Ich ziehe mal wieder einige Sicherheitsthemen und Vorfälle der letzten Tage heraus, die mir untergekommen sind. Nutzerdaten von Tonerdumping stehen im Darknet zum Verkauf und Roku warnt vor 15.000 gehackten Benutzerkonten. Die US-Cybersicherheitsbehörde CISA wurde über einen Ivanti-Bug gehackt. In Moskau wurde die Server der "Regierung" gehackt und verschlüsselt. LockBit 3.0 reklamiert einen Angriff auf die Government Pensions Administration Agency (GPAA) in Südafrika und so weiter.
Anzeige
Tonerdumping Benutzerdaten im Darknet
Tonerdumping ist ein Online-Shop für Refill Toner und Druckerpatronen in Deutschland. HackManac hat mich zum 8. März 2024 über folgenden Tweet darauf hingewiesen, dass jemand in einem Untergrundforum die Daten von Tonerdumping-Nutzern angeblich zum Verkauf anbietet.
Es soll sich um eine zu Tonerdumping gehörende Datenbank mit 344.000 Benutzerdaten handeln, die in einem Hacking-Forum zum Verkauf angeboten wird. Der Cyberkriminelle behauptet, dass das Leck Daten wie E-Mail-Adressen, Rechnungszahlungen, Namen, Telefonnummern und so weiter enthält. Die Bestätigung, dass es sich um Daten von Tonerdumping-Kunden handelt, steht noch aus.
Roku warnt vor 15.000 gehackten Konten
Der US-Streaming-Anbieter Roku warnt seine Nutzer, dass bis zu 15.000 Benutzerkonten über sogenannte Credential Stuffing-Angriffe (also Nutzernamen und Passwort ausprobieren) gehackt worden seien. Die Kollegen von Bleeping Computer haben den Sachverhalt in diesem Artikel offen gelegt – siehe auch nachfolgenden Tweet.
Anzeige
Südafrika: Lockbit 3.0-Angriff auf die GPAA
Das Kürzel GPAA steht für Government Pensions Administration Agency (GPAA), nach meiner Lesart so etwas wie die Rentenkasse der Regierung Südafrikas. Die Government Pensions Administration Agency (GPAA) verwaltet die Renten im Auftrag ihrer Hauptkunden, des Government Employees Pension Fund (GEPF) und des Finanzministeriums.
HackManac weist in obigem Tweet darauf hin, dass Berichten zufolge die Government Pensions Administration Agency (GPAA) in Südafrika von der Ransomware-Gruppe LockBit 3.0 kompromittiert wurde. Die angeblich kompromittierten Daten umfassen 1,08 TB an Nutzerdaten, Finanzdaten und PII-Dokumenten. Die Frist zur Zahlung von Lösegeld ist am 11. März 2024 abgelaufen – wobei die Infrastruktur von LockBit bereits mehrfach beschlagnahmt wurde (siehe LockBit Ransomware-Gruppe zurück? Und neue Erkenntnisse). Aktuell ist der Sachverhalt unklar.
CISA über Ivanti-Bugs gehackt
Die US-Cybersicherheitsbehörde CISA musste die Tage eingestehen, dass einige ihrer Systeme gehackt worden sind und offline genommen werden mussten. The Record berichtete beispielsweise hier über den Vorfall.
Pikant: Die Hacker drangen im Februar 2024 über Schwachstellen in Ivanti-Produkten in die Systeme der Cybersecurity and Infrastructure Security Agency (CISA) ein. Ein Sprecher der CISA bestätigte gegenüber Recorded Future News, dass die Behörde vor etwa einem Monat "Aktivitäten festgestellt hat, die auf die Ausnutzung von Schwachstellen in den von der Behörde verwendeten Ivanti-Produkten hinweisen".
"Die Auswirkungen beschränkten sich auf zwei Systeme, die wir sofort offline genommen haben. Wir aktualisieren und modernisieren unsere Systeme weiterhin, und es gibt derzeit keine Auswirkungen auf den Betrieb", zitiert das Medium eine Sprecherin. "Dies ist eine Erinnerung daran, dass jede Organisation von einer Cyberschwachstelle betroffen sein kann und dass ein Plan zur Reaktion auf einen Vorfall eine notwendige Komponente der Widerstandsfähigkeit ist." Bernd hat in diesem Kommentar zu meinem Artikel Ivantis uralter Software-Klump – fällt auch Sicherheitsforschern auf auf diesen Sachverhalt hingewiesen. In meinem Artikel skizziere ich, warum die Ivanti-Produkte ein latentes Risiko darstellen.
Moskau: Server durch Nebula verschlüsselt
Nachtrag: Die Hackergruppe Nebula hat die Server der Moskauer Regierung übernommen, Daten kopiert und Daten verschlüsselt (danke an Bolko für den Hinweis). Das geht aus nachfolgendem Tweet hervor.
Das führt dazu, dass die Troika Transportkarten, die man für den öffentlichen Nahverkehr braucht, nicht mehr aufladbar sind (siehe Screenshot des obigen msk1-Zeitungsartikels). Der Server von cert.by (Belarus, Weißrussland) ist ebenfalls down.
Anzeige
