Nord-Amerika
Schulbezirk der Gemeinde South Lyon
Cyberkriminelle haben es weiterhin in alarmierendem Tempo auf Bildungseinrichtungen in den USA abgesehen. Das jüngste Opfer, der South Lyon Community School District, war nach einem Ransomware-Angriff gezwungen, die Schulen zu schließen.
Der am 14. September entdeckte Angriff wurde als Folge einer Ransomware-Infektion bestätigt, die von einer bekannten Gruppe durchgeführt wurde, deren Namen die Behörden jedoch noch nicht bekannt gegeben haben. Es gibt zwar keine Beweise dafür, dass Daten von Studenten oder Lehrkräften kompromittiert wurden, aber der Angriff hat die Telefonsysteme und mehrere untergeordnete Systeme lahmgelegt, darunter auch solche, auf die man sich in Notfällen, z. B. bei aktiven Schießereien, verlässt.
Dieser Angriff ist einer von vielen, die Schulen im ganzen Land beeinträchtigen. Laut der gemeinnützigen Organisation Center for Internet Security (CIS) waren zwischen Juli 2023 und Dezember 2024 alarmierende 82 % der K-12-Schulen von einem Cybervorfall betroffen.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Ransomware-Angriffe auf Bildungseinrichtungen sind mittlerweile weit verbreitet, wobei die Kosten für Präventionsmaßnahmen weitaus geringer sind als die Kosten eines tatsächlichen Vorfalls. Eine zuverlässige recovery Backup recovery kann Schulen dabei helfen, sensible Daten zu schützen und den normalen Betrieb auch bei größeren Störungen wie diesen aufrechtzuerhalten.
Vereinigtes Königreich
Harrods
Das luxuriöse Londoner Kaufhaus Harrods gab bekannt, dass die persönlichen Daten von 430.000 Kunden bei einem Datenleck kompromittiert wurden. In einer E-Mail, die am 26. September an die Kunden verschickt wurde, warnte das Unternehmen, dass persönliche Daten gestohlen worden sein könnten, nachdem eines der Systeme seines Drittanbieters kompromittiert worden war.
Harrods erklärte, dass die Auswirkungen auf grundlegende Informationen wie Namen, Kontaktdaten und Marketingpräferenzen „beschränkt” seien. Das Unternehmen betonte, dass Passwörter und Zahlungsdaten nicht betroffen seien. Obwohl die Angreifer versuchten, Kontakt mit dem Unternehmen aufzunehmen, weigerte sich Harrods, mit der Hackergruppe zu verhandeln.
Das Unternehmen fügte hinzu, dass es sich um einen „Einzelfall“ handele, der in keinem Zusammenhang mit einem separaten Vorfall im Mai stehe, als es nach einem Versuch, sich unbefugten Zugang zu verschaffen, den Internetzugang auf allen seinen Websites eingeschränkt hatte. Dennoch handelt es sich hierbei um einen weiteren Angriff in einer Welle von Cybervorfällen, die in letzter Zeit gegen namhafte britische Unternehmen gerichtet waren.
Wie sich das auf Ihr Unternehmen auswirken könnte
Angreifer, die es auf Kundendaten abgesehen haben, haben es zunehmend auf Einzelhandelsketten abgesehen. Der Schutz personenbezogener Daten sollte oberste Priorität haben, denn selbst eine begrenzte Offenlegung von Daten kann das Vertrauen der Kunden und den Ruf der Marke schädigen.
Nord-Amerika
Eine ungenannte FCEB-Agentur
Die Cybersecurity and Infrastructure Security Agency (CISA) gab letzte Woche bekannt, dass Angreifer im vergangenen Jahr in eine nicht näher bezeichnete Behörde der zivilen Exekutive (FCEB) eingedrungen sind, indem sie eine kritische Schwachstelle in deren Open-Source-Kartenserver GeoServer ausnutzten.
Der Angriff erfolgte zwar bereits am 9. Juli 2024 auf einen der Server der Behörde, doch das Endpoint Detection and Response (EDR)-Tool der Behörde alarmierte das Security Operations Center (SOC) erst drei Wochen später. In dieser Zeit nutzten die Angreifer Brute-Force-Techniken, um Passwörter zu stehlen, ihre Berechtigungen zu erweitern und sich lateral zu bewegen, um zwei weitere Server zu kompromittieren.
Die kritische Sicherheitslücke, die eine Remote-Code-Ausführung (RCE) ermöglicht, wurde am 30. Juni 2024 mit einem CVSS-Score von 9,8 bekannt gegeben. Dieser Angriff erfolgte nur zwei Wochen nach dieser Bekanntgabe. Nach dem Vorfall forderte die CISA die Sicherheitsbeauftragten aller Organisationen auf, EDR-Warnmeldungen auf verdächtige Aktivitäten genau zu überwachen und ihre Notfallpläne zu verbessern, um Sicherheitsverletzungen schneller eindämmen zu können.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Dieser Vorfall zeigt, wie schnell Angreifer neue Schwachstellen ausnutzen können, um ein Netzwerk zu kompromittieren und sich seitlich im Netzwerk zu bewegen, ohne entdeckt zu werden. Ein robustes SOC ist unerlässlich, um Bedrohungen frühzeitig zu erkennen und sie einzudämmen, bevor sie sich ausbreiten.
Nord-Amerika
Cisco
Cybersicherheitsbehörden weltweit, darunter die CISA und das britische National Cybersecurity Centre (NCSC), warnten vor einem „fortgeschrittenen Bedrohungsakteur“, der aktiv Geräte ins Visier nimmt, auf denen die Firewall-Software Adaptive Security Appliances (ASA) von Cisco läuft.
Nach Angaben der Behörden nutzt die "weit verbreitete" Kampagne Zero-Day-Schwachstellen in Cisco-Geräten aus, die es Angreifern ermöglichen, bösartigen Code auszuführen und Malware zu installieren. Betroffen sind unter anderem bestimmte Geräte der Cisco ASA 5500-X-Serie, die als firewalls fungieren und Unternehmensnetzwerke vor Eindringlingen schützen.
In einer Erklärung sagten Cisco-Analysten, sie seien „sehr zuversichtlich“, dass die Kampagne mit ArcaneDoor in Verbindung steht – einem staatlich geförderten Bedrohungsakteur, den der Anbieter erstmals im Jahr 2024 identifiziert hat. In einer am vergangenen Donnerstag erlassenen Notfallanweisung wies die CISA die Cyber-Teams der Regierung an, alle betroffenen Geräte innerhalb von etwas mehr als einem Tag zu lokalisieren, sie auf bösartige Aktivitäten zu scannen und die Sicherheitsupdates zu installieren, mit denen die Schwachstellen behoben werden sollen.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Zero-Day-Exploits gegen kritische Netzwerkgeräte wie firewalls können Angreifern einen direkten Weg in Unternehmenssysteme eröffnen. Unternehmen müssen diese Schwachstellen als dringlich behandeln und für schnelle Patches, ständige Überwachung und mehrschichtige Schutzmaßnahmen sorgen, um das Risiko von Spionage und Datendiebstahl zu verringern.
Nord-Amerika
Volvo Nordamerika
Volvo North America hat eine Datenschutzverletzung bekannt gegeben, bei der es um die persönlichen Daten seiner Mitarbeiter ging, nachdem ein Ransomware-Angriff seinen Drittanbieter Miljödata getroffen hatte.
Der Ransomware-Angriff, der sich am 20. August ereignete, betraf mindestens 25 Organisationen, darunter Volvo North America, die skandinavische Fluggesellschaft SAS und mehr als 200 schwedische Gemeinden. Der Angriff richtete sich gegen Systeme, die für ärztliche Atteste, Rehabilitationsunterlagen und die Verwaltung von Arbeitsunfällen verwendet werden. Zu den offengelegten Daten gehörten Namen von Mitarbeitern, Sozialversicherungsnummern, E-Mail-Adressen, Anschriften, Telefonnummern, amtliche Ausweisnummern, Geburtsdaten und Geschlecht.
Eine Ransomware-Gruppe namens DataCarry hat sich zu dem Miljödata-Angriff bekannt und die gestohlenen Daten angeblich bereits auf ihrer Tor-Leak-Seite veröffentlicht.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Ransomware-Angriffe auf Drittanbieter können sich schnell auf mehrere Unternehmen ausweiten und sensible Daten weit über das ursprüngliche Ziel hinaus offenlegen. Unternehmen müssen die Risiken in ihrer Lieferkette bewerten, strenge Sicherheitsstandards für Lieferanten durchsetzen und sicherstellen, dass die mit Partnern geteilten Daten angemessen geschützt sind.
Südamerika
Maida.health
Bei einem weiteren Datenleck durch Dritte hat das brasilianische Gesundheitstechnologieunternehmen Maida.health Berichten zufolge mehr als 2 TB sensible Daten im Zusammenhang mit der Militärpolizei des Landes offengelegt.
Das Unternehmen, das Software für Abrechnungen, Versicherungsansprüche und Telekonsultationen für Gesundheitsdienstleister, darunter auch die brasilianische Militärpolizei, verwaltet, soll einen Datenleck erlitten haben, bei dem 2,3 TB an Daten kompromittiert wurden. Zu den offengelegten Informationen gehören Berichten zufolge medizinische Diagnosen, ID-Nummern und persönliche Daten von Angehörigen der Militärpolizei, was große Bedenken hinsichtlich der Sicherheit der verteidigungsbezogenen Informationen des Landes aufkommen lässt. Noch alarmierender ist, dass die gestohlenen Daten in einem Untergrundforum zum Verkauf angeboten wurden.
QuelleWie sich das auf Ihr Unternehmen auswirken könnte
Das Gesundheitswesen ist nach wie vor ein beliebtes Ziel für Cyberkriminelle, da es über sensible persönliche und medizinische Daten verfügt. Verstöße dieser Art können zu Identitätsdiebstahl, Betrug und langfristigen Schäden für Einzelpersonen und Organisationen führen.
