Skyhigh Security Intelligence Digest

Jüngste Berichte, wonach sowohl Microsoft als auch Hewlett Packard Enterprise (HPE) über ihre Cloud-basierten E-Mail-Infrastrukturen angegriffen wurden, haben die Cybersicherheitsbranche im Sturm erobert - und das aus mehr als einem Grund!

Erinnern Sie sich an die Cyberbedrohung QakBot (auch bekannt als Qbot oder Pinkslipbot)? Diese Bedrohung wurde im August 2023 im Rahmen einer koordinierten Aktion der Strafverfolgungsbehörden ausgeschaltet - und sie erlebt nun ein Comeback!

Der jüngste Cyberangriff auf MGM Resorts International hat die dringenden Probleme beim Schutz sensibler Daten und die Schwachstellen, mit denen moderne Unternehmen in der heutigen Bedrohungslandschaft konfrontiert sind, deutlich gemacht.

HCA Healthcare, ein bekannter Gesundheitsdienstleister mit einer weitreichenden Präsenz in Florida und 19 weiteren Bundesstaaten, wurde vor kurzem Opfer einer schwerwiegenden Datenpanne, von der möglicherweise bis zu 11 Millionen Menschen betroffen sind. Der beunruhigende Vorfall kam ans Licht, als persönliche Patientendaten in einem Online-Forum auftauchten.

Eine kürzlich veröffentlichte gemeinsame Empfehlung des Federal Bureau of Investigation (FBI), der Cybersecurity and Infrastructure Security Agency (CISA) und des Australian Cyber Security Centre (ACSC) weist auf die erhöhte Bedrohung durch die Ransomware- und Erpressergruppe BianLian hin. Die cyberkriminelle Gruppe ist seit Juni 2022 aktiv. Es scheint, dass die herkömmliche Verschlüsselung von Opferdateien für Ransomware-Zahlungen nun auf die Exfiltration kompromittierter Daten zu Erpressungszwecken umgestellt wurde.

Jüngsten Branchenuntersuchungen zufolge wurden mehrere Kampagnen und Tools der MERCURY APT-Gruppe (auch bekannt als MuddyWater, Static Kitten), die weithin mit dem iranischen Ministerium für Geheimdienst und Sicherheit (MOIS) in Verbindung gebracht wird, dabei beobachtet, wie sie schädliche Angriffe in Microsoft Azure Cloud-Umgebungen starteten.

TikTok, das während der Coronavirus-Pandemie mit kurzen Videoclips für Lacher sorgte, hat das aufmerksamkeitsstarke Kurzvideoformat übernommen und seinen Platz unter den beliebtesten Social Media-Apps gefestigt. Aber genau wie andere ausländische Apps, die viral gehen, wird auch das chinesische Unternehmen TikTok immer wieder wegen seiner Datenerfassung und Datenschutzpraktiken kritisch beäugt. Diesmal sind es jedoch nicht nur die Vereinigten Staaten, die die Alarmglocken läuten lassen.

OneNote ist eine nützliche Brücke für Notizen und Aufgabenverwaltung zwischen dem Firmengelände, BYOD und der Unternehmens-Cloud. Allerdings haben Angreifer die App als einen gangbaren Weg für die Verbreitung von Malware ins Visier genommen.

Die neueste Form von Phishing-Angriffen steht vor der Tür. Mit der weiten Verbreitung von Cloud-Anwendungen und der sich entwickelnden Art ihrer Nutzung, von Single-Sign-On-Token-Integrationen, werden Benutzer aufgefordert, den Zugriff zu autorisieren, was zu einem übersehenen Angriffsvektor geworden ist, um Datenlecks zu erleichtern.

E-Mail ist seit Jahrzehnten der Lebensnerv der Unternehmenskommunikation und -zusammenarbeit, daran gibt es keinen Zweifel. E-Mail ist aber auch immer noch einer der effektivsten Wege, um Malware oder Ransomware zu verbreiten. Sie ist für über 90 % der Malware-Versendungen und Infektionen verantwortlich.

Nach zahlreichen öffentlichkeitswirksamen Sicherheitsverletzungen durch Cyberkriminelle ist es für Cisco zweifellos kein Vergnügen, die Verletzung seines Unternehmensnetzwerks im Rahmen eines jüngsten Erpressungsangriffs durch die Ransomware-Gruppe Yanluowang zu bestätigen.

Ein weit verbreiteter Irrglaube unter Unternehmen und ihren Nutzern führt zu der Annahme, dass Cloud-Umgebungen immun gegen Ransomware-Bedrohungen sind. Wie die Forscher von Proofpoint jedoch kürzlich herausgefunden haben, können böswillige Akteure Ransomware-Angriffe starten, indem sie Backups der Dateiversionen von Microsoft 365 ausnutzen, die dank der plattformeigenen Funktion zum automatischen Speichern von Dateien verfügbar sind.

Ein ungesicherter Server hat sensible Daten von Flughafenmitarbeitern in Kolumbien und Peru offengelegt. Die AWS S3-Buckets mit ca. 3 TB Daten aus dem Jahr 2018 enthielten Datensätze von Flughafenmitarbeitern, Fotos von Personalausweisen und personenbezogene Daten (PII), darunter Namen, Fotos, Berufe und nationale ID-Nummern.

Der neue heiße Name bei Ransomware-Angriffen ist Lapsus$. Wenn Sie noch nie von ihnen gehört haben, haben Sie wahrscheinlich schon von einigen der Unternehmen gehört, die sie angegriffen haben, darunter Nvidia, Samsung, Okta und Microsoft - um nur einige zu nennen. Für die Uninformierten: Lapsus$ ist eine Hackergruppe, die sich auf Datendiebstahl und Erpressung konzentriert.

Nach einem Bericht von Bleeping Computer verstärken Bedrohungsakteure ihre Bemühungen, Microsoft Teams für die Verbreitung von Malware zu nutzen, indem sie bösartige Dokumente in Chat-Threads einschleusen, was letztlich dazu führt, dass die Opfer Trojaner ausführen, die ihre Unternehmenssysteme kapern.