Microsoft hat kürzlich Behauptungen der Hacktivistengruppe „Anonymous Sudan“ entschieden zurückgewiesen, sie sei erfolgreich in die Server des Technologieunternehmens eingedrungen und habe Anmeldeinformationen von rund 30 Millionen Kundenkonten erbeutet.

Die Gruppe Anonymous Sudan, eine selbsternannte Verbündete von pro-russischen Hacktivisten wie Killnet, ist für ihre verheerenden DDoS-Angriffe auf westliche Einrichtungen bekannt. Im vergangenen Monat verursachte die Gruppe mehrere Ausfälle und Störungen bei Microsoft. Betroffen waren unter anderem Azure, Outlook und OneDrive.

In ihrer neuesten Behauptung gab Anonymous Sudan an, Microsoft erfolgreich gehackt und Zugang zu einer umfangreichen Datenbank mit über 30 Millionen Microsoft-Konten inklusive E-Mails und Passwörtern erhalten zu haben. Die Hacktivisten bieten diese Datenbank angeblich für 50.000 Dollar zum Verkauf an und fordern potenzielle Käufer auf, sich über ihren Telegram-Bot mit ihnen in Verbindung zu setzen.

Als angeblichen Beweis für den erfolgreichen Hack stellte die Gruppe 100 Login-Daten zur Verfügung. Die Herkunft dieser Daten konnte bisher jedoch nicht verifiziert werden. Es ist unklar, ob es sich um alte Daten, das Ergebnis eines Hacks durch Dritte oder tatsächlich um aktuell gestohlene Daten aus Microsoft-Systemen handelt.

Auf Nachfrage von BleepingComputer wies ein Microsoft-Sprecher die Behauptungen von Anonymous Sudan zurück: „Wir haben keine Anzeichen dafür gefunden, dass unsere Kundendaten abgegriffen oder kompromittiert wurden.“

Ob die Untersuchungen von Microsoft bereits abgeschlossen sind oder noch andauern, ist unklar.

Die IT-Experten von Unit42, einer Abteilung von Palo Alto, verfolgen aufmerksam eine Cybercrime-Kampagne, die auf das Internet der Dinge (IoT) abzielt. Dabei nutzen die Angreifer Sicherheitslücken aus, um Varianten des gefürchteten Mirai-Botnets zu verbreiten.

Die Angreifer nutzen insgesamt 22 Sicherheitslücken, um vollen Zugriff auf die anfälligen Geräte zu erlangen und sie ihrem Botnet hinzuzufügen. Mit dieser Kontrolle führen sie dann weitere Angriffe wie Distributed Denial of Service (DDoS) durch.

Eine erste Welle dieser Kampagne wurde im März erkannt, als ein Shell-Downloader entdeckt wurde, der verschiedene Bot-Clients für unterschiedliche Prozessorarchitekturen herunterlädt und ausführt. Eine nachfolgende Kampagne im April nutzte denselben Shellcode-Downloader.

Die IT-Forensiker stellten fest, dass die Angreifer ständig neue Exploits hinzufügten und so immer mehr Router angriffen und in Drohnen für ihr Botnetz verwandelten. Aufgrund der Verhaltensmuster der heruntergeladenen Botnet-Clients gehen die Forscher davon aus, dass es sich um Varianten des Mirai-Botnets handelt.

→ weiterlesen

In jüngster Zeit sind mobile Endgeräte zu einem immer beliebteren Ziel von Cyberkriminellen geworden, da sie nicht nur Zugang zu mobilen Banking-Apps bieten, sondern zunehmend auch als Brücke zu Unternehmensanwendungen und IT-Netzwerken dienen.

Laut dem „Global Mobile Threat Report 2023“ von Zimperium nimmt die Zahl der Phishing-Angriffe zu. Erstaunlicherweise sind 80 % der gefälschten Websites, die für Phishing verwendet werden, speziell für mobile Geräte konzipiert oder zumindest für beide Plattformen – mobil und Desktop – optimiert.

Statistiken zeigen, dass die Wahrscheinlichkeit, auf einen Phishing-Angriff per SMS hereinzufallen, sechs- bis zehnmal höher ist als bei Angriffen per E-Mail.

Shridhar Mittal, CEO von Zimperium, weist darauf hin, dass die rasant steigende Nutzung von mobilen Geräten und Apps die Angriffsfläche vergrößert. Mobile Geräte sind aus unserem Alltag nicht mehr wegzudenken, eröffnen aber auch neue Wege für Malware-Attacken.

→ weiterlesen

Seit seinem erneuten Auftauchen im März 2023 versetzt der Android-Banking-Trojaner „Anatsa“ Nutzerinnen und Nutzer weltweit in Alarmbereitschaft – auch in Deutschland. Den Cyberkriminellen ist es gelungen, ihren Schadcode in Apps zu verstecken, die über Google Play heruntergeladen werden können.

Das Sicherheitsunternehmen ThreatFabric hat alarmierende Daten veröffentlicht, wonach die Malware bereits über 30.000 Mal von Google Play heruntergeladen wurde. Deutschland belegt den unglücklichen dritten Platz bei der Anzahl der Installationen. Anatsa versteckt sich vor allem in PDF-Viewer-Apps, Editor-Apps und Office-Anwendungen für Android.

Nachdem ThreatFabric Google auf die schädlichen Apps aufmerksam gemacht hatte, wurden diese umgehend entfernt. Trotzdem gelingt es den Angreifern immer wieder, neue Apps mit eingebetteter Malware hochzuladen. Dabei verfolgen sie eine raffinierte Strategie: Zunächst werden die Apps ohne Schadcode hochgeladen und bestehen so die Google-Prüfung. Spätere Updates enthalten dann den Schadcode.

Anatsa ist keine neue Cyberbedrohung. Bereits im November 2021 gelang es Hackern, diesen Trojaner in Google Play einzuschleusen. Damals wurde die infizierte App über 300.000 Mal installiert.

Sobald eine mit Anatsa infizierte App auf einem Android-Gerät installiert ist, löst sie den Download weiterer Schadsoftware aus. Häufig tarnt sie sich als Texterkennungs-Add-on für Adobe Illustrator. Anatsa sammelt Bank- und Kreditkartendaten, indem es Benutzer auf gefälschte Websites lockt und sie dazu verleitet, ihre sensiblen Daten preiszugeben.

Ein weiteres erschreckendes Merkmal von Anatsa ist der Einsatz eines Keyloggers, der Tastatureingaben aufzeichnet. Die erbeuteten Daten werden missbraucht, um betrügerische Transaktionen im Namen des Opfers durchzuführen. Das gestohlene Geld wird in Kryptowährung umgewandelt und über ein komplexes Netzwerk ins Zielland transferiert.

→ weiterlesen

Die Ransomware-Gruppe Clop hat über eine Zero-Day-Schwachstelle mit der Bezeichnung CVE-2023-34362 in der Datentransfer-Software Moveit erfolgreich mehrere Unternehmen angegriffen, darunter auch Siemens Energy.

Siemens Energy, ein globaler Energieriese mit einem Umsatz von rund 29 Milliarden Euro und mehr als 92.000 Mitarbeitern in über 90 Ländern, hat den Datenabfluss gegenüber Bleeping Computer bestätigt. Siemens Energy ist ein Unternehmen, das auf die Bereitstellung von Lösungen für Energieerzeugung (Turbinen und Generatoren), -verteilung und -übertragung (Transformatoren und Schaltanlagen) spezialisiert ist. Das Unternehmen ist aus der Siemens AG hervorgegangen.

Interessanterweise bietet Siemens Energy auch Beratungsdienstleistungen im Bereich Cybersicherheit für die Öl- und Gasindustrie an. Der aktuelle Cyberangriff unterstreicht die Notwendigkeit starker Cybersicherheitsmaßnahmen nicht nur für ihre Kunden, sondern auch für ihr eigenes Unternehmen.

Das Unternehmen versichert, dass trotz des Angriffs keine kritischen Daten abgeflossen sind und der Geschäftsbetrieb ungestört weiterläuft. Sofortmaßnahmen wurden ergriffen, um die Auswirkungen des Cyberangriffs zu begrenzen.

Siemens Energy ist bereits auf der Datenleck-Seite der Ransomware-Gruppe Clop gelistet. Die Ransomware-Gruppe ist dafür bekannt, Unternehmen zunächst auf ihrer Datenleck-Seite zu listen, bevor sie weitere Schritte unternimmt. Dieser Schritt dient dazu, Druck auf die Unternehmen auszuüben und ihre Forderungen durchzusetzen, bevor sie die gestohlenen Daten veröffentlichen.