Sicherheits-News: Black Basta Ransomware Chats geleakt; Salt Typhoon-Angriffe auf US-Provider

Publiziert am 21. Februar 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Zum Wochenabschluss noch kurze Meldungen aus dem Bereich der IT-Sicherheit. Ein Unbekannter hat angeblich Chat-Protokolle der Black Basta Ransomware-Gruppe geleakt. Und Cisco Talos nimmt sich die Angriffe der Salt Typhoon-Gruppe auf US-Telekommunikationsunternehmen mittels gestohlener Zugangsdaten zum Anlass, um Empfehlungen zur Erkennung und Prävention gegeben.

Anzeige

Salt Typhoon-Angriffe auf US-Telekommunikationsunternehmen

Weathering the storm: In the midst of a Typhoon von Angriffen durch Salt Typhoon auf US-Telekommunikationsunternehmen. Es werden gestohlene Zugangsdaten ausnutzt, um mit hoher Ausdauer in IT-Netzwerke einzudringen.

Salt Typhoon-Angriffe gegen US-Unternehmen

Telekommunikationsfirmen aus den USA wurden über Monate durch mutmaßlich chinesische staatsnahe Hacker infiltriert. Die Angriffe von Salt Typhoon auf US-Telekommunikationsunternehmen wurden ja bereits im Spätherbst 2024 gemeldet (siehe Erkenntnisse von T-Mobile (USA) über (chinesische) Hackerangriffe auf das Netz und Links am Artikelende).

Die Sicherheitsforscher von Cisco Talos haben die öffentlich zugänglichen Informationen analysiert und verfolgt. Daraus geht hervor, dass die Angreifer in mehreren Fällen sich Zugang zu zentralen Netzwerkinfrastrukturen verschaffen konnten und diese dann zum Sammeln einer Vielzahl von Informationen zu nutzen. Es gab auch einen Fall, in dem die Sicherheitsforscher Hinweise darauf fanden, dass eine Cisco-Schwachstelle (CVE-2018-0171) wahrscheinlich missbraucht wurde.

Anzeige

Bei allen anderen untersuchten Vorfällen wurde festgestellt, dass der anfängliche Zugang zu Cisco-Geräten durch den Bedrohungsakteur mit legitimen Anmeldedaten des Opfers erlangt wurde. Die Bedrohungsakteure waren danach in der Lage, sich in den Zielumgebungen auf Geräten verschiedener Hersteller über längere Zeiträume zu verbleiben (drei Jahre in einem Fall). Dabei wurde der Einsatz von LOTL-Techniken (Living-off-the-land) auf Netzwerkgeräten beobachtet.

Der Cisco Talos-Artikel Weathering the storm: In the midst of a Typhoon zeichnet nicht nur die möglichen Angriffswege von Volt Typhoon nach. Er gibt auch Hinweise und Empfehlungen zur Erkennung solcher Angriffe und zur Prävention. Auch wenn die Angriffe nur auf US-Telekommunikationsunternehmen beobachtet wurden, sollten Administratoren unter der Blog-Leserschaft den Beitrag vielleicht quer lesen, um die eigene IT-Infrastruktur auf Infektionen oder Risiken eines Angriffs abzuklopfen.

Chats der Black Basta Ransomware-Gruppe geleakt

Momentan geht die Meldung rund, dass ein Unbekannter angeblich internet Chat-Protokolle der Black Basta Ransomware-Gruppe veröffentlicht hat.

Black Basta Chats geleaked

Es handelt sich um ein Archiv mit internen Matrix-Chatprotokollen, welches angeblich Nachrichten enthält, die zwischen dem 18. September 2023 und dem 28. September 2024 von Mitgliedern der Black-Basta-Ransomware ausgetauscht wurden. Bleeping Computer hat die Details in diesem Artikel veröffentlicht.

Snake-Keylogger infiziert Windows-Systeme

Sicherheitsforscher von Fortinet haben im Blog-Beitrag FortiGuard Labs Threat Research FortiSandbox 5.0 Detects Evolving Snake Keylogger Variant eine Kampagne von Angriffen mit einer neuen Variante des Snake-Keyloggers (404 Keylogger) für Windows beschrieben. Diese Malware zeichnet unter Windows unbemerkt Tastenanschläge auf, um Anmeldeinformationen, Daten und andere sensible Informationen zu sammeln und zu stehlen.

Diese Malware, als AutoIt/Injector.GTY!tr identifiziert, ist für über 280 Millionen blockierte Infektionsversuche verantwortlich. Die meisten Treffer durch Malware-Sicherheitsprodukte wurden in China, Türkei, Indonesien, Taiwan und Spanien verzeichnet.

Der Snake Keylogger wird in der Regel über Phishing-E-Mails mit bösartigen Anhängen oder Links verbreitet und ist darauf ausgelegt, vertrauliche Informationen aus gängigen Webbrowsern wie Chrome, Edge und Firefox zu stehlen, indem es Tastatureingaben protokolliert, Anmeldedaten erfasst und die Zwischenablage überwacht. Neben dem Datendiebstahl exfiltriert Snake Keylogger die gestohlenen Informationen über SMTP (E-Mail) und Telegram-Bots an seinen Command-and-Control-Server (C2), so dass Angreifer auf gestohlene Zugangsdaten und andere sensible Daten zugreifen können. Golem hat die Erkenntnisse in diesem Artikel aufbereitet.

Ähnliche Artikel:
Verdacht: US-Breitbandanbieter durch chinesische Hacker infiltriert
Cybervorfälle: Sauter-Cumulus (Gebäudeautomation), Fefe-Blog, US-Internetanbieter
Sicherheitsinfos: CISA erweitert Schwachstellenliste (Palo Alto Networks, Progress Kemp) und mehr
Erkenntnisse von T-Mobile (USA) über (chinesische) Hackerangriffe auf das Netz

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Sicherheits-News: Black Basta Ransomware Chats geleakt; Salt Typhoon-Angriffe auf US-Provider

  1. Gänseblümchen sagt:
    21. Februar 2025 um 17:10 Uhr

    Dazu passend haben diese Gangster auch vollautomatische Tools um beliebige Webseiten für Phishingattacken vollautomatisiert zu clonen und umzubauen. Und wenn man dann noch liest, wieviele Phishing-Domains und IPs damit zusammen hängen, kann man ja ganz beruhigt ins Wochenende gehen… https://thehackernews.com/2025/02/cybercriminals-can-now-clone-any-brands.html

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.