Mimecast Logo
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Human Risk Roundup: Ein selbstreplizierender Wurm, eine Verhaftung in Großbritannien und eine Facebook-Account-Angst

    Über 180 NPM-Pakete sind betroffen, zwei Teenager wurden verhaftet und Facebook-Nutzer wurden betrogen

    by Cheryl Zupan
    roundup-Blog.jpg

    Wichtige Punkte

    • Eine sich selbst replizierende Malware mit dem Namen "Shai-Hulud" stiehlt die Anmeldedaten von Entwicklern, verwendet sie, um beliebte Pakete zu modifizieren und neu zu veröffentlichen, und stellt die gestohlenen Daten auf öffentlichen GitHub-Repositories zur Verfügung.
    • Zwei Teenager, die mit der Hackergruppe Scattered Spider in Verbindung stehen, wurden in Großbritannien wegen ihrer Beteiligung an der Cyberattacke 2024 auf Transport for London verhaftet.
    • Benutzer wurden durch Phishing-E-Mails dazu verleitet, Malware herunterzuladen, die behauptet, dass ihr Facebook-Konto gelöscht wird, wenn sie keinen Widerspruch einlegen.

    In dieser Ausgabe des Human Risk Roundup befassen wir uns mit drei wichtigen Ereignissen der letzten Zeit - lesen Sie weiter, um mehr zu erfahren.

    Selbstreplizierender Wurm trifft mehr als 180 Softwarepakete

    Eine sich selbst replizierende Malware mit dem Namen "Shai-Hulud" hat über 180 NPM-Pakete infiziert. Sie stiehlt die Anmeldedaten von Entwicklern und verbreitet sich, indem sie sich mit gestohlenen Authentifizierungs-Tokens in andere Pakete einbettet. Der Angriff, der JavaScript-Repositories ausnutzt, zeigt Schwachstellen in automatisierten Paket-Updates auf und unterstreicht die Notwendigkeit strengerer Sicherheitsmaßnahmen wie phish-sichere Zwei-Faktor-Authentifizierung.

    Was geschah

    Dieser Wurm stiehlt die Anmeldedaten von Entwicklern, verwendet sie, um beliebte Pakete zu ändern und neu zu veröffentlichen, und stellt die gestohlenen Daten in öffentlichen GitHub-Repositories zur Verfügung. Die malware verbreitet sich, indem sie gestohlene NPM-Authentifizierungstoken und Tools wie TruffleHog nutzt, um nach vertraulichen Informationen zu suchen. Der Angriff zielt in erster Linie auf Linux- und macOS-Umgebungen ab und überspringt Windows-Systeme. Er wird als "lebende" Bedrohung beschrieben, die bei Auslösung reaktiviert werden kann. Experten betonen die Notwendigkeit strengerer Sicherheitsmaßnahmen, wie z.B. eine von Menschen überprüfte Zwei-Faktor-Authentifizierung, um ähnliche Angriffe auf die Lieferkette in Zukunft zu verhindern.

    Warum es wichtig ist

    Der Shai-Hulud-Wurm stellt eine erhebliche Bedrohung für Cybersicherheitsexperten dar, da er die Software-Lieferkette ausnutzt. Dieser Angriff wirft ein Schlaglicht auf Schwachstellen in automatisierten Prozessen zur Veröffentlichung von Paketen und unterstreicht die Notwendigkeit strengerer Sicherheitsmaßnahmen wie einer robusten Zwei-Faktor-Authentifizierung. Die Fähigkeit des Wurms, sich schnell zu verbreiten und öffentliche Repositories mit gestohlenen Zugangsdaten zu erstellen, unterstreicht die Risiken von Angriffen auf Zugangsdaten und Lieferketten. Cybersecurity-Teams müssen schnell handeln, um solche Bedrohungen einzudämmen, denn schon ein single kompromittierter Entwickler kann die Ausbreitung des Wurms wieder anfachen. Dieser Vorfall ist ein Weckruf für die Branche, der Sicherung von Paket-Repositories und Entwicklerumgebungen Priorität einzuräumen.

    Vier praktische Tipps für Sicherheitsverantwortliche

    1. Verlangen Sie die ausdrückliche menschliche Zustimmung für jede Veröffentlichungsanfrage unter Verwendung einer robusten 2FA-Methode.
    2. Stellen Sie sicher, dass Entwickler ihre NPM-, GitHub- und anderen Authentifizierungs-Tokens regelmäßig wechseln, um das Risiko zu minimieren, dass gestohlene Anmeldedaten für böswillige Zwecke verwendet werden.
    3. Überwachen Sie Code-Pakete und Abhängigkeiten kontinuierlich auf Anzeichen einer Gefährdung.
    4. Führen Sie regelmäßige Schulungen durch, um Entwicklern zu helfen, Phishing-Versuche zu erkennen und zu vermeiden, wie z.B. gefälschte Aufforderungen zur Aktualisierung der Einstellungen für die Multi-Faktor-Authentifizierung, die bei diesem Angriff verwendet wurden.

    Lesen Sie mehr über den Angriff.

    Großbritannien verhaftet "Scattered Spider"-Teenager im Zusammenhang mit Transport for London-Hack

    Zwei Teenager, die mit der Hackergruppe Scattered Spider in Verbindung stehen, wurden in Großbritannien wegen ihrer Beteiligung an der Cyberattacke 2024 auf Transport for London verhaftet, die zu erheblichen Störungen und finanziellen Verlusten führte. Die Verdächtigen werden wegen Computermissbrauchs, Betrugs und weiterer Cyberangriffe angeklagt, darunter auch Angriffe auf US-Gesundheitsorganisationen und Erpressungsversuche weltweit.

    Was geschah

    Owen Flowers und Thalha Jubair waren angeblich an der Cyberattacke vom August 2024 beteiligt. Beide sollen Mitglieder der Hackergruppe Scattered Spider sein, wobei Flowers auch mit Angriffen auf US-Gesundheitsunternehmen in Verbindung gebracht wird. Der TfL-Angriff hat interne Systeme und Online-Dienste gestört und später kompromittierte Kundendaten aufgedeckt. Jubair wird in den USA für mehr als 120 Netzwerkverletzungen und Erpressungsangriffe angeklagt, wobei die Opfer mindestens 115 Millionen Dollar Lösegeld gezahlt haben. Die National Crime Agency wies auf die erhebliche Störung hin, die der Angriff auf TfL, einem Teil der kritischen Infrastruktur Großbritanniens, verursacht hat. Dieser Fall unterstreicht die wachsende Bedrohung durch Cyberkriminalität von Gruppen wie Scattered Spider.

    Warum es wichtig ist

    Die Verhaftungen verdeutlichen die wachsende Bedrohung durch Cyberangriffe auf kritische Infrastrukturen. Dieser Fall unterstreicht die Bedeutung von robusten Cybersicherheitsmaßnahmen, da der Angriff erhebliche Störungen verursachte und Kundendaten preisgab. Die Beteiligung junger Menschen an ausgeklügelter Cyberkriminalität zeigt, wie zugänglich die Hacking-Tools sind und wie notwendig eine proaktive Aufklärung und Abschreckung ist. Darüber hinaus zeigen die mutmaßlichen Verbindungen der Verdächtigen zu Angriffen auf US-Gesundheitsorganisationen die globale Reichweite und den Einfluss solcher cyberkriminellen Gruppen. Der Fall unterstreicht auch die Bedeutung der internationalen Zusammenarbeit bei der Bekämpfung der Cyberkriminalität, da sowohl britische als auch US-amerikanische Behörden beteiligt sind. Für Mitarbeiter der Cybersicherheit ist dieser Vorfall eine Mahnung, der Erkennung von Bedrohungen, Reaktionsstrategien und dem Schutz sensibler Daten Priorität einzuräumen.

    Vier praktische Tipps für Sicherheitsverantwortliche

    1. Implementieren Sie robuste Sicherheitsmaßnahmen, einschließlich regelmäßiger Schwachstellenbewertungen und Pläne zur Reaktion auf Vorfälle, um diese wichtigen Dienste zu schützen.
    2. Bleiben Sie auf dem Laufenden über aktive Cybercrime-Kollektive wie Scattered Spider und ihre Taktiken. Dies kann helfen, potenzielle Bedrohungen zu erkennen und die Abwehrmaßnahmen entsprechend anzupassen.
    3. Sorgen Sie für eine starke Verschlüsselung, Zugangskontrollen und regelmäßige Audits, um sensible Informationen zu schützen.
    4. Arbeiten Sie eng mit Regierungsbehörden zusammen und tauschen Sie Informationen und Beweise aus, da dies bei der Verfolgung von Cyber-Kriminellen helfen kann.

    Lesen Sie mehr über die Verhaftungen.

    FileFix-Kampagne nutzt Facebook-Sperre als Köder

    Die FileFix-Kampagne nutzt Social Engineering aus, indem sie Benutzer unter dem Vorwand, eine Facebook-Kontosperrung zu beheben, zum Herunterladen von Malware verleitet. Dieser ausgeklügelte Angriff nutzt Phishing-E-Mails, Steganografie und verschleierte Nutzdaten, um den StealC Infostealer einzusetzen, der es auf Browser-Anmeldedaten, Krypto-Wallets und mehr in mehreren Ländern abgesehen hat.

    Was geschah

    Die Opfer wurden mit Phishing-E-Mails geködert, in denen behauptet wird, dass ihr Facebook-Konto gelöscht wird, wenn sie keinen Widerspruch einlegen. Die Phishing-Website fordert die Benutzer auf, einen gefälschten Datei-Explorer zu öffnen und einen bösartigen Befehl einzufügen, der ein PowerShell-Skript im Hintergrund ausführt. Dieses Skript lädt ein Bild herunter, das über Steganographie versteckten bösartigen Code enthält, der dann zusätzliche Nutzdaten extrahiert und ausführt. Die letzte Nutzlast, StealC, ist ein fortschrittlicher Infostealer, der es auf Browser-Anmeldeinformationen, Krypto-Wallets und andere sensible Daten abgesehen hat. Die Kampagne verwendet Verschleierungstechniken und operiert weltweit, was eher auf opportunistische als auf gezielte Angriffe hindeutet.

    Warum es wichtig ist

    Die FileFix-Kampagne stellt eine bedeutende Entwicklung bei Social-Engineering-Angriffen dar, bei denen die Angst vor der Sperrung des Facebook-Kontos ausgenutzt wird, um die Opfer zur Ausführung von malware zu verleiten. Dies zeigt, wie Angreifer ihre Techniken verfeinern, z. B. durch den Einsatz von Steganografie, um bösartige Nutzdaten in Bildern zu verstecken, was die Entdeckung erschwert. Die Verwendung von Phishing-E-Mails und gefälschten "Meta Help Support" Nachrichten durch die Kampagne verdeutlicht die anhaltende Bedrohung durch Phishing als Hauptangriffsvektor. Da der Angriff auf Zugangsdaten, Krypto-Wallets und Cloud-Dienste abzielt, stellt er sowohl für Privatpersonen als auch für Unternehmen eine große Gefahr dar. Seine globale Reichweite und seine Fähigkeit, Verschleierungsmethoden anzupassen, machen ihn zu einer vielseitigen und gefährlichen Bedrohung. Cybersecurity-Teams müssen wachsam bleiben, ihre Erkennungsfähigkeiten verbessern und die Benutzer schulen, um die Risiken solcher ausgeklügelten Kampagnen zu mindern.

    Vier praktische Tipps für Sicherheitsverantwortliche

    1. Schulen Sie Ihre Mitarbeiter darin, Phishing-E-Mails und verdächtige Aufforderungen zu erkennen, z. B. solche, die "Meta Help Support" imitieren oder sie auffordern, sofort Maßnahmen zu ergreifen, um eine Kontosperrung zu vermeiden.
    2. Verwenden Sie Tools, die in der Lage sind, steganografische Nutzdaten und Malware, die die Sandbox umgeht, zu erkennen, da diese Techniken immer häufiger bei raffinierten Angriffen eingesetzt werden.
    3. Seien Sie wachsam für IoCs, die mit Kampagnen wie FileFix verbunden sind, die Benutzer weltweit mit verschleierten Nutzdaten und Phishing-Ködern angreifen.
    4. Stellen Sie sicher, dass Endpunkt-Schutzsysteme bösartige Skripte, wie PowerShell-Befehle, erkennen und blockieren können, und verhindern Sie die Ausführung von nicht autorisierten Dateien.

    Lesen Sie mehr über die Kampagne.

    roundup-Blog.jpg
    Nächster Punkt
    Security Awareness Training |
    Zusammenfassung der menschlichen Risiken: E-Mail-Bomben, Browser-basierte Angriffe und Drohnen-Firmen

    Verwandte Artikel

    Security Awareness Training
    Wie man Human Risk misst: 7 Schlüsselmetriken
    Security Awareness Training
    Rationalisierung von Cybersicherheitsstrategien: Die Rolle des menschlichen Risikomanagements
    Security Awareness Training
    Wie Sie die Akzeptanz der Geschäftsleitung für Programme zur Förderung des Sicherheitsbewusstseins erreichen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang