Die Infosec-News der Woche

  1. Juli - 15. Juli 2022

Sicherheitspatches von gleich fünf großen Herstellern, aktiv ausgenutzte Schwachstellen, Ransomware, Leaks, Spionage und das Disneyland Social Media Debakel - wie immer gibt’s bei uns die Infosec-News der Woche.


Schwachstellen und Exploits

5 Große Hersteller veröffentlichen Sicherheitsupdates

Letzte Woche wurden Sicherheitspatches zu diversen Produkten der Hersteller Citrix, Microsoft, SAP, Adobe und Juniper veröffentlicht. Microsoft alleine schließt damit 84 Sicherheitslücken, von der eine bereits aktiv ausgenutzt wird.[1]

Microsoft Schwachstelle CVE-2022-22047 wird aktiv ausgenutzt

Die amerikanischen Behörde CISA führt einen Katalog an Schwachstellen [2], bei denen eine öffentliche Ausnutzung bekannt ist. Letzte Woche wurde diesem Katalog die Schwachstelle CVE-2022-22047 hinzugefügt. Dabei handelt es sich um eine Privilege-Escalation-Schwachstelle (Rechteausweitung) mit einer CVSS Bewertung von 7,8 (High), die aber noch nicht im Detail veröffentlicht wurde. Ein Patch wurde bereits veröffentlicht.


Wie steht es eigentlich um den Patch-Stand in Ihrem Unternehmen? Wenn die Antwort in Richtung "weiß ich nicht" oder "das macht die IT schon" geht, sollten wir reden. Aber auch bei allen anderen Fragen rund um das Thema Sicherheit, stehen wir gerne zur Seite. Damit Ihnen bei den vielen Themen nicht schwindelig wird. 😵‍


Hacker-Gruppen & Kampagnen

140 000 Kundendaten wurden durch den Aon-Hack offengelegt

In einem Bericht an die Börsenaufsichtsbehörde im Februar meldete Aon den Vorfall. Drei Monate später, im Mai, wurden zusätzliche Informationen bereitgestellt. [3]

Laut einem Schreiben (💾PDF) von Aon vom 27. Mai, in dem die Betroffenen informiert wurden, gehörten Führerscheinnummern, Sozialversicherungsnummern und in seltenen Fällen auch Details über den Abschluss von Versicherungsverträgen zu den personenbezogenen Daten, die offengelegt wurden. Das Unternehmen hat Maßnahmen ergriffen, um sicherzustellen, dass der unberechtigte Dritte nicht mehr auf die Daten zugreifen kann. Aon hat keinen Grund zu der Annahme, dass die Drittpartei weitere Daten kopiert, gespeichert oder übertragen hat.

Telekommunikationsunternehmen von Ransomware-Attacke betroffen

In unserem Beitrag letzte Woche hatten wir über LockBit geschrieben. Kurz darauf liest man, dass die Verwaltungs- und Managementkapazitäten des französischen Telekommunikationsanbieters MVNO LPA nach einem Ransomware-Angriff erheblich eingeschränkt sind. Die Attacke startete wohl am 4. Juli. Eine Woche später ist die Website des Unternehmens immer noch nicht verfügbar und wurde durch eine Beschreibung des Cyberangriffs ersetzt. [4]

Sicherheitsexperten haben in den letzten Monaten einen starken Anstieg der LockBit-Aktivitäten beobachtet, wobei einige spekulieren, dass die Gruppe im ersten Quartal 2022 aktiver war als Conti, die die wenig beneidenswerte Ehre hatte, die aktivste Ransomware-Bande im Jahr 2021 zu sein. In Anbetracht ihrer riesigen Verbraucherdatenspeicher und ihrer nahezu unverzichtbaren Dienste sind Telekommunikationsunternehmen offensichtlich ein begehrtes Ziel für Cyberkriminelle.

BlackCat"-Ransomware erhöht die Forderungen auf 2,5 Millionen Dollar

Cybersecurity-Forscher behaupten, einen deutlichen Anstieg der Lösegeldforderungen der BlackCat-Ransomware festgestellt zu haben. [5] In einer Mitteilung der Organisation heißt es: "Solche Vorgehensweisen haben erhebliche Auswirkungen auf das Ransomware-Ökosystem im Untergrund und schaden Unternehmen unterschiedlicher Größe weltweit."

Um das Opfer dazu zu bringen, die Situation so schnell wie möglich zu beenden, haben die BlackCat-Ransomware-Täter angeblich damit begonnen, Lösegeldforderungen in Höhe von 2,5 Millionen US-Dollar zu definieren, mit einem potenziellen Abschlag von fast der Hälfte. Um dem Opfer genügend Zeit für den Kauf von Bitcoin oder MXR zu geben, beträgt die übliche Frist für die Zahlung zwischen 5 und 7 Tagen. Wenn es Probleme gibt, kann das Opfer einen "Vermittler" beauftragen, der beim Zahlungsprozess unterstützt.

Ransomware-Angriffe verletzen 1,9 Millionen Gesundheitsdaten

Im Februar wurde durch einen "ausgeklügelten" Ransomware-Angriff auf das Inkassounternehmen Professional Finance Company auf 1,9 Millionen Patientendaten von 657 Gesundheitsdienstleistern zugegriffen. [6]

Obwohl dies erhebliche Auswirkungen hatte, war es nur die drittgrößte Datenpanne im Gesundheitswesen, die im Jahr 2022 bekannt wurde. Mit mehr als 2,8 Millionen Patienten, die von weniger als 45 Anbietern betroffen waren, bleibt der Vorfall bei Eye Care Leaders der bisher größte Vorfall im Gesundheitswesen. Mit 2 Millionen betroffenen Patienten ist der Hack der Shields Health Care Group der zweitgrößte.

PFC versicherte (💾PDF), dass es nach dem Vorfall seine Netzwerksicherheit verstärkt habe, indem es die betroffenen Systeme gelöscht und neu aufgebaut habe. Diese Bemühungen könnten jedoch etwas zu spät gekommen sein, da die Agentur nicht sagen will, ob die gestohlenen Daten verschlüsselt waren.


Wirtschaft, Politik und Kultur

Soziale Medien von Disneyland mit rassistischen Beiträgen gehackt

Am frühen Donnerstagmorgen postete ein Hacker eine Reihe beleidigender, rassistischer, homophober und unsensibler Nachrichten auf dem offiziellen Instagram-Konto des Disneyland Resorts. [7]

Die Beiträge wurden vor 5 Uhr morgens veröffentlicht und schnell wieder entfernt, aber nicht bevor sie von vielen Personen gelesen oder per Screenshot festgehalten wurden. Um kurz vor 4:30 Uhr (PST) am Donnerstag tauchten vier Beiträge auf dem Instagram-Konto von Disneyland auf. In einer der Überschriften hieß es, dass ein selbsternannter "Superhacker" Rache am Freizeitpark üben wolle, wie die Los Angeles Times berichtet. Die Beiträge enthielten homophobe Obszönitäten und das N-Wort wurde häufig verwendet.

Zunehmende Cyber-Spionage gegen Russland

Eine am Donnerstag veröffentlichte Untersuchung zeigt, dass Hacker mit Verbindungen zur chinesischen Regierung zunehmend russische Einrichtungen ins Visier nehmen, wobei die fortlaufende Operation hauptsächlich mit Spionage verbunden zu sein scheint. [8] Die jüngste Analyse geht auch auf frühere Angriffe chinesischer APT-Organisationen zurück, die auf Russland abzielten. Dazu gehören die von SentinelLab identifizierten Kampagnen Space Pirates, Mustang Panda und Scarab. Die Threat Analysis Group (TAG) von Google machte im Mai ebenfalls auf die zunehmende Ausrichtung chinesischer Bedrohungsakteure auf Russland aufmerksam.

Cyberangriffe in der Ukraine im 2. Quartal stark angestiegen

Im zweiten Quartal des Jahres meldete die Ukraine einen Anstieg der gegen ihre Netzwerke gerichteten Cyberangriffe. [9]

Ein Bericht über den Anstieg der Cyberangriffe wurde vom staatlichen Dienst für Sonderkommunikation und Informationsschutz der Ukraine veröffentlicht. Obwohl es seit dem Einmarsch Russlands mehr Angriffe gab, war der Anstieg im zweiten Quartal 2022 nicht zu erwarten. Das Nationale System zur Erkennung von Schwachstellen und Cybervorfällen der Ukraine hat in diesem Zeitraum 19 Milliarden Ereignisse verarbeitet. Die Anzahl an registrierten und bearbeiteten Sicherheitsvorfällen stieg von 40 auf 64, trotz der Maßnahmen die gegen russische Hacker-Gruppen eingeführt wurden. Zusätzlich wurde ein starke Anstieg an Aktivitäten von schädlicher Hackergruppen verzeichnet in der Verbreitung von Malware festgestellt. Die Kategorie "Bösartiger Code" beispielsweise wuchs im zweiten Quartal um 38 % im Vergleich zum ersten Quartal des Jahres.


Das war's für diese Woche. Wir melden uns nächste Woche wieder mit dem Wochenrückblick. 🕵️‍♀️