In den letzten Wochen sind wieder viele Fälle von Ransomware-Infektionen (Mc Donalds, Fujitsu etc.) bekannt geworden. Eine weitere Ransomware-Gang hat ihre Schlüssel öffentlich bereitgestellt und will sich (nach erhöhtem Druck der Strafverfolger) aus dem Geschäft zurückziehen. Elektronic Arts wurde gehackt, und Sicherheitsforscher haben in Apps, die mit Samsung-Handys geliefert werden, gravierende Schwachstelle entdeckt. Diese könnten zur Geräteübernahme führen. Zudem können wir auf zahlreiche Datenlecks zurückblicken. Daher ein Sammelbeitrag zu solchen Sicherheitsvorfällen.
Anzeige
Electronic Arts gehackt, FIFA 21 Quellcode im Verkauf
Den Spieleentwickler Electronic Arts (EA) hat es wohl heftig getroffen. Der Konzern ist unter anderem bekannt für die Fußball-Videospiel-Reihe FIFA, deren Ableger FIFA 21 und FIFA 22 sich jetzt großer Beliebtheit erfreuen dürften, weil die Europameisterschaft vor der Tür steht. Hackern ist es gelungen in die internen Firmennetzwerke einzudringen und den Quellcode von Spielen wie Fifa 21 zu stehlen.
Die Hacker selbst behaupten, einige Entwicklerprogramme für FIFA 21 und den Server-Code für das Matchmaking von FIFA 22 gestohlen zu haben. Der Quellcode wird nun zum Verkauf angeboten. EA bestätigte gegenüber dem Onlinemagazin Motherboard den Hack, bei dem mutmaßlich 780 GByte an Daten gestohlen wurden.
Laut diesem Bericht auf Vice haben die EA-Hacker gestohlenen Cookies des EA-Slack-Kontos online zum Preis von 10 US-Dollar gekauft. Dann gelang es den Hackern, die IT von EA auszutricksen, so dass diese die Login-Tokens für das EA-Netzwerk herausgegeben haben. Ein Mitglied der Hackergruppe hat dies gegenüber Vice offen gelegt. Die Kollegen von Golem haben einen deutschsprachigen Artikel zum Thema veröffentlicht. Sicherheitsanbieter Check Point meint dazu:
Wenn Hacker einen Quell-Code in die Finger kriegen, ist das ein wertvoller Fang. Mit solchen Informationen in den Händen können sie leicht das Innenleben eines Videospiels einsehen, Sicherheitslücken ausnutzen und diese Spiele sogar für bösartige Zwecke missbrauchen, weil sie nun in der Lage sind, den Programm-Code zu ändern. Diese Aktivitäten können sich ausweiten, wenn die Hacker ihr Diebesgut im Dark Net verkaufen. Es gibt Berichte, dass der Quell-Code aus dem Datenleck bei EA Games bereits dort beworben wird. Das ist jedoch nicht überraschend, denn Hacker handeln in der Regel schnell, um ihre Hehler-Ware zu Geld zu machen – und mit dem Verkauf eines Quell-Codes von EA Games kann jemand im Dark Net viel Geld verdienen. Immerhin ist EA Games einer der größten Publisher für Videospiele weltweit und ein erfolgreich an der Börse notierter Konzern.
Ein ähnlicher Vorfall ereignete sich im Februar, als CD Project, der polnische Publisher und Entwickler der beliebten Spiel-Reihe The Witcher, attackiert wurde – jedoch war hier außerdem eine Ransomware im Spiel. Gestohlen wurden ebenfalls Quell-Codes. Eine Folge für das ebenfalls an der Börse notierte Unternehmen: Der Aktienkurs in Frankfurt brach von 64 Euro am 9. Februar, als die Presse breit berichtete, stetig ein und liegt derzeit nur noch bei 39 Euro.
US-Energieanbieter Invenergy gehackt
Das amerikanisches Unternehmen für Grüne Energie, Invenergy, wurde Opfer eines Ransomware-Angriffs der REvil-Gruppe. Die Gang droht, 4 TByte an gestohlenen Daten zu veröffentlichen. Der Anbieter hat bestätigt, dass er gehackt wurde, hat aber nicht die Absicht, Lösegeld zu zahlen. Die Financial Times hat hier einen Artikel dazu veröffentlicht.
Anzeige
REvil attackiert Kontraktor von Atomwaffen
Sol Oriens, ein Unterauftragnehmer des US-Energieministeriums (DOE), der mit der National Nuclear Security Administration (NNSA) an Atomwaffen arbeitet, wurde letzten Monat von einem Cyberangriff durch die REvil Ransomware-as-a-Service (RaaS)-Gamg getroffen.
Die Website des Unternehmens aus Albuquerque, N.M., ist seit mindestens 3. Juni nicht mehr erreichbar, aber Vertreter von Sol Oriens bestätigten gegenüber Fox News und CNBC, dass die Firma im Mai 2021 von dem Angriff erfahren hat. Details lassen sich hier nachlesen.
Datenleck bei McDonalds
Beim Burgerbräte McDonalds gab es in Südkorea und Taiwan eine Datenpanne. Nach einer nicht autorisierten Aktivität im Netzwerk des Unternehmens wurden externe Berater für eine Untersuchung angeheuert. Am Freitag bestätigte McDonalds dann das Datenleck,bei dem einige Kunden- und Mitarbeiterinformationen preisgegeben an die Cyberkriminellen abgeflossen sind. Die Angreifer griffen auf E-Mails, Telefonnummern und Lieferadressen zu, erlangten aber nach Auskunft des Unternehmens keine Zahlungsinformationen der Kunden. Die Details lassen sich in diesem Reuters-Artikel nachlesen.
Belgisches Innenministerium findet Uralt-Hack bei Hafinium Revision
Das belgische Innenministerium hat herausgefunden, dass Hacker bei einem Sicherheitsvorfall im April 2019 in das interne Netzwerk eingedrungen sind. Entdeckt wurde dieser Hack aber erst im März 2021, als die IT-Mitarbeiter der Regierung den Status ihrer Exchange-E-Mail-Server untersuchten. Anlass waren die Warnungen Microsofts vor Angriffen einer chinesischen Hackergruppe namens Hafnium. Die IT-Leute fanden Exchange-Server, die anfällig waren und gepatcht werden mussten. Als die IT-Mitarbeiter genauer nachschauten, fanden sie auch zusätzliche Anzeichen für eine Kompromittierung, die Jahre zurücklag, also bevor die ersten Hafnium-Angriffe entdeckt wurden. Das Ganze wurde zum 25. Mai 2021 in dieser französischsprachigen Pressemitteilung bekannt gegeben. The Record hat diesen englischsprachigen Artikel zum Thema publiziert.
Avaddon Ransomware-Gruppe gibt Key frei
Steigender Fahndungsdruck auf Ransomware-Gruppen hat die Avaddon-Ransomware-Gruppe wohl bewogen, ihre Operationen einzustellen. Bleeping Computer berichtet hier, dass die Gang die Decryption-Keys veröffentlicht habe. Wörtlich heißt es: Die Avaddon-Ransomware-Gang hat den Betrieb eingestellt und die Entschlüsselungsschlüssel für ihre Opfer an Bleeping Computer übergeben. So können Opfer dieser Ransomware die verschlüsselten Dateien mit den freigegebenen Keys wieder entschlüsseln.
Simpler Schutz vor Ransomware?
Brian Krebs hat auf Krebs on Security im Mai 2021 diesen Artikel gepostet. Krebs ist aufgefallen, dass praktisch alle Ransomware-Stämme über eine eingebaute Failsafe-Funktion verfügen, die den Malware-Anbietern den Rücken freihalten soll. Die Malware wird nicht auf einem Microsoft Windows-Computer installiert, wenn dort bestimmte virtuelle Tastaturen – beispielsweise Russisch oder Ukrainisch – installiert sind. Ob das immer klappt, weiß ich natürlich nicht. Kevin Beaumont hat übrigens noch einen netten Übersichtsbeitrag publiziert. Seine Botschaft: Den Peak in der Zahl der Ransomwareinfektionen haben wir noch nicht erreicht.
17 Sicherheitslücken in Samsung-Apps
Das hat mal wieder richtig gerappelt. Samsung liefert mit seinem Android-Smartphones ja zahlreiche Apps (teilweise Bloatware) an die Käufer aus. Sicherheitsforscher Sergey Toshin hat sich die Apps vorgenommen und dann gleich 17 Schwachstellen gefunden. Über zwei Schwachstellen könnten sich Angreifer erhöhte Rechte verschaffen, eine dritte Schwachstelle ermöglicht den Zugriff auf SMS-Nachrichten. Bleeping Computer berichtet in diesem Artikel über die Details, wobei 14 Schwachstellen inzwischen durch App-Updates beseitigt wurden. Ein deutschsprachiger Beitrag findet sich bei Golem.
Gesundheits-Apps geben Daten preis
Smarte Fieberthermometer, Waagen, Blutdruck- und Pulsmessgeräte sind in vielen Haushalten im Einsatz und meist mit App-Anbindung ausgestattet. War auch bei Silvercrest, einer Hausmarke von Lidl, der Fall. Von der Hans Dinslage GmbH, einer Tochter der Beurer GmbH aus Ulm, wurden kostenlose Apps wie HealthForYou entwickelt. Diese App und auch die App Sanitas Health Coach übertragenen die Daten an an einen Server. In diesem Artikel legt die Redaktion von heise offen, dass die Daten jahrelang (seit 2015) offen für unbeteiligte Dritte abrufbar waren. Der Entdecker der Schwachstelle hat das hier dokumentiert.
Daten bei Bergen Logistics offen im Internet
Die Sicherheitsforscher von Website Planet haben mich bereits Ende Mai darüber informiert, dass sie im Internet auf einen ungesicherten Elasticsearch-Server gestoßen sind. Der Server gehört Bergen Logistics, einem Marktführer im Bereich Business-to-Business-Logistik in der Mode- und Lifestyle-Branche. Aufgrund mangelnder Sicherheitsvorkehrungen enthüllte Bergen die Versanddaten seiner Kunden, wie Adressen, Telefonnummern, Namen, Nachnamen und E-Mails sowie die Anmeldedaten für Kundenkonten im Klartext. Der Bericht zu diesem Datenleck lässt sich hier abrufen.
Datenpanne bei amerikanischem Frachtmakler
Es waren ebenfalls die Sicherheitsforscher von Website Planet, die mich vor Wochen über einen weiteren, ungesichert und per Internet erreichbaren Elasticsearch-Server informiert haben. Der Server gehört einem unbekannten Unternehmen und enthält Daten seines Partners, Aljex, einem amerikanischen Frachtmakler-Softwareunternehmen.
Aufgrund mangelnder Sicherheitsvorkehrungen legte dieses Unternehmen die sensiblen Daten von Aljex offen, wie z. B. Sendungsdetails (Name des Empfängers, Herkunfts- und Zieladresse der Sendung), Kundendaten (vollständige Namen, Telefonnummern, E-Mail-Adressen, Benutzernamen und Klartext-Passwörter), Spediteurdaten (vollständige Namen, E-Mail-Adressen, Telefonnummern) und die Daten der Vertriebsmitarbeiter der Kunden (Firmen-E-Mails, Aljex-Benutzernamen, Vertreter-IDs). Der Bericht zu diesem Datenleck lässt sich hier abrufen.
Massives Datenleck in Brasilien
Vor Wochen wurde ich ebenfalls von VPNmentor informiert, die auf ein massives Datenleck in Brasilien gestoßen waren. Deren Sicherheitsforscher fanden einen falsch konfigurierten Amazon S3 Bucket, der Audio- und Videodateien, Mediendateien (einschließlich Fotos und Videos), Dokumente und Excel-Tabellen sowie eine SQL-Datenbank enthielt. Die Datenbank mit den Daten beziehen sich auf ein brasilianisches Finanzunternehmen namens Prisma Promotora. Die Details sind in diesem Bericht abrufbar.
Ein weiterer Bericht zu BabyChakra, die Nr. 1 unter den indischen Erziehungs- und E-Commerce-Plattformen, die über einen falsch konfigurierten Amazon S3 Bucket-Server Daten offen im Internet abrufbar anboten, findet sich hier.
Datenleck bei Polecat
WizCase, ein Online-Portal für Sicherheit und Datenschutz hat eine signifikante Datenpanne entdeckt , die das britische Reputationsrisiko-Intelligence-Unternehmen Polecat betraf. Daten im Umfang von 30 TBbyte wurden über einen Server offengelegt. Polecat hatte erfolgreich den Ausgang der US-Präsidentschaftswahlen 2016 vorhergesagt und hatte möglicherweise eine ähnliche Reihe von Untersuchungen durchgeführt, die weniger als eine Woche vor den US-Wahlen 2020 offengelegt worden wären. Über 6,5 Milliarden Tweets waren für Jeden abrufbar. Die Details sind hier abrufbar.
Datenleck bei Audi/Volkswagen USA
Die Volkswagen Group of America, Inc. (VWGoA) ist die nordamerikanische Tochtergesellschaft des deutschen Volkswagen-Konzerns. Sie ist verantwortlich für das US-amerikanische und kanadische Geschäft von Volkswagen, Audi, Bentley, Bugatti, Lamborghini und VW Credit, Inc. Jetzt hat diese Gruppe ihren Datenschutzvorfall, nachdem bei einem Lieferanten Daten ungesicherte per Internet einsehbar waren. Das betrifft 3,3 Millionen Kunden in Nordamerika. Bleeping Computer hat hier weitere Details.
Intuit TurboTax-Konten gehackt
Das Finanzsoftware-Unternehmen Intuit hat TurboTax-Kunden benachrichtigt, dass Angreifer auf einige ihrer persönlichen und finanziellen Informationen zugegriffen haben. Es wird vermutet, das Kontenübernahmen geplant sind. Das betrifft wohl aber nur US-Kunden – Details finden sich bei Bleeping Computer.
Fast 19 Petabyte an Daten in über 29.000 ungeschützten Datenbanken
Noch heftiger ist das Ergebnis einer Untersuchung durch das Sicherheitsteam von CyberNews, die mich über diesen Sachverhalt informierten. Deren Untersuchung hat ergeben, dass Zehntausende von Datenbankservern immer noch für jedermann zugänglich sind. In mehr als 29.000 Fällen sind die Datenbanken ungeschützt, so dass fast 19 Petabyte an Daten dem Diebstahl, der Manipulation, dem Löschen und Schlimmerem ausgesetzt sind. Mindestens 29.219 Elasticsearch-, Hadoop- und MongoDB-Datenbanken sind ungeschützt im Internet erreichbar. Diese Länder haben die meisten ungeschützten Datenbanken online:
- China führt die Liste mit insgesamt 12.943 ungeschützten Instanzen an.
- An zweiter Stelle stehen die USA mit über 4.512 ungeschützten Datenbanken
- Deutschland, wo wir 1.479 ungeschützte Instanzen fanden, nimmt den dritten Platz ein
- Indien und Frankreich schließen die Top Five mit 1.018 bzw. 746 öffentlich zugänglichen Datenbanken ab
Laut CyberNews-Sicherheitsforscher Mantas Sasnauskas zeigt dies nur, dass die Sensibilisierung für ungeschützte und öffentlich zugängliche Datenbanken so wichtig wie eh und je ist. Jeder kann diese ungeschützten Cluster mit Hilfe von IoT-Suchmaschinen mühelos ausfindig machen. Ist keine Authentifizierung aktiviert, lassen sich die Daten abrufen und für Erpressung oder andere Aktionen missbrauchen. Die vollständige Untersuchung und Bilder lassen sich hier abrufen.
$280 Millionen monatlich von Kryptowährungsbörsen abgezogen
Das Sicherheitsteam von CyberNews haben herausgefunden, dass Cyberkriminelle (Frontrunner) dezentrale Kryptowährungsbörsen missbrauchen und Hunderte von Millionen an Krypto-Geld von Händlertransaktionen im Ethereum-Netzwerk abziehen. Ahnungslose Händler können jeden Monat bis zu 280 Millionen Dollar an Frontrunner verlieren. Der Bericht findet sich hier – ein deutschsprachiger Artikel mit einigen Erläuterungen über das Problem ist hier abrufbar.
Einbruch nach dem Colonia Pipline-Hack?
Einen interessanten Einblick in die Welt der Ransomware-Gangs und deren Strategie mit Erpressung durch Offenlegung von erbeuteten Daten ermöglicht dieser Bericht von Emsisoft. Nachfolgende Grafik zeigt die Zahl der veröffentlichten Vorfälle (Submissions). Als der Colonia Pipline-Hack Wellen geschlagen hat, nahm die Aktivität sprunghaft ab, die Gangs gingen in Deckung. Einige Tage danach ging man zu Business as usual über.
Quelle: Emsisoft
Der Analyst schrieb mir dazu: Die beigefügte Grafik zeigt Übermittlungen an ID Ransomware, die schätzungsweise von ~25 % aller Ransomware-Opfer verwendet wird. Jede Einsendung von einer eindeutigen IP repräsentiert einen tatsächlichen Vorfall. Wenn ich raten müsste, dachten die Gruppen nach Colonial "oh Scheiße" und hielten inne, um das Ganze zu bewerten. Aus welchen Gründen auch immer haben sie dann beschlossen, wieder zur Tagesordnung überzugehen, und haben nachgeholt, daher die Spitze.
Analyse von gestohlenen Daten
NordLocker hat sich mit unabhängigen Forschern zusammengetan, Analyse der durch Malware erbeutete Daten durchzuführen. Dazu wurden 1,2 TByte an gestohlenen Daten analysiert. Hier sind die wichtigsten Informationen und Ergebnisse:
- Eine 1,2 TB große Datenbank mit Informationen, die von 2018 bis 2020 gestohlen wurden, wurde im Dark Web zum Verkauf angeboten
- 3,25 Millionen Geräte mit Windows Software wurden von dem Trojaner infiziert
- 22% der 2 Milliarden gestohlenen Cookies sind immer noch gültig; YouTube, AliExpress, LinkedIn and Steam sind die Programme mit den meisten gestohlenen Cookies
- Die Malware hat 1,5 Millionen Facebook Passwörter und 19,4 Millionen Google Chrome Anmeldedaten gestohlen
- 50% der 6,6 Millionen gestohlen Dateien sind Textdateien, einschließlich gespeicherter Passwörter in Notepad
Diese Malware-Studie analysiert vier Oberkategorien der gestohlenen Informationen: Anmeldedaten, Dateien, Cookies und Softwaredaten. Mehr Informationen finden sich hier, heise hat diesen deutschsprachigen Artikel dazu veröffentlicht. Abschließend die Frage: Wer legt seine Daten noch in die Cloud oder ist online? Mir scheint es, als ob mittlerweile so gut wie jedes Unternehmen irgendwie gehackt wurde – und unter der Benutzerschaft ist es auch nicht viel besser.
Anzeige
you forgot Windows 11 ESD from m$
https://nordlocker.com/malware-analysis/
Here's a confirmation: Windows 11 21996 zeigt sich (nicht nur in Screenshots)
https://www.deskmodder.de/blog/2021/06/15/windows-11-21996-zeigt-sich-nicht-nur-in-screenshots/