Connect with us
https://cybersecuritynews.site/wp-content/uploads/2021/11/zox-leader.png

Published

on

The Ultimate Managed Hosting Platform

Ransomware ist eine Art von Malware, die von Cyberkriminellen verwendet wird, um Kunden daran zu hindern, auf ihre Techniken oder Informationen zuzugreifen; Die Cyberkriminellen drohen dann, sensible Daten zu verlieren, zu zerstören oder zurückzuhalten, es sei denn, es wird ein Lösegeld gezahlt.

Ransomware-Angriffe können sowohl auf PC-Informationen (oft als Locker-Ransomware bezeichnet) als auch auf Einheiten (Crypto-Ransomware) abzielen. Sobald ein Lösegeld gezahlt wird, überreichen Bedrohungsakteure den Opfern in jedem Fall einen Entschlüsselungsschlüssel oder ein Instrument, um ihre Informationen oder Geräte freizuschalten, obwohl dies nicht garantiert ist.

Oliver Pinson-Roxburgh, CEO von Defense.comdie All-in-one-Cybersicherheitsplattform, gibt in diesem Artikel Daten und Empfehlungen dazu weiter, wie Ransomware funktioniert, wie schädlich sie sein kann und wie Ihr kleines Unternehmen Ransomware-Angriffe verhindern kann.

Was umfasst ein Ransomware-Angriff?

Es gibt drei Schlüsselkomponenten für einen Ransomware-Angriff:

Eintrag

Um Malware einzusetzen, um Informationen zu verschlüsseln und zu verwalten, müssen Cyberkriminelle zunächst Zugang zu den Techniken eines Unternehmens erlangen.

Losfahren

Die Angreifer haben die Informationen so schnell wie möglich, da das Schadsoftwareprogramm aktiviert ist. Die Informationen sind verschlüsselt und für die fokussierte Gruppe nicht zugänglich.

Fordern

Die Opfer erhalten eine Benachrichtigung, dass ihre Informationen verschlüsselt sind und erst nach Zahlung eines Lösegelds auf sie zugegriffen werden kann.

Großes Unternehmen für Cyberkriminelle

Die Motive von Cyberkriminellen, die Malware einsetzen, können unterschiedlich sein, aber das Endziel ist in der Regel das wirtschaftliche Erreichen.

Was ist der Preis dafür, von Ransomware ins Visier genommen zu werden?

Die typische Auszahlung durch Ransomware-Angriffe ist von 312.000 $/260.000 £ im Jahr 2020 auf 570.000 $/476.000 £ im Jahr 2021 gestiegen – ein Anstieg von 83 %. Ein Bericht bestätigte zusätzlich, dass 66 % der befragten Organisationen im Jahr 2021 Opfer von Ransomware-Angriffen wurden, fast doppelt so viele wie im Jahr 2020 (37 %). Dies unterstreicht die Notwendigkeit für Unternehmen, die Gefahren zu kennen und stärkere Abwehrmaßnahmen zu ergreifen, um die Bedrohungen zu bekämpfen.

Ransomware gehört weiterhin zu den häufigsten Cyberangriffen im Jahr 2022, aufgrund ihrer profitablen Natur und des relativ geringen Aufwands, der von den Tätern verlangt wird. Dieser schwächende Angriff verursacht eine durchschnittliche Ausfallzeit von drei Wochen und kann erhebliche Auswirkungen auf ein Unternehmen, seine Finanzen, seinen Betrieb und seinen Ruf haben.

Da es keine Garantie dafür gibt, dass Cyberkriminelle Informationen veröffentlichen, nachdem ein Lösegeld gezahlt wurde, ist es wichtig, Ihre Informationen zu schützen und Offline-Backups Ihrer Informationen aufzubewahren. Es ist auch wichtig, Eintrittsfaktoren, die ein Hacker ausnutzen könnte, proaktiv zu überwachen und zu verteidigen, um das Potenzial zu verringern, von vornherein fokussiert zu werden.

Wer könnte Ziel von Ransomware werden?

Bisher haben sich Cyberkriminelle mit Ransomware in der Regel auf hochkarätige Organisationen, große Firmen und Behörden konzentriert. Dies wird als „Large Sport Looking“ bezeichnet und geht davon aus, dass diese Unternehmen viel eher dazu neigen, höhere Lösegelder zu zahlen und sich einer unerwünschten Prüfung durch die Medien und die Öffentlichkeit fernzuhalten. Sicherlich sind Organisationen, ähnlich wie Krankenhäuser, höherwertige Ziele, da sie viel anfälliger sind, ein Lösegeld zu zahlen und kurzfristig Maßnahmen zu ergreifen, weil sie dringend Zugriff auf wichtige Informationen benötigen.

Nichtsdestotrotz verlagern Ransomware-Teams derzeit ihren Fokus auf kleinere Unternehmen, als Reaktion auf die erhöhte Belastung durch die Strafverfolgungsbehörden, die gegen bekannte Ransomware-Teams wie REvil und Conti vorgehen. Kleinere Unternehmen werden als einfache Ziele angesehen, denen es an effizienten Cybersicherheitsmechanismen mangelt, um einem Ransomware-Angriff zuvorzukommen, was es einfacher macht, in sie einzudringen und sie auszunutzen.

Am Ende sind Bedrohungsakteure Opportunisten und können die meisten Organisationen als Ziele berücksichtigen, unabhängig von ihrer Größe. Wenn ein Cyberkrimineller eine Schwachstelle bemerkt, ist das Unternehmen ehrlicher Sport.

Wie wird Ransomware bereitgestellt?

Phishing-Angriffe

Die typischste Bereitstellungsmethode für Ransomware sind Phishing-Angriffe. Phishing ist eine Art von Social Engineering und eine effiziente Angriffsmethode, da es auf Täuschung und der Schaffung eines Dringlichkeitsmechanismus beruht. Risikoakteure verleiten Mitarbeiter dazu, verdächtige Anhänge in E-Mails zu öffnen, und das wird in der Regel dadurch erreicht, dass sowohl hochrangige Mitarbeiter als auch andere vertrauenswürdige Autoritätspersonen imitiert werden.

Malvertising

Böswillige Werbung ist eine weitere Taktik, die von Cyberkriminellen zum Einsatz von Ransomware eingesetzt wird. Dabei wird Werbefläche gekauft und mit Malware kontaminiert, die dann auf vertrauenswürdigen und legitimen Websites angezeigt wird. Sobald auf die Anzeige geklickt wird, und unter manchen Umständen sogar, wenn ein Verbraucher auf eine Internetseite zugreift, die Internet-Hosting-Malware enthält, wird dieses Gadget von Malware kontaminiert, die das Gadget auf Schwachstellen scannt, die ausgenutzt werden können.

Schwache Techniken ausnutzen

Ransomware wird auch eingesetzt, indem ungepatchte und veraltete Techniken ausgenutzt werden, wie es 2017 der Fall war, als eine Sicherheitslücke in Microsoft Home Windows, EternalBlue (MS17-010), zu dem weltweiten WannaCry-Ransomware-Angriff führte, der sich auf über 150 Nationen ausbreitete.

Es war der wichtigste Cyberangriff, der den NHS traf: Er kostete 92 Millionen Pfund Schadensersatz zuzüglich der zusätzlichen Kosten für IT-Hilfe bei der Wiederherstellung von Informationen und Techniken, die von dem Angriff betroffen waren, und wirkte sich sofort auf die Versorgung der betroffenen Person durch abgesagte Termine aus.

4 Schlüsselstrategien zum Schutz Ihres Kleinunternehmens vor Ransomware

Es ist wichtig, dass Unternehmen sich bewusst sind, wie sich ein Ransomware-Angriff auf ihre Gruppe auswirken könnte und wie sie Cyberkriminelle daran hindern, ihre Techniken zu durchbrechen und heikle Informationen als Lösegeld zu erpressen. 61 % der Organisationen mit Sicherheitsgruppen, die aus 11–25 Mitarbeitern bestehen, sind laut eigenen Angaben am stärksten an Ransomware-Angriffen beteiligt.

Der NHS hätte die Auswirkungen des WannaCry-Ransomware-Angriffs im Jahr 2017 möglicherweise abgewendet, indem er Warnungen befolgt und von veralteten Softwareprogrammen abgewichen ist und bestimmte Methoden zur Stärkung seiner Sicherheitslage eingeführt hat.

Es ist wichtig, dass Ihr kleines Unternehmen eine proaktive Strategie zur Cybersicherheit verfolgt, indem es die richtigen Instrumente implementiert, um verdächtige Aktivitäten in Ihrer Gemeinde und Infrastruktur zu überwachen, zu erkennen und einzudämmen. Dies kann die Menge und den Einfluss von Wissenslücken und Cyberangriffen verringern.

Defense.com Befürworten Sie diese 4 grundlegenden Möglichkeiten, um Ransomware-Angriffe zu stoppen und den Hackern einen Schritt voraus zu sein:

1 — Coaching

Das Coaching des Cybersicherheitsbewusstseins ist für Unternehmen jeder Größe von entscheidender Bedeutung, da es den Mitarbeitern hilft, zweifelsohne schädliche E-Mails oder Übungen zu identifizieren.

Social-Engineering-Methoden, ähnlich wie Phishing und Tailgating, sind häufig und profitabel, da menschliches Versagen und Mitarbeiter die Gefahren nicht erkennen. Es ist wichtig, dass Mitarbeiter bei E-Mails wachsam sind, die verdächtige Hyperlinks oder ungewöhnliche Anfragen zur Weitergabe privater Informationen enthalten, die normalerweise von jemandem versendet werden, der vorgibt, ein hochrangiger Mitarbeiter zu sein.

Das Sicherheitscoaching ermutigt die Mitarbeiter außerdem, Gäste an Ihren Arbeitsplätzen zu befragen, um Ransomware-Angriffen durch körperliches Eindringen vorzubeugen.

Durch die Implementierung von Coaching zum Bewusstsein für Cybersicherheit wird Ihr kleines Unternehmen dabei unterstützt, Ihre Mitarbeiter routinemäßig in grundlegenden Sicherheitspraktiken zu schulen und zu bewerten und schließlich eine Sicherheitstradition zu etablieren, um die Gefahr von Wissenslücken und Sicherheitsvorfällen zu verringern.

2 – Phishing-Simulatoren

Diese Simulator-Instrumente unterstützen Sie beim Training des Sicherheitsbewusstseins, indem sie vorgetäuschte, aber sensible Phishing-E-Mails an Mitarbeiter senden. Wenn Sie verstehen, wie geneigt Ihre Mitarbeiter sind, auf die Wege eines echten Cyberkriminellen hereinzufallen, können Sie Lücken in ihrem Coaching füllen.

Sobald Sie Phishing-Simulatoren mit Sicherheitscoaching kombinieren, kann Ihre Gruppe die Wahrscheinlichkeit verringern, Opfer eines Ransomware-Angriffs zu werden. Die Mischung aus Coaching und Tests versetzt Sie in eine bessere Position, um den schlauen Versuchen von Cyberkriminellen zuvorzukommen, Ihre IT-Techniken zu infiltrieren und Malware einzuschleusen.

3 — Risikoüberwachung

Sie können Ihr kleines Unternehmen auch weniger zu einem Ziel für Cyberkriminelle machen, indem Sie potenzielle Bedrohungen aktiv überwachen. Risk Intelligence ist ein Bedrohungsüberwachungsinstrument, das Informationen aus verschiedenen Quellen zusammenträgt, ähnlich wie Penetrationsprüfungen und Schwachstellenscans, und diese Daten nutzt, die Ihnen helfen, sich gegen potenzielle Malware- und Ransomware-Angriffe zu verteidigen. Dieser Überblick über Ihr Bedrohungspanorama zeigt, welche Bereiche am anfälligsten für einen Cyberangriff oder eine Wissensverletzung sind.

Proaktiv zu sein stellt sicher, dass Sie Hackern einen Schritt voraus sind, und durch die Einführung von Bedrohungsüberwachungsinstrumenten in Ihrer Gruppe stellen Sie sicher, dass verdächtiges Verhalten frühzeitig erkannt und behoben werden kann.

4 – Endpunktsicherheit

Endpunktsicherheit ist entscheidend, um zu verstehen, welche Ihrer Besitztümer schwach sind, um sie zu schützen und Malware-Angriffe wie Ransomware abzuwehren. Neben Ihrer herkömmlichen Antivirensoftware bietet Endpoint Safety überlegene Sicherheitsfunktionen, die Ihre Community und die darauf befindlichen Geräte vor Bedrohungen wie Malware und Phishing-Kampagnen schützen.

Anti-Ransomware-Funktionen müssen in die Endpunktsicherheit aufgenommen werden, damit Angriffe erfolgreich gestoppt werden können, indem verdächtiges Verhalten wie Dateianpassungen und Dateiverschlüsselung überwacht wird. Die Flexibilität, betroffene Einheiten zu isolieren oder unter Quarantäne zu stellen, ist ebenfalls eine sehr hilfreiche Eigenschaft, um die Verbreitung von Malware zu stoppen.

Auszugsweise

Da Ransomware-Teams häufig nach Schwachstellen suchen, die sie ausnutzen können, ist es wichtig, dass Unternehmen robuste Methoden entwickeln, um Ransomware-Bedrohungen vorzubeugen: Stellen Sie sicher, dass Ihre Mitarbeiter ein gemeinsames Sicherheitsbewusstseins-Coaching erhalten, arrangieren Sie Bedrohungsüberwachungsinstrumente, um Schwachstellen zu erkennen und Sie vor diesen zu warnen, und Implementieren Sie Endpunktsicherheit, um Ihre Einheiten in Ihrer gesamten Gemeinde zu schützen.

Wenn Sie die oben genannten Tipps befolgen, verbessern Sie Ihre Wahrscheinlichkeit, Ihr kleines Unternehmen vor Ransomware-Angriffen zu schützen, die Ihrem Unternehmen eine beträchtliche Menge an Geld und Reputationsschäden kosten könnten.

Protection.com ist der Ansicht, dass erstklassige Cybersicherheit für alle Unternehmen zugänglich sein muss, unabhängig von der Größe. Weitere Daten finden Sie unter Defense.com.

Sei vorsichtig – Dieser Text wurde geschrieben und beigesteuert von Oliver Pinson-Roxburgh, CEO von Protection.com.


[ad_2]
Source link

Continue Reading

Neuesten Nachrichten

Binance stellt den Großteil der von Curve Finance gestohlenen Gelder wieder her – Die neuesten Nachrichten zur Cybersicherheit | Updates zu Malware-Angriffen

Published

on

Binance recovers the majority of funds stolen from Curve Finance

The Ultimate Managed Hosting Platform

2022 war ein profitables Jahr für Hacker, die Jagd auf die aufstrebenden Web3- und dezentralisierten Finanzbereiche (DeFi) machten, mit mehr als Kryptowährung im Wert von 2 Milliarden Dollar geschürft in einer Reihe von hochkarätigen Hacks bis zu diesem Punkt. Kettenübergreifende Protokolle wurden erheblich hart getroffen, wobei der 650-Millionen-Dollar-Ronin-Bridge-Hack von Axie Infinity in diesem Jahr einen guten Teil der gestohlenen Gelder ausmachte.

Die Plünderung setzte sich bis in die zweite Hälfte des Jahres 2022 fort, als die Cross-Chain-Plattform Nomad feststellte, dass 190 Millionen US-Dollar aus den Brieftaschen abgezogen wurden. Das Solana-Ökosystem war das folgende Ziel, bei dem Hacker Zugriff auf die nicht öffentlichen Schlüssel von etwa 8000 Wallets hatten, was zu einem Preis von 5 Millionen US-Dollar für Solana führte (SOL) und Die Token der Solana-Programmbibliothek (SPL) werden gestohlen.

deBridge Finance hat es geschafft am Montag, den 8. August, einem versuchten Phishing-Angriff ausweichen, die die Strategien entpacken, die von dem verwendet werden, was die Agentur für einen weitreichenden Angriffsvektor hält, der von Hackern der nordkoreanischen Lazarus-Gruppe verwendet wird. Nur wenige Tage später, Curve Finance erlitt einen Exploit die bemerkt haben, dass Hacker Kunden auf eine gefälschte Webseite umgeleitet haben führte zu einem Diebstahl im Wert von 600.000 $ von USD-Münzen (USDC).

Eine Reihe von Faktoren des Scheiterns

Die Gruppe von deBridge Finance lieferte in Korrespondenz mit Cointelegraph einige relevante Einblicke in die Prävalenz dieser Angriffe, unter der Bedingung, dass ziemlich viele ihrer Gruppenmitglieder zuvor für eine herausragende Antivirenfirma gearbeitet haben.

Mitbegründer Alex Smirnov betonte das treibende Problem hinter der Fokussierung auf Cross-Chain-Protokolle angesichts ihrer Funktion als Liquiditätsaggregatoren, die Cross-Chain-Wertwechselanforderungen erfüllen. Die meisten dieser Protokolle zielen darauf ab, so viel Liquidität wie möglich durch Liquiditätsabbau und verschiedene Anreize zu mischen, was sich unweigerlich in einen Honigtopf für schändliche Akteure verwandelt hat:

„Indem sie eine beträchtliche Menge an Liquidität sperren und versehentlich verschiedene zugängliche Angriffsstrategien anbieten, machen sich Bridges selbst zum Ziel für Hacker.“

Smirnov fügte hinzu, dass Überbrückungsprotokolle Middleware sind, die von den Sicherheitsmoden aller unterstützten Blockchains abhängen, aus denen sie gemischt werden, was die potenzielle Angriffsfläche drastisch erhöhen wird. Dies macht es auch möglich, einen Angriff in einer einzelnen Kette durchzuführen, um Liquidität von anderen anzuziehen.

Damit verbundenen: Gibt es eine sichere Zukunft für Cross-Chain-Bridges?

Smirnov fügte hinzu, dass sich der Web3- und Cross-Chain-Bereich in einer Phase der Entstehung befindet, mit einem iterativen Mittel zur Verbesserung, indem Gruppen die Fehler anderer untersuchen. Der deBridge-Mitbegründer zog Parallelen zu den ersten zwei Jahren im DeFi-Bereich, in denen Exploits weit verbreitet waren, und räumte ein, dass dies ein reiner Kinderkrankheitenkurs war:

„Der Cross-Chain-Bereich ist selbst im Kontext von Web3 außerordentlich jünger, daher sehen wir einen ähnlichen Ablauf. Cross-Chain hat ein großes Potenzial und es ist unvermeidlich, dass zusätzliches Kapital hereinfließt und Hacker zusätzliche Zeit und Ressourcen für die Entdeckung von Angriffsvektoren aufwenden.“

Der DNS-Hijacking-Vorfall von Curve Finance veranschaulicht zusätzlich die Anzahl der Angriffsstrategien für schändliche Akteure. Paolo Ardoino, Chief Know-how Officer von Bitfinex, informierte Cointelegraph, dass der Handel vor allen Sicherheitsbedrohungen auf der Hut sein muss:

„Dieser Angriff zeigt einmal mehr, dass der Einfallsreichtum von Hackern eine nahe und allgegenwärtige Gefahr für unsere Branche darstellt. Die Wahrheit, dass ein Hacker bereit ist, den DNS-Eintrag für das Protokoll zu ändern, Kunden an einen gefälschten Klon weiterzuleiten und einen böswilligen Vertrag zu genehmigen, sagt viel über die Wachsamkeit aus, die ausgeübt werden muss.“

Die Flut aufhalten

Da Exploits weit verbreitet sind, werden die Aufgaben zweifellos darin bestehen, Methoden zur Minderung dieser Gefahren in Betracht zu ziehen. Die Antwort ist alles andere als eindeutig, wenn man bedenkt, wie viele Möglichkeiten Angreifer haben. Smirnov verwendet gerne eine „Schweizer Käsefigur“, wenn es um die Sicherheit von Überbrückungsprotokollen geht, wobei die einzige Methode, einen Angriff auszuführen, darin besteht, dass sich viele „Löcher“ kurzzeitig aneinanderreihen.

„Um das Ausmaß der Gefahr vernachlässigbar zu machen, muss das Ausmaß der Öffnung auf jeder Schicht so gering wie möglich gehalten und die Vielfalt der Schichten maximiert werden.“

Dies kann angesichts der betroffenen Übertragungskomponenten in Cross-Chain-Plattformen erneut eine schwierige Aufgabe sein. Der Aufbau zuverlässiger mehrstufiger Sicherheitsmoden erfordert das Verständnis der Bandbreite der Gefahren im Zusammenhang mit kettenübergreifenden Protokollen und den Gefahren unterstützter Ketten.

Die Hauptbedrohungen verkörpern Schwachstellen mit dem Konsensalgorithmus und der Codebasis der unterstützten Ketten, 51 % Angriffe und Blockchain-Reorganisationen. Gefahren für die Validierungsschichten können die geheime Absprache von Validierern und eine kompromittierte Infrastruktur beinhalten.

Gefahren bei der Verbesserung von Softwareprogrammen sind außerdem eine weitere Überlegung mit Schwachstellen oder Fehlern in wichtigen Verträgen und Brückenvalidierungsknoten. Schließlich weist deBridge als weitere Sicherheitsüberlegung auf die Gefahren der Protokollverwaltung hin, die mit kompromittierten Protokollautoritätsschlüsseln vergleichbar sind.

„All diese Gefahren werden in Kürze verschlimmert. Aufgaben sollten eine facettenreiche Strategie verfolgen und zusammen mit Sicherheitsaudits und Bug-Bounty-Kampagnen verschiedene Sicherheitsmaßnahmen und Validierungen in das Protokolldesign selbst einfließen lassen.“

Social Engineering, besser bekannt als Phishing-Angriffe, ist eine weitere Ebene, über die Sie nachdenken sollten. Während es der deBridge-Gruppe gelang, diese Art von Angriff zu vereiteln, bleibt sie dennoch einer der vorherrschende Bedrohungen für das breitere Ökosystem. Schulungen und strenge interne Sicherheitsversicherungen sind sehr wichtig, um zu verhindern, dass diese schlauen Versuche zum Opfer fallen, Anmeldeinformationen zu stehlen und Programme zu entführen.

The Ultimate Managed Hosting Platform

Source link

Continue Reading

Neuesten Nachrichten

Forscher warnen vor anhaltender Massenausnutzung der RCE-Schwachstelle von Zimbra – die neuesten Nachrichten zur Cybersicherheit | Updates zu Malware-Angriffen

Published

on

Researchers Warn of Ongoing Mass Exploitation of Zimbra RCE Vulnerability

The Ultimate Managed Hosting Platform

Durch:
Networking-Tools-Chef Cisco bestätigte am Mittwoch, dass es das Opfer eines Cyberangriffs am 24. Mai 2022 war, nachdem die Angreifer Zugriff auf das private Google-Konto eines Mitarbeiters erlangt hatten, das Passwörter enthielt, die von ihrem Internetbrowser synchronisiert wurden.
„Der vorläufige Zugang zum Cisco VPN wurde durch die gewinnbringende Kompromittierung des privaten Google-Kontos eines Cisco-Mitarbeiters erreicht“, sagte Cisco Talos in einem ausführlichen Artikel. „Der Verbraucher hatte die Passwortsynchronisierung über Google Chrome aktiviert und seine Cisco-Anmeldeinformationen seines Browsers gespeichert, sodass diese Daten mit seinem Google-Konto synchronisiert werden konnten.“
Die Offenlegung erfolgt, als mit der Yanluowang-Ransomware-Gang in Verbindung stehende Cyberkriminelle am 10.
Die exfiltrierten Daten, die auf Talos basieren, enthielten den Inhalt eines Cloud-Speicherordners von Field, der mit dem Konto des kompromittierten Mitarbeiters in Verbindung stand und von dem angenommen wird, dass er kein nützliches Wissen enthielt.
Neben dem Diebstahl von Zugangsdaten gab es noch eine weitere Phishing-Methode, bei der der Angreifer auf Methoden wie Vishing (auch bekannt als Voice-Phishing) und Multi-Faktor-Authentifizierung (MFA) zurückgriff, um den Täter dazu zu bringen, dem VPN-Kunden Zugang zu gewähren.

MFA-Müdigkeit oder sofortige Bombardierung ist der Titel einer Methode, die von Risikoakteuren verwendet wird, um die Authentifizierungs-App eines Verbrauchers mit Push-Benachrichtigungen zu überfluten, in der Hoffnung, dass sie nachgeben und es einem Angreifer aufgrund dieser Tatsache ermöglichen, unbefugten Zugang zu einem Konto zu erlangen.
„Dem Angreifer gelang es schließlich, eine MFA-Push-Akzeptanz zu erreichen, die ihm Zugang zu VPN im Kontext des fokussierten Verbrauchers gewährte“, sagt Talos.
Nachdem der Angreifer einen vorläufigen Halt in der Umgebung gefunden hatte, registrierte er eine Reihe neuerer Geräte für MFA und eskalierte zu Administratorrechten, die ihnen umfassende Berechtigungen zum Anmelden bei einer Reihe von Methoden erteilten – ein Antrag, der auch die Aufmerksamkeit der Sicherheitsgruppen von Cisco erregte .
Der Risikoakteur, den er einem vorläufigen Einstiegshändler (IAB) mit Verbindungen zur UNC2447-Cyberkriminalität, der LAPSUS$-Risikoakteurgruppe und den Yanluowang-Ransomware-Betreibern zuschreibt, unternahm außerdem Schritte, um seine eigenen Backdoor-Konten und Persistenzmechanismen hinzuzufügen.
UNC2447, ein „aggressiver“, finanziell motivierter Russland-Nexus-Akteur, wurde im April 2021 aufgedeckt, als er einen damaligen Zero-Day-Fehler in SonicWall VPN ausnutzte, um FIVEHANDS-Ransomware fallen zu lassen.
Yanluowang, benannt nach einer chinesischsprachigen Gottheit, ist eine Ransomware-Variante, die seit August 2021 gegen Unternehmen in den USA, Brasilien und der Türkei eingesetzt wird. Anfang April dieses Jahres ermöglichte ein Fehler in seinem Verschlüsselungsalgorithmus Kaspersky, die Malware zu knacken und eine kostenloser Entschlüsseler zur Unterstützung der Opfer.
Darüber hinaus soll der Schauspieler eine ganze Reihe von Tools eingesetzt haben, darunter Remote-Entry-Dienstprogramme wie LogMeIn und TeamViewer, offensive Sicherheitstools wie Cobalt Strike, PowerSploit, Mimikatz und Impacket, die darauf abzielen, ihre Zugangsstufe zu Methoden im Inneren zu erhöhen Gemeinschaft.

„Nachdem der Zugriff auf das VPN hergestellt wurde, begann der Angreifer, das kompromittierte Benutzerkonto zu verwenden, um sich bei mehreren Methoden anzumelden, bevor er begann, sich weiter in die Umgebung einzuklinken“, erklärte es. „Sie sind in die Citrix-Umgebung eingedrungen, haben eine Reihe von Citrix-Servern kompromittiert und schließlich einen privilegierten Zugang zu Bereichscontrollern erhalten.“
Die Risikoakteure wurden später auch beim Übertragen von Datensätzen zwischen Methoden innerhalb der Umgebung mithilfe von Distant Desktop Protocol (RDP) und Citrix beobachtet, indem sie hostbasierte Firewall-Konfigurationen änderten, um nicht darauf hinzuweisen, dass das Toolset in Listen unter dem öffentlichen Benutzerprofil auf kompromittierten Hosts bereitgestellt wurde .
Allerdings wurde keine Ransomware eingesetzt. „Während wir bei diesem Angriff keine Ransomware-Bereitstellung beobachtet haben, waren die verwendeten TTPs gemäß der ‚Pre-Ransomware-Übung‘, die Übung wurde im Allgemeinen genauso stark wahrgenommen wie die Verbreitung von Ransomware in betroffenen Umgebungen“, sagte das Unternehmen.
Cisco sagte weiter, dass die Angreifer, nachdem sie gebootet worden waren, mindestens dreimal versuchten, die E-Mail-Kommunikation mit den Führungskräften des Unternehmens zu ermitteln, sie zur Zahlung aufforderten und dass „niemand von dem Vorfall und dem Datenleck erfahren wird“. Die E-Mail enthielt außerdem einen Screenshot der Auflistung des exfiltrierten Field-Ordners.
Abgesehen von der Einleitung eines unternehmensweiten Passwort-Resets verwirrte die in San Jose ansässige Behörde, dass der Vorfall keinen Einfluss auf ihre Unternehmensabläufe hatte oder zu einem unbefugten Zugriff auf sensibles Käuferwissen, Mitarbeiterdaten und geistiges Eigentum führte, einschließlich dessen, dass „effizient blockiert wird“. Versuch“, seitdem in seine Community einzudringen.

The Ultimate Managed Hosting Platform

Source link

Continue Reading

Neuesten Nachrichten

Xiaomi-Telefone mit MediaTek-Chips als anfällig für gefälschte Zahlungen befunden – die neuesten Nachrichten zur Cybersicherheit | Updates zu Malware-Angriffen

Published

on

Xiaomi Phones

The Ultimate Managed Hosting Platform

Das Web of Issues (IoT) hat für verwandte Einheiten neue Zwecke geschaffen. Hersteller übertragen ältere Headsets und Tastaturen. Eine dieser neuen Nutzungsinstanzen sticht besonders hervor: Zwecke, die viel weniger auf kontinuierliches Streaming angewiesen sind und stattdessen regelmäßig kleine Mengen an Wissen weitergeben. Dies gilt insbesondere für Sensorzwecke, wenn ein entferntes Peripheriegerät Details über seine Umgebung weitergibt – vergleichbar mit einem Thermostat, einem Sicherheitssensor oder einem medizinischen Überwachungsgerät. Gleichzeitig macht ein Fortschritt im Bluetooth-Standard diese neuen Zwecke möglich.

Eine kurze historische Vergangenheit von Bluetooth Basic und Bluetooth Low Energy

Bluetooth fühlt sich an, als wäre es ununterbrochen rund gewesen. Tatsächlich gibt es die einzigartige Spezifikation seit 1998, und die ersten Freisprech-Headsets kamen 1999 auf den Markt. Seitdem wird sie verwendet, um alles von PC-Mäusen und Tastaturen bis hin zu tragbaren Audiosystemen und Kopfhörern zu verbinden. Bluetooth Basic, wie es heute heißt, deckt 79 Kanäle ab und kann bis zu 3 Mb/s bis zu 50 Meter übertragen – was es unter anderem für die Informationsübertragung, das Streamen von Audio und das Teilen von Filmmaterial mit verschiedenen Smartphones hilfreich macht .

Während viele Geräte, die Bluetooth Basic verwenden, batteriebetrieben sind (zumindest die Peripheriegeräte), war Energie kein Problem – da Elemente für einfaches Aufladen und Batteriewechsel konzipiert wurden. Es spielte keine Rolle, ob der Akku Ihrer PC-Maus nur ein paar Tage dauerte. Sie können einfach ein Ladekabel einstecken oder die Akkus tauschen.

Ein brandneues Normal, Bluetooth Low Energy (BLE), ist entstanden, um die Bandbreitengebühren zu senken, beginnend bei 125 Kb/s bis zu 2 Mb/s, zusammen mit einem brandneuen verbindungslosen Modus zusammen mit dem verbindungsorientierten Modus von Basic . Die wichtigste Entwicklung in BLE ist die Stromsparfunktionalität, um Energieeinheiten viel länger zu nutzen. Standardmäßig schlafen BLE-Peripheriegeräte, bis sie Informationen übertragen können. Zusammen mit einer geringeren Energienutzung während der Übertragung bei geringeren Informationsgebühren beträgt der Energieverbrauch von BLE-Einheiten normalerweise nur 1-5 % der Einheiten, die Bluetooth Basic verwenden. Ihr Energieverbrauch liegt im Bereich von 15-20 Mikroampere, was bedeutet, dass eine normale Knopfzelle die meisten BLE-Einheiten jahrelang mit Energie versorgen kann.

Neugestaltung des Netzes medizinischer Probleme

Günstige Gebühren für Informationsschalter gepaart mit niedrigem Energieverbrauch machen BLE-Einheiten für Käuferzwecke interessant, vergleichbar mit Kopfhörern und Thermostaten, aber das ist nur ein Teil der Geschichte. Diese gleichen Eigenschaften machen BLE auch für verwandte medizinische Einrichtungen – oder auch bekannt als Web of Medical Issues (IoMT) – zu einem herausragenden BLE. Ein Glukosemonitor kann beispielsweise BLE verwenden, um Glukosebereiche zur praktischen Überwachung an ein Smartphone weiterzuleiten. In einer Krankenhausumgebung könnten billige BLE-Tags, die an Einheiten angeschlossen sind, die Bestandsüberwachung und -platzierung erheblich vereinfachen. Darüber hinaus macht die Hilfe von BLE für eine große Anzahl verwandter Peripheriegeräte es viel hilfreicher in einer medizinischen oder Krankenhausumgebung, die viele (oder Hunderte) verwandter medizinischer Einheiten enthalten kann. Denken Sie zum Beispiel an die Überwachungsstation einer Krankenschwester. Mit BLE haben Sie möglicherweise alle EKGs am Boden und verschiedene Überwachungseinheiten für betroffene Personen, die Telemetrieinformationen an einen zentralen Ort weiterleiten. Es ist der gleiche Gedanke hinter gesundheitsbezogenen Wearables, vergleichbar mit koronaren Herzmonitoren und Gesundheitsuhren – die alle Pulsinformationen über BLE weiterleiten.

Das Zuteilen von Kabeln, umständlichen Batterien und das Ermöglichen der Smartphone-Kommunikation ist ein großer Schritt nach vorne. Doch wie bei jeder Innovation gibt es unvermeidliche Gefahren. Und im Fall von medizinischen Einheiten führen diese Gefahren nicht nur zu Problemen wie einer Verringerung der Audioqualität oder der Batterielebensdauer. Apropos IoMT: Maschinengefahren können gerade die Sicherheit betroffener Personen gefährden.

Cybersicherheit im Web of Medical Issues

Für verwandte medizinische Einheiten sind Cyberangriffe eine große Bedrohung für die Sicherheit betroffener Personen. Beispielsweise kann ein Angriff auf eine BLE-Funkschnittstelle die wichtige Leistung eines IoMT-Geräts beeinträchtigen – was eine betroffene Person verletzen oder möglicherweise töten kann. Eine Reihe von Sicherheitslücken wie diese wurden bereits in Bluetooth-fähigen medizinischen Einheiten gefunden, was zu weit verbreiteten Offenlegungen, obligatorischen Schadensbegrenzungen und Maschinenerinnerungen führte. Einige der wirkungsvollen Beispiele sind die SweynTooth-Schwachstellen die sich auf eine Vielzahl von BLE-IoMT-Einheiten auswirkte. Die Wirkung war so extrem, dass die FDA ein druckte Sicherheitskommunikation an Hersteller medizinischer Geräte, Warnung vor den Gefahren, die entstehen, wenn eine von vielen Schwachstellen ausgelöst wurde – was zum Absturz, zum Stillstand und Einfrieren von Einheiten führen und es einem Angreifer sogar ermöglichen kann, seine Sicherheitsvorkehrungen zu umgehen.

Die wichtigste Lektion von SweynTooth (und andere Schwachstellen bevorzugen es) war, dass es Hersteller auf Upstream-Schwachstellen innerhalb der Bereitstellungskette aufmerksam machte. Was die Schwachstellen anbelangt, so haben Medizingerätehersteller den fehlerhaften Code nicht geschrieben. In Wahrheit waren sie sich ihrer Existenz nicht bewusst. Sie beschafften lediglich ein Bluetooth System on Chip (SoC) von einem vertrauenswürdigen, bekannten Hersteller digitaler Teile und bauten es in ihre Maschine ein. Die SoCs lieferten die Schwachstellen. Es wurden lediglich vor der Produktladung keine ausreichenden Sicherheitstests durchgeführt, was jedes System, in das sie integriert sind, in Gefahr bringt.

Aufdecken versteckter Schwachstellen mit Protokoll-Fuzzing

Die SweynTooth-Schwachstellen betrafen eine Reihe qualifizierter Hersteller, darunter Texas Devices, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics und Telink Semiconductor. Wie wurden so viele alternative Hersteller beeinflusst? Das Problem ist, dass die Schwachstellen in den Protokollstapeln versteckt wurden, was es äußerst schwierig macht, sie zu erkennen und zu diagnostizieren. Während die Sicherheitsbranche eine Reihe bewährter Verfahren zum Auffinden von Schwachstellen auf Anwendungsebene entwickelt hat – zusammen mit gängigen Techniken und Datenbanken von Bedrohungsbibliotheken, die mit Softwareprogrammen und -bibliotheken abgeglichen werden können – sind Schwachstellen auf Protokollebene viel schwieriger zu lokalisieren . In Wahrheit gibt es nur eine Strategie, um diese Art von Schwachstellen angemessen zu untersuchen: einen umfassenden Testmechanismus, der oft als Protokoll-Fuzzing bezeichnet wird.

Laienhaft ausgedrückt bedeutet Protokoll-Fuzzing das systematische Einfügen verschiedener Fehler direkt in eine Kommunikationsänderung, um die Einheit am anderen Ende einer Verbindung zu verwirren und in einen falschen Zustand zu versetzen. Dies kann ziemlich einfache Fehler enthalten, vergleichbar mit dem Senden mehrerer Kopien eines Pakets, oder kann zu subtileren Beschädigungen eines Protokolls führen. Nachfolgend sind einige Beispiele aufgeführt:

  • Die Flags, die den Beginn und das Ende einer Verbindung angeben, können in einem einzigen Paket gesetzt werden.
  • Felder innerhalb eines Pakets können zu massiv oder zu klein sein.
  • Felder innerhalb eines Pakets können auf ungültige Werte gesetzt werden.
  • Pakete können außerhalb der Reihenfolge zugestellt werden.

In vielen Fällen ist der „Handshake“, der zu Beginn einer Verbindung stattfindet, um Sicherheit, Verschlüsselung und andere Kommunikationsparameter zu überprüfen, ein einfaches Ziel für Ausbeutung. Da sich die entfernte Maschine hauptsächlich auf der Grundlage der während des Handshakes festgelegten Einstellungen selbst konfiguriert, können speziell beschädigte Pakete (oder Paketsequenzen) Abschaltungen oder Kommunikationsfehler verursachen, die manuell zurückgesetzt werden müssen.

Im schlimmsten Fall kann ein Angreifer auf den Handshake selbst abzielen, wie in dokumentiert CVE-2019-19194. Da der Handshake Sicherheits- und Verschlüsselungsparameter festlegt, kann ein Angreifer die Kontrollen umgehen, die normalerweise bestimmte Aktionen einschränken und eine willkürliche Verwaltung des Systems ermöglichen. Insbesondere für IoMT-Einheiten kann dies offensichtliche und katastrophale Auswirkungen haben. Ein Angreifer kann das Gerät anweisen, falsche Telemetrieinformationen zu melden, andere Anweisungen zu ignorieren, die Datenschutzrichtlinien der betroffenen Person zu verletzen, indem er Informationen an ein nicht autorisiertes System weiterleitet, und sogar eine wahrscheinlich tödliche Behandlungsdosis verabreichen.

Sichern von Schwachstellen auf Protokollebene in BLE-fähigen IoMT-Einheiten

Jede solche Schwachstelle ist eindeutig ein kritisches Anliegen für Hersteller medizinischer Geräte – wie der Fokus der FDA auf die USA und die damit verbundene behördliche Prüfung weltweit widerspiegelt. Aber was ist eine der einfachsten Möglichkeiten, verwandte Einheiten zu bewachen? Für den Anfang bedeutet dies, Validierungs- und Verifizierungsmethoden zu implementieren, um Schwachstellen in SoC-Protokollstapeln festzustellen. Produzenten müssen die letzte Schutzlinie erfüllen. In jedem Fall sind sie an der Reihe, um schnell Warnmeldungen, Minderungsmethoden und Firmware-Updates zur Behebung betroffener Einheiten an Betroffene und Pflegedienstleister zu verteilen. Und, wie im obigen Fall bekannt, sind selbst die ressourcenstärksten Anbieter nicht davor gefeit, anfällige Chipsätze zu liefern.

Dennoch ist Sicherheit eine Reise, kein Urlaubsort. Aus diesem Grund sollten Maschinenhersteller zumindest vor der Produkteinführung auf Abhilfe-Updates von Chipsatz-Händlern bestehen. Und gleichzeitig müssen sie es auch selbst auf sich nehmen, intensive Protokoll-Fuzzing-Bewertungen ihrer Einheiten durchzuführen – und zwar zusammen mit ihren Validierungs- und Verifizierungsmethoden in FDA-Vorabzulassungsanträgen.

Für medizinische #ConnectedDevices sind #Cyberattacken eine massive Bedrohung für die Patientensicherheit. Mit zunehmender Verbreitung von BLE-Konnektivität für #IoMT-Geräte wird die Protokoll-Fuzzing-Validierung noch wichtiger. #Cybersicherheit #Daten respektierenZum Twittern klicken

Da die BLE-Konnektivität für IoMT-Geräte immer mehr an Bedeutung gewinnt, wird die Protokoll-Fuzzing-Validierung immer wichtiger, um die Sicherheit betroffener Personen und den Glauben an den Fortschritt der angewandten Wissenschaften aufrechtzuerhalten. Glücklicherweise sind Protokoll-Fuzzing-Toolkits besonders weit verbreitet und einfacher zu verwenden – selbst für hochkarätige Managementgruppen, die wenig bis gar keine Erfahrung in Cybersicherheit haben. Angesichts der Zeit, die ein Chipsatz-Anbieter möglicherweise benötigt, um Schwachstellen vollständig zu reproduzieren, zu diagnostizieren, zu behandeln und zu validieren, ist es jetzt an der Zeit, mit der Methode zum Testen von Waren innerhalb der Verbesserungspipeline zu beginnen. Man sollte sich nur an SweynTooth wenden, um zu sehen, dass je später eine Schwachstelle entdeckt wird, desto teurer die Behebung ist.


[ad_2]
Source link

Continue Reading

Trending