Londoner Bezirke von Cyberangriff betroffen – massive Serviceunterbrechungen

Drei Londoner Kommunalbehörden wurden gezwungen, Notfallmaßnahmen zu aktivieren, nachdem ein Cyberangriff erhebliche Störungen in gemeinsam genutzten IT-Systemen verursacht hatte. Der Royal Borough of Kensington and Chelsea und der Westminster City Council bestätigten, dass mehrere interne Systeme betroffen waren, darunter Telefonleitungen und Online-Kontaktservices. Dies führte zu vorsorglichen Abschaltungen, um weitere Schäden zu begrenzen und die Daten der Einwohner zu schützen. Aufgrund der gemeinsam genutzten Infrastruktur führte auch der London Borough of Hammersmith and Fulham zusätzliche Sicherheitsmaßnahmen ein, was zu weiteren betrieblichen Störungen führte.

Die Behörden teilten mit, dass sie eng mit spezialisierten Incident-Response-Teams und dem National Cyber Security Centre zusammenarbeiten. Die Ermittlungen zu dem Angriff laufen. Obwohl bislang keine Bedrohungsgruppe öffentlich die Verantwortung übernommen hat, gehen Sicherheitsexperten davon aus, dass der Vorfall Ransomware im Zusammenhang mit einem Drittanbieter betreffen könnte. Das Information Commissioner’s Office wurde informiert und die Einwohner werden während der schrittweisen Wiederherstellung der Systeme auf dem Laufenden gehalten.

Shai-Hulud-Supply-Chain-Angriff springt von npm zu Maven und legt tausende Entwickler offen

Eine zweite Welle des Shai-Hulud-Supply-Chain-Angriffs hat sich über npm hinaus ausgeweitet und erreicht nun das Maven-Ökosystem. Dies verdeutlicht die wachsenden Risiken für Open-Source-Software-Lieferketten. Forscher identifizierten ein bösartiges Maven-Paket, org.mvnpm:posthog-node:4.18.1, das dieselben stealthartigen Komponenten widerspiegelt, die zuvor in kompromittierten npm-Bibliotheken verwendet wurden. Obwohl das Paket nicht direkt vom ursprünglichen Projekt veröffentlicht wurde, wurde es automatisch durch ein System erzeugt, das npm-Module als Maven-Artefakte neu verpackt. Alle bekannten infizierten Kopien wurden inzwischen entfernt.

Der Angriff ist darauf ausgelegt, sensible Daten zu stehlen, darunter Cloud-Anmeldedaten, API-Schlüssel sowie GitHub- und npm-Tokens, und gleichzeitig tiefere Kompromittierungen von Entwicklungsumgebungen zu ermöglichen. Mehr als 28.000 Repositories wurden betroffen, tausende Geheimnisse offengelegt. Die Malware nutzt fortgeschrittene Umgehungstechniken, bösartige CI-Workflows und Selbstreplikation, um sich schnell zu verbreiten. Sicherheitsteams drängen auf sofortige Schlüsselrotationen, Abhängigkeitsprüfungen und die Härtung von CI/CD-Umgebungen.

Cyberangriff auf CodeRED-Anbieter lässt US-Städte ohne Notfallwarnsystem zurück

Städte und Gemeinden in den gesamten Vereinigten Staaten verloren den Zugang zum CodeRED-Notfallwarnsystem, nachdem ein Cyberangriff den Anbieter Crisis24 getroffen hatte. Die Plattform wird genutzt, um Echtzeit-Mitteilungen zur öffentlichen Sicherheit zu versenden, darunter Unwetterwarnungen, Vermisstenmeldungen und Sicherheitsvorfälle. Mehrere Kommunen veröffentlichten nahezu identische Hinweise, die die Serviceunterbrechung nach der Sicherheitsverletzung bestätigten.

Douglas County in Colorado hat seinen Vertrag gekündigt und sucht nach einem alternativen Anbieter, während andere Behörden warten, bis Crisis24 die Arbeiten an einer neuen Plattform abschließt, die in einer separaten, nicht kompromittierten Umgebung betrieben werden soll. Mehrere Regionen sind vorübergehend auf Benachrichtigungen über Soziale Medien oder Tür-zu-Tür-Kommunikation umgestiegen.

Crisis24 bestätigte, dass auf personenbezogene Daten zugegriffen wurde, darunter Namen, Adressen, E-Mail-Details, Telefonnummern und Passwörter. Den Einwohnern wurde geraten, ihre Passwörter zu ändern, insbesondere wenn diese an anderer Stelle wiederverwendet wurden. Die Ransomware-Gruppe INC hat die Verantwortung übernommen, Proben der gestohlenen Daten veröffentlicht und damit gedroht, die verbleibenden Informationen nach gescheiterten Lösegeldverhandlungen zu verkaufen.

CISA warnt vor Spionagekampagnen, die Messaging-Apps mit Spyware angreifen

Die U.S. Cybersecurity and Infrastructure Security Agency hat eine Warnung ausgegeben, dass Bedrohungsakteure aktiv kommerzielle Spyware und Remote-Access-Trojaner einsetzen, um Nutzer populärer mobiler Messaging-Anwendungen anzugreifen. Nach Angaben der Behörde nutzen Angreifer stark zielgerichtete Social-Engineering-Techniken, um Konten zu übernehmen und Zugriff auf private Kommunikationen zu erhalten, bevor zusätzliche Malware eingesetzt wird, um die Geräte der Opfer vollständig zu kompromittieren.

Aktuelle Kampagnen umfassen Versuche, Signal-Konten über die Funktion für verknüpfte Geräte zu übernehmen, Android-Spyware-Operationen wie ProSpy, ToSpy und ClayRat sowie gezielte Ausnutzung bislang unbekannter Schwachstellen in iOS-, WhatsApp- und Samsung-Geräten. Diese Angriffe stützen sich häufig auf QR-Codes zur Geräteverknüpfung, sogenannte Zero-Click-Exploits und gefälschte Versionen vertrauenswürdiger Apps.

Die Aktivität richtet sich hauptsächlich gegen hochrangige Personen, darunter Regierungsbeamte, Militärangehörige und Vertreter der Zivilgesellschaft in den Vereinigten Staaten, Europa und dem Nahen Osten. CISA hat gefährdete Nutzer aufgefordert, stärkere Authentifizierung zu nutzen, mobile Konten abzusichern und Geräte regelmäßig zu aktualisieren, um die Angriffsfläche zu reduzieren.

FBI warnt vor starkem Anstieg von Account-Übernahmebetrug durch Bank-Imitationen

Das FBI hat einen deutlichen Anstieg von Account-Übernahmebetrug gemeldet, bei dem Kriminelle seit Jahresbeginn mehr als 262 Millionen US-Dollar durch die Vortäuschung von Finanzinstituten gestohlen haben. Das Internet Crime Complaint Center hat über 5.100 Meldungen zu diesen Angriffen erhalten, die Einzelpersonen, Unternehmen und Organisationen in zahlreichen Sektoren betroffen haben.

In diesen Betrugsmaschen nutzen Bedrohungsakteure Phishing, gefälschte Webseiten und Social-Engineering, um Opfer zur Herausgabe von Anmeldedaten und Einmalcodes zu verleiten. Nach Erlangen des Zugriffs überweisen die Kriminellen die Gelder schnell auf Konten, die mit Krypto-Wallets verknüpft sind, und ändern anschließend Passwörter, um rechtmäßige Kontoinhaber auszusperren. Eine Wiederherstellung ist aufgrund der Geschwindigkeit der Überweisungen und der Nutzung von Kryptowährungen oft sehr schwierig.

Das FBI hat Nutzer aufgefordert, ihre Finanzkonten genau zu überwachen, starke und einzigartige Passwörter zu verwenden, Mehrfaktor-Authentifizierung zu aktivieren und Bankwebseiten nur über vertrauenswürdige Lesezeichen aufzurufen. Opfer wird geraten, umgehend ihre Bank zu kontaktieren, Rückrufanforderungen für Überweisungen zu stellen und Vorfälle über offizielle Kanäle zu melden.

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.