Cyberattacken und Ransomware: Mehrere Opfer, Code-Verkauf und freier Decryptor

Inhaltsverzeichnis

Mehrere Ransomware- und Cyberangriffe haben kürzlich stattgefunden, die teils weitreichende Auswirkungen haben. Zudem gibt es Ransomware-Quellcode im Darknet zu kaufen. Aber auch Positives lässt sich vermelden: Für eine bestimmte Ransomware gibt es einen kostenlosen Decryptor, mit Betroffene wieder Zugriff auf ihre Daten erlangen.

Telekommunikationsanbieter TIGO in Paraguay betroffen

Der große Telekommunikationsanbieter TIGO aus Paraguay wurde offenbar Opfer eines Ransomware-Angriffs. Lokale Medien berichten etwa auf X (ehemals Twitter) von 330 Servern in einem TIGO-Rechenzentrum, die befallen sind. Zudem seien 3300 Backups des Unternehmens und aus den Cloud-Diensten kompromittiert. Eine Lösegeldforderung in Höhe von 8 Millionen Dollar liegt vor, vermutlich US-Dollar – die Währung in Paraguay heißt Guarani.

Das Militär Paraguays hat seinen Einrichtungen eine offizielle Warnung vor Ransomware-Infektionen geschickt, die erhebliche Auswirkung auf Backups, Webseiten, E-Mails und Cloudspeicher haben und diese kompromittieren könnten. Die Warnung diene rein der Information und sei mit keinem speziellen Fall verknüpft.

Cyberattacken aus Deutschland und der Ukraine stören Wahlen in Bangladesch

Wie TheRecord mitteilt, haben Regierungsvertreter aus Bangladesch Vorwürfe gegen Deutschland und die Ukraine erhoben, von wo aus Cyberattacken die Wahlen am vergangenen Wochenende gestört hätten. Der offizielle Vorsitzende der Wahlkommission, Mohammed Jahangir Alam, sagte demnach, dass die Wahl-App "von der Ukraine und Deutschland aus verlangsamt" worden sei. Die Art des Cyberangriffs gab Alam nicht an. Das Wahl-Team habe rund um die Uhr an der Problembehebung gearbeitet, wodurch die App zwar langsam lief, aber immerhin funktionierte.

Die besagte App mit dem Namen Smart Election Management BD sei nicht essenziell für die Stimmabgabe gewesen. Sie bot historische und aktuelle Informationen zu den Kandidaten und ihren Parteien sowie aktuelle Werte zu abgegebenen Stimmen. Unklar bleibt, welcher Art die Cyberangriffe gewesen sein sollen, möglicherweise handelte es sich um DDoS-Attacken. Cloudflare sagte dazu, dass dies üblicherweise auf Botnets hinweise, die innerhalb der Ländergrenzen operierten.

Zoo Toronto Opfer einer Ransomware-Attacke

Den Tieren im Zoo Toronto geht es gut, die Pflege.- und Unterstützungssysteme seien nicht von einer Ransomware-Attacke betroffen. Am Freitag sei sie aufgefallen, woraufhin die Angestellten sofort mit Schritten zur Untersuchung der Tragweite des Vorfalls starteten, wie der Zoo Toronto mitteilt. Man untersuche, ob und inwieweit Gäste-, Mitglieder- und Spender-Datensätze betroffen seien. Der Zoo könne jedoch bestätigen, dass keine Kreditkarteninformationen gespeichert würden.

Der Betrieb laufe derweil normal weiter, der Zoo ist für Besucher geöffnet. Jedoch könne es bei Kontaktversuchen in den kommenden Tagen etwas hapern und zu Verzögerungen kommen. Der Zoo bittet um Geduld.

Hypotheken-Unternehmen Loandepot meldet Cybervorfall

Das US-amerikanische Hypotheken-Unternehmen Loandepot hat einen Sicherheitsvorfall mit einem "Form 8-K"-Formular bei der US-Börsenaufsicht Securities and Exchange Commission (SEC) gemeldet. Am vergangenen Donnerstag habe Loandepot demnach nicht autorisierte Aktivitäten auf einigen Unternehmenssystemen festgestellt. Man habe umgehend reagiert, um den Vorfall einzudämmen und eine Untersuchung gestartet. Das Unternehmen habe die zuständigen Regulierer und Strafverfolger informiert.

Die Untersuchungen dauern demnach an. Die Aktivitäten der Einbrecher umfassen nach bisherigen Erkenntnissen den Zugriff auf bestimmte Unternehmenssysteme und die Verschlüsselung von Daten. Loandepot habe bestimmte Systeme heruntergefahren und setzt Maßnahmen um, um den Geschäftsbetrieb zu sichern, die Systeme wieder online zu bringen und auf den Vorfall zu reagieren. Loandepot setzt die Untersuchung der Tragweite des Vorfalls fort, auch um zu klären, ob er materiellen Einfluss auf das Unternehmen habe.

Ransomware-Quellcode für 500 US-Dollar im Darknet

Derweil berichtet Darkreading, dass der Quellcode zur Zeppelin-Ransomware für 500 US-Dollar im Darknet zum Verkauf angeboten wird. Die Ransomware-as-a-Service-Plattform sei zwar außer Betrieb, könne von Käufern jedoch wieder an den Start gebracht werden. Es handelt sich offenbar um den Quellcode und ein gecracktes Build-Programm für einen russisch verorteten Entwicklungszweig der Zeppelin-Malware, die in der Vergangenheit gegen US-Firmen und Organisationen der kritischen Infrastruktur eingesetzt wurde.

IT-Forscher der israelischen Cybersicherheitsfirma Kela hätten demzufolge einen Cyberkriminellen mit dem Namen "RET" entdeckt, der den Quellcode und den Builder für Zeppelin2 in einem russischen Cybercrime-Forum zum Kauf anbot, das unter anderem auch die Leak-Site der Babuk-Ransomware beherbergte. Einige Tage später, an Silvester, behauptete der Täter, die Malware an ein Mitglied des Forums verkauft zu haben.

Neuer Decryptor für Babuk-Tortilla-Ransomware

Hier schließt sich der Kreis der Cybervorfall-Übersicht: Die IT-Sicherheitsforscher von Cisco Talos erklären, dass sie ausführbaren Code in die Finger bekommen haben, der mit der Babuk-Tortilla-Ransomware – die zugehörige Leak-Seite lag offenbar mal im vorgenannten Forum, in dem die Zeppelin-Ransomware verkauft wurde – verschlüsselte Dateien entschlüsseln kann. Daraus konnten die IT-Forensiker den privaten Schlüssel zur Entschlüsselung extrahieren, den die Drahtzieher hinter der Malware verwendeten.

Diesen Schlüssel hat Cisco Talos den Antivirenforschern von Avast geschickt, die ihn dem Babuk-Decryptor aus dem Jahr 2021 eingepflanzt haben. Der enthält jetzt alle bekannten privaten Schlüssel, womit viele Betroffene ihre mit der Babuk-Ransomware verschlüsselten Dateien wieder entschlüsseln können. Zudem hat die niederländische Polizei die Drahtzieher hinter den Babuk-Tortilla-Operationen festgenommen und die niederländische Staatsanwaltschaft übernimmt die strafrechtliche Verfolgung.

(dmk)