Wichtige News aus der Welt des Hackens

Wichtige News aus der Welt des Hackens

21. Juli 2022 0 Von Horst Buchwald

Wichtige News aus der Welt des Hackens

Berlin, 21.7.2022

Präsident Biden bereitet eine umfassende Strategie zur Verbesserung der Cybersicherheit in den USA vor, die vom Office of The National Cyber Director geleitet wird. Ziel dieser Pläne ist es, Schlüsselakteure zu ermutigen, sich mit Cybersicherheit zu befassen.

Berichten zufolge hat der Präsident sechs verschiedene Teams mit der Arbeit an diesem Thema beauftragt. Zu den an dem Entwurf beteiligten Mitarbeitern gehören Rob Knake, stellvertretender nationaler Cyber-Direktor für Strategie und Haushalt, Harry Krejsa, stellvertretender nationaler Cyber-Direktor für Strategie und Forschung, und Matthew Ferren, Berater für Cyber-Politik.

Während der genaue Inhalt der Strategie nicht bekannt ist, haben Forscher erklärt, dass die USA sich mehr auf die Stärkung der defensiven Fähigkeiten, sowie der nationalen Zusammenarbeit zwischen Institutionen und Staaten konzentrieren wird.

Ebenso bedeutsam ist vor dem Hintergrund der Talentlücke die Besserstellung der Arbeitskräfte im Bereich der Cybersicherheit.

Präsident Biden hat mehrere Initiativen zur Cybersicherheit ergriffen, die zu politischen Maßnahmen geführt haben. Dazu gehören:

– eine Durchführungsverordnung, die Unternehmen anweist, ihre Sicherheitsverletzungen schneller als bisher zu melden.

– eine Verordnung, die eine Arbeitsrotation von Mitarbeitern im Bereich der Cybersicherheit vorsieht, so dass sie Erfahrungen in mehreren Bundesbehörden sammeln können.

Das Mantis-Botnet wurde für den bisher größten HTTPS-Angriff mit verteiltem Denial-of-Service verwendet. Der Cyberangriff erfolgte im Juni 2022.

Tausende von Cloudflare-Kunden waren von Cyberangriffen betroffen, die zu Ausfällen und Serviceverzögerungen führten.

Während bekannt war, dass DDoS-Angriffe den Ausfall verursachten, haben Forscher nun aufgedeckt, dass ein als Mantis bekanntes Botnet von dem Bedrohungsakteur zur Ausführung des DDoS verwendet wurde.

Das Mantis-Botnet ist eine Malware, die virtuelle Maschinen zur Durchführung von Cyberangriffen nutzt, was die Abwehr erschwert, obwohl es nur 5.000 Bots freisetzt.

Der Cloudflare-Angriff dauerte nur 30 Sekunden, verursachte aber 26 Millionen Anfragen pro Sekunde, insgesamt 212 Millionen HTTPS-Anfragen. Der Angriff betraf Websites in Indonesien, Brasilien, Russland, den USA und Indien.

Nordkoreanische Hacker nutzen die Ransomware H0ly Gh0st, um Opfer zu infiltrieren. Die Bedrohungsakteure haben es vor allem auf Unternehmen und Geschäftsinhaber abgesehen und setzen damit die Strategie des Landes fort, Unternehmen und Arbeitgeber aus der Ferne anzugreifen, die gehackt oder betrogen und dann ausgenutzt werden könnten.

H0ly Gh0st Ransomware wird von der Hackergruppe H0ly Gh0st eingesetzt. Der Bedrohungsakteur verwendet ein relativ standardmäßiges Schema unter Hackern. Zunächst werden alle Dateien des Opfers verschlüsselt, dann wird eine Probe als Beweis dafür gesendet, dass tatsächlich ein Einbruch stattgefunden hat, und dann wird ein Lösegeld in Bitcoin verlangt.

Der Betrag, den die Gruppe in der Regel fordert, liegt vermutlich zwischen einem und fünf BTC.

Auf ihrer Website ist ein Text zu lesen, der behauptet, das Ziel der Gruppe sei es, die Kluft zwischen Arm und Reich zu schließen.

Forscher haben herausgefunden, dass die Gruppe vier verschiedene Malware – Varianten der Malware nutzt, von denen drei in GO und eine in C++ geschrieben sind. Die Gruppe wird von Microsofts Sicherheitsforschungsteam verfolgt.

Nordkorea ist mit zahlreichen Hacking-Kampagnen in Verbindung gebracht worden. Eine als Lazarus bekannte Gruppe stahl Kryptowährungen im Wert von 600 Millionen Dollar von der Ronin-Brücke in Axie Infinity. Kürzlich hat die Gruppe auch die Horizon-Brücke gehackt und dabei über 100 Millionen Dollar erbeutet.

Die US-Regierung warnte vor kurzem Gesundheitsorganisationen und Privatunternehmen, sich vor von Nordkorea unterstützten Hackern in Acht zu nehmen, die es auf die USA abgesehen haben.

Ein ehemaliger CIA-Ingenieur Joshua Schulte wurde für die Weitergabe von Geheimdokumenten verurteilt, die WikiLeaks später veröffentlichte. Die Dokumente sind als Vault 7 bekannt.

Die Anklage gegen den 33-jährigen wurde im Jahr 2017 erhoben. Schulte wurde wegen Diebstahls und Verbreitung sensibler Materialien angeklagt. Die Tat wurde von den US-Geheimdiensten als eine der schädlichsten Veröffentlichungen in der Geschichte des Landes bezeichnet, denn sie hat das Leben zahlreicher Sicherheitsbeamter gefährdet.

In diesem geleakten Dokument behauptet WikiLeaks zu zeigen, wie die CIA Malware, Viren, Trojaner und andere Cyberangriffe entwickelt hat, die in Smartphones, Smart-TVs, Laptops, PCs usw. eindringen konnten. Der Zweck dieser Hacking-Kampagnen bestand darin, ihre Ziele auszuspionieren. Einige dieser Tools wurden Berichten zufolge in Zusammenarbeit mit anderen Geheimdiensten, darunter dem britischen MI5, entwickelt.

Aus den Akten geht auch hervor, dass das US-Konsulat in Frankfurt am Main eine verdeckte Hackeroperation war. Die CIA schickte Hacker in das Konsulat, die sich von dort aus frei in ganz Europa bewegen und verschiedene Angriffe durchführen konnten. Bei einem dieser Angriffe handelte es sich um einen USB-Cyberangriff, bei dem Informationen gestohlen werden, auch wenn das Internet ausgeschaltet ist.

Schulte ist nicht der einzige ehemalige CIA-Mitarbeiter, der Dateien an WikiLeaks weitergegeben hat. Edward Snowden, ein ehemaliger CIA-Mitarbeiter, übermittelte Tausende von Dateien an die Organisation. Dies veranlasste das Justizministerium der Vereinigten Staaten, ihn wegen Diebstahls von Regierungseigentum und Verstoßes gegen das Spionagegesetz von 1917 anzuklagen. Snowden hält sich derzeit in Russland auf und hat sich noch nicht vor Gericht verantworten müssen.

1,9 Millionen Gesundheitsdaten in den USA wurden gehackt. Die Hacker drangen in die Professional Finance Company und 650 Gesundheitsdienstleister ein. Den Hackern gelang es, sensible Daten zu stehlen, wie z. B. vollständige Namen, Adressen, den Betrag, der den Gesundheitsdienstleistern geschuldet wird, Zahlungsinformationen usw.

Das Unternehmen behauptet, dass es den Angriff am 26. Februar 2022 aufgespürt hat, ihn stoppen konnte und dann den Fall an die Justizbehörden weitergegeben hat. PFC hat sich mit allen betroffenen Opfern in Verbindung gesetzt und ein Callcenter eingerichtet, das als Beratungsstelle für sie dient. Die genaue Zahl der Opfer wurde von PFC nicht bekannt gegeben, aber das Gesundheitsministerium hat eine Liste veröffentlicht, die über 1,9 Millionen Menschen umfasst.

Cyberangriffe auf Gesundheitsdienstleister und Krankenhäuser haben in den letzten Jahren exponentiell zugenommen. Im Jahr 2011 gab es 199 Fälle, in denen mehr als 500 Datensätze gehackt wurden, während diese Zahl im vergangenen Jahr 714 erreichte.

Ein Hive-Ransomware-Cyberangriff in Costa Rica legte das Gesundheitssystem des Landes lahm und führte zum Ausfall des gesamten Gesundheitsserversystems.

Pakistanische Hacker haben es mit einer Phishing-Kampagne auf indische Studenten abgesehen. Es wird vermutet, dass es sich bei den Bedrohungsakteuren um eine Hackergruppe namens Transparent Tribe handelt.

Die Gruppe, die auch als APT36, Operation C-Major, PROJECTM und Mythic Leopard bekannt ist, hat normalerweise staatliche Einrichtungen angegriffen. Diese Phishing-Kampagne wäre das erste Mal, dass der Bedrohungsakteur Bildungseinrichtungen ins Visier nimmt.

Transparent Tribe ist seit 2013 aktiv und hat es auf Regierungsorganisationen in rund 30 Ländern abgesehen. Sie greifen ihre Opfer in der Regel an, indem sie gefälschte Domains erstellen, die vorgeben, eine Regierungsorganisation zu sein, und dann den Einbruch durchführen. Transparent Tribe ist bekannt für die Verwendung von Crimson RAT, einem Windows-basierten Remote-Einbruch, der unbefugten Zugriff auf das Gerät des Opfers ermöglicht.

Crimson Rat listet die Dateien und Ordner eines Opfers in einem von C2 festgelegten Verzeichnispfad auf, führt Prozesse auf dem Endpunkt-Keylogger aus, holt die kritischen Informationen ein, macht Screenshots vom Bildschirm des Opfers und sendet sie an C2. Die Hacker leiten dann die Keylogger-Protokolle und den Rest der Informationen an C2 weiter.

Die Ransomware lässt sich manuell verbreiten und kann lange Zeit im System verbleiben, um Informationen zu stehlen. Die Angriffe laufen seit Dezember 2021, wobei nicht bekannt ist, ob Schulen mit den Hackern in Kontakt getreten sind oder ob sie Lösegeld gezahlt haben.

Die Zahl der Ransomware-Hacks ist im zweiten Quartal gegenüber dem ersten Quartal 2022 um 21 % gestiegen. Forscher analysierten dieselben Datenleck-Websites und stellten einen sprunghaften Anstieg der Opferzahlen fest.

Die meisten Hacks wurden von der Hackergruppe Lockbit durchgeführt, die eine aktualisierte Version ihrer Ransomware einsetzt. Von den 582 Ransomware-Opfern im 2. Quartal war Lockbit für 230 dieser Hacks verantwortlich. Das bedeutet, dass die Gruppe die bekannte Hackergruppe Conti Ransomware abgelöst hat, die vor einigen Wochen aufgelöst wurde.

Die Hacker hatten es auf zahlreiche Branchen abgesehen. Die Industrieproduktion lag mit 18,4 % an erster Stelle, die Technologiebranche mit 8,7 % an zweiter Stelle, das Baugewerbe mit 7,9 %, das Gesundheitswesen mit 6,4 % und staatliche Einrichtungen mit 5,5 %.

Lockbit Ransomware tauchte 2019 zum ersten Mal auf und wurde von der Branche sofort bemerkt, da sie sich automatisch verbreiten kann. Diese Funktion unterscheidet sie von ähnlicher Ransomware, die sich manuell verbreitet, und macht sie viel schneller.

Staatlich unterstützte Hacker haben ihre Versuche, Journalisten zu hacken, intensiviert. Am stärksten betroffen sind in den USA ansässige Journalisten, die über Politik berichten.

Bedrohungsakteure stehlen Verifizierungsdaten von Journalisten und verwenden diese Daten, um mit ihren Zielen zu kommunizieren.

Während diese Taktik von zahlreichen Gruppen angewendet wird, haben Forscher die chinesische Gruppe A412, auch bekannt als Zirconium, herausgestellt. Diese Gruppe hat es auf in den USA ansässige Journalisten abgesehen, und ihr Bedrohungsvektor sind Web-Beacon-Angriffe.

Ein Web-Beacon ist im Wesentlichen ein Stück Code, das verwendet wird, um das Verhalten eines Besuchers auf einer Website oder App zu verfolgen. Der Beacon kann vom Opfer nicht bemerkt werden, während der Angreifer Daten wie die IP-Adresse, die Besuchszeit usw. sammeln kann.

Eine weitere von China unterstützte Gruppe, von der angenommen wird, dass sie in diese Angriffe verwickelt ist, ist TA459, während außerhalb Chinas auch TA482 involviert sein soll. TA456, ein angeblich vom Iran unterstützter Bedrohungsakteur, verschickt vermutlich gefälschte Newsletter, die sich als offizielle Newsletter von Medien wie Fox und The Guardian ausgeben. Die Bedrohungsakteure verwenden diese gefälschten E-Mails, um zu versuchen, wichtige diplomatische Mitarbeiter in US-Botschaften auf der ganzen Welt zu erreichen.