{"id":254742,"date":"2021-06-12T17:44:29","date_gmt":"2021-06-12T15:44:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=254742"},"modified":"2023-12-10T23:32:07","modified_gmt":"2023-12-10T22:32:07","slug":"ransomware-datenlecks-hacks-schwachstellen-juni-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/12\/ransomware-datenlecks-hacks-schwachstellen-juni-2021\/","title":{"rendered":"Ransomware, Datenlecks, Hacks, Schwachstellen (Juni 2021)"},"content":{"rendered":"

\"SicherheitIn den letzten Wochen sind wieder viele F\u00e4lle von Ransomware-Infektionen (Mc Donalds, Fujitsu etc.) bekannt geworden. Eine weitere Ransomware-Gang hat ihre Schl\u00fcssel \u00f6ffentlich bereitgestellt und will sich (nach erh\u00f6htem Druck der Strafverfolger) aus dem Gesch\u00e4ft zur\u00fcckziehen. Elektronic Arts wurde gehackt, und Sicherheitsforscher haben in Apps, die mit Samsung-Handys geliefert werden, gravierende Schwachstelle entdeckt. Diese k\u00f6nnten zur Ger\u00e4te\u00fcbernahme f\u00fchren. Zudem k\u00f6nnen wir auf zahlreiche Datenlecks zur\u00fcckblicken. Daher ein Sammelbeitrag zu solchen Sicherheitsvorf\u00e4llen.<\/p>\n

<\/p>\n

Electronic Arts gehackt, FIFA 21 Quellcode im Verkauf<\/h2>\n

\"\"Den Spieleentwickler Electronic Arts (EA) hat es wohl heftig getroffen. Der Konzern ist unter anderem bekannt f\u00fcr die Fu\u00dfball-Videospiel-Reihe FIFA<\/em>, deren Ableger FIFA 21<\/em> und FIFA 22<\/em> sich jetzt gro\u00dfer Beliebtheit erfreuen d\u00fcrften, weil die Europameisterschaft vor der T\u00fcr steht. Hackern ist es gelungen in die internen Firmennetzwerke einzudringen und den Quellcode von Spielen wie Fifa 21 zu stehlen.<\/p>\n

Die Hacker selbst behaupten, einige Entwicklerprogramme f\u00fcr FIFA 21<\/em> und den Server-Code f\u00fcr das Matchmaking von FIFA 22<\/em> gestohlen zu haben. Der Quellcode wird nun zum Verkauf angeboten. EA best\u00e4tigte<\/a> gegen\u00fcber dem Onlinemagazin Motherboard den Hack, bei dem mutma\u00dflich 780 GByte an Daten gestohlen wurden.<\/p>\n

Laut diesem Bericht<\/a> auf Vice haben die EA-Hacker gestohlenen Cookies des EA-Slack-Kontos online zum Preis von 10 US-Dollar gekauft. Dann gelang es den Hackern, die IT von EA auszutricksen, so dass diese die Login-Tokens f\u00fcr das EA-Netzwerk herausgegeben haben. Ein Mitglied der Hackergruppe hat dies gegen\u00fcber Vice offen gelegt. Die Kollegen von Golem haben einen deutschsprachigen Artikel<\/a> zum Thema ver\u00f6ffentlicht. Sicherheitsanbieter Check Point meint dazu:<\/p>\n

Wenn Hacker einen Quell-Code in die Finger kriegen, ist das ein wertvoller Fang. Mit solchen Informationen in den H\u00e4nden k\u00f6nnen sie leicht das Innenleben eines Videospiels einsehen, Sicherheitsl\u00fccken ausnutzen und diese Spiele sogar f\u00fcr b\u00f6sartige Zwecke missbrauchen, weil sie nun in der Lage sind, den Programm-Code zu \u00e4ndern. Diese Aktivit\u00e4ten k\u00f6nnen sich ausweiten, wenn die Hacker ihr Diebesgut im Dark Net verkaufen. Es gibt Berichte, dass der Quell-Code aus dem Datenleck bei EA Games bereits dort beworben wird. Das ist jedoch nicht \u00fcberraschend, denn Hacker handeln in der Regel schnell, um ihre Hehler-Ware zu Geld zu machen \u2013 und mit dem Verkauf eines Quell-Codes von EA Games kann jemand im Dark Net viel Geld verdienen. Immerhin ist EA Games einer der gr\u00f6\u00dften Publisher f\u00fcr Videospiele weltweit und ein erfolgreich an der B\u00f6rse notierter Konzern.<\/p><\/blockquote>\n

Ein \u00e4hnlicher Vorfall ereignete sich im Februar, als CD Project<\/a>, der polnische Publisher und Entwickler der beliebten Spiel-Reihe The Witcher,<\/em> attackiert wurde \u2013 jedoch war hier au\u00dferdem eine Ransomware im Spiel. Gestohlen wurden ebenfalls Quell-Codes. Eine Folge f\u00fcr das ebenfalls an der B\u00f6rse notierte Unternehmen: Der Aktienkurs in Frankfurt brach von 64 Euro am 9. Februar, als die Presse breit berichtete, stetig ein und liegt derzeit nur noch bei 39 Euro.<\/p><\/blockquote>\n

US-Energieanbieter Invenergy gehackt<\/h2>\n

Das amerikanisches Unternehmen f\u00fcr Gr\u00fcne Energie, Invenergy, wurde Opfer eines Ransomware-Angriffs der REvil-Gruppe. Die Gang droht, 4 TByte an gestohlenen Daten zu ver\u00f6ffentlichen.\u00a0 Der Anbieter hat best\u00e4tigt, dass er gehackt wurde, hat aber nicht die Absicht, L\u00f6segeld zu zahlen. Die Financial Times hat hier einen Artikel<\/a> dazu ver\u00f6ffentlicht.<\/p>\n

REvil attackiert Kontraktor von Atomwaffen<\/h2>\n

Sol Oriens, ein Unterauftragnehmer des US-Energieministeriums (DOE), der mit der National Nuclear Security Administration (NNSA) an Atomwaffen arbeitet, wurde letzten Monat von einem Cyberangriff durch die REvil Ransomware-as-a-Service (RaaS)-Gamg getroffen.<\/p>\n

Die Website des Unternehmens aus Albuquerque, N.M., ist seit mindestens 3. Juni nicht mehr erreichbar, aber Vertreter von Sol Oriens best\u00e4tigten gegen\u00fcber Fox News und CNBC, dass die Firma im Mai 2021 von dem Angriff erfahren hat. Details lassen sich hier nachlesen<\/a>.<\/p>\n

Datenleck bei McDonalds<\/h2>\n

Beim Burgerbr\u00e4te McDonalds gab es in S\u00fcdkorea und Taiwan eine Datenpanne. Nach einer nicht autorisierten Aktivit\u00e4t im Netzwerk des Unternehmens wurden externe Berater f\u00fcr eine Untersuchung angeheuert. Am Freitag best\u00e4tigte McDonalds dann das Datenleck,bei dem einige Kunden- und Mitarbeiterinformationen preisgegeben an die Cyberkriminellen abgeflossen sind. Die Angreifer griffen auf E-Mails, Telefonnummern und Lieferadressen zu, erlangten aber nach Auskunft des Unternehmens keine Zahlungsinformationen der Kunden. Die Details lassen sich in diesem Reuters-Artikel<\/a> nachlesen.<\/p>\n

Belgisches Innenministerium findet Uralt-Hack bei Hafinium Revision<\/h2>\n

Das belgische Innenministerium hat herausgefunden, dass Hacker bei einem Sicherheitsvorfall im April 2019 in das interne Netzwerk eingedrungen sind. Entdeckt wurde dieser Hack aber erst im M\u00e4rz 2021, als die IT-Mitarbeiter der Regierung den Status ihrer Exchange-E-Mail-Server untersuchten. Anlass waren die Warnungen Microsofts vor Angriffen einer chinesischen Hackergruppe namens Hafnium. Die IT-Leute fanden Exchange-Server, die anf\u00e4llig waren und gepatcht werden mussten. Als die IT-Mitarbeiter genauer nachschauten, fanden sie auch zus\u00e4tzliche Anzeichen f\u00fcr eine Kompromittierung, die Jahre zur\u00fccklag, also bevor die ersten Hafnium-Angriffe entdeckt wurden. Das Ganze wurde zum 25. Mai 2021 in dieser franz\u00f6sischsprachigen Pressemitteilung<\/a> bekannt gegeben. The Record hat diesen englischsprachigen Artikel<\/a> zum Thema publiziert.<\/p>\n

Avaddon Ransomware-Gruppe gibt Key frei<\/h2>\n

Steigender Fahndungsdruck auf Ransomware-Gruppen hat die Avaddon-Ransomware-Gruppe wohl bewogen, ihre Operationen einzustellen. Bleeping Computer berichtet hier<\/a>, dass die Gang die Decryption-Keys ver\u00f6ffentlicht habe. W\u00f6rtlich hei\u00dft es: Die Avaddon-Ransomware-Gang hat den Betrieb eingestellt und die Entschl\u00fcsselungsschl\u00fcssel f\u00fcr ihre Opfer an Bleeping Computer \u00fcbergeben. <\/em>So k\u00f6nnen Opfer dieser Ransomware die verschl\u00fcsselten Dateien mit den freigegebenen Keys wieder entschl\u00fcsseln.<\/p>\n

Simpler Schutz vor Ransomware?<\/h2>\n

Brian Krebs hat auf Krebs on Security im Mai 2021 diesen Artikel<\/a> gepostet. Krebs ist aufgefallen, dass praktisch alle Ransomware-St\u00e4mme \u00fcber eine eingebaute Failsafe-Funktion verf\u00fcgen, die den Malware-Anbietern den R\u00fccken freihalten soll. Die Malware wird nicht auf einem Microsoft Windows-Computer installiert, wenn dort bestimmte virtuelle Tastaturen – beispielsweise Russisch oder Ukrainisch – installiert sind. Ob das immer klappt, wei\u00df ich nat\u00fcrlich nicht. Kevin Beaumont hat \u00fcbrigens noch einen netten \u00dcbersichtsbeitrag<\/a> publiziert. Seine Botschaft: Den Peak in der Zahl der Ransomwareinfektionen haben wir noch nicht erreicht.<\/p>\n

17 Sicherheitsl\u00fccken in Samsung-Apps<\/h2>\n

Das hat mal wieder richtig gerappelt. Samsung liefert mit seinem Android-Smartphones ja zahlreiche Apps (teilweise Bloatware) an die K\u00e4ufer aus.\u00a0 Sicherheitsforscher Sergey Toshin hat sich die Apps vorgenommen und dann gleich 17 Schwachstellen gefunden. \u00dcber zwei Schwachstellen k\u00f6nnten sich Angreifer erh\u00f6hte Rechte verschaffen, eine dritte Schwachstelle erm\u00f6glicht den Zugriff auf SMS-Nachrichten.\u00a0 Bleeping Computer berichtet in diesem Artikel<\/a> \u00fcber die Details, wobei 14 Schwachstellen inzwischen durch App-Updates beseitigt wurden. Ein deutschsprachiger Beitrag findet sich bei Golem<\/a>.<\/p>\n

Gesundheits-Apps geben Daten preis<\/h2>\n

Smarte Fieberthermometer, Waagen, Blutdruck- und Pulsmessger\u00e4te sind in vielen Haushalten im Einsatz und meist mit App-Anbindung ausgestattet. War auch bei Silvercrest, einer Hausmarke von Lidl, der Fall. Von der Hans Dinslage GmbH, einer Tochter der Beurer GmbH aus Ulm, wurden kostenlose Apps wie HealthForYou entwickelt. Diese App und auch die App Sanitas Health Coach \u00fcbertragenen die Daten an an einen Server. In diesem Artikel<\/a> legt die Redaktion von heise offen, dass die Daten jahrelang (seit 2015) offen f\u00fcr unbeteiligte Dritte abrufbar waren. Der Entdecker der Schwachstelle hat das hier dokumentiert<\/a>.<\/p>\n

Daten bei Bergen Logistics offen im Internet<\/h2>\n

Die Sicherheitsforscher von Website Planet haben mich bereits Ende Mai dar\u00fcber informiert, dass sie im Internet auf einen ungesicherten Elasticsearch-Server gesto\u00dfen sind. Der Server geh\u00f6rt Bergen Logistics, einem Marktf\u00fchrer im Bereich Business-to-Business-Logistik in der Mode- und Lifestyle-Branche. Aufgrund mangelnder Sicherheitsvorkehrungen enth\u00fcllte Bergen die Versanddaten seiner Kunden, wie Adressen, Telefonnummern, Namen, Nachnamen und E-Mails sowie die Anmeldedaten f\u00fcr Kundenkonten im Klartext. Der Bericht zu diesem Datenleck l\u00e4sst sich hier abrufen<\/a>.<\/p>\n

Datenpanne bei amerikanischem Frachtmakler<\/h2>\n

Es waren ebenfalls die Sicherheitsforscher von Website Planet, die mich vor Wochen \u00fcber einen weiteren, ungesichert und per Internet erreichbaren Elasticsearch-Server informiert haben. Der Server geh\u00f6rt einem unbekannten Unternehmen und enth\u00e4lt Daten seines Partners, Aljex, einem amerikanischen Frachtmakler-Softwareunternehmen.<\/p>\n

Aufgrund mangelnder Sicherheitsvorkehrungen legte dieses Unternehmen die sensiblen Daten von Aljex offen, wie z. B. Sendungsdetails (Name des Empf\u00e4ngers, Herkunfts- und Zieladresse der Sendung), Kundendaten (vollst\u00e4ndige Namen, Telefonnummern, E-Mail-Adressen, Benutzernamen und Klartext-Passw\u00f6rter), Spediteurdaten (vollst\u00e4ndige Namen, E-Mail-Adressen, Telefonnummern) und die Daten der Vertriebsmitarbeiter der Kunden (Firmen-E-Mails, Aljex-Benutzernamen, Vertreter-IDs). Der Bericht zu diesem Datenleck l\u00e4sst sich hier abrufen<\/a>.<\/p>\n

Massives Datenleck in Brasilien<\/h2>\n

Vor Wochen wurde ich ebenfalls von VPNmentor informiert, die auf ein massives Datenleck in Brasilien gesto\u00dfen waren. Deren Sicherheitsforscher fanden einen falsch konfigurierten Amazon S3 Bucket, der Audio- und Videodateien, Mediendateien (einschlie\u00dflich Fotos und Videos), Dokumente und Excel-Tabellen sowie eine SQL-Datenbank enthielt. Die Datenbank mit den Daten beziehen sich auf ein brasilianisches Finanzunternehmen namens Prisma Promotora. Die Details sind in diesem Bericht<\/a> abrufbar.<\/p>\n

Ein weiterer Bericht zu BabyChakra, die Nr. 1 unter den indischen Erziehungs- und E-Commerce-Plattformen, die \u00fcber einen falsch konfigurierten Amazon S3 Bucket-Server Daten offen im Internet abrufbar anboten, findet sich hier<\/a>.<\/p>\n

Datenleck bei Polecat<\/h2>\n

WizCase, ein Online-Portal f\u00fcr Sicherheit und Datenschutz hat eine signifikante Datenpanne entdeckt , die das britische Reputationsrisiko-Intelligence-Unternehmen Polecat betraf. Daten im Umfang von 30 TBbyte wurden \u00fcber einen Server offengelegt. Polecat hatte erfolgreich den Ausgang der US-Pr\u00e4sidentschaftswahlen 2016 vorhergesagt und hatte m\u00f6glicherweise eine \u00e4hnliche Reihe von Untersuchungen durchgef\u00fchrt, die weniger als eine Woche vor den US-Wahlen 2020 offengelegt worden w\u00e4ren. \u00dcber 6,5 Milliarden Tweets waren f\u00fcr Jeden abrufbar. Die Details sind hier abrufbar<\/a>.<\/p>\n

Datenleck bei Audi\/Volkswagen USA<\/h2>\n

Die Volkswagen Group of America, Inc. (VWGoA) ist die nordamerikanische Tochtergesellschaft des deutschen Volkswagen-Konzerns. Sie ist verantwortlich f\u00fcr das US-amerikanische und kanadische Gesch\u00e4ft von Volkswagen, Audi, Bentley, Bugatti, Lamborghini und VW Credit, Inc. Jetzt hat diese Gruppe ihren Datenschutzvorfall, nachdem bei einem Lieferanten Daten ungesicherte per Internet einsehbar waren. Das betrifft 3,3 Millionen Kunden in Nordamerika. Bleeping Computer hat hier weitere Details<\/a>.<\/p>\n

Intuit TurboTax-Konten gehackt<\/h2>\n

Das Finanzsoftware-Unternehmen Intuit hat TurboTax-Kunden benachrichtigt, dass Angreifer auf einige ihrer pers\u00f6nlichen und finanziellen Informationen zugegriffen haben. Es wird vermutet, das Konten\u00fcbernahmen geplant sind. Das betrifft wohl aber nur US-Kunden – Details finden sich bei Bleeping Computer<\/a>.<\/p>\n

Fast 19 Petabyte an Daten in \u00fcber 29.000 ungesch\u00fctzten Datenbanken<\/h2>\n

Noch heftiger ist das Ergebnis einer Untersuchung durch das Sicherheitsteam von CyberNews, die mich \u00fcber diesen Sachverhalt informierten. Deren Untersuchung hat ergeben, dass Zehntausende von Datenbankservern immer noch f\u00fcr jedermann zug\u00e4nglich sind. In mehr als 29.000 F\u00e4llen sind die Datenbanken ungesch\u00fctzt, so dass fast 19 Petabyte an Daten dem Diebstahl, der Manipulation, dem L\u00f6schen und Schlimmerem ausgesetzt sind.\u00a0 Mindestens 29.219 Elasticsearch-, Hadoop- und MongoDB-Datenbanken sind ungesch\u00fctzt im Internet erreichbar. Diese L\u00e4nder haben die meisten ungesch\u00fctzten Datenbanken online:<\/p>\n