Das Ransomware-as-a-Service (RaaS)-Syndikat Black Basta hat innerhalb von zwei Monaten nach seinem Erscheinen in freier Wildbahn fast 50 Opfer in den USA, Kanada, den Vereinigten Staaten, Australien und Neuseeland angehäuft, was es zu einem herausragenden Unternehmen macht Risiko in einem kurzen Fenster.

„Black Basta hat sich auf eine Reihe von Branchen konzentriert, darunter Fertigung, Entwicklung, Transport, Telekommunikation, verschreibungspflichtige Medikamente, Kosmetik, Sanitär und Heizung, Autoverkäufer, Unterwäschehersteller und mehr“, Cybereason sagte in einem Bericht.

Genau wie andere Ransomware-Operationen soll Black Basta die bewährte Taktik der doppelten Erpressung anwenden, um heikle Informationen von den Zielen zu plündern und mit der Veröffentlichung des gestohlenen Wissens zu drohen, sofern keine digitalen Kosten entstehen.

Ein brandneuer Teilnehmer innerhalb des bereits überfüllten Ransomware-Panoramas, bei dem Einbrüche das Risiko mit sich bringen Leveraged QBot (aka Qakbot) als Kanal, um sich um die Persistenz auf den kompromittierten Hosts zu kümmern und Anmeldeinformationen zu sammeln, bevor sie seitlich in die Community übertragen und die dateiverschlüsselnde Malware bereitstellen.

Darüber hinaus haben die Schauspieler hinter Black Basta aufgetreten eine Linux-Variante, die entwickelt wurde, um VMware ESXi Digital Machines (VMs) zu treffen, die auf Unternehmensservern arbeiten, und sie mit anderen Teams wie LockBit, Hive und Cheerscrypt gleichzusetzen.

Die Ergebnisse kommen, weil das cyberkriminelle Syndikat Elbit Techniques of America, einen Hersteller von Schutz-, Luft- und Raumfahrt- und Sicherheitsoptionen, am Wochenende in die Liste seiner Opfer aufgenommen hat. gemäß an den Sicherheitsforscher Ido Cohen.

Black Basta soll aus Mitgliedern bestehen, die dem angehören Conti-Gruppe nach letzterem hat seinen Betrieb eingestellt als Reaktion auf eine verstärkte Überprüfung der Gesetzgebung durch die Durchsetzung und ein schwerwiegendes Leck, bei dem festgestellt wurde, dass seine Instrumente und Techniken in die allgemeine Öffentlichkeit gelangten, nachdem sie sich im Konflikt der Nation mit der Ukraine auf die Seite Russlands gestellt hatten.

„Ich kann nicht auf etwas schießen, aber ich kann mit Tastatur und Maus kämpfen“, riet der ukrainische PC-Spezialist hinter dem Leak, der unter dem Pseudonym Danylo bekannt ist und den Wissensschatz als eine Art digitale Vergeltung ins Leben gerufen hat CNN im März 2022.

Die Conti-Mitarbeiter haben inzwischen widerlegt, dass es sich um Black Basta handelt. Letzte Woche, es stillgelegt Das letzte seiner verbleibenden öffentlich zugänglichen Infrastruktur, zusammen mit zwei Tor-Servern, die verwendet wurden, um Wissen preiszugeben und mit Opfern zu verhandeln, markiert den offiziellen Abschluss des Verbrechensunternehmens.

In der Zwischenzeit kümmerte sich die Gruppe weiterhin um die Fassade eines energischen Betriebes gegen die costa-ricanische Regierungwährend einige Mitglieder zu anderen Ransomware-Outfits wechselten und das Modell einer organisatorischen Überarbeitung unterzogen wurde, die dazu geführt hat, dass es sich in kleinere Untergruppen mit völlig unterschiedlichen Motivationen und Unternehmensmoden entwickelt hat, angefangen vom Wissensdiebstahl bis hin zur Arbeit als unvoreingenommene Mitarbeiter.

Basierend auf a umfassenden Bericht von Group-IB, die ihre Aktionen detailliert beschreibt, wird angenommen, dass die Conti-Gruppe mehr als 850 Unternehmen zum Opfer gefallen ist, da sie erstmals im Februar 2020 bemerkt wurde und über 40 Organisationen weltweit im Rahmen eines „blitzschnellen“ Hacker-Angriffs kompromittiert hat, der ab November andauerte 17. bis 20. Dezember 2021.

Synchronisiert „ARMangriff” der in Singapur ansässigen Firma richteten sich die Eingriffe in erster Linie gegen US-Organisationen (37 %), gefolgt von Deutschland (3 %), der Schweiz (2 %), den Vereinigten Arabischen Emiraten (2 %), den Niederlanden, Spanien, Frankreich, die Tschechische Republik, Schweden, Dänemark und Indien (jeweils 1 %).

Die Top-5-Sektoren, auf die sich Conti traditionell konzentriert, waren Fertigung (14 %), Immobilien (11,1 %), Logistik (8,2 %), Handwerksbetriebe (7,1 %) und Handel (5,5 %), wobei die Betreiber besonders Unternehmen hervorhoben in den USA (58,4 %), Kanada (7 %), den Vereinigten Staaten.Okay. (6,6 %), Deutschland (5,8 %), Frankreich (3,9 %) und Italien (3,1 %).

„Conti’s hohe Aktivität und das Informationsleck deuten darauf hin, dass Ransomware kein Sport zwischen gängigen Malware-Entwicklern ist, sondern ein gefälschter RaaS-Handel, der einer ganzen Reihe von Cyberkriminellen weltweit mit unterschiedlichen Spezialisierungen Arbeitsplätze bietet“, sagte Ivan Pisarev von Group-IB.

„Bei diesem Handel ist Conti ein berüchtigter Teilnehmer, der in Wahrheit eine ‚IT-Firma’ geschaffen hat, deren Ziel es ist, riesige Summen zu erpressen. Es ist klar […] dass die Gruppe ihre Tätigkeit sowohl allein als auch mit Unterstützung ihrer „untergeordneten“ Aufgaben fortsetzt.“

Die italienische Datenschutzbehörde Garante ist der Ansicht, dass die Verwendung von Google Analytics zu illegalen Übertragungen von nicht öffentlichen Informationen in die USA führt und damit gegen die Regeln des Schrems-II-Urteils verstößt.

Im Bestellnummer 224 vom 9. Juni 2022stellte die italienische Datenschutzbehörde fest, dass die Übertragung nicht-öffentlicher Informationen in die USA durch eine italienische Website durch die Verwendung von Google Analytics gegen die DSGVO verstößt.

Anpassung an Positionen, die bereits von Regulierungsbehörden für Privatsphäre geäußert wurden Österreich und Frankreichhat die Garante eine transparente Haltung zur Konformität von Informationsübermittlungen in die USA über Google Analytics eingenommen und den Website-Anbieter angewiesen, ihre Verwendung einzustellen, wenn er sich nicht an die Anforderungen der Garante anpasst.

Die Wahl folgt einer Kritik, die von einer Person, die von NOYB, der Vereinigung unter der Leitung des Datenschutzaktivisten Max Schrems, vertreten wird, bei der Garante in Italien gegenüber dem Website-Anbieter (in seiner Funktion als Informationsexporteur) und Google LLC (in seiner Funktion als ein Informationsimporteur), mit der Behauptung, dass jedes Ereignis gegen Artikel 44 ff. der DSGVO, in Anlehnung an das Schrems-II-Urteil (CJEU Choice C-311/18) durch Übermittlung ihrer personenbezogenen Daten an Google LLC in den USA von Amerika.

Die umstrittene Info

Die umstrittene primäre Ebene ist, dass Google LLC als „Anbieter von digitalen Kommunikationsdiensten” gemäß 50 US Code § 1881(b)(4), der das Unternehmen der Überwachung durch US-Geheimdienste unterwirft, die Google aufgrund dieser Tatsache anweisen können, Zugang zu den Informationen von in Europa ansässigen Personen (die die Website durchsuchen) zu gewähren. .

Nach einer radikalen Untersuchung und Auswertung der vom Unternehmen erstellten Verteidigungsschriftsätze stellte die Garante in ihrem Auftrag fest, dass:

• Aufgrund der Möglichkeit, die Person anhand der von Google gesammelten Informationen zu ermitteln, fand eine Verarbeitung nichtöffentlicher Informationen durch Google Analytics statt, ähnlich wie:
  • eindeutige Online-Identifikatoren, die jeweils die Identifizierung des Browsers oder Gadgets der Person, die die Website besucht, und des Website-Betreibers selbst (über die Google-Konto-ID) ermöglichen;
  • Handle, Titel der Website und Suchinformationen;
  • das IP-Handle des von der Person verwendeten Gadgets;
  • Details über den Browser, das Betriebssystem, die Bildschirmauswahl, die gewählte Sprache sowie das Datum und die Uhrzeit des Aufrufs der Website;
• das Unternehmen nutzte das kostenlose Modell von Google Analytics und hatte die IP-Anonymisierungsfunktion nicht durchgeführt;
• Google LLC qualifiziert sich, weil der Importeur der Informationen und der Informationswechsel durch die normalen Vertragsklauseln (Modell von 2010) eingerichtet wurde;
• Das Unternehmen nutzte einen automatischen Online-Dienst, um die Datenschutzabdeckung und die Cookie-Abdeckung, die vor Ort verfügbar sind, zu erstellen und zu verwalten.
• Das Unternehmen hatte die in Bezug auf Google Analytics ergriffenen Maßnahmen als „verwandt und effizient in Bezug auf die Art der Informationen und den Kontext, in dem sie gesammelt wurden“ zusätzlich zum Ausmaß der Bedrohung durch den Schalter.

Das Wichtigste ist die Auflösung der Garante auf Google Analytics

Die Wahl bietet faszinierende Einblicke in die Methode der Garante zur Übermittlung nicht-öffentlicher Informationen außerhalb des europäischen Finanzraums mittels Google Analytics. Die gleichen Regeln gelten jedoch auch für einige andere Switches. Insbesondere die Autorität in den Ergebnissen, die zu den Auswahlfaktoren führten, ergab Folgendes:

• Wenn das IP-Handle es ermöglicht, ein digitales Kommunikationsgerät einzurichten, handelt es sich um private Informationen. Die Möglichkeit der Personenidentifikation ist bei Google Analytics dadurch erhöht, dass wenn der Website-Kunde auf sein Google-Konto zugreift – ein Umstand, der im vorliegenden Fall eingetreten ist – die oben genannten Informationen mit anderen Daten in Verbindung gebracht werden innerhalb des zugehörigen Kontos, wie E-Mail-Adresse, Telefonnummer und alle zusätzlichen privaten Informationen zusammen mit Geschlecht, Beginndatum oder Profilbild.
• die veralteten normalen Vertragsklauseln sind unangemessen, insbesondere für Informationsübermittlungen in die USA, während die brandneuen SCCs in diesem Fall nicht behandelt wurden, da sich die Wahl auf Ereignisse vor ihrer Annahme bezieht;
• Die von Google ergriffenen zusätzlichen Maßnahmen, um die Datenumstellung in Übereinstimmung mit der DSGVO zu bringen, wurden als unzureichend erachtet, da zusätzliche Maßnahmen nur dann als effizient angesehen werden können, wenn sie die genauen Mängel beheben, die bei der Bewertung des Szenarios im dritten erkannt wurden Nation, dh die Eintritts- und Überwachungsaussichten von US-Geheimdiensten;
• zusätzliche Maßnahmen können nur dann als effizient angesehen werden, wenn sie die genauen Mängel behandeln, die bei der Bewertung des Szenarios innerhalb des Drittstaats erkannt wurden, dh die Zugangs- und Überwachungsfähigkeiten von US-Geheimdiensten; Verschlüsselung (sowohl bei der Übertragung als auch bei der Entspannung) ist keine anwendbare Maßnahme, wenn der Empfänger den Entschlüsselungsschlüssel besitzt, da er oder er auch aufgefordert werden könnte, ihn zusammen mit den Informationen an internationale Behörden weiterzugeben;
• Die „IP-Anonymisierung“ besteht aus einer Pseudonymisierung der Community-Handle-Informationen der Person, da das Abschneiden des letzten Oktetts Google LLC nicht daran hindert, diese Person unter Berücksichtigung der allgemeinen Daten, die sie über Nettokunden besitzt, erneut zu identifizieren; und
• Vertragliche und organisatorische Maßnahmen allein können Drittstaatsbehörden in der Regel nicht binden, müssen jedoch durch andere Maßnahmen ergänzt werden.

Aber die Garante tadelte die Privatheitsdaten, die bei der Verarbeitung von nicht öffentlichen Informationen entdeckt wurden, die mit dem vom Unternehmen genutzten automatisierten Online-Dienst erstellt wurden, da sie das in Artikel 13 Absatz 1 genannte Wetter nicht klar umrissen ( f) DSGVO in Bezug auf den Wechsel.

Die Wahl der Garantie auf illegale Übertragungen durch Google Analytics

Die italienische Datenschutzbehörde hat die vom Unternehmen durchgeführte Verarbeitung mittels Google Analytics für rechtswidrig erklärt. Nichtsdestotrotz berücksichtigte es einige Facetten bei der Ermittlung der relevanten Sanktion, ähnlich wie:

• die Asymmetrie der Verhandlungsenergie, die sich aus dem von Google eingenommenen ersten Marktplatz im Bereich der Net-Analytics-Unternehmen ergibt;
• die vom Informationsverantwortlichen unternommenen Schritte zur Behandlung des Szenarios; und
• das Fehlen bestimmter Klassen nicht-öffentlicher Informationen und das fahrlässige Verhalten.

Aufgrund dieser Tatsache entschied sich die Garante für eine Abmahnung und forderte das Unternehmen auf, innerhalb von 90 Tagen geltende Maßnahmen zu ergreifen, um die Überweisungen zu sichern oder alternativ zu unterbinden.

Mögliche Auswirkungen für Website-Betreiber

Die Entscheidung der Garante betrifft nicht nur die umstrittene Website, sondern zweifellos alle Websites, die Google Analytics und andere vergleichbare angewandte Wissenschaften verwenden, die Übertragungen außerhalb des europäischen Finanzraums an als ungeeignet erachtete internationale Standorte verwenden.

Die Garantie, durch a Pressemitteilunghat insbesondere vor Augen aller Website-Betreiber, privater und nicht-privater, die Rechtswidrigkeit von Übertragungen in die USA mittels Google Analytics erkannt, zusätzlich aufgrund etlicher Erfahrungen und diesbezüglicher Rückfragen, einladend alle Informationsverantwortlichen, um die Konformität der Art und Weise zu bestätigen, in der Cookies und verschiedene Überwachungsinstrumente auf ihren Websites verwendet werden.

Eine Reihe europäischer Alternativen zu Google Analytics sind bereits jetzt auf dem Markt erhältlich. Der Wechsel von der Analytik zu anderen angewandten Wissenschaften ist jedoch nicht das einzige damit zusammenhängende Problem, das außerdem betrieblich belastend ist.

Die zentralen Thesen

Es ist schwer vorstellbar, dass alle europäischen Websites plötzlich aufhören, Google Analytics zu verwenden. Allerdings ist es auch schwer zu rechtfertigen, dass fast zwei Jahre nach dem Schrems-II-Urteil eine Reihe von Unternehmen immer noch keine Möglichkeiten zur Erfassung von Informationsübertragungen und zur Durchführung von Switch-Einflussbewertungen eingeführt haben, wie vom EDPB gefordert und von der Garante gegenüber betont das Schrems-II-Urteil. Es entsteht der unpassende Eindruck, dass die Implementierung der brandneuen üblichen Vertragsklauseln ausreicht, um einen Informationsaustausch sicherzustellen, aber das ist nicht der Fall.

Dennoch stellen wir uns vor, dass die Garante – wie zuvor die österreichischen und französischen Datenschutzbehörden – die Notwendigkeit, die genaue Bedrohung des Zugangs zu Informationen durch internationale Behörden und den potenziellen Schaden für Menschen, der sich aus einem solchen Zugang ergibt, zu analysieren, nicht angemessen bewertet hat.

Diese konkrete Gefährdungsbeurteilung wird ausdrücklich innerhalb der neuen Normalvertragsklauseln angeboten. Es könnte jedoch tatsächlich nur aufgrund einer eingehenden Bewertung des Informationsschalters entstehen, der ähnlich wie mit dem autorisierten technischen Gerät durchgeführt wird.Transfer“ und die zugehörige Methodik, die von DLA Piper entwickelt wurde.

Bei Fragen zu dieser Lösung wenden Sie sich bitte an Giulio CoraggioMitarbeiter oder Tommaso RicciPartner – Wissenssicherheit – IPT Division DLA Piper Italy.

Die US Cybersecurity and Infrastructure Safety Company (CISA) hat am Donnerstag zusammen mit dem Coast Guard Cyber ​​Command (CGCYBER) eine gemeinsame Warnung vor fortgesetzten Versuchen seitens der Bedrohungsakteure veröffentlicht, den Log4Shell-Fehler in VMware auszunutzen Horizon-Server, um Zielnetzwerke zu durchbrechen.

„Seit Dezember 2021 haben eine Reihe von Teams von Bedrohungsakteuren Log4Shell auf ungepatchten, öffentlich zugänglichen VMware Horizon- und [Unified Access Gateway] Server“, die Unternehmen sagte. „Als Teil dieser Ausbeutung haben mutmaßliche APT-Akteure Loader-Malware in kompromittierte Programme mit eingebetteten ausführbaren Dateien implantiert, die Remote Command-and-Control (C2) ermöglichen.“

In einem einzigen Fall soll der Angreifer in der Lage gewesen sein, seitlich in die betroffene Gemeinschaft einzudringen, Zugang zu einer Katastrophenschutzgemeinschaft zu erhalten und heikle Informationen zur Strafverfolgung zu erhalten und auszuschleusen.

Log4Shellverfolgt als CVE-2021-44228 (CVSS-Bewertung: 10.0) ist eine Schwachstelle zur Remote-Codeausführung, die die Apache Log4j-Protokollierungsbibliothek betrifft, die von einer Vielzahl von Kunden und Unternehmen, Websites, Zwecken und verschiedenen Produkten verwendet wird.

Die profitable Ausnutzung des Fehlers kann es einem Angreifer ermöglichen, einen speziell gestalteten Befehl an ein betroffenes System zu senden, der es den Akteuren ermöglicht, bösartigen Code auszuführen und die Verwaltung des Ziels zu übernehmen.

Basierend hauptsächlich auf Daten, die im Rahmen von zwei Einsätzen zur Reaktion auf Vorfälle gesammelt wurden, erwähnten die Unternehmen, dass die Angreifer den Exploit bewaffnet haben, um betrügerische Payloads zusammen mit PowerShell-Skripten und einer Remote-Entry-Software namens „hmsvc.exe“ abzuwerfen, die mit Protokollierungsfunktionen ausgestattet ist Tastenanschläge und setzen zusätzliche Malware ein.

„Die Malware kann als C2-Tunneling-Proxy fungieren, der es einem entfernten Betreiber ermöglicht, zu anderen Programmen zu wechseln und zusätzliche Rechte an eine Community zu übertragen“, sagte das Unternehmen und bietet außerdem einen „GUI-Eintrag (Graphical Consumer Interface) über ein Ziel-Home Desktop des Windows-Systems.“

Die PowerShell-Skripte, die in der Produktionsumgebung einer zweiten Gruppe bemerkt wurden, erleichterten die laterale Bewegung und ermöglichten es den APT-Akteuren, Loader-Malware zu implantieren, die ausführbare Dateien enthält, die die Fähigkeit umfassen, den Desktop eines Systems aus der Ferne zu überwachen, einen Reverse-Shell-Eintrag zu erhalten, Informationen zu exfiltrieren und hinzuzufügen und Ausführen von Binärdateien der nächsten Stufe.

Darüber hinaus hat das gegnerische Kollektiv gehebelt CVE-2022-22954eine entfernte Codeausführungsschwachstelle in VMware Workspace ONE Entry and Identification Supervisor, die im April 2022 zu milde kam, um die Dingo J-Spy-Net-Shell auszuliefern.

Laufende Übungen im Zusammenhang mit Log4Shell, selbst nach mehr als sechs Monaten, bedeuten, dass der Fehler für Angreifer von übermäßiger Neugier ist, zusammen mit staatlich geförderten APT-Akteuren (Superior Persistent Threat), die ungepatchte Server opportunistisch fokussiert haben, um einen vorläufigen Halt für Folgemaßnahmen zu erreichen. auf Übung.

In Übereinstimmung mit dem Cybersicherheitsunternehmen ExtraHop wurden Log4j-Schwachstellen einem unermüdlichen Scanversuch unterzogen, wobei der Geld- und Gesundheitssektor zu einem überdimensionalen Marktplatz für potenzielle Angriffe wurde.

„Log4j ist hier, um zu bleiben, wir werden sehen, dass Angreifer es immer wieder nutzen“, gehört Randori zu IBM sagte in einem Bericht vom April 2022. „Log4j ist tief in Schichten und Schichten von gemeinsam genutztem Code von Drittanbietern vergraben, was uns zu dem Schluss führt, dass wir Fälle sehen werden, in denen die Log4j-Schwachstelle in Unternehmen ausgenutzt wird, die von Organisationen genutzt werden, die eine Vielzahl offener Quellen verwenden.“