Britisches lebensmittellogistikunternehmen Peter Green Chilled von Ransomware-Angriff betroffen

Peter Green Chilled, ein in Somerset ansässiges Lebensmittellogistikunternehmen, das große britische Supermärkte wie Tesco, Asda, Sainsbury’s und M&S beliefert, wurde Opfer eines Ransomware-Angriffs. Der Vorfall, der in einer internen E-Mail beschrieben wurde, die der BBC vorliegt, ereignete sich letzte Woche. Während die Transportvorgänge unberührt blieben, wurde die Auftragsbearbeitung ausgesetzt. Ob ein Lösegeld gefordert oder gezahlt wurde, ist nicht bekannt.

Die Rolle des Unternehmens in der Lieferung von verderblichen Kühlwaren weckt Besorgnis über mögliche erhebliche Betriebsstörungen – ähnlich wie bei Angriffen auf den Gesundheits- und Fertigungssektor, bei denen Dringlichkeit statt Datendiebstahl ausgenutzt wird.

Lieferkettenunternehmen wie Peter Green werden zunehmend ins Visier genommen, da sie auf Just-in-Time-Lieferungen angewiesen sind. Der Angriff folgt auf ähnliche Vorfälle bei Co-op, Harrods und M&S, wobei Letztere mit einem Verlust von 300 Millionen Pfund aufgrund andauernder Online-Störungen rechnet.

Der Einzelhandel bleibt ein besonders gefährdeter Sektor – 45 % der Unternehmen wurden im letzten Jahr von Ransomware getroffen.

Datenpanne bei britischer rechtshilfebehörde schlimmer als befürchtet – sensible antragsdaten gestohlen

Die britische Legal Aid Agency (LAA) hat bestätigt, dass ein kürzlich gemeldeter Cyberangriff schwerwiegender war als zunächst angenommen. Hacker haben große Mengen sensibler Daten von Antragstellern gestohlen, die bis ins Jahr 2010 zurückreichen. Die Agentur, die dem Justizministerium untersteht, hilft Menschen, die sich keine rechtliche Vertretung leisten können.

Eine erste Mitteilung Anfang Mai spielte die Tragweite des Vorfalls herunter und verwies auf ein begrenztes finanzielles Risiko. Ein Regierungsupdate vom 16. Mai zeigte jedoch, dass Kontaktinformationen, Geburtsdaten, Sozialversicherungsnummern, Strafregister und Schuldendaten von den Angreifern abgerufen und heruntergeladen wurden.

Die LAA hat ihre digitalen Dienste offline genommen und arbeitet mit dem britischen National Cyber Security Centre zusammen, um die Systeme zu sichern. Antragsteller werden zur Wachsamkeit gegenüber Betrugsversuchen aufgerufen.

Dieser Vorfall reiht sich in eine Serie von Cyberangriffen auf britische Institutionen ein – darunter Einzelhändler wie M&S und Co-op – und wirft Fragen über mögliche Verbindungen zur Hackergruppe Scattered Spider auf.

Gefälschte Facebook-Anzeigen geben sich als Kling AI aus, um Malware zu verbreiten

Cybersicherheitsforscher haben eine Kampagne aufgedeckt, bei der gefälschte Facebook-Seiten und gesponserte Anzeigen verwendet werden, um Kling AI zu imitieren und Nutzer zur Installation von Malware zu verleiten. Kling AI, 2024 vom chinesischen Unternehmen Kuaishou Technology eingeführt, ist eine Text-zu-Video/Bild-Plattform mit über 22 Millionen Nutzern.

Laut Check Point leiten die Angreifer Nutzer auf gefälschte Webseiten wie klingaimedia[.]com weiter, die angeblich KI-generierte Inhalte anbieten. Tatsächlich laden Besucher unbemerkt Malware herunter, die als Bilder oder Videos getarnt ist. Die Malware, versteckt in ZIP-Dateien mit irreführenden Dateinamen, installiert einen Fernzugriffstrojaner (RAT) sowie einen Datenstealer, der auf Browser-Anmeldedaten und Krypto-Wallets abzielt.

Die zweite Nutzlast verwendet PureHVNC, um sich dauerhaft im System zu verankern, sich vor Entdeckung zu schützen und sensible Daten zu stehlen. Mindestens 70 gefälschte Anzeigen wurden entdeckt, vermutlich mit Ursprung in Vietnam, wo Malvertising gängige Praxis ist.

Dies unterstreicht die zunehmende Bedrohung durch Social Engineering und KI-basierte Betrugsversuche. Meta kämpft derzeit mit einer Welle von Betrugsfällen auf Facebook und Instagram, darunter gefälschte Gewinnspiele und Jobangebote im Zusammenhang mit Menschenhandel.

Hazy Hawk kapert vertrauenswürdige subdomains für betrugszwecke

Ein Bedrohungsakteur namens 'Hazy Hawk' nutzt veraltete DNS-CNAME-Einträge, die auf nicht mehr genutzte Cloud-Dienste verweisen, um vertrauenswürdige Subdomains von Regierungen, Universitäten und Fortune-500-Unternehmen zu kapern, berichten Sicherheitsforscher.

Indem neue Cloud-Ressourcen mit den in den alten CNAME-Einträgen genannten Namen registriert werden, übernimmt Hazy Hawk die Kontrolle über die Subdomains und nutzt sie zur Verbreitung von Betrugsseiten, gefälschten Apps und schädlicher Werbung. Zu den kompromittierten Domains gehören unter anderem cdc.gov, honeywell.com, berkeley.edu, unicef.org und nyu.edu.

Diese gekaperten Subdomains werden verwendet, um Hunderte von Betrugs-URLs zu generieren, die aufgrund der Vertrauenswürdigkeit der Hauptdomain hohe Platzierungen in Suchmaschinen erreichen. Nutzer werden durch mehrere Ebenen von Traffic Direction Systemen (TDS) umgeleitet, die sie profilieren, bevor sie auf Support-Betrug, Phishing-Seiten oder gefälschte Streaming-Seiten weitergeleitet werden.

Wer Push-Benachrichtigungen erlaubt, kann noch lange nach Verlassen der Seite betrügerische Warnungen erhalten. Experten warnen, dass unbeaufsichtigte CNAME-Einträge ein oft übersehener, aber gefährlicher Angriffsvektor sind.

Manipuliertes KeePass-installationsprogramm liefert cobalt strike und ransomware aus

Cyberkriminelle haben mindestens acht Monate lang eine manipulierte Version des KeePass-Passwortmanagers verbreitet, um Systeme mit Cobalt Strike Beacons zu infizieren und Zugangsdaten zu stehlen. Der Angriff begann laut Forschern über gefälschte KeePass-Webseiten, die über Bing-Werbung beworben wurden. Dort luden Nutzer unwissentlich ein kompromittiertes Installationsprogramm namens KeeLoader herunter.

KeeLoader funktioniert wie das legitime KeePass, exportiert jedoch im Hintergrund die Passwortdatenbank im Klartext und installiert ein Cobalt Strike Beacon. Die Signatur des Beacons verknüpft die Kampagne mit sogenannten Initial Access Brokers, die dem Black-Basta-Ransomware-Kollektiv zugeordnet werden.

Die Täter nutzten außerdem Domains mit Tippfehlern wie keeppaswrd[.]com und keegass[.]com zur Verbreitung der Schadsoftware. Einige gefälschte Installer waren sogar mit gültigen Zertifikaten signiert.

Die Kampagne mündete in Ransomware-Angriffe auf VMware ESXi-Server. Laut WithSecure steckt hinter der Aktivität die Bedrohungsgruppe UNC4696, die zuvor mit Nitrogen Loader und den Kampagnen von BlackCat/ALPHV in Verbindung gebracht wurde.

Nutzern wird geraten, keine Software über Werbeanzeigen herunterzuladen und ausschließlich offizielle Quellen zu nutzen.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.