Kitchen-Sink-Angriffsketten: Die größte Cyber-Bedrohung für die Wahlen 2024
Während die Wahlen im Jahr 2024 näher rückten, warnen Cybersicherheitsexperten, dass die größte Bedrohung für den demokratischen Prozess wahrscheinlich eine Kombination verschiedener Cyberangriffe sein wird und nicht ein einzelner, isolierter Vorfall. Bei diesen sogenannten „Küchenspülen“-Angriffsketten nutzen Hacker mehrere Taktiken gleichzeitig, um ihre böswilligen Ziele zu erreichen, was es schwieriger macht, sie zu erkennen und abzuwehren. Laut einem aktuellen Bericht von Mandiant, Teil von Google Cloud, sind die größten Bedrohungen für Wahlen verkettete Angriffe, bei denen Bedrohungsakteure absichtlich mehrere Taktiken in hybriden Operationen kombinieren, um die Wirkung jeder Komponente zu verstärken. Dieser Ansatz wurde bei früheren Wahlen angewendet, beispielsweise bei den ukrainischen Präsidentschaftswahlen 2014, bei denen russische Akteure DDoS-Angriffe starteten, Dateien von den zentralen Wahlcomputern des Landes löschten, E-Mails und Dokumente durchsickerten und versuchten, gefälschte Ergebnisse zu präsentieren, die einen bestimmten Kandidaten begünstigten. Bei den US-Wahlen 2020 führten zwei iranische Staatsangehörige eine Kampagne gegen wahlbezogene Websites mehrerer Bundesstaaten durch, wobei sie vertrauliche Wählerinformationen beschafften, einschüchternde und irreführende E-Mails verschickten und Desinformationen über Schwachstellen in der Wahlinfrastruktur verbreiteten. Sie griffen auch ein Medienunternehmen an, das einen weiteren Kanal zur Verbreitung falscher Behauptungen hätte bieten können. Neben staatlich geförderten Akteuren stellen auch Insider, Hacktivisten und Cyberkriminelle eine Bedrohung für den demokratischen Prozess dar. Gefälschte Social-Media-Konten und Websites, die mit Präsidentschaftskandidaten in Verbindung stehen, können dazu genutzt werden, Betrug zu verbreiten, Malware zu verbreiten, Gelder zu stehlen oder die Meinung der Wähler durch die Verbreitung gefälschter Nachrichten zu beeinflussen. Diese Imitationen können auch verwendet werden, um mit echten Personen aus Kampagnen zu interagieren und deren Systeme zu infiltrieren. Da das digitale Schlachtfeld immer zugänglicher wird, ist es für Wahlbeamte, Kampagnen und Wähler von entscheidender Bedeutung, wachsam und proaktiv zu bleiben, um die Integrität des demokratischen Prozesses vor diesen sich entwickelnden Cyberbedrohungen zu schützen.Stärken Sie die Sicherheit und vertrauen Sie SSL.com-Zertifikaten.
Staatlich geförderte Hacker brechen über Ivanti Zero-Day-Schwachstellen in das Forschungs- und Entwicklungsnetzwerk MITRE ein
MITRE, ein staatlich finanziertes gemeinnütziges Unternehmen, hat kürzlich Anfang Januar einen Verstoß gegen sein Networked Experimentation, Research, and Virtualization Environment (NERVE) durch einen ausländischen, staatlich geförderten Bedrohungsakteur offengelegt. Die Angreifer nutzten zwei Zero-Day-Schwachstellen, CVE-2023-46805 und CVE-2024-21887, in Ivanti Connect Secure VPN-Geräten aus, um sich ersten Zugriff zu verschaffen. Diese Schwachstellen wurden erstmals am 10. Januar von Volexity gemeldet und ihre Ausnutzung auf von der chinesischen Regierung unterstützte Hacker zurückgeführt. Nachdem sie sich Zugang verschafft hatten, führten die Angreifer eine Erkundung durch, umgingen die Multi-Faktor-Authentifizierung mithilfe von Session-Hijacking und bewegten sich seitlich innerhalb des MITRE-Netzwerks. Sie nutzten ausgefeilte Hintertüren und Webshells, um die Persistenz aufrechtzuerhalten und Anmeldeinformationen zu sammeln, und griffen dabei die VMware-Infrastruktur des Unternehmens mithilfe eines kompromittierten Administratorkontos an. Während MITRE außer der Identifizierung der Angreifer als ausländischer nationalstaatlicher Bedrohungsakteur keine Angaben zur Zuordnung gemacht hat, ist Mandiant von Google Cloud bekannt, dass mehrere mit China verbundene Bedrohungsakteure die Ivanti VPN-Schwachstellen bei ihren Angriffen ausnutzen. Die laufende Untersuchung von MITRE hat keine Hinweise auf Auswirkungen auf das Kernnetzwerk des Unternehmens oder die Systeme seiner Partner ergeben. Die Organisation hat Informationen zu den beobachteten ATT&CK-Techniken, Best Practices zur Erkennung solcher Angriffe und Empfehlungen zur Absicherung von Netzwerken geteilt. Dieselben Ivanti-Schwachstellen wurden auch zum Hacken in Systeme der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) genutzt, wovon möglicherweise 100,000 Personen betroffen waren. MITRE, weithin bekannt für seine ATT&CK-Wissensdatenbank über gegnerische Taktiken und Techniken, hat kürzlich ein neues AI Assurance and Discovery Lab eröffnet, um Risiken in KI-fähigen Systemen zu entdecken und zu verwalten.Entdecken Sie, wie SSL.com Ihre IoT-Sicherheit verbessern kann.
CoralRaider Threat Actor startet globale Angriffskampagne mit mehreren Informationsdieben
Die Talos-Sicherheitsforschungseinheit von Cisco hat eine weit verbreitete Angriffskampagne eines Bedrohungsakteurs namens CoralRaider aufgedeckt, der eine Kombination von Informationsdiebstahlern einsetzt, um Anmeldeinformationen und Finanzdaten von Benutzern auf der ganzen Welt zu sammeln. Der Bedrohungsakteur, von dem angenommen wird, dass er vietnamesischer Herkunft ist, hat es seit mindestens 2023 auf Einzelpersonen in verschiedenen Branchen und Regionen abgesehen. Die Angriffskampagne von CoralRaider hat sich im Laufe der Zeit weiterentwickelt, wobei der Bedrohungsakteur zuvor eine angepasste QuasarRAT-Variante namens RotBot und den XClient-Stealer verwendet hat um Finanz- und Anmeldeinformationen ins Visier zu nehmen und Social-Media-Konten zu stehlen. Seit Februar 2024 hat der Bedrohungsakteur sein Arsenal um drei Informationsdiebstahler erweitert: Cryptbot, LummaC2 und Rhadamanthys. Die Angriffe richteten sich gegen Benutzer in Ecuador, Ägypten, Deutschland, Japan, Nigeria, Norwegen, Pakistan, den Philippinen, Polen, Syrien, der Türkei, dem Vereinigten Königreich und den USA. Bei einigen Opfern handelte es sich um Mitarbeiter von Callcenter-Organisationen für Computerdienstleistungen in Japan und Organisationen des Zivilschutzdienstes in Syrien. CoralRaider hat Phishing-E-Mails mit schädlichen Links verwendet, um ZIP-Archive mit manipulierten Verknüpfungsdateien zu versenden und so eine mehrstufige Infektionskette auszulösen, die letztendlich die Informationsdiebstahler auf den Zielsystemen ausführt. CryptBot, LummaC2 und Rhadamanthys sind bekannte Informationsdiebstahler mit verschiedenen Fähigkeiten, darunter das Sammeln von Anmeldeinformationen aus Browsern, das Stehlen sensibler Dateien und das Herausfiltern von Daten aus Kryptowährungs-Wallets und anderen Anwendungen. Der kombinierte Einsatz dieser Stealer ermöglicht es CoralRaider, die Wirkung seiner Angriffe zu maximieren und eine Vielzahl wertvoller Informationen von seinen Opfern zu sammeln. Während CoralRaider sich weiterentwickelt und seine globale Reichweite ausbaut, müssen Organisationen und Einzelpersonen wachsam bleiben und robuste Cybersicherheitsmaßnahmen ergreifen, um sich vor diesen immer ausgefeilteren Bedrohungen zu schützen. Die regelmäßige Aktualisierung der Software, die Verwendung sicherer und eindeutiger Passwörter, die Aktivierung der Multi-Faktor-Authentifizierung und die Aufklärung der Benutzer über die Gefahren von Phishing-E-Mails sind wesentliche Schritte, um das Risiko, Opfer solcher Angriffe zu werden, zu verringern.Sichere E-Mail, vertrauen Sie SSL.com S/MIME.
Change Healthcare erleidet zweiten Ransomware-Angriff von RansomHub
Change Healthcare, eine Tochtergesellschaft von United Healthcare, wurde Berichten zufolge nur wenige Wochen nach dem Angriff von ALPHV/BlackCat erneut Opfer von Ransomware-Angriffen, dieses Mal von der RansomHub-Bande. RansomHub behauptet, 4 TB sensible Daten gestohlen zu haben, darunter Informationen über US-Militärpersonal, Patienten, Krankenakten und Finanzinformationen. Die Bande verlangt eine Erpressungszahlung und droht, die Daten an den Meistbietenden zu verkaufen, wenn das Lösegeld nicht innerhalb von 12 Tagen gezahlt wird. Dieser zweite Angriff kommt zu einem schwierigen Zeitpunkt für Change Healthcare, das sich erst kürzlich von dem vorherigen ALPHV/BlackCat-Cyberangriff erholt hat. Das Unternehmen steht nun vor der schwierigen Entscheidung, ob es das Lösegeld zahlen soll, um die sensiblen Daten seiner Kunden zu schützen. Malachi Walker, Sicherheitsberater bei DomainTools, vermutet, dass die Gruppe, auch wenn RansomHub nicht direkt mit ALPHV/BlackCat verbunden ist, Verbindungen zu ihren Opfern behaupten könnte, um sie zu einer Zahlung einzuschüchtern. Er hebt auch die florierende Schattenwirtschaft rund um die Ransomware-Szene hervor, in der verschiedene Akteure zusammenarbeiten, um Informationen auszutauschen. Zwar gibt es Spekulationen über eine mögliche Verbindung zwischen ALPHV/BlackCat und RansomHub oder darüber, ob ALPHV in RansomHub umbenannt wurde, doch Walker gibt an, dass es noch zu früh sei, um eine direkte Verbindung zwischen den beiden Gruppen zu bestätigen. Dieser Vorfall unterstreicht die anhaltende Bedrohung durch Ransomware-Banden und die Bedeutung robuster Cybersicherheitsmaßnahmen zum Schutz sensibler Daten im Gesundheitswesen. Während Change Healthcare diesen zweiten Ransomware-Angriff bewältigt, steht das Unternehmen vor einer schwierigen Situation bei der Gewährleistung der Sicherheit der Daten seiner Kunden.SSL.com-Ankündigungen
SSL.com S/MIME Zertifikate können jetzt in ein LDAP-fähiges Netzwerk integriert werden
LDAP (Lightweight Directory Access Protocol) ist ein Industriestandardprotokoll für den Zugriff auf und die Verwaltung von Verzeichnisinformationsdiensten. Es wird häufig zum Speichern und Abrufen von Informationen über Benutzer, Gruppen, Organisationsstrukturen und andere Ressourcen in einer Netzwerkumgebung verwendet.
LDAP integrieren mit S/MIME Bei der Verwendung von Zertifikaten wird LDAP als Verzeichnisdienst zum Speichern und Verwalten von Benutzerzertifikaten verwendet.
Durch die Integration von LDAP mit S/MIME Mithilfe von Zertifikaten können Unternehmen die Zertifikatsverwaltung zentralisieren, die Sicherheit erhöhen und den Prozess des Zertifikatsabrufs und der Authentifizierung in verschiedenen Anwendungen und Diensten optimieren, die LDAP als Verzeichnisdienst nutzen.
Kontakt sales@ssl.com Weitere Informationen zur LDAP-Integration finden Sie hier.