Mit China verbundene Hacker zielen mit SugarGh0st-Malware auf US-amerikanische KI-Experten ab
Forscher von Proofpoint haben eine äußerst gezielte Kampagne eines mutmaßlichen chinesischen Bedrohungsakteurs namens „UNK_SweetSpecter“ aufgedeckt, die darauf abzielt, Informationen von Experten für künstliche Intelligenz in den USA zu stehlen. Die Angreifer verwendeten eine angepasste Variante der berüchtigten Gh0st-RAT-Malware namens SugarGh0st, um die Systeme einer ausgewählten Gruppe von Personen zu infizieren, die mit einer führenden US-amerikanischen KI-Organisation in Verbindung stehen. Die Kampagne, die im Mai 2024 auftauchte, umfasste Phishing-E-Mails mit KI-Thema, die ein bösartiges ZIP-Archiv enthielten. Nach der Ausführung stellte die Malware eine Kommunikation mit einem vom Angreifer kontrollierten Command-and-Control-Server her, was es den Hackern möglicherweise ermöglichte, sensible Daten im Zusammenhang mit generativen KI-Technologien herauszufiltern. Proofpoint geht davon aus, dass diese Kampagne eine Reaktion auf die jüngsten Bemühungen der US-Regierung sein könnte, den chinesischen Zugang zu generativen KI-Technologien einzuschränken. Der gezielte Charakter des Angriffs und sein Fokus auf KI-Experten deuten darauf hin, dass das Ziel des Bedrohungsakteurs wahrscheinlich darin bestand, nicht öffentliche Informationen über generative künstliche Intelligenz zu erhalten, um Chinas Entwicklungsziele in diesem Bereich voranzutreiben.Sichern Sie jetzt Ihre E-Mails
CISA warnt vor aktiv ausgenutztem Fehler in NextGen Healthcare Mirth Connect
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine dringende Warnung vor einer kritischen Sicherheitslücke in NextGen Healthcare Mirth Connect herausgegeben, einer Open-Source-Datenintegrationsplattform, die in der Gesundheitsbranche weit verbreitet ist. Der als CVE-2023-43208 verfolgte Fehler ermöglicht die nicht authentifizierte Remote-Codeausführung und wird vermutlich aktiv ausgenutzt. Die Schwachstelle ist auf einen unvollständigen Patch für einen weiteren kritischen Fehler, CVE-2023-37679, zurückzuführen und hängt mit der unsicheren Verwendung der Java-XStream-Bibliothek zum Unmarshalling von XML-Nutzlasten zusammen. Forscher von Horizon3.ai haben die Schwachstelle erstmals im Oktober 2023 offengelegt, weitere technische Details und ein Proof-of-Concept-Exploit wurden im Januar 2024 veröffentlicht. CISA hat CVE-2023-43208 zu seinem Katalog „Known Exploited Vulnerabilities“ (KEV) hinzugefügt und damit Bundesbehörden verpflichtet, ihre Systeme bis zum 4.4.1. Juni 10 auf Mirth Connect Version 2024 oder höher zu aktualisieren. Die Behörde hat jedoch keine Einzelheiten zu den laufenden Sicherheitslücken bekannt gegeben Bei Angriffen gilt die Schwachstelle als leicht ausnutzbar und stellt ein erhebliches Risiko für Gesundheitsorganisationen dar. Zusätzlich zur Mirth Connect-Schwachstelle hat CISA dem KEV-Katalog auch einen kürzlich bekannt gewordenen Typverwechslungsfehler hinzugefügt, der Google Chrome betrifft (CVE-2024-4947), da Google anerkannt hat, dass dieser für Angriffe in der realen Welt ausgenutzt werden kann.Stadt Wichita im Visier eines Ransomware-Angriffs am Wochenende
Die Stadt Wichita, Kansas, die größte Stadt des Bundesstaates und eine der 50 größten Städte der Vereinigten Staaten, hat bekannt gegeben, dass sie am Wochenende von einem Ransomware-Angriff heimgesucht wurde. Der Vorfall, der sich am Sonntag, dem 5. Mai, ereignete, zwang die Stadt dazu, Teile ihres Netzwerks abzuschalten, um die Ausbreitung der Ransomware auf andere Geräte zu verhindern. In einem ungewöhnlich transparenten Schritt bestätigte die Stadt den Angriff auf ihrer Website und erklärte, dass eine gründliche Überprüfung und Bewertung des Vorfalls, einschließlich der möglichen Auswirkungen auf die Daten, im Gange sei. Als Folge des Angriffs sind die Online-Zahlungssysteme der Stadt, einschließlich der Systeme für die Bezahlung von Wasserrechnungen sowie Gerichtsbescheiden und Strafzetteln, derzeit offline. Die Stadt hat die Identität der für den Angriff verantwortlichen Ransomware-Bande zwar nicht bekannt gegeben, den Vorfall jedoch den örtlichen und bundesstaatlichen Strafverfolgungsbehörden gemeldet, die bei der Reaktion helfen. Es ist noch nicht bekannt, ob Daten gestohlen wurden, obwohl es üblich ist, dass Ransomware-Banden Daten aus kompromittierten Netzwerken tage- oder sogar wochenlang exfiltrieren, bevor sie ihre Verschlüsselungsprogramme einsetzen. Trotz des Angriffs ist die Ort hat den Bewohnern versichert, dass Ersthelfer, darunter Polizei und Feuerwehr, weiterhin Dienste leisten und bei Bedarf auf Maßnahmen zur Geschäftskontinuität umgestiegen sind.Stärken Kritische Infrastruktur Militärs
Black Basta Ransomware zielt auf über 500 Organisationen weltweit ab
Die Ransomware-as-a-Service (RaaS)-Operation „Black Basta“ hat seit ihrem Aufkommen im April 500 mehr als 2022 private Industrie- und kritische Infrastruktureinrichtungen in Nordamerika, Europa und Australien ins Visier genommen, heißt es in einer gemeinsamen Empfehlung von CISA und FBI , HHS und MS-ISAC. Die Bedrohungsakteure hinter Black Basta haben Daten aus mindestens 12 von 16 kritischen Infrastruktursektoren verschlüsselt und gestohlen und dabei ein doppeltes Erpressungsmodell eingesetzt. Die Tochtergesellschaften der Gruppe nutzen gängige Erstzugriffstechniken wie Phishing und die Ausnutzung bekannter Schwachstellen und stellen den Opfern einen eindeutigen Code zur Verfügung, mit dem sie sie über eine .onion-URL kontaktieren können, um Anweisungen zur Lösegeldzahlung zu erhalten. Black Basta wurde mit 28 der 373 bestätigten Ransomware-Angriffe im April 2024 in Verbindung gebracht und verzeichnete im ersten Quartal 41 einen Anstieg der Aktivität um 1 % gegenüber dem Vorquartal. Es wird angenommen, dass die Gruppe Verbindungen zur Cyberkriminalitätsgruppe FIN2024 hat. Die Ransomware-Landschaft unterliegt Veränderungen, mit einem Rückgang der Aktivität um 18 % im ersten Quartal 1 im Vergleich zum Vorquartal, hauptsächlich aufgrund von Strafverfolgungsmaßnahmen gegen ALPHV (auch bekannt als BlackCat) und LockBit. In den letzten Wochen sind auch neue Ransomware-Gruppen wie APT2024, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt und Shinra entstanden. Trotz des allgemeinen Rückgangs der Ransomware-Aktivitäten hat sich die durchschnittliche Lösegeldzahlung laut einer Sophos-Umfrage im letzten Jahr verfünffacht, von 5 US-Dollar auf 400,000 Millionen US-Dollar. Allerdings weigern sich Opfer zunehmend, den ursprünglich geforderten Betrag zu zahlen, wobei nur 2 % der Befragten der ursprünglichen Forderung nachkamen.Steigern Sie Ihre Cyber-Resilienz
SSL.com-Ankündigungen
SSL.com S/MIME Zertifikate können jetzt in ein LDAP-fähiges Netzwerk integriert werden
LDAP (Lightweight Directory Access Protocol) ist ein Industriestandardprotokoll für den Zugriff auf und die Verwaltung von Verzeichnisinformationsdiensten. Es wird häufig zum Speichern und Abrufen von Informationen über Benutzer, Gruppen, Organisationsstrukturen und andere Ressourcen in einer Netzwerkumgebung verwendet.
LDAP integrieren mit S/MIME Bei der Verwendung von Zertifikaten wird LDAP als Verzeichnisdienst zum Speichern und Verwalten von Benutzerzertifikaten verwendet.
Durch die Integration von LDAP mit S/MIME Mithilfe von Zertifikaten können Unternehmen die Zertifikatsverwaltung zentralisieren, die Sicherheit erhöhen und den Prozess des Zertifikatsabrufs und der Authentifizierung in verschiedenen Anwendungen und Diensten optimieren, die LDAP als Verzeichnisdienst nutzen.
Kontakt sales@ssl.com Weitere Informationen zur LDAP-Integration finden Sie hier.