Cybersicherheitsverletzung bei der CVS Group
Die CVS Group, ein großer Anbieter von Veterinärdienstleistungen in Großbritannien, hat eine Cybersicherheitsverletzung erlitten, die seine IT-Systeme kompromittiert und den Betrieb gestört hat. Der Angriff zielte auf das Netzwerk von 500 Praxen ab, von denen hauptsächlich britische Standorte betroffen waren, da internationale Einrichtungen auf unterschiedlichen Infrastrukturen arbeiten. Daraufhin isolierte die CVS Group sofort die betroffenen Systeme und schaltete ihr IT-Netzwerk vorübergehend ab, um weitere unbefugte Zugriffe zu verhindern. Diese Maßnahme hat zu erheblichen Betriebsstörungen in allen Praxen geführt, einschließlich Spezialkrankenhäusern und Notfallstationen. Das Unternehmen arbeitet mit Cybersicherheitsexperten zusammen, um Dienste wiederherzustellen, und hat eine strategische Umstellung auf eine Cloud-basierte Infrastruktur beschleunigt, um die Sicherheit zu erhöhen. Es wird jedoch erwartet, dass dieser Übergang die Betriebsunterbrechungen verlängern wird. Die Details zu den Auswirkungen auf die Datensicherheit sind nach wie vor unklar, und keine Ransomware-Gruppe hat sich zu dem Vorfall bekannt.
Sicherheitswarnung: D-Link NAS-Geräte anfällig für Cyberangriffe
Über 92.000 eingestellte D-Link Network Attached Storage (NAS)-Geräte sind aufgrund einer kritischen Sicherheitslücke bei der Remotecodeausführung gefährdet (CVE-2024-3273). Angreifer nutzen diese Schwachstelle aus, um Mirai-Malware zu verbreiten und betroffene Geräte in Bots für DDoS-Angriffe zu verwandeln. Zu den betroffenen Modellen gehören DNS-340L, DNS-320L, DNS-327L und DNS-325, die alle nicht mehr von D-Link unterstützt werden. Nach der Enthüllung der Sicherheitslücke durch das Marktforschungsunternehmen Netsecfish riet D-Link seinen Kunden, diese End-of-Life-Produkte zu ersetzen, da sie keine Sicherheitspatches erhalten werden. Das Unternehmen hat auch einen Sicherheitshinweis herausgegeben, in dem empfohlen wird, dass Benutzer anfällige Geräte sofort außer Betrieb nehmen. Trotz der Empfehlung sind viele Geräte nach wie vor gefährdet und stellen weiterhin eine erhebliche Sicherheitsbedrohung dar.
Neue SharePoint-Schwachstellen helfen beim heimlichen Dateidiebstahl
Forscher haben neue Software-Schwachstellen in Microsoft SharePoint identifiziert, die es Angreifern ermöglichen, heimlich Dateien zu exfiltrieren, indem sie die Erkennung in Überwachungsprotokollen umgehen oder minimieren. SharePoint, das häufig für die Dokumentenverwaltung und Zusammenarbeit verwendet wird, überwacht in der Regel Datentransaktionen, um Warnungen bei verdächtigen Aktivitäten auszulösen. Diese Schwachstellen, die von Varonis Threat Labs entdeckt wurden, stellen jedoch erhebliche Risiken dar.
Die erste Technik nutzt die Funktion „In App öffnen“, die das übliche Audit-Ereignis „FileDownloaded“ umgeht und stattdessen ein weniger auffälliges „Access“-Ereignis protokolliert. Dies kann manuell oder durch Automatisierung mit PowerShell-Skripten ausgenutzt werden, sodass Angreifer heimlich große Datenmengen herunterladen können. Die zweite Methode besteht darin, die User-Agent-Zeichenfolge so zu fälschen, dass sie Microsoft SkyDriveSync ähnelt, sodass Dateidownloads als routinemäßige Datensynchronisierungsereignisse in den Protokollen angezeigt werden.
Trotz ihrer potenziellen Auswirkungen werden diese Sicherheitsanfälligkeiten als mittelschwer eingestuft und wurden von Microsoft nicht für das sofortige Patchen priorisiert. Bis diese Probleme behoben sind, wird SharePoint-Administratoren empfohlen, auf Anzeichen einer Datenexfiltration zu achten, z. B. ungewöhnliche Zugriffsmuster oder große Datenmengen. Diese anhaltende Schwachstelle unterstreicht die Notwendigkeit einer wachsamen Überwachung und schnellen Anpassung von Sicherheitsmaßnahmen in Unternehmensumgebungen.
Schwerwiegende Verletzung von Gesundheitsdaten bei GHC-SCW
Die Group Health Cooperative of South Central Wisconsin (GHC-SCW) meldete nach einem Ransomware-Angriff im Januar 2024 eine erhebliche Datenschutzverletzung, von der über 533.000 Personen betroffen waren. Bei der Sicherheitsverletzung wurden sensible persönliche und medizinische Daten gestohlen, darunter Sozialversicherungsnummern und Krankenversicherungsdaten. Obwohl es den Angreifern nicht gelang, die Daten zu verschlüsseln, gelang es ihnen, sie zu extrahieren.
GHC-SCW isolierte und sicherte sein Netzwerk schnell, als unbefugter Zugriff entdeckt wurde. Spätere Untersuchungen bestätigten den Datendiebstahl und führten zu Benachrichtigungen an die betroffenen Personen und zu einer obligatorischen Meldung an das US-Gesundheitsministerium.
Die Ransomware-Bande BlackSuit, eine umbenannte Fraktion der berüchtigten Royal-Ransomware-Gruppe, übernahm die Verantwortung für den Angriff. Als Reaktion darauf hat GHC-SCW seine Sicherheitsmaßnahmen verstärkt und die betroffenen Personen aufgefordert, ihre Gesundheitskommunikation auf ungewöhnliche Aktivitäten zu überwachen.
Microsoft behebt zwei kritische Zero-Day-Probleme in Windows
Microsoft hat zwei kritische Sicherheitslücken behoben, die in einem Zero-Day-Exploit aktiv ausgenutzt wurden, der in den Patch-Tuesday-Updates vom April 2024 enthüllt wurde. Bei der ersten Schwachstelle, CVE-2024-26234, handelte es sich um einen bösartigen Treiber, der fälschlicherweise mit einem echten Microsoft-Zertifikat authentifiziert wurde, das Sophos X-Ops als verdeckte Hintertür identifizierte, die in scheinbar legitime Software eingebettet war. Dieser Fehler wurde insbesondere ausgenutzt, um bestehende vertrauenswürdige Entitäten innerhalb des Systems zu fälschen.
Die zweite Schwachstelle, CVE-2024-29988, ermöglichte es Angreifern, die Windows SmartScreen-Sicherheitsfunktion zu umgehen, was die unentdeckte Verbreitung von Malware erleichterte. Diese Schwachstelle, die von Cybersicherheitsexperten entdeckt wurde, war Teil einer komplexen Angriffskette, die auf Finanzhandelsplattformen abzielte, um Malware zu verbreiten, einschließlich des Remote-Access-Trojaners DarkMe.
Diese Patches sind Teil eines umfassenderen Microsoft-Updates, mit dem 150 Schwachstellen behoben wurden und die anhaltende Bedrohungslandschaft und die Notwendigkeit wachsamer Cybersicherheitsmaßnahmen in modernen digitalen Umgebungen hervorgehoben wurden.
CISA erlässt Richtlinie als Reaktion auf Microsoft-E-Mail-Hack
Die CISA hat die Notfallrichtlinie 24-02 erlassen, nachdem die russische Hackergruppe APT29 in Microsofts Unternehmens-E-Mails eingedrungen war. Die Richtlinie verpflichtet US-Bundesbehörden, Risiken zu bewerten und zu mindern, einschließlich des Zurücksetzens kompromittierter Anmeldeinformationen und des Sicherns von Microsoft Azure-Konten. Diese Maßnahme erfolgt nach Enthüllungen, dass APT29 gestohlene Daten ausgenutzt hat, um auf Kundensysteme zuzugreifen. Die Behörden müssen bis zum 30. April 2024 eine Analyse der Auswirkungen auf die Cybersicherheit durchführen und kompromittierte Authentifizierungsdetails beheben. Obwohl sie sich speziell an die zivilen Exekutivbehörden des Bundes richten, betreffen die Auswirkungen ein breiteres Spektrum und führen zu einem universellen Aufruf zu erhöhter Wachsamkeit im Bereich der Cybersicherheit.
Hoya sieht sich mit einer Ransomware-Forderung in Höhe von 10 Millionen US-Dollar von Hunters International konfrontiert
Die Hoya Corporation, ein führender japanischer Optik- und Elektronikhersteller, ist ins Visier der Ransomware-Gruppe Hunters International geraten, die ein Lösegeld von 10 Millionen US-Dollar gefordert hat. Der Angriff, der den globalen Betrieb von Hoya, einschließlich der Produktion und Auftragsabwicklung, störte, umfasste den Diebstahl von etwa 1,7 Millionen Dateien mit insgesamt rund 2 TB an Daten. Dieser Vorfall hat erhebliche Auswirkungen auf mehrere Geschäftsbereiche von Hoya, wobei derzeit untersucht wird, ob auf sensible Informationen zugegriffen oder diese exfiltriert wurden.
Hunters International, das als Ransomware-as-a-Service (RaaS) agiert und für seine strenge „No Negotiation / No Discount Policy“ bekannt ist, hat damit gedroht, die gestohlenen Dateien freizugeben, wenn das Lösegeld nicht gezahlt wird. Diese Ransomware-Gruppe hat in der Vergangenheit aggressive Taktiken gezeigt, darunter Angriffe auf Krankenhäuser und Erpressungen gegen Patienten. Derzeit setzt Hoya seine Sanierungsbemühungen fort, und seit Anfang April wurden keine weiteren Updates zum Wiederherstellungsfortschritt bereitgestellt.
Fazit
Zusammenfassend lässt sich sagen, dass die Zunahme von Cybersicherheitsverletzungen in verschiedenen Sektoren die anhaltenden Herausforderungen und die Komplexität des Schutzes digitaler Vermögenswerte unterstreicht. Von Ransomware-Angriffen, die große Unternehmen stören, bis hin zu Schwachstellen in weit verbreiteten Softwareplattformen – die Bedeutung fortschrittlicher Sicherheitsmaßnahmen und eines proaktiven Bedrohungsmanagements kann nicht hoch genug eingeschätzt werden.
Als Experten für Ransomware-Wiederherstellung und Cybersicherheit bieten wir wichtige Dienstleistungen an, darunter Ransomware-Datenwiederherstellung, Ransomware-Lösegeldverhandlungen und Ransomware-Lösegeldzahlungen. Wenn Ihr Unternehmen Unterstützung benötigt, um sich von einem Cybersicherheitsvorfall zu erholen oder seine Verteidigungsstrategien zu verbessern, zögern Sie nicht, sich an uns zu wenden.