Arctic Wolf stellt vor ¡
Die gr??ten Datenschutzverst??e im Jahr 2024
Unser j?hrlicher ?berblick ¨¹ber die bemerkenswertesten, aufsehenerregendsten und sch?dlichsten Datenschutzverst??e des Jahres.
Die gr??ten Datenschutzverst??e in 2024
Entdecken Sie die neun bemerkenswertesten Datenschutzverst??e des vergangenen Jahres, angereichert mit neuen Erkenntnissen unseres Spitzenteams aus Sicherheitsforschern, Datenwissenschaftlern und Entwicklungsingenieuren f¨¹r Sicherheit.
Mindestens ein Drittel der US-Bev?lkerung war von Ransomware-Angriffen betroffen
Ein massiver Angriff auf eine gro?e Organisation des Gesundheitswesens h?tte durch die Einf¨¹hrung der Multi-Faktor-Authentifizierung verhindert werden k?nnen.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:BlackCat/ALPHV-Partner
Betroffene Branche:Gesundheitswesen
Betroffene Organisation:Change Healthcare
Region:Nordamerika
Mindestens ein Drittel der US-Bev?lkerung war von Ransomware-Angriffen betroffen
Ein massiver Angriff auf eine gro?e Organisation des Gesundheitswesens h?tte durch die Einf¨¹hrung der Multi-Faktor-Authentifizierung verhindert werden k?nnen.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:
BlackCat/ALPHV-Partner
Betroffene Branche:
Gesundheitswesen
Betroffene Organisation:
Change Healthcare
Region:
Nordamerika
Einzelheiten des Angriffs:
Ein Partner von BlackCat/ALPHV, einer der ber¨¹chtigtsten Ransomware-Gruppen der Cybersecurity-Welt, schlug im Februar bei Change Healthcare zu ¨C einem Anbieter von Revenue- und Payment-Cycle-Management, der Kostentr?ger, Anbieter von Gesundheitsleistungen und Patienten innerhalb des US-amerikanischen Gesundheitssystems miteinander verbindet.
Berichten zufolge wurde der Erstzugang durch die kompromittierten Zugangsdaten eines Kundendienstmitarbeiters erlangt, die von einer Telegram-Gruppe stammen, die mit gestohlenen Zugangsdaten handelt. Diese Zugangsdaten wurden dann f¨¹r den Zugriff auf das Change Healthcare-Netzwerk ¨¹ber einen Fernzugriffsdienst verwendet, bei dem die Multi-Faktor-Authentifizierung (MFA) nicht aktiviert war.
Nachdem der Partner sich Zugang verschafft hatte, verweilte er neun Tage lang im Netzwerk, f¨¹hrte laterale Bewegungen durch und exfiltrierte Daten, bevor er schlie?lich die Systeme verschl¨¹sselte und sich mit den personenbezogenen, Gesundheits- und Finanzdaten von sch?tzungsweise 100 Millionen Menschen davonmachte.
Das negative Ergebnis:
Ein L?segeld in H?he von $22 Millionen wurde ausgezahlt, um die Daten zu sichern. Blackcat/ALPHV zog jedoch einen ?Exit Scam¡° durch, indem sie eine Nachricht ver?ffentlichten, in der sie behaupteten, von den Strafverfolgungsbeh?rden abgeschaltet worden zu sein, w?hrend sie h?chstwahrscheinlich die Gelder einkassierten, ihre Partner im Stich lie?en und ihre Aktivit?ten unter einem neuen Namen wieder aufnahmen. In der Zwischenzeit haben sich die Kosten f¨¹r die Wiederherstellung, Behebung und den Ruf des Ransomware-Angriffs auf fast $2,5 Milliarden belaufen, wie aus den Quartalsberichten hervorgeht.
Arctic Wolf Insight:
Der Arctic Wolf Labs 2024 Threat Report stellte fest, dass 46,3 % der Angriffe, die nicht auf Business Email Compromise (BEC) basieren, auf kompromittierte Zugangsdaten zur¨¹ckzuf¨¹hren sind, wobei 7,3 % davon F?lle waren, in denen kompromittierte Zugangsdaten aus der Vergangenheit verwendet wurden, um direkten Zugang zur Umgebung des Opfers zu erhalten. Es ist daher zwingend erforderlich, dass Organisationen nicht nur moderne MFA implementieren, sondern auch deren Verwendung durchsetzen ¨C insbesondere die passwortlosen Ans?tze, die auf den basieren.
Quellen
- TechCrunch:
- CRN:
- HIPAAJournal:
- Reuters:
Datenschutzversto? in der Cloud von Drittanbietern betrifft ¨¹ber 160 Organisationen
Durch kompromittierte Zugangsdaten konnten Cyberkriminelle Infostealer-Malware gegen einen globalen Cloud-Service-Anbieter einsetzen, die ihnen Zugriff auf die Daten von ¨¹ber 160 Unternehmen gew?hrte.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:Zwei Hauptakteure, wahrscheinlich mehr
Betroffene Branche:Informationstechnologie
Betroffene Organisation:Ungef?hr 165 Organisationen, ¨¹ber Snowflake-Instanzen
Region:Global
Datenschutzversto? in der Cloud von Drittanbietern betrifft ¨¹ber 160 Organisationen
Durch kompromittierte Zugangsdaten konnten Cyberkriminelle Infostealer-Malware gegen einen globalen Cloud-Service-Anbieter einsetzen, die ihnen Zugriff auf die Daten von ¨¹ber 160 Unternehmen gew?hrte.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:
Mindestens zwei, wahrscheinlich mehr
Betroffene Branche:
Informationstechnologie
Betroffene Organisation:
Ungef?hr 165 Organisationen, ¨¹ber Snowflake-Instanzen
Region:
Global
Angriffsdetails:
F¨¹r einen der gr??ten Datenschutzverst??e des Jahres waren weder fortschrittliche Taktiken, Techniken und Verfahren (TTPs) noch eine eskalierende Kette erfolgreicher Angriffe erforderlich. Dazu war es lediglich erforderlich, Zugangsdaten im Darknet zu kaufen und diese zu verwenden, um sich anzumelden und Daten zu stehlen. Dies zeigt einmal mehr, wie wichtig MFA und ein sorgf?ltiger Umgang mit Passw?rtern sind.
Die Bedrohungsakteure konnten sich ¨¹ber ihre Snowflake-Instanzen Zugang zu mindestens 165 Organisationen verschaffen, indem sie kompromittierte Anmeldedaten verwendeten, die sie mit Infostealer-Malware von infizierten Ger?ten erhalten hatten. Bei Snowflake, einem amerikanischen Unternehmen f¨¹r Cloud-basierte Datenspeicherung, wurde kein Sicherheitsversto? festgestellt. Vielmehr nutzten die Bedrohungsakteure die kompromittierten Zugangsdaten, um sich einzeln bei den Snowflake-Instanzen der Unternehmen anzumelden, wodurch sie die Daten einer Vielzahl globaler Unternehmen einsehen und exfiltrieren konnten, darunter angeblich AT&T, Santander Bank und Live Nation/Ticketmaster.
Das negative Ergebnis::
Im November verhaftete die US-Regierung zwei Hacker, Connor Moucka und John Binns, wegen ihrer Beteiligung bei dem Versto? und beschuldigte sie des Diebstahls der Anruf- und Textdaten von etwa 50 Milliarden Kunden eines gro?en Telekommunikationsunternehmens, das schlie?lich in mehreren Berichten als AT&T identifiziert wurde. Das Unternehmen hat die Behauptungen jedoch nicht best?tigt, sondern lediglich erkl?rt, dass „AT&T-Kundendaten illegal von unserem Arbeitsbereich auf einer Cloud-Plattform eines Drittanbieters heruntergeladen wurden“, ohne sich selbst direkt mit dem Snowflake-Versto? in Verbindung zu bringen.
Moucka und Binns sind jedoch wahrscheinlich bei Weitem nicht die einzigen Cyberkriminellen, die bei dem Versto? involviert waren. Ende Mai behauptete die ber¨¹chtigte Bedrohungsgruppe ShinyHunters, 560 Millionen Datens?tze von Ticketmaster und 30 Millionen von Santander zu verkaufen, wobei die Ticketmaster-Daten Berichten zufolge sowohl pers?nliche Daten als auch Kreditkartendaten enthielten. Mehrere Unternehmen haben in den letzten Monaten seit Bekanntwerden des Datenschutzversto?es Sammelklagen gegen Ticketmaster eingereicht.
Arctic Wolf Insight:
Laut dem Arctic Wolf Labs 2024 Threat Report waren 47,3 % der von Arctic Wolf? Incident Response untersuchten Nicht-BEC-Vorf?lle damit verbunden, dass sich ein Angreifer mit Zugangsdaten bei einer ungesch¨¹tzten Anwendung angemeldet hat. Das bedeutet, dass fast die H?lfte aller Vorf?lle mit einer angemessenen Passworthygiene und einem besseren Identit?tsschutz h?tten verhindert werden k?nnen. Zu diesen Ma?nahmen geh?ren die Implementierung einer starken MFA, die proaktive St?rkung des Active Directory mithilfe von Tools wie PingCastle, um Schwachstellen in der Konfiguration sichtbar zu machen, die Bereitstellung von umfassenden Schulungen zum Sicherheitsbewusstsein und die Verwendung einer 24×7-Echtzeit¨¹berwachung, wie beispielsweise durch eine L?sung f¨¹r Managed Detection and Response.
Quellen
- AT&T:
- Wired:
- DarkReading:
- TechCrunch:
- SCWorld:
- Google Cloud Blog:
Blacksuit Ransomware-Bande verursacht Schaden in H?he von ¨¹ber $600 Millionen
Die umbenannte Gruppe, die hinter der Royal Ransomware steckt, hat einen Anbieter von Cloudbasierter Datenspeicherung und Software f¨¹r die Automobilindustrie angegriffen und damit erhebliche St?rungen und finanzielle Sch?den verursacht.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:Blacksuit, ehemals Royal
Betroffene Branche:Automobil
Betroffene Organisation:CDK Global
Region:Nordamerika
Blacksuit Ransomware-Bande verursacht Schaden in H?he von ¨¹ber $600 Millionen
Die umbenannte Gruppe, die hinter der Royal Ransomware steckt, hat einen Anbieter von Cloudbasierter Datenspeicherung und Software f¨¹r die Automobilindustrie angegriffen und damit erhebliche St?rungen und finanzielle Sch?den verursacht.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:
Blacksuit, ehemals Royal
Betroffene Branche:
Automobil
Betroffene Organisation:
CDK Global
Region:
Nordamerika
Einzelheiten des Angriffs:
Mit der Weiterentwicklung von Ransomware haben Bedrohungsakteure begonnen, Angriffe ins Visier zu nehmen, die in ein einzelnes Unternehmen eindringen und sich auf Tausende von Benutzern auswirken k?nnen. Dies war im Juni der Fall, als CDK Global, ein Cloudbasierter Anbieter von Datenspeicherung und Software f¨¹r fast 15.000 US-Autoh?user, von Blacksuit, einer Ransomware-Bande, die fr¨¹her unter dem Namen Royal bekannt war, angegriffen wurde.
CDK Global hat sich geweigert, Einzelheiten dar¨¹ber preiszugeben, wie genau der Angriff erfolgte, aber Blacksuit (fr¨¹her Royal oder RoyalLocker und davor Conti) ist jedoch f¨¹r doppelte Erpressung bekannt, wobei nicht nur Systeme verschl¨¹sselt, sondern auch Daten exfiltriert werden, um die Auszahlung zu sichern und/oder zu vergr??ern.
Das negative Ergebnis::
Mehrere Berichte geben an, dass eine Analyse der Bitcoin-Blockchain zeigt, dass CDK Global ein L?segeld in H?he von $25 Millionen an Blacksuit gezahlt hat, um den Zugang und den Betrieb wiederherzustellen. Dennoch sollen die Betriebsunterbrechungen von Autoh?usern im ganzen Land, die teilweise auf Stift und Papier zur¨¹ckgreifen mussten, um ihre Gesch?fte abzuwickeln, diese Autoh?user insgesamt mehr als 1 Milliarde gekostet haben.
Arctic Wolf Insight:
Unsere eigenen Daten zeigen, dass Ransomware mit 15-mal h?herer Wahrscheinlichkeit zu einer Incident Response (IR) f¨¹hrt als die Kompromittierung von Gesch?fts-E-Mails . Auch wenn die genaue Ursache der Sicherheitsverletzung noch unklar ist, so ist doch klar, dass eine robuste, schnelle Incident Response oft den Unterschied bei den anfallenden Kosten eines erfolgreichen Datenschutzversto?es ausmachen kann. Je nach IR-Anbieter k?nnen Unternehmen bis zu 15 % schneller auf einen Vorfall reagieren und so Ausfallzeiten und die damit verbundenen Kosten reduzieren.
Quellen
- CISA:
- Anderson Economic Group:
- CNN:
- Bloomberg:
- TechTarget:
- Reuters:
Ein versehentlicher Insider f¨¹hrt zum gr??ten Datenversto? des Jahres 2024
Ein gro?er Makler f¨¹r Verbraucherdaten hat versehentlich die Passw?rter zu seiner Backend-Datenbank ver?ffentlicht, was zum Diebstahl von 2,9 Milliarden Datens?tzen f¨¹hrte.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:Ein unbeabsichtigter Insider
Betroffene Branche:Informationsdienste
Betroffene Organisation:National Public Data (NPD)
Region:Nordamerika
Ein versehentlicher Insider f¨¹hrt zum gr??ten Datenversto? des Jahres 2024
Ein gro?er Makler f¨¹r Verbraucherdaten hat versehentlich die Passw?rter zu seiner Backend-Datenbank ver?ffentlicht, was zum Diebstahl von 2,9 Milliarden Datens?tzen f¨¹hrte.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:
Ein unbeabsichtigter Insider
Betroffene Branche:
Informationsdienste
Betroffene Organisation:
National Public Data (NPD)
Region:
Nordamerika
Angriffsdetails:
Im April begann der ber¨¹chtigte Cyberkriminelle USDoD mit dem Verkauf von Daten, die von National Public Data, einem Makler f¨¹r Verbraucherdaten, gestohlen wurden. Sp?tere Untersuchungen ergaben, dass bis zu 2,9 Milliarden Datens?tze, bestehend aus Namen, Adressen, E-Mails, Telefonnummern und sogar Sozialversicherungsnummern einer ungenannten Anzahl von Personen, betroffen waren. Berichte sch?tzen die Anzahl der Betroffenen auf zwischen 170 Millionen und weit ¨¹ber 1 Milliarde, darunter 85 % der US-Repr?sentanten und Senatoren. USDoD hat bestritten, hinter dem eigentlichen Angriff zu stecken, und besteht darauf, dass sie die Daten lediglich beschafft und versucht haben, sie gewinnbringend zu verkaufen.
Eine Untersuchung von Cybersecurity-Journalisten ergab, dass ?ein anderer NPD-Datenbroker, der Zugang zu denselben Datens?tzen von Verbrauchern hat, versehentlich die Passw?rter zu seiner Back-End-Datenbank in einer Datei ver?ffentlicht hat, die auf seiner Homepage frei zug?nglich war.“
Das negative Ergebnis::
NPD-Nutzer reichten im August eine Sammelklage gegen die Muttergesellschaft Jerico Pictures ein und behaupteten, der Versto? sei vorhersehbar und vermeidbar gewesen. Drei Monate sp?ter, noch bevor der Fall verhandelt werden konnte, meldete Jerico Pictures Konkurs an. W?hrend Bedrohungsakteur USDoD verhaftet wurde, sind die eigentlichen Datendiebe noch auf freiem Fu?.
Arctic Wolf Insight:
Mitarbeiter eines Unternehmens haben viel leichter Zugang zu sensiblen Materialien als Angreifer von au?en. Ein unvorsichtiger oder unzureichend geschulter Mitarbeiter kann ein Unternehmen ernsthaft gef?hrden, indem er digitale Gateways offen l?sst, auf Phishing-Betr¨¹gereien hereinf?llt oder eine Reihe anderer Fehler bei der grundlegenden Cybersecurity begeht. Ein starkes Programm zur Sensibilisierung f¨¹r Sicherheitsfragen, das sich auf das menschliche Verhalten, die Unternehmenskultur und die Verwendung von Inhalten und Daten konzentriert und das Risiko eines versehentlichen Insiders aktiv verringert, kann Benutzern helfen, Entscheidungen zu treffen, die ihre Werte sch¨¹tzen, verhindern, dass ihre Zugangsdaten im Darknet zum Verkauf angeboten werden, und ihnen helfen, Social-Engineering-Taktiken zu erkennen, die dazu f¨¹hren k?nnten, dass sie sensible Informationen preisgeben.
Quellen
- Microsoft:
- Bloomberg:
- US-Repr?sentantenhaus:
- KrebsonSecurity:
BlackCat/ALPHV nehmen die Hypothekenbranche ins Visier
Ein Ransomware-Angriff auf einen der f¨¹hrenden Hypothekenkreditgeber des Landes hat die pers?nlichen Daten von fast 17 Millionen Menschen offengelegt und einen Schaden von $27 Millionen verursacht.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:BlackCat/ALPHV
Betroffene Branche:Finanzdienstleistungen
Betroffene Organisation:loanDepot
Region:Nordamerika
BlackCat/ALPHV nehmen die Hypothekenbranche ins Visier
Ein Ransomware-Angriff auf einen der f¨¹hrenden Hypothekenkreditgeber des Landes hat die pers?nlichen Daten von fast 17 Millionen Menschen offengelegt und einen Schaden von $27 Millionen verursacht.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:
BlackCat/ALPHV
Betroffene Branche:
Finanzdienstleistungen
Betroffene Organisation:
loanDepot
Region:
Nordamerika
Angriffsdetails:
Die ber¨¹chtigte Ransomware-Gruppe BlackCat/ALPHV begann das neue Jahr mit einem Angriff auf den kalifornischen Hypotheken- und Kreditriesen loanDepot im Januar. In einer Erkl?rung teilten sie mit, dass sie als Folge des Angriffs ?bestimmte Systeme offline genommen¡° h?tten und ?mit Hochdruck daran arbeiteten, den normalen Gesch?ftsbetrieb so schnell wie m?glich wiederherzustellen¡°.
Der Angriff hinderte die Kunden daran, auf ihre Konten zuzugreifen und Zahlungen zu leisten, und beeintr?chtigte auch die Systeme zur Kreditvergabe und Kreditbearbeitung des Unternehmens. Bedrohungsakteure konnten die Daten von fast 17 Millionen loanDepot-Kunden verschl¨¹sseln und exfiltrieren, darunter Namen, Adressen, E-Mail-Adressen, Telefonnummern und Geburtsdaten, sowie Sozialversicherungsnummern und Kontonummern.
Das negative Ergebnis:
Das Unternehmen hat in seinen Finanzberichten an die SEC offengelegt, dass ihm im ersten Halbjahr $41.6 Millionen an Kosten im Zusammenhang mit dem Vorfall entstanden sind, ?einschlie?lich einer R¨¹ckstellung von $25 Millionen in Verbindung mit Sammelklagen im Zusammenhang mit dem Cybersecurity Incident.¡° Kunden hatten insgesamt 20 Sammelklagen eingereicht, die von Fahrl?ssigkeit bis hin zu Verst??en gegen staatliche Verbrauchergesetze reichten.
Arctic Wolf Insight:
W?hrend die Finanzdienstleistungsbranche zu den weltweit am st?rksten regulierten Branchen geh?rt, fehlt es vielen Unternehmen an den Ressourcen f¨¹r die Umsetzung und Durchsetzung der Vorschriften, was zu einem Denken des K?stchenabhakens f¨¹hrt, bei dem das absolute Minimum als ausreichend angesehen wird. Die Compliance-Richtlinien zielen jedoch darauf ab, Daten vor unerlaubtem Zugriff sch¨¹tzen, das Cyberrisiko eines Unternehmens zu verringern und Vorf?lle zu verhindern. Durch eine gr¨¹ndliche Umsetzung der Richtlinien, wie sie beispielsweise im Federal Financial Institutions Examination Council (FFIEC) Information Security Booklet beschrieben sind, k?nnen Unternehmen ihre betriebliche und allgemeine Sicherheitsarchitektur verbessern, die Sichtbarkeit erh?hen, die Alarmm¨¹digkeit verringern, die Sicherheitssoftware verbessern und die Governance-Verfahren festigen, um die Belastung des Personals zu verringern und gleichzeitig sicherzustellen, dass das Personal f¨¹r den Erfolg ger¨¹stet ist, wenn ein Vorfall eintritt.
Quellen
- SEC:
- SecurityWeek:
- CybersecurityDive:
- TechCrunch:
Ransomware Rhysida macht die Pl?ne tausender Reisender zunichte
Eine Ransomware-Organisation hat einen gro?en US-Hafen im pazifischen Nordwesten sowie den dortigen internationalen Flughafen angegriffen und damit den Betrieb und den Reiseverkehr Tausender Menschen unterbrochen.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:Rhysida
Betroffener Wirtschaftszweig:Transportwesen
Betroffene Organisation:Hafen von Seattle
Region:Nordamerika
Ransomware Rhysida macht die Pl?ne tausender Reisender zunichte
Eine Ransomware-Organisation hat einen gro?en US-Hafen im pazifischen Nordwesten sowie den dortigen internationalen Flughafen angegriffen und damit den Betrieb und den Reiseverkehr Tausender Menschen unterbrochen.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:
Rhysida
Betroffene Branche:
Transport
Betroffene Organisation:
Hafen von Seattle
Region:
Nordamerika
Details des Angriffs:
Der f¨¹nftgr??te Hafen der USA und der Flughafen Seattle-Tacoma (Sea-Tac), der wichtigste internationale Flughafen im pazifischen Nordwesten, wurden im August von der Ransomware-Gruppe Rhysida heimgesucht, gerade rechtzeitig zum Ende des Sommerreiseverkehrs.
Der Angriff verursachte weitreichende und anhaltende Ausf?lle von Internet- und Websystemen, die sich auf Hafen- und Flughafendienste wie Gep?ck- und Passagierabfertigung, Ticketverkaufsdienste, Anzeigetafeln in den Terminals, die Website des Hafens, die mobile App des Flughafens und mehr auswirkten. W?hrend eine unbekannte Menge an Daten exfiltriert wurde, war der wahre Schaden, wie bei den meisten Angriffen auf kritische Infrastrukturen, die t?glichen Abl?ufe. Der Flughafen Sea-Tac wird t?glich von sch?tzungsweise 1.400 Passagieren genutzt, von denen mit vielen Versp?tungen zu k?mpfen hatten, die ihre Reisepl?ne beeintr?chtigten.
Das negative Ergebnis::
Die Angreifer forderten $6 Millionen in Bitcoin f¨¹r die R¨¹ckgabe der gestohlenen Daten, die Rhysida w?hrend des Angriffs exfiltrieren konnte, doch der Hafen von Seattle weigerte sich zu zahlen. ?Die Bezahlung der kriminellen Organisation w¨¹rde weder den Werten des Hafens noch unserem Versprechen entsprechen, mit den Geldern der Steuerzahler sorgsam umzugehen¡°, sagte Steve Metruck, der Gesch?ftsf¨¹hrer des Hafens von Seattle. Das bedeutet, dass die gestohlenen Daten, um welche Daten es sich auch immer handelt, ihren Weg ins Darknet finden k?nnten, um bei k¨¹nftigen Datenschutzverst??en oder Identit?tsdiebst?hlen eingesetzt zu werden.
Arctic Wolf Insight:
Bedrohungsakteure haben es oft auf kritische Infrastrukturen, Versorgungsunternehmen und Produktionsbetriebe abgesehen, da diese Unternehmen nur eine geringe Toleranz gegen¨¹ber Ausfallzeiten haben, was bedeutet, dass sie in der Theorie eher bereit sind, L?segelder zu zahlen oder den Forderungen der Angreifer nachzukommen. Das FBI r?t allen Unternehmen, die von Ransomware betroffen sind, dringend, solche Zahlungen zu verweigern. Dies kann jedoch die Ausfallzeiten verl?ngern und sowohl den finanziellen Schaden erh?hen als auch zu einem gesch?digten Ruf f¨¹hren, da die Kunden Verz?gerungen oder gar Ausf?lle der von ihnen ben?tigten Dienste erleben. Diese Unternehmen m¨¹ssen ernsthaft eine L?sung f¨¹r Ihre Security Operations in Betracht ziehen, die eine 24×7-?berwachung, ein risikobasiertes Vulnerability Management, Schulungen zum Sicherheitsbewusstsein und Incident Response bietet, um sowohl ihr Cyberrisiko als auch den potenziellen Schaden eines erfolgreichen Angriffs zu verringern.
Quellen
- SecurityWeek:
- CybersecurityDive:
- Port Technology International:
- Pacific Maritime Magazine:
- CISA:
Ransomware-Banden setzen ihren Angriff auf NHS fort
Eine russische Cybercrime-Gruppe erbeutete 400 GB vertraulicher Patientendaten eines gro?en Anbieters von Pathologiedienstleistungen in Gro?britannien.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:Qilin
Betroffene Branche:Gesundheitswesen
Betroffene Organisation:Synnovis
Region:Gro?britannien
Ransomware-Banden setzen ihren Angriff auf NHS fort
Eine russische Cybercrime-Gruppe erbeutete 400 GB vertraulicher Patientendaten eines gro?en Anbieters von Pathologiedienstleistungen in Gro?britannien.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:
Qilin
Betroffene Branche:
Gesundheitswesen
Betroffene Organisation:
Synnovis
Region:
Gro?britannien
Angriffsdetails:
Im Juni griff die russische Ransomware- und Erpressergruppe Qilin Synnovis, einen Anbieter von Pathologiedienstleistungen, der aus einer Partnerschaft zwischen zwei Londoner Krankenhaus-Stiftungen und SYNLAB, Europas f¨¹hrendem Anbieter von Labordiagnosedienstleistungen, hervorgegangen ist, mit einem Ransomware-Angriff per Malware-Einschleusung an. Die Bedrohungsakteure verschl¨¹sselten und exfiltrierten Daten von ¨¹ber 300 Millionen Patienteninteraktionen mit dem Nationalen Gesundheitsdienst (National Health Services, NHS), bestehend aus personenbezogenen Identifikationsinformationen (PII) und Bluttestergebnissen, einschlie?lich hochsensibler Testergebnisse f¨¹r HIV, sexuell ¨¹bertragbare Krankheiten und Krebs.
Mehrere NHS-Stiftungen in London waren von dem Cyberangriff betroffen, darunter zwei der meistfrequentierten des Landes, die King’s College Hospital-Stiftung und die Guy’s and St. Thomas‘ Foundation-Stiftung. Allein in sieben Krankenh?usern, f¨¹r die diese Trusts zust?ndig sind, kam es zu St?rungen, so dass in den ersten zwei Wochen nach dem Angriff ¨¹ber 1.100 Operationen und fast 2.200 ambulante Termine abgesagt werden mussten. Berichten zufolge umfassten die Absagen ¨¹ber 100 Krebsbehandlungen und 18 Organtransplantationen. Auch Bluttests und Transfusionen in London waren dramatisch betroffen, und Operationen mussten um 90 % reduziert werden, bis die Systeme wiederhergestellt waren.
Das negative Ergebnis:
Kurz nach dem Angriff forderte Qilin eine Kryptozahlung in H?he von $50 Millionen, um die Daten zu l?schen und die betroffenen Systeme zu entschl¨¹sseln. Synnovis weigerte sich zu zahlen, woraufhin 400 GB an Daten auf die Datenleck-Site von Qilin im Darknet wurden. Laut dem HIPAA Journal ?k?nnten die betroffenen Patienten aufgrund der Sensibilit?t einiger der gestohlenen Daten nun Erpressungsversuchen ausgesetzt sein.“ So k?nnten Cyberkriminelle beispielsweise Patienten, die positiv auf HIV getestet wurden, bedrohen, indem sie diese Informationen ?ffentlich machen, wenn sie nicht f¨¹r die L?schung ihrer Daten bezahlen.
Arctic Wolf Insight:
Angriffe durch Malware-Injektion nutzen am h?ufigsten nicht behobene Schwachstellen aus, was die Notwendigkeit eines robusten Vulnerability Management unterstreicht. Ein starkes Vulnerability Management allein zu bew?ltigen, ist jedoch keine leichte Aufgabe. Es handelt sich entweder um einen Mangel an F?higkeiten, Personal oder Zeit, weshalb zu viele Unternehmen in einem Kreislauf feststecken, in dem sie auf unmittelbare Bedrohungen reagieren aber nicht in der Lage sind, proaktive Ma?nahmen zur Sicherung ihrer Umgebung zu ergreifen. Eine Partnerschaft mit einem Anbieter von Security Operations hilft dieses Problem zu l?sen und bietet gleichzeitig Unterst¨¹tzung, Fachwissen und praktische F?higkeiten.
Quellen
- TechCrunch:
- HIPAA Journal:
- Synnovis:
- NHS England:
Eine ungepatchte Schwachstelle f¨¹hrt zu massiver Datenexfiltration
In der finnischen Hauptstadt wurden im Zusammenhang mit den zunehmenden Spannungen in Europa Dutzende Millionen von Daten gestohlen. Es k?nnte sich dabei um einen russischen Staatsangriff handeln.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:Unbekannt, m?glicherweise ein russischer Cyberangreifer
Betroffene Branche:Bildungswesen
Betroffene Organisation:Die Stadt Helsinki
Region:EMEA
Eine ungepatchte Schwachstelle f¨¹hrt zu massiver Datenexfiltration
In der finnischen Hauptstadt wurden im Zusammenhang mit den zunehmenden Spannungen in Europa Dutzende Millionen von Daten gestohlen. Es k?nnte sich dabei um einen russischen Staatsangriff handeln.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:
Unbekannt, m?glicherweise ein russischer Cyberangreifer
Betroffene Branche:
Bildungswesen
Betroffene Organisation:
Die Stadt Helsinki
Region:
EMEA
Einzelheiten des Angriffs:
Die Bildungsabteilung der Stadt Helsinki, die f¨¹r die fr¨¹hkindliche Bildung, die Vorschulbildung, die Grundschulbildung, die allgemeine Sekundarstufe II und die berufliche Bildung in der finnischen Hauptstadt zust?ndig ist, wurde Anfang Mai von einem Cyberangriff heimgesucht, bei dem die Daten von bis zu 80.000 Sch¨¹lern und deren Erziehungsberechtigten sowie alle auf den Servern der Bildungsabteilung gespeicherten Personal- und Dateien gestohlen wurden.
Nach Angaben der Stadt Helsinki begann alles mit einer nicht behobenen Sicherheitsl¨¹cke. ?Der Datenschutzversto? und Diebstahl der Daten wurden durch das Fehlen mehrerer Sicherheitskontrollen in Bezug auf Remote-Server-Einstellungen, Netzwerktrennung und Datensicherheits¨¹berwachung beg¨¹nstigt,¡° erklarte Chief Digital Officer Hannu Heikkinen. Weitergehend teilte er mit: ?Ein Hotfix-Patch ist verf¨¹gbar, um diese Schwachstelle zu beheben, aber es ist derzeit nicht bekannt, warum dieser Hotfix nicht auf dem Server installiert wurde. Unsere Kontrollen und Verfahren f¨¹r Sicherheitsupdates und Ger?tewartung waren unzureichend. Nach der Sicherheitsverletzung haben wir Ma?nahmen ergriffen, um sicherzustellen, dass ein ?hnlicher Vorfall nicht mehr m?glich ist.¡°
Das negative Ergebnis::
Bislang hat sich noch niemand zu dem Angriff bekannt, und es wurde kein L?segeld gefordert oder gezahlt. Die anschlie?ende Untersuchung des Datenschutzversto?es f¨¹hrte jedoch dazu, dass die Stadt Helsinki drastische Verbesserungen der Cybersecurity zur Verringerung der technischen Schulden und des Cyberrisikos sowie zur Verbesserung des Informationsmanagements, der Datensicherheit und des Datenschutzes priorisierte.
Arctic Wolf Insight:
Zu viele Unternehmen setzen ihre Priorit?ten bez¨¹glich ihrer Security Operations erst nach einem Vorfall. Dennoch dauerte es im Jahr 2024 weltweit durchschnittlich 194 Tage, um einen Datenschutzversto? zu erkennen. Eine proaktive ?berwachung, Erkennung und Reaktion k?nnen Angriffe viel schneller erkennen und stoppen und so den finanziellen und rufsch?digenden Schaden eines erfolgreichen Angriffs drastisch reduzieren. Unsere eigenen Daten zeigen, dass fast 60 % der von Arctic Wolf untersuchten Vorf?lle eine Schwachstelle ausnutzten, die bereits im Jahr 2022 oder noch fr¨¹her identifiziert wurde. Das bedeutet, dass Unternehmen Monate bis Jahre Zeit hatten, das betroffene System zu patchen oder den externen Zugang zu entfernen (oder anderweitig abzusichern). Die Aktualisierung von Patches f¨¹r Systeme und Software ist eine einfache M?glichkeit, Ihr Sicherheitsniveau gegen Angriffe wie diese zu st?rken.
Quellen
- Stadt Helsinki:
- Bleeping Computer:
Ransomware-Angriff betrifft ¨¹ber 12 Millionen Australier
Ein einziger Cyberangriff f¨¹hrte zum Diebstahl von pers?nlichen und Gesundheitsdaten von fast der H?lfte der australischen Bev?lkerung.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:Unbekannt
Betroffene Branche:Gesundheitswesen
Betroffene Organisation:Medisecure
Region:ANZ
Ransomware-Angriff betrifft ¨¹ber 12 Millionen Australier
Ein einziger Cyberangriff f¨¹hrte zum Diebstahl von pers?nlichen und Gesundheitsdaten von fast der H?lfte der australischen Bev?lkerung.
Der Datenschutzversto? im ?berblick
Bedrohungsakteur:
Unbekannt
Betroffene Branche:
Gesundheitswesen
Betroffene Organisation:
Medisecure
Region:
ANZ
Angriffsdetails:
Im April drang ein unbekannter Bedrohungsakteur in das Netzwerk von Medisecure, einem australischen Anbieter digitaler Rezeptdienste, ein und erbeutete 6,5 Terabyte Daten, bevor er die Systeme verschl¨¹sselte, woraufhin das Unternehmen auf den Angriff aufmerksam wurde. Nachfolgende Untersuchungen ergaben, dass die unbekannten Bedrohungsakteure die pers?nlichen und Gesundheitsdaten von 12,9 Millionen Australiern exfiltriert hatten.
Laut Medisecure ?kann die Art der betroffenen Informationen die Wahrscheinlichkeit erh?hen, dass Australier zur Zielscheibe von Phishing, identit?tsbezogener Kriminalit?t und Cyberbetrug werden¡°. Zu den gestohlenen Daten geh?rten Namen, Geburtsdaten, Adressen, Telefonnummern, E-Mail-Adressen, individuelle Kennungen f¨¹r die Gesundheitsf¨¹rsorge sowie Kartennummern f¨¹r Rentnererm??igungen, Commonwealth-Senioren, f¨¹r Erm??igungen der Gesundheitsf¨¹rsorge und das Ministerium f¨¹r Veteranenangelegenheiten (Department of Veterans¡¯ Affairs, DVA).
Das negative Ergebnis:
Es dauerte mehr als einen Monat, um die Systeme anhand von Sicherungskopien vollst?ndig wiederherzustellen. Aufgrund der Komplexit?t der Verschl¨¹sselung und des gestohlenen Datensatzes war Medisecure nicht in der Lage, bestimmte Opfer zu benachrichtigen. Nachdem die Bundesbeh?rden es abgelehnt hatten, dem Unternehmen finanziell unter die Arme zu greifen, ernannte MediSecure im Juni einen Insolvenzverwalter und ging in die Verwaltung ¨¹ber. ?Dadurch war es nicht m?glich, alle von dem Vorfall betroffenen Personen und deren Daten zu identifizieren, ohne dass MediSecure erhebliche Kosten entstehen, die MediSecure finanziell nicht tragen konnte¡°, so die Administratoren.
Arctic Wolf Insight:
Die genaue Angriffskette ist zwar nicht bekannt, aber es kommt immer h?ufiger vor, dass Ransomware-Angriffe Schwachstellen im Identit?ts- und Zugriffsmanagement (Identity and Acess Management, IAM) ausnutzen. Der Data Breach Investigations Report (DBIR) von Verizon aus dem Jahr 2024 zeigt, dass ¨¹ber 80 % der Datenschutzverst??e auf eine kompromittierte Identit?t zur¨¹ckzuf¨¹hren sind. Dabei stellen wir h?ufig fest, dass VPN-Zugangsdaten in unseren Incident Response-F?llen als Ausgangspunkt f¨¹r die Kompromittierung dienen. Allein im Jahr 2024 sahen wir, wie Partner mit Akira- und Fog-Ransomware SSL-VPN-Konten ohne aktivierte MFA opportunistisch ausnutzten. Laden Sie den Arctic Wolf Labs 2025 Predictions Report herunter und erfahren Sie mehr ¨¹ber f¨¹nf Strategien, mit denen Sie Identit?ten in Ihrer Umgebung besser sch¨¹tzen k?nnen.
Quellen
- W?chter:
- Australische Regierung, Abteilung f¨¹r Innere Angelegenheiten:
- Medisecure:
- SecurityWeek:
- Security Magazine:
- Australian Broadcasting Corporation:
On-Demand Webinar
