SonicWall-Firewalls im Visier von Ransomware-Exploits
Ransomware-Gruppen nutzen aktiv eine kritische Schwachstelle in den SonicWall SonicOS-Firewalls aus, die als CVE-2024-40766 identifiziert wurde. Dieser Fehler, von dem ursprünglich angenommen wurde, dass er nur die Verwaltungszugriffsschnittstellen betrifft, gefährdet auch SSLVPN-Funktionen und setzt Netzwerke Angriffen aus. SonicWall hat am 22. August einen Patch veröffentlicht, in dem Benutzer aufgefordert werden, Geräte der 5., 6. und 7. Generation zu sichern. Trotz dieser Bemühungen haben Cyberkriminelle – insbesondere die Partner der Akira Ransomware – begonnen, diese Schwachstelle auszunutzen, um in Unternehmen einzudringen. Untersuchungen zeigen, dass kompromittierte Geräte häufig nicht über eine Multi-Faktor-Authentifizierung (MFA) verfügen und nicht in zentralisierte Authentifizierungsdienste wie Microsoft Active Directory integriert sind. Die Bundesbehörden wurden von der CISA angewiesen, diese Schwachstellen bis zum 30. September 2024 zu patchen. Experten raten Benutzern, den Zugriff auf vertrauenswürdige Quellen einzuschränken, unnötigen Internetzugang zu deaktivieren und MFA zu aktivieren, um unbefugten Zugriff zu verhindern. Der riesige globale Kundenstamm von SonicWall macht diese Exploits in vielen Branchen zu einem großen Problem.
NoName-Bande setzt RansomHub und ScRansom bei jüngsten Angriffen ein
Die Ransomware-Bande NoName , die von Cybersicherheitsforschern als CosmicBeetle verfolgt wird, ist seit über drei Jahren aktiv und zielt auf kleine und mittlere Unternehmen mit verschiedenen Ransomware-Stämmen ab. Kürzlich wurde NoName mit dem Einsatz der RansomHub-Malware in Verbindung gebracht, zusammen mit der zuvor verwendeten ScRansom-Variante, die den Scarab-Verschlüsselungsdienst ersetzte. ScRansom, Teil der Spacecolon-Malware-Familie, ist ein Delphi-basierter Dateiverschlüsseler, der vielseitige Verschlüsselungsmethoden unterstützt, einschließlich eines destruktiven „ERASE“-Modus. Obwohl sie weniger ausgefeilt ist als andere Ransomware-Familien, bleibt sie eine wachsende Bedrohung. NoName hat auch mit dem durchgesickerten Ransomware-Builder von LockBit 3.0 experimentiert und seine Datenleck-Site und Lösegeldforderungen repliziert. Bei den jüngsten Angriffen wurde beobachtet, dass NoName den EDR-Killer von RansomHub zur Rechteausweitung verwendete, was seine mögliche Zugehörigkeit zur RansomHub-Ransomware-Gruppe weiter signalisiert. Die sich entwickelnden Taktiken der Gruppe, einschließlich des Wechsels zwischen ScRansom- und LockBit-Varianten , zeigen ihre anhaltenden Versuche, ihren Ruf unter den Ransomware-Varianten zu festigen.
Verhaftungen in Singapur stehen im Zusammenhang mit globalem Cybercrime-Syndikat
Die singapurischen Behörden haben sechs chinesische Staatsangehörige und einen Singapurer wegen ihrer Beteiligung an böswilligen Cyberaktivitäten verhaftet, die mit einem globalen Cybercrime-Syndikat in Verbindung stehen.
Bei koordinierten Razzien beschlagnahmten 160 Beamte elektronische Geräte mit Hacking-Tools, gestohlenen persönlichen Daten und Anmeldeinformationen für Server, die von bekannten Hackergruppen kontrolliert werden.
Unter den Verhafteten befanden sich Schlüsselpersonen mit Verbindungen zu ausgeklügelten Cybercrime-Tools wie der PlugX-Malware, einem Backdoor-Remote-Access-Trojaner, der oft mit staatlich geförderten chinesischen Gruppen wie APT10, APT41 und Mustang Panda in Verbindung gebracht wird.
Die Behörden beschlagnahmten außerdem über 1,3 Millionen US-Dollar in bar und Kryptowährung.
Obwohl spezifische Verbindungen zu einem chinesischen Advanced Threat Actor nicht bekannt gegeben wurden, wurden die verhafteten Personen mit Ressourcen und Werkzeugen ausgestattet, die typischerweise bei Cyberspionagekampagnen eingesetzt werden.
Die Polizei von Singapur untersucht weiterhin das gesamte Ausmaß der Operationen des Syndikats.
Transport for London bestätigt Verletzung von Kundendaten nach Cyberangriff
Transport for London (TfL) hat bestätigt, dass ein Cyberangriff am 1. September zum Diebstahl von Kundendaten geführt hat, darunter Namen, Kontaktdaten und Privatadressen. Zunächst versicherte TfL der Öffentlichkeit, dass keine Beweise für eine Datenkompromittierung gefunden worden seien. Jüngste Untersuchungen ergaben jedoch, dass Hacker auf sensible Informationen zugegriffen haben, darunter Rückerstattungsdaten der Oyster-Karte und Bankkontodaten von rund 5.000 Kunden. Obwohl sich bisher keine Ransomware-Bande zu dem Angriff bekannt hat, bleibt die Möglichkeit, dass eine Ransomware-Gruppe beteiligt ist, besorgniserregend. TfL ist weiterhin mit Systemausfällen konfrontiert, die sich auf Dienstleistungen wie Rückerstattungen für kontaktloses Bezahlen und Oyster-Kartenanwendungen auswirken. Betroffene Kunden werden über personalisierte E-Mails benachrichtigt. Es wurden Maßnahmen zur Eindämmung des Klimawandels ergriffen, aber einige Dienste sind weiterhin nicht verfügbar. Kunden wird empfohlen, die Tarife zu verfolgen, da Rückerstattungen möglich sein können, sobald der Vorfall behoben ist. Der Cyberangriff unterstreicht die zunehmende Bedrohung durch Ransomware-Banden , die es auf kritische Infrastruktursysteme abgesehen haben.
Hacker nutzen SQL-Injection-Fehler in WhatsUp Gold aus
Hacker nutzen seit dem 30. August 2024 aktiv zwei kritische SQL-Injection-Schwachstellen in der Netzwerküberwachungslösung WhatsUp Gold aus, die als CVE-2024-6670 und CVE-2024-6671 verfolgt werden. Diese Schwachstellen ermöglichen es Angreifern, verschlüsselte Passwörter ohne Authentifizierung abzurufen, was ein erhebliches Sicherheitsrisiko darstellt. Obwohl der Anbieter Progress Software am 16. August Patches veröffentlicht hat, haben viele Unternehmen ihre Systeme noch nicht aktualisiert, was Hackern die Möglichkeit bietet, Angriffe zu starten. Die Schwachstellen wurden ursprünglich von der Sicherheitsforscherin Sina Kheirkhah entdeckt, die am 30. August einen Proof-of-Concept (PoC)-Exploit-Code veröffentlichte. Kheirkhahs technischer Bericht beschreibt, wie die unsachgemäße Bereinigung von Benutzereingaben ausgenutzt werden kann, um SQL-Injection auszunutzen und es Angreifern zu ermöglichen, Administratorkonten zu manipulieren. Trend Micro berichtete, dass diese Schwachstellen aktiv ausgenutzt werden, wobei Angreifer PowerShell-Skripte verwenden und verschiedene Remote Access Tools (RATs) einsetzen, um Persistenz zu erlangen. Die anhaltende Ausnutzung unterstreicht die Risiken, die von ungepatchten SQL-Injection-Schwachstellen ausgehen, und die Bedeutung rechtzeitiger Sicherheitsupdates.
RansomHub behauptet Cyberangriff auf Kawasaki und droht mit Datenleck
Kawasaki Motors Europe erholt sich von einem Cyberangriff, der angeblich von der Ransomware-Bande RansomHub durchgeführt wurde und nun droht, 487 GB gestohlener Daten preiszugeben.
Der Angriff zielte Anfang September auf die EU-Zentrale von Kawasaki ab und führte zu vorübergehenden Betriebsunterbrechungen.
Kawasaki reagierte mit der Isolierung von Servern und der Zusammenarbeit mit externen Cybersicherheitsexperten, um die Systeme von verdächtigem Material zu reinigen.
RansomHub, das sich zu dem Angriff am 5. September bekannte, fungiert als Ransomware-as-a-Service (RaaS)- Plattform, ein Modell, das von Gruppen wie BlackCat/ALPHV vor seiner Abschaltung populär gemacht wurde.
Berichten zufolge sind viele Tochtergesellschaften von BlackCat zu RansomHub gewechselt, was zu seinem rasanten Anstieg erfolgreicher Angriffe beiträgt.
Die Bande hat einen Timer so eingestellt, dass er morgen abläuft, und droht mit der Freigabe der gestohlenen Daten, wenn ihre Forderungen nicht erfüllt werden.
Die zunehmende Bedeutung von RansomHub folgt auf seine Beteiligung an über 210 Angriffen auf kritische US-Infrastruktursektoren, ein Trend, der in einer gemeinsamen Empfehlung von FBI, CISA und HHS anerkannt wurde.
Der Angriff auf Kawasaki unterstreicht die wachsende Bedrohung durch Ransomware-as-a-Service-Operationen.
TfL verlangt nach Cyberangriff persönliches Zurücksetzen von Passwörtern für 30.000 Mitarbeiter
Transport for London (TfL) hat nach einer Anfang des Monats bekannt gewordenen Cybersicherheitsverletzung das persönliche Zurücksetzen von Passwörtern für seine 30.000 Mitarbeiter angeordnet. Die Mitarbeiter müssen Termine an bestimmten TfL-Standorten wahrnehmen, um ihre Identität zu überprüfen und ihre Passwörter zurückzusetzen. Dieser Ansatz ähnelt den Maßnahmen, die DICK’S Sporting Goods nach einem Cyberangriff im August ergriffen hat, bei dem die Identitäten der Mitarbeiter manuell validiert wurden, bevor der Systemzugriff wiederhergestellt wurde. Der TfL-Cyberangriff beeinträchtigte zwar nicht die Londoner Verkehrsdienste, wirkte sich aber auf interne Systeme aus und verursachte Ausfälle und Verzögerungen bei der Bearbeitung von Rückerstattungen und der Beantwortung von Kundenanfragen. Noch besorgniserregender ist, dass TfL bestätigte, dass Kunden- und Mitarbeiterverzeichnisdaten, einschließlich Namen, E-Mail-Adressen und Berufsbezeichnungen, kompromittiert wurden. Es gibt jedoch keine Hinweise darauf, dass sensible Daten wie Bankdaten oder Privatadressen gestohlen wurden. Dieser Vorfall folgt auf eine Datenschutzverletzung im Mai 2023, bei der die Clop-Ransomware-Gang Daten von rund 13.000 TfL-Kunden gestohlen hat. Clop ist nach wie vor eine große Bedrohung, die häufig auf Unternehmen mit groß angelegten Datendiebstahlkampagnen abzielt. Die britische National Crime Agency hat kürzlich einen 17-jährigen Verdächtigen verhaftet, der mit dem TfL-Angriff in Verbindung gebracht wird und möglicherweise auch an dem Ransomware-Angriff auf MGM Resorts beteiligt ist, der den Hackergruppen BlackCat und Scattered Spider zugeschrieben wird. TfL versichert der Öffentlichkeit weiterhin die Sicherheit seines Netzwerks und ergreift Maßnahmen, um sowohl Mitarbeiter- als auch Kundendaten zu schützen.
Windows-Schwachstelle wird bei Zero-Day-Angriffen von Void Banshee APT ausgenutzt
Microsoft hat bestätigt, dass die kürzlich gepatchte Windows MSHTML-Schwachstelle, die als CVE-2024-43461 verfolgt wird, in Zero-Day-Angriffen ausgenutzt wurde, bevor sie behoben wurde. Ursprünglich nicht als ausgenutzt markiert, wurde die Schwachstelle später mit Angriffen der Void Banshee APT-Gruppe in Verbindung gebracht, die dafür bekannt ist, Organisationen in Nordamerika, Europa und Südostasien ins Visier zu nehmen. Diese Gruppe nutzte die Schwachstelle, um Malware zum Diebstahl von Informationen zu installieren, insbesondere den Info-Stealer Atlantida. Die Zero-Day-Attacke CVE-2024-43461, die von Peter Girnus von der Zero Day Initiative (ZDI) von Trend Micro entdeckt wurde, ermöglichte es Angreifern, bösartige HTA-Dateien zu verstecken, indem sie codierte Braille-Leerzeichen verwendeten, um den Opfern vorzugaukeln, sie würden eine PDF-Datei öffnen. Diese Technik, kombiniert mit einem weiteren Zero-Day-Vorfall, CVE-2024-38112, schuf eine ausgeklügelte Angriffskette, die Sicherheitsfunktionen wie Mark of the Web umging. Diese Schwachstellen waren Teil einer breiter angelegten Kampagne von Zero-Day-Angriffen durch Void Banshee, die die wachsende Bedrohung durch unentdeckte Schwachstellen unterstreichen. Der Patch-Dienstag von Microsoft vom September 2024 befasste sich mit mehreren aktiv ausgenutzten Zero-Days-Tests und unterstreicht die Bedeutung rechtzeitiger Patches, um solche ausgeklügelten Angriffe zu verhindern.
FBI warnt Öffentlichkeit davor, falsche Behauptungen über gehackte Wählerdaten zu ignorieren
Das FBI und die CISA haben eine öffentliche Warnung vor Desinformationskampagnen herausgegeben, in denen fälschlicherweise behauptet wird, dass die Daten der US-Wählerregistrierung durch Cyberangriffe kompromittiert wurden. Nach Angaben der Behörden verbreiten böswillige Akteure diese Behauptungen, um die öffentliche Meinung zu manipulieren und das Vertrauen in die demokratischen Institutionen der USA zu untergraben. Diese Desinformationskampagnen missbrauchen oft öffentlich zugängliche Wählerregistrierungsdaten als „Beweise“ für angebliche Hackerangriffe. Die Behörden betonen, dass die Wählerregistrierungsdaten aus offiziellen Quellen abgerufen werden können und nicht auf einen Verstoß gegen die Wahlinfrastruktur hindeuten. Das FBI und die CISA bekräftigen, dass es derzeit keine Beweise für Cyberangriffe gibt, einschließlich Distributed-Denial-of-Service-Angriffen (DDoS), die sich auf die US-Wahlen auswirken. DDoS-Angriffe können zwar einige wahlbezogene Dienste vorübergehend stören, haben aber keine Auswirkungen auf den Wahlprozess oder die Integrität der Wahlergebnisse. Die Bürger werden dringend aufgefordert, bei irreführenden Behauptungen vorsichtig zu sein und sich auf die offiziellen Websites der staatlichen und lokalen Wahlen zu verlassen, um genaue Informationen zu erhalten.
Fazit
Zusammenfassend lässt sich sagen, dass die Cyberlandschaft nach wie vor voller Bedrohungen ist, von Ransomware-Exploits bis hin zu ausgeklügelten SQL-Injection-Angriffen und Phishing-Kampagnen.
Mit jeder neuen Schwachstelle sehen sich Unternehmen mit erhöhten Risiken für ihre Daten und Abläufe konfrontiert, was proaktive Cybersicherheitsmaßnahmen wichtiger denn je macht. Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir spezialisierte Dienstleistungen wie Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlung und Ransomware-Lösegeldzahlungen an. Wenn Ihr Unternehmen Unterstützung bei der Wiederherstellung nach einem Ransomware-Angriff benötigt oder Hilfe bei der Stärkung seiner Abwehrmaßnahmen benötigt, kontaktieren Sie uns noch heute.