E-Crime Project

Es wurde ein besorgniserregender Anstieg von Cyber-Bedrohungen festgestellt. Betrügerische IT-Support-Websites verbreiten gefährliche PowerShell-„Korrekturen“ für verschiedene Windows-Fehler, insbesondere für den Fehler 0x80070643. Diese bösartigen Aktivitäten zielen auf die Installation von Malware ab, die Informationen stiehlt, und wurden von der Threat Response Unit von eSentire aufgedeckt.

Sicherheitsupdate-Exploits und Malware

Das Problem begann, als Microsoft am Patch Tuesday im Januar 2024 ein Sicherheitsupdate veröffentlichte, um eine Schwachstelle in der BitLocker-Verschlüsselung zu beheben, CVE-2024-20666. Die Meldung ‚0x80070643 – ERROR_INSTALL_FAILURE‘ wurde jedoch immer häufiger angezeigt. Trotz vieler Bemühungen erschien der Fehler weiterhin.

Microsoft hat klargestellt, dass der Windows Update-Fehler irreführend war. Statt eines allgemeinen Installationsfehlers ist das eigentliche Problem ein Mangel an Speicherplatz in der Partition der Windows-Wiederherstellungsumgebung. Das Sicherheitsupdate benötigt 250 Megabyte Speicherplatz in der WinRE-Partition.

Cyberkriminelle richten gefälschte IT-Support-Websites ein, um Benutzer mit häufigen Windows-Fehlern anzusprechen. Diese Websites wirken glaubwürdiger, weil Videos auf gehackten YouTube-Kanälen veröffentlicht werden.

Im Juni 2024 fand die TRU von eSentire einen Vorfall, bei dem die Malware Vidar Stealer über eine dieser gefälschten Support-Seiten verbreitet wurde. Die Infektion begann, als ein Benutzer auf der Suche nach einer Lösung für einen Windows Update-Fehler auf der gefälschten Website landete.

Die PCHelperWizard-Seiten fordern die Benutzer auf, ein PowerShell-Skript auszuführen. Wenn Ihr dieses Skript ausführt, stellt es eine Verbindung zu einem Remote-Server her, um ein weiteres Skript herunterzuladen, das die Malware Vidar installiert. Diese Malware kann eine Menge sensibler Daten stehlen, z. B. Kennwörter, Kreditkartennummern, Cookies, den Browserverlauf, Kryptowährungs-Geldbörsen, Textdateien und sogar Daten zur Zwei-Faktor-Authentifizierung. All diese gestohlenen Daten werden dann an den Server der Angreifer gesendet, wo sie für weitere Angriffe verwendet oder auf Dark Web-Marktplätzen verkauft werden können.

In ähnlicher Weise verwendet die FixedGuides-Website eine versteckte Windows-Registrierungsdatei, um Autostarts zu verbergen. Diese Autostarts führen ein bösartiges PowerShell-Skript aus, um beim nächsten Neustart Ihres Systems eine Malware zu installieren, die Informationen stiehlt.

Die Auswirkungen sind gravierend, denn es besteht ein hohes Risiko, dass Konten kompromittiert werden und Finanzbetrug stattfindet. Es ist wichtig, dass Ihr Software und Fehlerbehebungen nur von vertrauenswürdigen Websites herunterladet und vor ungewöhnlichen Angriffsmethoden auf der Hut seid. Wenn Ihr die Größe der WinRE-Partition nicht ändern könnt, verwendet das Microsoft-Tool zum Ein- oder Ausblenden, um das problematische Update auszublenden, anstatt ungeprüfte Online-Korrekturen zu verwenden.

Hacker haben die Verantwortung für einen massiven Datenverlust bei Ticketmaster übernommen, von dem möglicherweise über 560 Millionen Kunden betroffen sind.

Zu den gestohlenen Daten gehören persönliche Informationen wie Namen, Adressen, E-Mails, Telefonnummern und teilweise auch Zahlungsinformationen.

Berichten zufolge steckt die Hackergruppe ShinyHunters hinter dem Einbruch und verkauft die Daten in einem beliebten Hackerforum für 500.000 Dollar.

ShinyHunters hat Informationen veröffentlicht, von denen einige Sicherheitsforscher glauben, dass sie legitim sind, obwohl Ticketmaster die Datenpanne noch nicht bestätigt hat.

Schützen Sie sich

Wenn Sie Ticketmaster-Kunde sind, können Sie sich wie folgt vor möglichem Identitätsdiebstahl und Betrug schützen.

– Ändern Sie das Passwort für Ihr Ticketmaster-Konto und erwägen Sie die Verwendung eines Passwortmanagers, um die Sicherheit zu erhöhen.

– Überwachen Sie Ihre Finanzkonten auf nicht autorisierte Transaktionen oder verdächtige Aktivitäten.

– Ziehen Sie in Erwägung, bei Ihren Kreditkartenunternehmen eine Betrugswarnung einzurichten und Ihre Kreditberichte auf unbefugte Aktivitäten zu überprüfen.

– Seien Sie auf der Hut vor Phishing-E-Mails oder Anrufen, mit denen versucht wird, Ihre persönlichen Daten oder Anmeldedaten zu stehlen.

– Halten Sie sich über die Situation auf dem Laufenden, indem Sie die Website von Ticketmaster und die offiziellen Social-Media-Kanäle auf Updates überprüfen.

Der Einbruch kommt zu einer Zeit, in der die Muttergesellschaft von Ticketmaster, Live Nation Entertainment, mit kartellrechtlichen Klagen konfrontiert ist, die sich auf angebliche Monopolpraktiken in der Live-Veranstaltungsbranche beziehen.

Ziehen Sie in Erwägung, Ihr Guthaben einzufrieren, wenn Sie besonders besorgt über Identitätsdiebstahl sind.

arbeitet mit Ticketmaster zusammen, um den Vorfall zu verstehen

eine Sprecherin der australischen Regierung

Das Ausmaß der jüngsten Datenschutzverletzung bei Ticketmaster, von der schätzungsweise 560 Millionen Kunden betroffen sein könnten, macht sie zu einem der bedeutendsten Datenschutzvorfälle in der Geschichte.

https://x.com/Norton/status/1795946021266022737

Dieser Verstoß stellt den Equifax-Vorfall im Jahr 2017 in den Schatten, bei dem die persönlichen Daten von 145 Millionen Menschen betroffen waren.

Angesichts der massiven Datenpanne bei Ticketmaster, von der mehr als 560 Millionen Menschen betroffen sind, müssen die Kunden weiterhin proaktiv ihre Daten schützen, bis eine Lösung gefunden ist.

Niederländische Cybersicherheitsfirmen warnen zahlreiche Unternehmen vor einem weltweiten Ransomware-Angriff. Die aus Osteuropa stammenden Täter, die als Cactus Gang bezeichnet werden, sind seit Ende letzten Jahres aktiv.

Eine Gruppe niederländischer Cybersicherheitsspezialisten verschiedener Firmen, darunter Fox-IT, Northwave, Responders und ESET, hat festgestellt, dass die Netzwerke mehrerer Unternehmen über ihre Qlik Sense-Server infiltriert wurden. Sie fanden heraus, dass diese Server besonders anfällig für Ransomware-Angriffe sind.

Niederländische Antwort auf Ransomware-Welle

Cyberkriminelle sind in die Sicherheitssysteme von 122 Unternehmen eingedrungen, darunter mindestens 10 in den Niederlanden. Nach der Überprüfung der Angriffe fanden Sicherheitsexperten ein Muster: Die Angreifer verwendeten jedes Mal die gleiche Methode. Diese Erkenntnisse wurden anschließend an die niederländischen Behörden weitergegeben.

Weltweit sind etwa 5.200 Qlik Sense-Server im Einsatz, von denen etwa 3.100 anfällig für Angriffe sind. Die niederländischen Sicherheitsbehörden haben behauptet, dass ihre gemeinsamen Bemühungen möglicherweise bis zu 3.100 Angriffe der Cactus-Bande hätten verhindern können.

In letzter Zeit hat sich die Zusammenarbeit zwischen Polizei, Staatsanwaltschaft und dem Sicherheitssektor verbessert, was zu einem proaktiveren Informationsaustausch über Ransomware-Angriffe geführt hat. Aus diesem Grund wurde im letzten Jahr das Projekt Melissa ins Leben gerufen, mit dem gemeinsame Gegenmaßnahmen gegen Cyberkriminelle gefördert werden sollen.

Seit dem Start des Projekts wurde eine Reihe erfolgreicher Operationen gegen Cyberkriminalität durchgeführt. Die Zusammenarbeit hat das gegenseitige Vertrauen spürbar gestärkt, wie Willem Zeeman, ein Sicherheitsexperte von Fox-IT, feststellt.

Um sich gegen einen globalen Ransomware-Angriff zu schützen, hat das Digital Trust Center – ein Arm des niederländischen Wirtschaftsministeriums – eine Warnung an niederländische Unternehmen herausgegeben. Auch internationale Cybersicherheitsbehörden wie die amerikanische Cybersecurity and Infrastructure Security Agency und das FBI wurden vom niederländischen Institute for Vulnerability Disclosure informiert.

Ransomware-Angriffe haben in den letzten Jahren mehrere niederländische Unternehmen und Organisationen erschüttert. Zu den Betroffenen gehören der niederländische Fußballverband KNVB, die VDL-Gruppe, die Universität Maastricht, der Hof van Twente, RTL Nederland, die niederländische Organisation für wissenschaftliche Forschung und Mediamarkt.

Im vergangenen Jahr warnte das Digital Trust Center 140.000 niederländische Unternehmen vor präzisen Cyber-Bedrohungen, von denen die meisten Lösegeldforderungen enthielten.

Raushan Kumar, ein 25-jähriger Mann aus Bihar, wurde von der Polizei in Delhi festgenommen, weil er Privatpersonen mit gefälschten Anzeigen in sozialen Medien betrogen hat.

Die Polizei von Raipur hat einen Cyberbetrüger festgenommen, der auf seinem Social-Media-Profil Werbung für Werkzeugmaschinen und deren Ersatzteile zu ermäßigten Preisen machte und damit Privatpersonen täuschte.

Wie der stellvertretende Polizeipräsident Dr. Joy Tirkey vom Distrikt Nordost mitteilte, stellte der Betrüger auch gefälschte Rechnungen im Namen eines bekannten Unternehmens mit Sitz in Raipur aus.

Bei der Cyber-Einheit des Distrikts Nordost ging eine Online-Beschwerde über betrügerische Aktivitäten im Zusammenhang mit dem Verkauf von Maschinen zu niedrigeren Preisen ein. Der Beschwerdeführer, Naim Pasha, berichtete, dass er am 21. August letzten Jahres auf die Facebook-Seite eines renommierten Unternehmens stieß, das mit Werkzeugmaschinen handelt.

Er leistete eine Anzahlung von 50.000 Rupien für seinen Kauf. Während der Kommunikation über die sozialen Medien wurde der Beschwerdeführer jedoch überzeugt, einen zusätzlichen Betrag von 5.70.050 Rupien in fünf Raten für Verpackung, Transport und andere Gebühren zu zahlen.

Das Unternehmen legte Rechnungen und Transportbestätigungen vor, um das Vertrauen des Beschwerdeführers zu gewinnen. Nachdem die Zahlungen geleistet worden waren, reagierte das Unternehmen jedoch nicht mehr, und seine Kontaktnummer war nicht mehr zu erreichen.

Durch eine Untersuchung kam die Polizei von Delhi den Beschuldigten über die Bankkonten auf die Spur, auf die die Zahlungen überwiesen wurden. Sie fanden heraus, dass das Geld von einem Geldautomaten in Raipur abgehoben wurde.

Nach dreitägiger Suche mit Hilfe lokaler Quellen wurde der Verdächtige, der als Raushan Kumar aus dem Dorf Karan Bigha in Nalanda, Bihar, identifiziert wurde, festgenommen. Die Polizei fand in seinem Besitz sieben Mobiltelefone, vier Geldautomatenkarten, gefälschte Firmenstempel und andere Dokumente.

Außerdem wurde festgestellt, dass der Beschuldigte im vergangenen Jahr über 20 Personen um insgesamt etwa 20 Lakh betrogen hatte.

Eine aktuelle Analyse von Sophos zeigt einen alarmierenden Trend bei Ransomware-Angriffen auf: 90 % der Angriffe erfolgen über das Remote Desktop Protocol (RDP), berichtet das Sicherheitsunternehmen.

Bei der Überprüfung von 150 Incident Response-Fällen aus dem Jahr 2023 hat Sophos festgestellt, dass RDP-Missbrauch ein häufiger Einstiegspunkt für Bedrohungsakteure ist, um sich Zugang zu Windows-Umgebungen zu verschaffen.

Diese Erkenntnis unterstreicht die Bedeutung von RDP als bevorzugte Methode für das erstmalige Eindringen in Ransomware-Attacken, die im vergangenen Jahr 65 % der Fälle ausmachten.

Ein erschreckendes Beispiel: Ein einziges Opfer erlebte innerhalb von sechs Monaten vier erfolgreiche Einbrüche, die alle über offene RDP-Ports erfolgten.

John Shier von Sophos argumentiert: „Externe Remote-Dienste sind eine notwendige, aber riskante Voraussetzung für viele Unternehmen.“

Sobald sich Angreifer Zugang verschafft hatten, konnten sie sich seitlich durch die Netzwerke bewegen und weitere bösartige Aktivitäten durchführen, wie das Herunterladen von Malware, das Deaktivieren von Sicherheitssoftware und das Einrichten von Fernzugriff.

Warum Remote Desktop Protokoll

RDP ist aufgrund mehrerer Faktoren ein attraktives Ziel für Ransomware-Akteure:

Seine weite Verbreitung unter Netzwerkadministratoren bietet eine große Anzahl potenzieller Ziele.

Bedrohungsakteure können es ausnutzen, ohne dass Antiviren- oder EDR-Tools (Endpoint Detection and Response) rote Fahnen auslösen.

Der Dienst ist oft unzureichend gesichert, da viele öffentlich zugängliche RDP-Ports durch schwache Anmeldeinformationen geschützt sind.

Für RDP werden häufig privilegierte Konten verwendet, was den potenziellen Schaden, den ein Angreifer anrichten kann, erhöht.

Die Freigabe von Diensten ohne sorgfältige Prüfung und Abschwächung ihrer Risiken führt unweigerlich zu einer Gefährdung. Es dauert nicht lange, bis ein Angreifer einen exponierten RDP-Server findet und in ihn eindringt, und ohne zusätzliche Kontrollen ist es auch nicht einfach, den Active Directory-Server zu finden, der auf der anderen Seite wartet

John Shier, Sophos Field CTO

Administratoren deaktivieren häufig die Network Level Authentication, eine Sicherheitsfunktion, die unbefugte Zugriffsversuche abwehren soll.

Viele Unternehmen versäumen es, ihre Netzwerke effektiv zu segmentieren, wodurch laterale Bewegungen und Datenexfiltration ermöglicht werden, sobald der erste Einbruch stattgefunden hat.

Unternehmen verlassen sich aus Gründen der betrieblichen Effizienz in hohem Maße auf externe Remote-Dienste wie Remote Desktop Protocol (RDP), die aber auch ein verlockendes Ziel für Cyberkriminelle darstellen. Die Verlockung, diese Schwachstellen auszunutzen, ist für Angreifer so groß, dass sie ihre Bemühungen beharrlich und strategisch auf diesen Bereich konzentrieren.