CyberCompare

11. Juni 2021: JBS zahlt an Cyberkriminelle ++ Cyberangriffe in Frankreich ++ Microsoft Schwachstellen

JBS zahlt 11 Mio an Cyberkriminelle – fast 6 % des jährlichen IT-Budgets

Nachdem Colonial Pipeline bereits 4,4 Millionen US-Dollar Lösegeld an die DarkSide-Gruppe zahlte, hat sich jetzt auch JBS der Forderung seines Angreifers REvil gebeugt: Am Mittwoch gab JBS USA mit Sitz in Greeley, Colorado bekannt, 11 Millionen US-Dollar in Kryptowährung an REvil gezahlt zu haben. Das entspricht fast 6 % des jährlichen IT-Budgets.

Die Zahlung scheint nicht nur für das Entschlüsselungstool geleistet worden zu sein, sondern auch für eine Garantie seitens REvil, keine gestohlenen Daten weiterzugeben. Wie sehr man sich auf ein Versprechen von Kriminellen verlassen kann, ist fraglich. Sicher ist: Eine Hundert-Prozent-Garantie gibt es nie.

 

„Dies war eine sehr schwierige Entscheidung für unser Unternehmen und für mich persönlich“, sagt Andre Nogueira, CEO von JBS USA. „Wir waren jedoch der Meinung, dass diese Entscheidung getroffen werden musste, um ein mögliches Risiko für unsere Kunden zu vermeiden.“

JBS geht zwar nicht davon aus, dass Daten gestohlen wurden, aber man habe sich in Absprache mit internen IT-Fachleuten und externen Cybersecurity-Experten dazu entschieden, alle potenziellen Gefahren im Zusammenhang mit dem Angriff zu entschärfen und sicherzustellen, dass keine Daten exfiltriert werden.

Das FBI, die britische National Crime Agency und andere Strafverfolgungsbehörden haben deutlich gemacht: Rechtlich gesehen bleibt die Entscheidung, ob ein Lösegeld gezahlt wird oder nicht, bei den Opfern. Eine Einschränkung gilt, wenn der Angreifer auf der Sanktionsliste des US-Finanzministeriums (Office of Foreign Assets Control) steht. In diesem Fall sollten sich Unternehmen zuerst mit dem US-Finanzministerium in Verbindung setzen, bevor sie Geld überweisen, da sie sich sonst in rechtliche Schwierigkeiten begeben könnten.

Unklar ist, wie viel Lösegeld REvil anfangs forderte. Cyberkriminelle beginnen oft mit einer hohen Summe und lassen die Opfer dann ein wenig herunterhandeln.

REvil ist eine von vielen Hacker-Gruppen, die als RaaS-Operation betrieben wird, d. h. ein Betreiber oder eine Gruppe entwickelt die Malware und unterstützende Dienste – wie z. B. eine Datenleck-Site und ein Zahlungsportal, auf dem auch Verhandlungen stattfinden können – und stellt sie dann den Partnern zur Verfügung, die die Ziele infizieren. Jedes Mal, wenn ein Opfer bezahlt, behält der Betreiber einen Anteil und leitet den Rest an den verantwortlichen Partner weiter.

Der Fall JBS ist einmal mehr eine Erinnerung daran, Cyberkriminalität ein Geschäft ist, und Ransomware-Gangs sind da keine Ausnahme.

Quelle:

https://www.databreachtoday.com/blogs/ransomware-to-riches-story-jbs-pays-criminals-11-million-p-3055

Zwei Cyberangriffe in Frankreich: Fashion-Kette Camaïeu & Gemeinde Pont-Saint-Esprit betroffen

Marc Grosclaude von der regionalen Tageszeitung La Voix du Nord berichtet von einem Cyber-Angriff auf den Mode-Einzelhändler „Camaïeu“, der dazu geführt hat, dass die Lagerbestände knapp sind und die betroffenen Computersysteme Schwierigkeiten haben, die Bestände wieder aufzufüllen.

„Wir wissen nicht wirklich, was los ist“, gibt eine Verkäuferin einer Camaïeu-Filiale in der Gegend von Lille zu, die nur von einem „Computerfehler“ gehört hat und glaubt, dass die Website am Montag wieder starten könnte. „Wir bitten die Kunden, die Quittungen aufzubewahren, weil wir keinen Zugriff mehr auf die Kundenkarten haben.“

Auf der Unternehmens-Website werden die Kunden darüber informiert, dass es aktuell nicht möglich sei auf die Website zuzugreifen, den Kundenservice zu erreichen oder Treuevorteile zu nutzen:

„Unser Unternehmen wurde leider Opfer eines Cyber-Angriffs, der direkt auf unsere Marke und insbesondere auf unsere E-Commerce-Website und unser IT-System abzielte“, heißt es in der Erklärung.

„Seien Sie versichert, dass dies keine Auswirkungen auf die Bank- oder Zahlungsdaten hat, die Sie an uns übermittelt haben. Unsere IT-, Logistik- und Vertriebsteams, unterstützt von unseren Partnern und Experten für Cyberkriminalität, sind voll im Einsatz, um die Situation in einer sicheren Umgebung wiederherzustellen“.

Während Camaïeu nicht ausdrücklich von einem Ranswomware-Angriff spricht, bestätigt derweil die französische Gemeinde Pont-Saint-Esprit eine Ransomware-Attacke:

„Wir konnte in den Computernetzwerken des Rathauses eine Ransomware identifizieren“, informiert die Gemeinde.

 „Als Vorsichtsmaßnahme wurde das Informationssystem heruntergefahren, um eine Ausbreitung zu verhindern. Die Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI) wurde sofort benachrichtigt. Zu diesem Zeitpunkt sind die Teams voll mobilisiert, um so schnell wie möglich zum Normalbetrieb zurückzukehren.

Ein von der National Information Systems Security Agency (ANSSI) zertifiziertes Kabinett von Cybersecurity-Experten wurde damit beauftragt, die Quelle des Angriffs zu untersuchen, die Auswirkungen zu bewerten und das System zu sichern“.

Die Versorgung der Bevölkerung sei bisher nicht betroffen.

Quellen:

https://www.databreaches.net/fr-camaieu-retailer-and-municipality-of-pont-saint-esprit-by-security-incidents/

https://www.lavoixdunord.fr/1023325/article/2021-06-09/roubaix-l-enseigne-de-mode-camaieu-paralysee-par-une-cyberattaque

Patch Tuesday: 6 neue Microsoft Zero Day Schwachstellen entdeckt

Der Microsoft Juni-Patch-Dienstag enthielt Patches für sechs Zero-Day-Schwachstellen, die in freier Wildbahn ausgenutzt werden. Darunter zwei von Kaspersky entdeckte Schwachstellen, die von einer neuen Bedrohungsgruppe namens PuzzleMaker ausgenutzt werden. Keine wird als kritisch eingestuft, aber Analysten empfehlen, dass das Patchen jeder einzelnen wichtig ist.

Dass Microsoft die Zero-Day-Schwachstellen nur als „wichtig“ und nicht als „kritisch“ einstuft, bedeutet nicht, dass sie von IT-Administrationsteams mit einer geringeren Priorität behandelt werden sollten, sagt Chris Goettl, Senior Director of Product Management bei der Endpunktsicherheitsfirma Ivanti.

„Dies rückt eine wichtige Herausforderung bei der Priorisierung in den Vordergrund – Schweregradbewertungen und Scoring-Systeme wie CVSS spiegeln in vielen Fällen nicht das reale Risiko wider“, sagt Goettl. „Die Einführung eines risikobasierten Ansatzes für das Schwachstellenmanagement und die Verwendung zusätzlicher Risikoindikatoren und Telemetrie über reale Angriffstrends sind entscheidend, um Bedrohungen wie moderner Ransomware einen Schritt voraus zu sein.“

Microsoft veröffentlichte Sicherheitsfixes für 50 Schwachstellen in Windows, .NET Core und Visual Studio, Microsoft Office, Microsoft Edge (Chromium-basiert und EdgeHTML), SharePoint Server, Hyper-V, Visual Studio Code – Kubernetes Tools, Windows HTML Platform und Windows Remote Desktop.

Zum ersten Mal seit März wurden im monatlichen Sicherheits-Rollup des Unternehmens keine Schwachstellen in Microsoft Exchange Server behoben.

Die sechs Zero-Day-Schwachstellen, die alle als „wichtig“ oder „niedrig“ eingestuft sind, werden wie folgt verfolgt: CVE-2021-33742, CVE-2021-33739, CVE-2021-31199, CVE-2021-31201, CVE-2021-31955 und CVE-2021-31956. Darüber hinaus erhielt CVE-2021-31968 einen Patch, wird aber laut Microsoft nicht ausgenutzt.

Jerry Gamblin, Director of Security Research bei Kenna Security, spielt zwar die Bedeutung der Gefahr, die von diesen Schwachstellen ausgeht, nicht herunter, weist aber darauf hin, dass Administratoren nicht überreagieren sollten, weil es sich um Zero-Days handelt.

„Sicherheitsteams sollten wegen der sechs Zero-Days, die Microsoft im heutigen Patch Tuesday identifiziert hat, nicht in Panik geraten, da wir noch keine unabhängige Bestätigung für diese spezifischen Exploits haben. Organisationen sollten ihre Patches nach ihrem regulären Zeitplan durchführen“, sagt Gamblin.

„Die Windows-Betriebssystem-Updates haben diesen Monat oberste Priorität und beseitigen alle Zero-Day-Schwachstellen, die Microsoft behoben hat. Priorisieren Sie das OS-Update, um dieses Risiko schnell zu reduzieren“, ergänzt Goettl.

Quellen:

https://www.databreachtoday.com/microsoft-patches-6-vulnerabilities-currently-under-attack-a-16845

https://msrc.microsoft.com/update-guide/

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.