Kritische Sicherheitslücke in HP Druckern und Sophos Web Security Appliance, Cyberangriffe auf Webseiten der Landesregierung und Landespolizei, Hannoversche Verkehrsbetriebe AG sowie deutsches Biotech Unternehmen Evotec, Cyberkriminelle erpressen mit Ransomware-Bluff und Razzia gegen Cyberkriminelle der Underground Economy.
Die Weekly Hacker News gibt es auch als Audio Version auf unserem Youtube Channel, auf unserem Peertube Server lastbreach.tv, sowie auf allen gängigen Podcast Plattformen zum Abonnieren.
Klicken Sie auf den unteren Button, um den Inhalt von player.rss.com zu laden.
Schwachstellen und Exploits
Kritische Sicherheitslücke in HP LaserJet-Druckern
HP hat eine Warnung für bestimmte HP Enterprise LaserJet und HP LaserJet Managed Drucker herausgegeben, da diese potenziell anfällig für die Preisgabe von Informationen sind.
Die Schwere der Sicherheitslücke CVE-2023-1707 wird mit einem Wert von 9,1 als kritisch eingestuft.
Die Schwachstelle betrifft Geräte, bei denen IPsec mit FutureSmart Version 5.6 aktiviert ist und folgende Modelle:
- HP Color LaserJet Enterprise 5700
- HP Color LaserJet Enterprise Flow MFP 5800 series
- HP Color LaserJet Enterprise MFP 5800 series
- HP Color LaserJet Enterprise 6700 Series
- HP Color LaserJet Enterprise 6701 Series
- HP Color LaserJet Enterprise MFP 6800 series
- HP Color LaserJet Enterprise Flow MFP 6800 series
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn
- HP Color LaserJet Managed MFP E78523 und E78528
- HP Color LaserJet Managed MFP E786,
- HP Color LaserJet Managed Flow MFP E786,
- HP Color LaserJet Managed MFP E78625/30/35
- HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877 und E87740/50/60/70
- HP Color LaserJet Managed Flow E87740/50/60/70
- HP Color LaserJet Enterprise X55745
- HP Color LaserJet Enterprise MFP X57945
- HP Color LaserJet EnterpriseFlow MFP X57945
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730
- HP LaserJet Managed MFP E73025 und E73030
- HP LaserJet Managed MFP E731
- HP LaserJet Managed Flow MFP M731
- HP LaserJet Managed MFP E73130/35/40
- HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn
- HP LaserJet Managed Flow MFP E826z
- HP LaserJet Managed E82650/60/70
- HP LaserJet Managed E82650/60/70
HP empfiehlt, sofort auf eine frühere Version der Firmware (FutureSmart Version 5.5.0.3) zurückzugreifen, um das Risiko einer Preisgabe von Informationen zu minimieren.
Eine aktualisierte Firmware, die das Problem behebt, stellt HP innerhalb von 90 Tagen in Aussicht.
Sophos schließt kritische Sicherheitslücke
Sophos hat ein neues Update für seine Web Security Appliance veröffentlicht, das drei Sicherheitslücken behebt.
Die kritische Schwachstelle, CVE-2023-1671, erhielt einen Schweregrad von 9,8 und ermöglicht es einem Angreifer, beliebigen Code auszuführen, noch bevor eine Authentifizierung stattgefunden hat. Dadurch kann der Angreifer die Kontrolle über das System erlangen.
Eine weitere als hoch eingestufte Schwachstelle, CVE-2022-4934, ermöglicht es einem Angreifer, Schadcode auszuführen, nachdem er erfolgreich authentifiziert wurde.
Zudem wurde eine mittelschwere Schwachstelle mit der Bezeichnung CVE-2020-36692 behoben, die einem Angreifer die Ausführung von beliebigem JavaScript-Code im Browser des Opfers ermöglichen könnte.
Das Update mit der Bezeichnung Release 4.3.10.4 schließt diese potenziellen Einfallstore für Cyberkriminelle. Kunden, die bereits die Web Appliance nutzen, müssen nichts weiter tun, da Updates automatisch installiert werden.
Es wird empfohlen, die Web Appliance durch eine Firewall zu schützen und nicht über das öffentliche Internet zugänglich zu machen, um das Risiko von Angriffen zu minimieren.
Hacker-Gruppen und Kampagnen
Cyberangriffe auf Webseiten der Landesregierung und Landespolizei
Webseiten der Landesregierung und Landespolizei waren in verschiedenen Bundesländern zeitweise nicht erreichbar, nachdem diese Ziel von DDoS-Angriffen geworden waren.
Mecklenburg-Vorpommern:
Seit dem 4. April 2023 sind verschiedene Internetseiten des Regierungsportals M-V nicht erreichbar, einschließlich der Webseiten der Ministerien, der Landespolizei und des MV-Serviceportals. Es handelt sich um einen Cyberangriff, bei dem die Server durch massenhafte Anfragen überlastet werden sollen. Eine Task Force arbeitet daran, weitere Angriffe abzuwehren, und das Bundesamt für Sicherheit in der IT (BSI) wurde informiert. Eine russische Cybergruppe hat sich zu dem Angriff bekannt. Das Intranet der Polizei ist nicht betroffen. Das Landeskriminalamt hat Anzeige wegen des Verdachts auf Computersabotage erstattet. Obwohl die betroffenen Internetseiten wieder online sind, dauert der Angriff an, und es kann zu verzögerten Reaktionszeiten kommen. Die Arbeit der Polizei oder der Landesregierung ist dadurch nicht beeinträchtigt.
Sachsen-Anhalt:
Am 04.04.2023 wurde das Landesportal sachsen-anhalt.de Ziel eines DDoS-Angriffs. Seitdem sind die Webseiten der Ministerien und nachgeordneten Behörden nicht erreichbar. Als Gegenmaßnahmen wurden die Quellen auffälligen Netzwerkverkehrs gesperrt, jedoch führten die Reaktionen der Angreifer zu einer erheblichen Verschärfung der Beeinträchtigungen. Es wird mit Hochdruck an der Abwehr des Angriffs und der Wiederherstellung gearbeitet, und eine Strafanzeige beim Landeskriminalamt Sachsen-Anhalt wurde gestellt. Zum Ende der Beeinträchtigungen ist derzeit keine Aussage möglich.
Thüringen:
Am 05.04.23 wurden ausgewählte Webseiten der Thüringer Landesregierung seit ca. 8 Uhr von Hackern aus dem In- und Ausland angegriffen, wobei der Schwerpunkt auf den Seiten des Thüringer Innenministeriums und der Thüringer Polizei lag. Die Thüringer Staatskanzlei hat Gegenmaßnahmen ergriffen und die Webseiten für etwa 30 Minuten abgeschaltet. Der Betrieb läuft nun weitgehend problemlos, aber es könnten in Zukunft weitere kurzfristige Einschränkungen der Verfügbarkeit der Webseiten auftreten.
Berlin:
Unbekannte haben das Service-Portal Berlin.de mit einem DDoS-Angriff angegriffen, um die Server zu überlasten. Dies führte zu einer Verlangsamung des Portals. Die Innenverwaltung erklärte, dass es der bisher größte Cyber-Angriff auf Webseiten der Berliner Landesverwaltung war. Es gab jedoch keine Infiltrationen oder Datenabflüsse, und die Schutzmaßnahmen funktionierten. Die Infrastruktur und das interne Landesnetz waren nicht betroffen. Die Webseiten sind mittlerweile wieder weitgehend normal erreichbar.
Die betroffenen Internetseiten sind wieder online, aber die Angriffe dauern an.
Cyberangriff auf Hannoversche Verkehrsbetriebe AG ÜSTRA
Ein Cyberangriff auf Üstra, dem hannoverschen Verkehrsbetrieb führt zu Einschränkungen bei Großraum-Verkehr Hannover (GVH).
Am vergangenen Wochenende wurde die ÜSTRA, das Verkehrsunternehmen in Hannover, Opfer eines Hackerangriffs. Die Attacke führte zu erheblichen Störungen im Betrieb und betraf auch die GVH Abozentrale, die für den Verkauf von Abonnements zuständig ist.
Durch den Angriff ist es derzeit nicht möglich, ein Deutschlandticket im GVH im Abo zum 1. Mai zu buchen. Die Bestellung wird erst zum 1. Juni wieder möglich sein.
Die Betroffenheit der GVH Abozentrale ist auf den Umstand zurückzuführen, dass diese eng mit der ÜSTRA zusammenarbeitet und somit ebenfalls von den Auswirkungen des Hackerangriffs betroffen ist. Aufgrund der Schadsoftware, die auf den Systemen der ÜSTRA eingeschleust wurde, sind sowohl die Telefon- als auch die E-Mail-Erreichbarkeit stark eingeschränkt.
Die Verantwortlichen arbeiten derzeit mit Hochdruck an einer Lösung, um die Auswirkungen des Hackerangriffs zu minimieren. Es ist jedoch unklar, wie lange es dauern wird, bis alle Systeme wieder vollständig funktionieren.
Evotec von Cyberangriff betroffen
Das deutsche Biotechnologieunternehmen Evotec hat am 6. April 2023 einen Cyberangriff auf seine IT-Systeme erlitten.
Um Datenschutzverletzungen und Datenbeschädigungen zu vermeiden, wurden die Systeme proaktiv heruntergefahren und vom Internet getrennt. Derzeit werden die IT-Systeme und der Umfang der Auswirkungen auf die Geschäftstätigkeit von Evotec überprüft. Dabei wird höchste Sorgfalt auf die Integrität der Daten gelegt.
Die genauen Umstände des Angriffs sind derzeit noch unbekannt.
Cyberkriminelle erpressen mit Ransomware-Bluff
Avast Threat Labs hat einen neuen Datenerpressungsbetrug aufgedeckt, bei dem Betrüger Unternehmen mit Ransomware-Bluff erpressen.
Die Betrüger senden E-Mails an Mitarbeiter und behaupten, dass das Unternehmen eine Sicherheitslücke hatte, durch die eine große Menge an Daten gestohlen wurde. Sie geben sich als Ransomware-Gruppe wie „Silent Ransom“ oder „Lockffit“ aus und fordern das Unternehmen auf, Lösegeld zu zahlen, um den Verkauf ihrer Daten auf dem Schwarzmarkt oder hohe Geldstrafen zu vermeiden.
Die Cyberkriminellen geben eine E-Mail-Adresse an, über die sie kontaktiert werden können, und raten dazu, ihnen nur von der Unternehmens-E-Mail aus zu schreiben. In der Nachricht wird auf gesetzliche Bestimmungen für Datenschutzverletzungen hingewiesen und mit hohen Geldstrafen für Unternehmen gedroht, die ihre Daten nicht angemessen schützen.
Obwohl die Opfer denken könnten, dass es sich hierbei um eine Erpressungskampagne handelt, die von Cyberkriminellen nach einer Datenpanne gestartet wurde, deuten alle Anzeichen darauf hin, dass es sich hierbei lediglich um einen Betrug handelt, der Entscheidungsträger in Unternehmen dazu bringen soll, Geld zu zahlen.
Cyberkriminelle sind sehr erfinderisch wie man anhand der letzten News sieht und wenn sich die Systeme schon nicht verschlüsseln lassen, dann kann man es ja wenigstens mit einer gut platzierten Phishing Mail versuchen.
Aber das ist natürlich noch längst nicht alles. Weitere dreiste und spannende Angriffe gibt es in unserer Sicherheitsschulung zu sehen.
Schreib uns gleich an kontakt@lastbreach.com oder ruf uns an unter 089 30 78 43 43 und wir zeigen dir, wie unsere Schulung deinem Unternehmen hilft, sicher zu bleiben.
Wirtschaft, Politik und Kultur
Razzia gegen Cyberkriminelle der Underground Economy
Am 04.04.2023 fand eine groß angelegte Aktion gegen Cyberkriminalität statt, bei der Strafverfolgungsbehörden aus allen Bundesländern beteiligt waren.
Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – sowie das Bundeskriminalamt (BKA) gingen gemeinsam mit anderen Strafverfolgungsbehörden gegen die sogenannte „Underground Economy“ vor.
Insgesamt wurden 62 Objekte von 58 Beschuldigten durchsucht und zahlreiche elektronische Datenträger sichergestellt. Den Beschuldigten werden eine Vielzahl von Betrugsdelikten im Online-Handel sowie weitere Vorbereitungs- und Verwertungstaten wie etwa Ausspähen von Daten, Fälschung beweiserheblicher Daten, Datenhehlerei und Geldwäsche vorgeworfen.
Die Durchsuchungen erfolgten im Rahmen von Ermittlungsverfahren gegen kriminelle Akteure verschiedener Plattformen der „Underground Economy“ im Internet.
Eine der Plattformen, die im Fokus der Ermittlungen standen, war die kriminelle Verkaufsplattform „Genesis Market„.
Bei den Ermittlungen zu „Genesis Market“ kooperierte das BKA eng mit dem U.S.-amerikanischen Federal Bureau of Investigation (FBI), der niederländischen National High Tech Crime Unit (NHTCU), dem Europäischen Polizeiamt (Europol) sowie mit weiteren internationalen Partnern.
Über „Genesis Market“ wurden unter anderem gestohlene Zugangsdaten zu verschiedensten E-Commerce- und Online-Zahlungs-Diensten zum Kauf angeboten. Die Plattform war die größte ihrer Art und bestand seit 2018. Sie wurde ebenfalls am Dienstag, den 04.04.2023, von den U.S.-amerikanischen Behörden beschlagnahmt und abgeschaltet.
Das wars für diese Woche, die Weekly Hacker News gibt es als monatlichen Newsletter, auf unserem Youtube Channel oder als reine Audio Version auf rss.com, sowie diversen Podcast-Plattformen zu Abonnieren. Danke für’s lesen und bis zum nächsten Mal – stay safe!
