Die Infosec-News der Woche

  1. Juli - 8. Juli 2022

Egal ob du CISO, Ethical Hacker oder Teil eines Sicherheitsteams bist - über die neuesten Nachrichten auf dem Laufenden zu bleiben, gehört bestimmt auch zu deinen Aufgaben. Deshalb haben wir die interessantesten Ereignisse der letzten Woche für dich zusammengestellt.


Neuigkeiten über Schwachstellen und Angriffe

Phishing-Angriff gibt sich als Ministerium der VAE aus, zielt auf den Nahen Osten

Forscher von CloudSEK haben eine weit verbreitete Phishing-Kampagne aufgedeckt, bei der sich Angreifer als das Ministerium für Personalwesen (Ministry for Human Resources) der Vereinigten Arabischen Emirate ausgaben. [1]

Die neue Bedrohung zielt auf zahlreiche Regierungs- und Unternehmenseinrichtungen in den Bereichen Banken, Reisen, Gesundheitswesen, Recht, Öl und Gas sowie Beratung ab. Nach Einschätzung der Sicherheitsexperten handelt es sich hierbei um einen bedeutenden Phishing-Versuch, der in erster Linie auf Unternehmen und Arbeitssuchende abzielt, indem Websites gefälscht werden, die zum Ministerium für Personalwesen gehören.

Diese Phishing-Methoden könnten auch von anderen Bedrohungsakteuren als Vorlagen verwendet werden, um auf Einzelpersonen abzuzielen und deren Passwörter, Dokumente, Kryptowährungsbörsen und andere sensible Daten zu stehlen.


Phishing ist nach wie vor eine der zuverlässigsten Methoden für Hacker, sich unbefugten Zugang zu Unternehmen zu verschaffen, und während Angriffe auf hochwertige Organisationen immer gezielter werden, müssen kleinere Unternehmen immer noch sicherstellen, dass sie nicht in den großen Phishing-Netzen gefangen werden. 🎣

Wenden Sie sich an uns für Sicherheitstraining und simulierte Phishing-Angriffe, um sicher zu gehen, dass Sie auf der sicheren Seite sind. 🛡️


Hacker-Gruppen & Kampagnen

Cyber-Kriminelle behaupten, die Daten von einer Milliarde Chinesen gestohlen zu haben

Letzte Woche wurde in einem Online-Cybercrime-Forum ein neues Daten-Leak bekannt gegeben, und es ist ein großes. Einer anonymen Quelle zufolge hat die Person oder Gruppe, die sich für den Angriff verantwortlich zeigt, angeboten, mehr als 23 Terabyte gestohlener Daten zu verkaufen. [2]

Die Datenbank enthält Namen, Adressen, Geburtsorte, nationale IDs, Telefonnummern und Informationen über Kriminalfälle und wurde offenbar von der Shanghai National Police gestohlen. Dem Posting zufolge verlangte der Täter zehn Bitcoins, also etwa 200.000 US-Dollar, was ein überraschend geringer Betrag für so viele Daten ist.

Die Regierung von Shanghai hat bisher nicht öffentlich auf den angeblichen Cyberangriff reagiert.

LockBit 3.0 Ransomware zielt auf Organisationen weltweit

Die LockBit-Organisation ist zurück und hat LockBit 3.0, eine neue Variante ihrer Ransomware, veröffentlicht. Die Gruppe nannte ihr neuestes Produkt LockBit Black, verbesserte es mit neuen Erpressungsstrategien und fügte eine Zcash-Zahlungsoption zu den bereits vorhandenen Bitcoin- und Monero-Zahlungsoptionen hinzu. [3]

LockBit war der RaaS (Ransomware-as-a-Service) mit der höchsten Aktivität im Juni und setzte damit seinen Weg an die Spitze fort. Anders als die Ransomware-Gruppe Conti, die sich in kleinere Gruppen aufgespalten hat, nachdem sie zu viel Aufmerksamkeit erregt und die Aufmerksamkeit der Strafverfolgungsbehörden auf sich gezogen hat, scheint LockBit weiterhin an dem Weg festhalten zu wollen, ein bekannter Name im Ransomware-Sektor zu sein.

Dieses Mal sind die LockBit-Hacker in den Nachrichten, weil sie das erste Bug-Bounty-Programm einer kriminellen Organisation ins Leben gerufen haben. Die Gruppe bietet eine finanzielle Belohnung für das Einreichen von Schwachstellen oder einer Ideen zur Verbesserung des Dienstes an, die zwischen 1.000 und 1.000.000 Dollar liegt. Die größte Belohnung erhält derjenige, der den Kopf der Gruppe, auch bekannt als LockBitSupp, als Erster identifizieren kann. Es wird vermutet, dass dies hauptsächlich ein PR-Gag ist, um den Namen und die Bekanntheit der Gruppe zu erhöhen.

Marriott wurde gehackt - schon wieder!

Einem Bericht von DataBreaches zufolge konnten Hacker von einem Hotelserver des BWI Airport Marriott in Maryland auf fast 20 GB privater Daten zugreifen, darunter Reservierungs- und Kreditkarteninformationen. [4]

Laut Engadget behauptet Marriott, dass es sich bei den meisten der kompromittierten Informationen um "nicht sensible interne Geschäftsdateien" handelt. Die Hacker verschafften sich Zugang zum Computer eines Marriott-Mitarbeiters, um die Informationen abzurufen, und sammelten die Dateien von einem gemeinsam genutzten Dateiserver.

"Es gibt keine Beweise dafür, dass der Bedrohungsakteur Zugang zu mehr als den Dateien hatte, auf die dieser eine Mitarbeiter Zugriff hatte", so Marriott weiter. Nichtsdestotrotz werden die 300 bis 400 Personen, von denen die meisten ehemalige Mitarbeiter waren, deren persönliche Daten während des Vorfalls kompromittiert wurden, laut Marriott informiert werden, so der Hotelbetreiber gegenüber Engadget.

Wirtschaft, Politik und Kultur

Zunehmende Cyberspionage-Bemühungen Chinas gegen Russland

Nach Untersuchungen von Sicherheitsunternehmen und dem ukrainischen Computer Emergency Response Team (CERT) hat eine mit China verbundene Kampagne im Juni damit begonnen, Unternehmen mit Verbindungen zu Russland mit Hilfe von Malware anzugreifen, um Informationen über Regierungsaktivitäten zu sammeln. [5]

Seit Beginn des Konflikts in der Ukraine hat die als Mustang Panda bekannte Gruppe russische Organisationen ins Visier genommen, während eine neue Cyber-Gang, die als "Space Pirates" bekannt ist, in den russischen Raumfahrtsektor eingedrungen ist.

Einer kürzlich durchgeführten Untersuchung zufolge wurden infizierte Microsoft Office-Dokumente zur Verbreitung von Remote Access Trojanern (RATs) verwendet. Bei den jüngsten Operationen kamen zwei Malware-Sets zum Einsatz, die mit chinesischen APT-Gruppen (Advanced Persistent Threats) in Verbindung gebracht werden: das Royal Road Toolkit zur Erstellung bösartiger Dokumente und der Bisonal Remote Access Trojan (RAT), welches von chinesischen Betreibern entwickelt wurde.

Das Tonto-Team, das auch als Karma Panda und Bronze Huntley bekannt ist, hat sich in der Regel auf Länder in anderen Teilen Asiens konzentriert, darunter Südkorea, Japan, die USA und Taiwan. Die Organisation hat ihre Aktivitäten kürzlich auf Pakistan, Russland und andere Länder ausgeweitet.

Angriff auf QNAP-Geräte durch den Raspberry Robin Wurm

Microsoft berichtet, dass Hunderte von Unternehmen aus verschiedenen Branchen in letzter Zeit Windows-Würmer in ihren Netzwerken entdeckt haben. [6]

Die Raspberry Robin-Kampagne, auch bekannt als "LNK Worm", ist Gegenstand einer Untersuchung des Cybereason-Teams. Ein Wurm namens Raspberry Robin nutzt infizierte QNAP-Geräte (Network Attached Storage oder NAS), um sich über USB-Geräte oder freigegebene Ordner zu verbreiten. Dafür verwendet er eine altmodische, aber immer noch wirksame Technik, die auf "LNK"-Verknüpfungsdateien basiert.

Sicherheitsexperten, die Raspberry Robin in freier Wildbahn entdeckten, haben den Virus noch keiner Bedrohungsorganisation zugeordnet und versuchen, das eigentliche Ziel seiner Betreiber zu ermitteln. Microsoft stuft diesen Einsatz dennoch als hochriskant ein, da die Angreifer jederzeit weitere Malware in die Netzwerke der Opfer herunterladen und einsetzen und ihre Rechte erweitern könnten.


Das war's für heute! Haben wir eine wichtige Nachricht verpasst? Schreibt uns auf Social Media an @LastBreach.