router unter Verwendung von N-Day-Schwachstellen und setzt sie als Proxys ein, um bösartigen Datenverkehr mit legitimen Netzwerkaktivitäten zu verbinden.
Das Advisory enthält Fallstudien, die die Taktiken von APT40 hervorheben, wie z. B. die Ausnutzung benutzerdefinierter Webanwendungen und Remote-Access-Login-Portale, um Netzwerkzugriff zu erhalten und sensible Daten zu exfiltrieren. Um diese Bedrohungen einzudämmen, empfehlen Cybersicherheitsbehörden rechtzeitige Patches, umfassende Protokollierung, Netzwerksegmentierung, die Verwendung von Multi-Faktor-Authentifizierung und den Austausch von EoL-Geräten.
Windows MSHTML Zero-Day wird seit über einem Jahr bei Malware-Angriffen ausgenutzt
Microsoft hat kürzlich einen kritischen Zero-Day-Exploit in Windows gepatcht, CVE-2024-38112, der 18 Monate lang zur Bereitstellung bösartiger Skripte verwendet wurde. Dieser schwerwiegende MHTML-Spoofing-Fehler wurde von Haifei Li von Check Point Research entdeckt und in den Patch Tuesday-Updates vom Juli 2024 behoben.
Angreifer nutzten die Zero-Day-Schwachstelle aus, indem sie Windows-Internetverknüpfungsdateien (.url) verwendeten, die als legitime PDFs angezeigt wurden, aber HTA-Dateien über den mhtml:-URI-Handler herunterlud und ausführte. Diese Methode erzwang das Öffnen von URLs in Internet Explorer, wodurch Sicherheitswarnungen umgangen und die Installation von Malware ermöglicht wurde.
Der Exploit ermöglichte es der Atlantida Stealer-Malware, sensible Daten wie Browser-Anmeldeinformationen und Kryptowährungs-Wallets zu extrahieren. Microsoft hat dieses Problem nun behoben, indem mhtml:-URIs so umgeleitet werden, dass sie in Microsoft Edge geöffnet werden, wodurch der Exploit-Pfad geschlossen wird.
GitLab: Kritischer Fehler ermöglicht es Angreifern, Pipelines als andere Benutzer auszuführen
GitLab hat eine kritische Schwachstelle in seinen Community- und Enterprise-Editionen mit der Bezeichnung CVE-2024-6385 offengelegt, die es Angreifern ermöglicht, Pipeline-Jobs als andere Benutzer auszuführen. Dieser schwerwiegende Fehler mit einem CVSS-Score von 9,6 von 10 Punkten betrifft die GitLab CE/EE-Versionen 15.8 bis 16.11.6, 17.0 bis 17.0.4 und 17.1 bis 17.1.2. GitLab-Pipelines sind eine CI/CD-Systemfunktion, die Aufgaben wie das Erstellen, Testen oder Bereitstellen von Codeänderungen automatisiert.
Das Unternehmen hat Updates (Versionen 17.1.2, 17.0.4 und 16.11.6) veröffentlicht, um dieses Problem zu beheben, und fordert alle Administratoren auf, ihre Installationen sofort zu aktualisieren. GitLab.com und GitLab Dedicated haben die Patches bereits eingespielt.
Diese Schwachstelle folgt ähnlichen Problemen: Im Juni patchte GitLab CVE-2024-5655, einen weiteren Fehler, der die Ausnutzung von Pipelines ermöglichte, und im Mai ging es um CVE-2024-4835, der Kontoübernahmen über Cross-Site-Scripting-Angriffe (XSS) ermöglichte. Darüber hinaus wurde eine im Januar gepatchte Zero-Click-Schwachstelle (CVE-2023-7028) aktiv ausgenutzt.
Angreifer zielen auf GitLab ab, um sensible Daten wie API-Schlüssel und proprietären Code zu erhalten, die erhebliche Sicherheitsrisiken darstellen, einschließlich potenzieller Angriffe auf die Lieferkette, wenn bösartiger Code in CI/CD-Umgebungen eingeführt wird. Die große Nutzerbasis von GitLab, darunter über 50 % der Fortune-100-Unternehmen, unterstreicht, wie wichtig es ist, diese Schwachstellen umgehend zu beheben, um kritische Daten und Infrastrukturen zu schützen.
Dallas County: Daten von 200.000 bei Ransomware-Angriff im Jahr 2023 offengelegt
Dallas County benachrichtigt über 200.000 Personen, dass ihre persönlichen Daten bei einem Play-Ransomware-Angriff im Oktober 2023 offengelegt wurden. Der Angriff, der auf den zweitgrößten Bezirk von Texas abzielte, betraf Einwohner, Angestellte und andere, die mit den öffentlichen Diensten interagierten.
Die Play-Ransomware-Bande listete Dallas County auf ihrem Darknet-Erpressungsportal auf und drohte damit, gestohlene Daten von verschiedenen Bezirksabteilungen durchsickern zu lassen. Nach dem Angriff bestätigte der Bezirk Dallas den Vorfall und begann, die durchgesickerten Daten zu überprüfen. Um die Bedenken auszuräumen, richteten sie im Januar 2024 ein spezielles Callcenter ein.
Am 10. Juli 2024 veröffentlichte Dallas County ein Update und schickte Benachrichtigungen über Sicherheitsverletzungen an 201.404 betroffene Personen. Zu den offengelegten Daten gehören vollständige Namen, Sozialversicherungsnummern, Geburtsdaten, Führerscheine, staatliche IDs, Steueridentifikationsnummern, medizinische Informationen und Angaben zur Krankenversicherung. Die Betroffenen erhalten zwei Jahre lang eine Kreditüberwachung und Schutz vor Identitätsdiebstahl.
Als Reaktion auf die Sicherheitsverletzung hat Dallas County erweiterte Sicherheitsmaßnahmen eingeführt, darunter Endpoint Detection and Response (EDR)-Lösungen, obligatorisches Zurücksetzen von Passwörtern und das Blockieren bösartiger IP-Adressen.
Dallas County und die Stadt Dallas waren in letzter Zeit mit mehreren Cybersicherheitsvorfällen konfrontiert. Im November 2023 wurde ein Mitarbeiter von Dallas County Opfer eines Betrugs bei der Kompromittierung von Geschäfts-E-Mails, der zu einer betrügerischen Zahlung in Höhe von 2,4 Millionen US-Dollar führte. Darüber hinaus wurde die Stadt Dallas im Mai 2023 Opfer eines Royal-Ransomware-Angriffs, bei dem die IT-Infrastruktur gestört und über 1 TB Daten kompromittiert wurden.
ARRL bestätigt endlich, dass Ransomware-Bande bei einem Cyberangriff Daten gestohlen hat
Die American Radio Relay League (ARRL) hat bestätigt, dass bei einem Ransomware-Angriff im Mai 2024 Mitarbeiterdaten gestohlen wurden. Der Angriff, der zunächst als „schwerwiegender Vorfall“ bezeichnet wurde, wurde am 14. Mai identifiziert, als Angreifer in die Computersysteme von ARRL eindrangen und diese verschlüsselten.
Als Reaktion darauf nahm ARRL die betroffenen Systeme vom Netz und beauftragte externe Forensiker mit der Begutachtung des Schadens. Anfang Juni räumten sie ein, dass es sich bei dem Angriff um einen „ausgeklügelten Netzwerkangriff“ einer internationalen Cybergruppe gehandelt habe. Benachrichtigungen über Datenschutzverletzungen, die an betroffene Personen gesendet wurden, ergaben, dass die gestohlenen Daten Namen, Adressen und Sozialversicherungsnummern enthielten.
ARRL informierte das Büro des Generalstaatsanwalts von Maine, dass 150 Mitarbeiter von der Sicherheitsverletzung betroffen waren. Obwohl es keine Beweise für einen Missbrauch gibt, bietet ARRL 24 Monate lang kostenlose Identitätsüberwachung über Kroll an. Obwohl ARRL den Angriff nicht einer bestimmten Ransomware-Bande zugeschrieben hat, deuten Quellen darauf hin, dass die Embargo-Ransomware-Gruppe dafür verantwortlich war. Das Embargo, das im Mai 2024 in Kraft trat, hat seiner Dark-Web-Leak-Site nur wenige Opfer hinzugefügt, mit Ausnahme von ARRL, was auf eine mögliche Lösegeldzahlung hindeutet, um Datenlecks zu verhindern.
Die ARRL hat versichert, dass sie alle angemessenen Schritte unternommen hat, um eine weitere Verbreitung der gestohlenen Daten zu verhindern, und bei den Ermittlungen mit den Strafverfolgungsbehörden des Bundes zusammenarbeitet.
Rite Aid bestätigt Datenschutzverletzung nach Ransomware-Angriff im Juni
Der Apothekenriese Rite Aid hat nach einem Cyberangriff im Juni 2024 eine Datenschutzverletzung bestätigt, zu der sich die Ransomware-Operation RansomHub bekannte. Als drittgrößte Drogeriekette in den Vereinigten Staaten beschäftigt Rite Aid über 6.000 Apotheker in seinen 1.700 Apotheken in 16 Bundesstaaten.
Die Ransomware-Bande RansomHub übernahm die Verantwortung für den Angriff und gab auf ihrer Dark-Web-Leak-Site an, dass sie auf über 10 GB an Kundeninformationen zugegriffen hat, darunter Namen, Adressen, Führerscheinnummern, Geburtsdaten und Rite Aid-Belohnungsnummern. Sie gaben an, rund 45 Millionen Zeilen mit persönlichen Informationen erhalten zu haben.
RansomHub, eine relativ neue Bedrohungsgruppe, konzentriert sich eher auf auf Datendiebstahl basierende Erpressung als auf Dateiverschlüsselung. Zuvor hatten sie den US-Telekommunikationsanbieter Frontier Communications ins Visier genommen und die Informationen von 750.000 Kunden kompromittiert. Im Fall von Rite Aid fügte RansomHub das Unternehmen zu seiner Leak-Site hinzu, nachdem die Verhandlungen angeblich eingestellt worden waren, und drohte, die Daten innerhalb von zwei Wochen durchsickern zu lassen.
Rite Aid setzt seine Ermittlungen fort und hat noch keine weiteren Details zu dem Verstoß bekannt gegeben.
Hacker nutzen PoC-Exploits bei Angriffen 22 Minuten nach der Veröffentlichung
Bedrohungsakteure sind immer schneller dabei, verfügbare Proof-of-Concept-Exploits (PoC) als Waffe einzusetzen und sie manchmal bereits 22 Minuten nach ihrer Veröffentlichung in Angriffen einzusetzen. Diese Erkenntnis wird im Application Security Report 2024 von Cloudflare hervorgehoben, der die Aktivitäten zwischen Mai 2023 und März 2024 abdeckt und aufkommende Bedrohungstrends aufzeigt.
Cloudflare, das durchschnittlich 57 Millionen HTTP-Anfragen pro Sekunde verarbeitet, meldet einen Anstieg der Scan-Aktivitäten nach offengelegten CVEs, gefolgt von Befehlsinjektionen und der schnellen Bewaffnung verfügbarer PoCs. Zu den bemerkenswerten Schwachstellen gehören CVE-2023-50164 und CVE-2022-33891 in Apache-Produkten, CVE-2023-29298, CVE-2023-38203 und CVE-2023-26360 in ColdFusion sowie CVE-2023-35082 in MobileIron. Ein markantes Beispiel ist CVE-2024-27198, eine Schwachstelle bei der Umgehung der Authentifizierung in JetBrains TeamCity, bei der ein Angreifer nur 22 Minuten nach der Veröffentlichung einen PoC-basierten Exploit einsetzte.
Um dieser Geschwindigkeit entgegenzuwirken, plädiert Cloudflare für KI-Unterstützung bei der schnellen Entwicklung wirksamer Erkennungsregeln. „Die Geschwindigkeit der Ausnutzung offengelegter CVEs ist oft schneller als die Geschwindigkeit, mit der Menschen WAF-Regeln erstellen oder Patches bereitstellen können“, heißt es in dem Bericht.
Eine weitere wichtige Erkenntnis des Cloudflare-Berichts ist, dass 6,8 % des gesamten täglichen Internetverkehrs auf DDoS-Traffic (Distributed Denial of Service) entfallen, der darauf abzielt, Online-Dienste zu stören. Dies ist ein Anstieg von 6 % im Vorjahr, wobei der bösartige Traffic bei großen globalen Angriffen auf 12 % ansteigt. Allein im ersten Quartal 2024 blockierte Cloudflare täglich durchschnittlich 209 Milliarden Cyber-Bedrohungen, was einem Anstieg von 86,6 % gegenüber dem Vorjahr entspricht.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft mit verschiedenen Bedrohungen behaftet ist, von Zero-Day-Schwachstellen bis hin zu Ransomware-Angriffen und Phishing-Kampagnen. Wachsamkeit und die Implementierung robuster Sicherheitsmaßnahmen sind unerlässlich, um sensible Daten zu schützen.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff oder bei der Stärkung seiner Cybersicherheitsabwehr benötigt, kontaktieren Sie uns noch heute.