The latest mass ransomware attack has been unfolding for nearly two months

Abraham Smith

Kommentar

Willkommen bei Cybersicherheit 202! Ziemlich wildes NCAA-Basketballturnier bisher, oder? Sie nennen es nicht umsonst „March Madness“.

Das im Internet lesen? Melden Sie sich für The Cybersecurity 202 an, um jeden Morgen Informationen und scharfe Analysen in Ihrem Posteingang zu erhalten.

Unten: Chinesische VPN-Apps sind möglicherweise riskanter als TikTok, und Teile des Twitter-Quellcodes wurden geleakt. Erste:

Der zweite Ransomware-Massenangriff des Jahres hat einige große Opfer gefordert

Ein Ransomware-Massenangriff in Zeitlupe hat sich über fast zwei Monate entwickelt, wobei neue Opfer wie Procter & Gamble und ein britischer Pensionsfonds erst letzte Woche bestätigten, dass sie getroffen wurden.

Insgesamt behauptet Clop – die für den Angriff verantwortliche Ransomware-Bande, deren Name manchmal als Cl0p stilisiert wird –, dass sie 130 Opfer getroffen hat, indem sie eine zuvor unbekannte „Zero-Day“-Schwachstelle in einer beliebten Dateiübertragungssoftware ausgenutzt hat.

Es ist bereits der zweite Ransomware-Massenangriff in diesem Jahr, da Ransomware-Banden nach einem Jahr mit weniger gemeldeten Angriffen und weniger Opfern, die bereit sind, die Hacker dafür zu bezahlen, dass sie ihre Systeme entsperren und/oder gestohlene Daten privat halten, verschiedene Ansätze erkunden.

Diese Angriffsrunde – bei der eine Schwachstelle in Fortras Dateiübertragungstool GoAnywhere ausgenutzt wurde – betrifft nicht so viele Unternehmen wie der andere massive Ransomware-Angriff in diesem Jahr. Aber es scheint den einzelnen Organisationen mehr Ärger zu bereiten als die vorherige sogenannte „ESXiArgs“-Kampagne, die Tausende von Servern infizierte, aber in einigen Fällen nur die unkritischen Systeme der Opfer traf.

Fortra veröffentlichte am 1. Februar auf seinem Kundenportal eine private Mitteilung über die Identifizierung des Zero-Day-Exploits, wie der Cybersicherheitsjournalist Brian Krebs zuerst berichtete. Ein Opfer, die Hatch Bank, sagte später in einer Kundenmitteilung, Fortra habe festgestellt, dass es vom 30. bis 31. Januar einen unbefugten Zugriff auf die GoAnywhere-Website gegeben habe.

Am 7. Februar veröffentlichte Fortra einen Fix für die Schwachstelle.

Das Unternehmen wurde mit Fragen zu dem konfrontiert, was es seinen Kunden mitgeteilt hatte.

  • „Der Softwarehersteller Fortra teilte seinen Unternehmenskunden mit, dass ihre Daten nach einem Ransomware-Angriff auf seine Systeme sicher seien – auch wenn dies nicht der Fall war. TechCrunch gelernt hat“, schrieben Zack Whitaker und Carly Page.
  • Zwei Opferorganisationen teilten TechCrunch mit, dass sie nicht erfahren hätten, dass sie Daten an die Hacker verloren hätten, bis sie eine Lösegeldforderung erhalten hätten, trotz der Angaben von Fortra. „Auf Nachfrage per E-Mail, Fortra-Sprecher Rachel Woodford nicht kommentieren, aber nicht bestreiten, was die beiden Organisationen uns gesagt haben oder dass Fortra Kunden gesagt hat, dass ihre Daten sicher sind“, schrieben Whitaker und Page.
  • Ein Fortra-Sprecher sagte der Post, dass das Unternehmen „sofort mehrere Schritte unternommen“ habe, nachdem es mit der GoAnywhere-Software „auf verdächtige Aktivitäten aufmerksam gemacht“ worden sei. Das Unternehmen benachrichtigt betroffene Kunden und arbeitete mit der Cybersecurity and Infrastructure Security Agency zusammen, um die GoAnywhere-Schwachstelle im Februar zu seiner Liste der „Must-Patch“-Schwachstellen hinzuzufügen, sagten sie. „Wir nehmen dies sehr ernst und helfen unseren Kunden weiterhin bei der Umsetzung von Maßnahmen zur Minderung dieses Problems.“

Die übliche Einschränkung gilt, wenn es um die Behauptungen von Ransomware-Banden geht: Sie haben eine Erfolgsbilanz bei der Fälschung von Informationen über Opfer und neigen zu Angeberei. Nehmen Sie also Clops Behauptung, „130 Opfer“ getroffen zu haben, mit einem Körnchen Salz.

Eine Kombination aus Medienberichten und öffentlichen Offenlegungen von Zielpersonen deutet jedoch darauf hin, dass die Kampagne eine beträchtliche Anzahl von Opfern gefordert hat.

  • Procter & Gamble sagte, es sei Opfer der Hacker geworden, die die GoAnywhere-Schwachstelle ausnutzten, und sie nahmen Mitarbeiterinformationen mit.
  • Die Virgin Group sagte, ihr Belohnungsclubsystem sei betroffen.
  • Die Hacker klauten auch Mitarbeiterdaten beim UK Pension Protection Fund, sagte ein Sprecher.
  • Der Anbieter von Gesundheitsprogrammen, US Wellness, sagte, er habe einen Verstoß erlitten, der möglicherweise Kundeninformationen beeinträchtigt habe. Es wurde nicht ausdrücklich gesagt, dass es ein Opfer von Clop war, aber TechCrunch berichtete, dass es so war.

Weitere prominente Opfer sind das Datensicherheitsunternehmen Rubrik; der Gesundheitsdienstleister Community Health Systems, der angab, dass etwa 1 Million Patienten betroffen sein könnten; und Hitachi Energy, das dem gleichnamigen japanischen Technologieriesen gehört und sagte, seine Kundendaten seien ebenfalls betroffen.

Die US-Regierung ist Disruption wird zunehmend priorisiert Als Reaktion auf Ransomware-Gangs und andere Cyberkriminelle konzentriert man sich auf Aktionen wie die Schließung von Foren für Cyberkriminalität oder die Rückforderung von Ransomware-Zahlungen, die Opfer an die Banden leisten.

Ob diese Aktivität – oder etwas anderes oder eine Kombination von Ereignissen – zum Ransomware-Abschwung im Jahr 2022 geführt hat, ist umstritten. Es ist auch unklar, ob der Abschwung ein Trend oder ein Ausreißer ist.

Das Gesundheitsministerium warnte letzten Monat in einer Mitteilung über die GoAnywhere-Vorfälle vor Clop und anderen Bedrohungen.

„Die Wahrscheinlichkeit, dass Cyberbedrohungsakteure wie Clop auf die Gesundheitsbranche abzielen, bleibt hoch“, heißt es in der Mitteilung. „Die Priorisierung der Sicherheit durch die Aufrechterhaltung des Bewusstseins für die Bedrohungslandschaft, die Bewertung ihrer Situation und die Bereitstellung von Werkzeugen und Ressourcen für die Mitarbeiter, die zur Verhinderung eines Cyberangriffs erforderlich sind, bleibt für Gesundheitsorganisationen der beste Weg nach vorne.“

Mit China verbundene VPN-Apps, die in den USA verwendet werden, stellen eine größere Bedrohung dar als TikTok

Apps für virtuelle private Netzwerke (VPN), die mit chinesischen Entwicklern verknüpft sind und häufig in den USA heruntergeladen werden, stellen eine größere Bedrohung für die Sicherheit und den Datenschutz dar als TikTok, obwohl erstere nicht annähernd so viel Aufmerksamkeit erhalten hat wie die beliebte Kurzform-Video-App , schreibt unser Kollege Joseph Menn.

VPNs ermöglichen es Benutzern, ihren virtuellen und physischen Standort zu verschleiern, um durch Online-Schutzmaßnahmen oder blockierte Websites zu navigieren, aber Experten sagen, dass VPNs in der Lage sind, alles zu verfolgen und zu sehen, was ein Benutzer beim Surfen im Internet zu verbergen versucht, und viele beliebte VPNs, die in Amerika verwendet werden, haben ihren Sitz in China oder kontrolliert von chinesischen Staatsangehörigen, laut Interviews und Überprüfungen von Unternehmensunterlagen.

„Sie haben einen Haufen fauler Leute, die sich selbst VPNs nennen, die mit Ihren Daten Geld verdienen, genau wie Google“, sagte er Dennis Batchelder, Präsident von AppEsteem, das die App-Sicherheit für Antivirus-Unternehmen bewertet. „Ich hätte Vorbehalte gegen VPNs, die in jedem Land ansässig sind, das Ihrem Unternehmen mitteilen kann, dass es Ihre Daten abrufen möchte.“

Einige Gesetzgeber haben vor den Risiken von VPNs gewarnt, aber „andere Mitglieder des Kongresses haben im Allgemeinen zu den Risiken geschwiegen, die von VPNs ausgehen, sogar von chinesischen Anbietern, während sie sich für Einschränkungen und völlige Verbote von TikTok einsetzen, das weitaus weniger Zugriff auf das hat, was Benutzer tun online“, schreibt Menn.

VPNs würden in den RESTRICT Act unter der Leitung von Sens fallen. Mark R. Warner (D-Va.) und John Thun (RS.D.), das vom Handelsministerium verlangen würde, die nationalen Sicherheitsrisiken ausländischer Technologie zu bewerten.

Neue Details über den mutmaßlichen Gründer von BreachForums tauchen auf

Nach der Verhaftung Anfang dieses Monats wurden neue Details gemeldet Conor Brian Fitzpatrickden die Strafverfolgungsbehörden beschuldigten, hinter dem beliebten Cyberkriminellen-Forum BreachForums zu stecken.

Das Justizministerium gab am Freitag bekannt, dass der 20-jährige Fitzpatrick Wochen nach seiner Festnahme vor Gericht erschienen sei, und fügte hinzu, dass das FBI und das Gesundheits- und Sozialministerium eine Operation durchgeführt hätten, um die Website offline zu schalten. Ein scheinbarer Mitarbeiter vor Ort schrieb, dass sie schließen würden die Website, nachdem sie bemerkt hatten, dass sich jemand nach Fitzpatricks Verhaftung bei einem Schlüsselkonto angemeldet hatte.

  • CyberScoop‘s AJ Vicens schreibt, dass Fitzpatrick zugegeben hat, der Administrator von BreachForums zu sein, bekannt als Pompompurin, und dass er laut einer zitierten eidesstattlichen Erklärung etwa 1.000 Dollar pro Tag mit gestohlenen Daten verdient. Die eidesstattliche Erklärung fügt hinzu, dass Fitzpatrick die Rolle eines Mittelsmanns zwischen den Transaktionen spielte und dass mehrere Betriebssicherheitsfehler seine persönliche E-Mail, Telefonnummer und Adresse mit der Website verknüpften.
  • Fitzpatrick wurde wegen Verschwörung zum Betrug mit Zugangsgeräten angeklagt, ein Verbrechen, das mit einer Freiheitsstrafe von maximal fünf Jahren geahndet wird. Vicens berichtet, dass er zuvor am 16. März vor einem Bundesgericht in New York erschienen war und gegen eine Kaution von 300.000 Dollar freigelassen wurde.
  • Um zu beweisen, dass BreachForums den Austausch gestohlener Daten erleichtert hat, kaufte das FBI verdeckt Datensätze vom Marktplatz, TechCrunchberichtet Lorenzo Franceschi-Bicchierai. Unter anderem verfolgten sie mehrere IP-Adressen zurück zu Fitzpatrick, der am 15. März festgenommen wurde.

BreachForums, einer der bekanntesten Märkte für Cyberkriminalität, hat in den letzten Wochen nach dem Hack von DC Health Link, bei dem die Daten von Hunderten, darunter Mitarbeitern von Capitol Hill und einigen Gesetzgebern, offengelegt wurden, größere Aufmerksamkeit erlangt.

Ihr Cybersecurity 202-Gastgeber berichtete letzte Woche, dass die Auswirkungen der Schließung der Website negative Auswirkungen auf die Welt der Cyberkriminalität haben werden, obwohl sie im Laufe der Zeit durch etwas anderes ersetzt werden, was abzuwarten bleibt.

Teile des Twitter-Quellcodes sind auf GitHub durchgesickert, sagt das Unternehmen

Twitter sagte in einer Rechtsakte, dass ein GitHub-Benutzer namens „FreeSpeechEnthusiast“ einen Teil des zugrunde liegenden Quellcodes von Twitter auf der Plattform gepostet hat, berichtet unsere Kollegin Rachel Pannett. Das Unternehmen forderte einen Bundesrichter auf, eine Vorladung zu erlassen, in der GitHub angewiesen wurde, die Person zu identifizieren, die den Code „gepostet, hochgeladen, heruntergeladen oder geändert“ hat, von dem Twitter sagte, dass er sein Urheberrecht verletzt habe.

  • In der Takedown-Anfrage von Twitter an GitHub beschrieb das Unternehmen den Code als „proprietären Quellcode für Twitters Plattform und interne Tools“; In einer juristischen Akte heißt es, es handele sich um „verschiedene Auszüge aus dem Twitter-Quellcode“.

„Ein GitHub-Sprecher bestätigte in einer per E-Mail gesendeten Erklärung, dass das Unternehmen einer Aufforderung von Twitter nachgekommen ist, den durchgesickerten Code zu entfernen, sich aber nicht weiter dazu äußern würde“, schreibt Rachel. „Twitter hat am Sonntagabend nicht auf eine Bitte um Stellungnahme geantwortet.“

Über die Einreichung wurde zuerst von der New York Times berichtet.

Die britische National Crime Agency richtet gefälschte DDoS-for-Hire-Sites ein, um Cyberkriminelle zu fangen (The Hacker News)

Angeklagter chinesischer Exilant kontrolliert Social-Media-Site Gettr, sagen Ex-Mitarbeiter (Joseph Menn)

Die schmutzigen Geheimnisse einer Schmutzkampagne (New Yorker)

Frankreich verbietet TikTok auf Arbeitstelefonen von Beamten – Minister (Reuters)

Russlands Rostec kann Telegram-Nutzer angeblich de-anonymisieren (BleepingComputer)

Broadcasting Networks im Nahen Osten von Ransomware-Angriff betroffen (Semafor)

Laut der australischen Latitude Group wurden 7,9 Millionen Führerscheinnummern bei Datendiebstahl gestohlen (Reuters)

Ein Betrüger, der Instagram dazu bringt, Influencer zu verbieten, wurde nie identifiziert. Vielleicht haben wir ihn gefunden. (ProPublica)

Okta speichert fehlgeschlagene Anmeldeversuche im Klartext, warnen Forscher (Axios)

Datenschutzbefürchtungen behindern staatliche Vermessungsingenieure, während die Antworten sinken (Associated Press)

Microsoft veröffentlicht OOB-Sicherheitsupdates für Fehler im Windows-Snipping-Tool (BleepingComputer)

MITRE führt Sicherheitsprototypen für die Lieferkette ein (Dark Reading)

  • Der Silverado Policy Accelerator hält den zweiten Tag seines Eröffnungsgipfels um 10:15 Uhr ab, der unter anderem Geopolitik, Halbleiter und die globale Cybersicherheitslandschaft untersuchen wird.
  • Die US-Handelskammer beruft um 13:30 Uhr eine persönliche Veranstaltung ein, um zu diskutieren, wie die kürzlich veröffentlichte nationale Cybersicherheitsstrategie darauf abzielt, kritische Infrastrukturen zu schützen

Danke fürs Lesen. Bis morgen.

Source

Leave a Reply

Your email address will not be published. Required fields are marked *