CISA reagierte auf einen Cybervorfall bei einer US-Bundesbehörde, nachdem deren Endpoint Detection and Response-Tool verdächtige Aktivitäten gemeldet hatte. Die Behörde wurde durch die Ausnutzung von CVE-2024-36401 in zwei GeoServern kompromittiert. Diese Schwachstelle, die kurz vor der Ausnutzung bekannt gegeben wurde, ermöglichte es Angreifern, Remote Code Execution zu erlangen. Die Angreifer blieben drei Wochen lang unentdeckt, während derer sie sich seitlich auf andere Server ausbreiteten. Wichtige Erkenntnisse aus diesem Einsatz verdeutlichen kritische Sicherheitslücken. Eine umgehende Behebung von Schwachstellen, insbesondere in öffentlich zugänglichen Systemen, ist unerlässlich. Organisationen müssen ihre Incident-Response-Pläne regelmäßig testen und aktualisieren, um sicherzustellen, dass sie die Unterstützung Dritter ermöglichen. Eine kontinuierliche Überprüfung von Endpoint Detection and Response-Alarmen ist entscheidend für die rechtzeitige Erkennung von Bedrohungen. Die Implementierung einer umfassenden und zentralisierten Protokollierung ist ebenfalls unerlässlich für eine effektive Vorfallsanalyse. Die Angreifer nutzten öffentlich verfügbare Tools für Aufklärung, Ressourcenentwicklung und verschiedene Phasen ihres Angriffs. Sie setzten Web-Shells, Cron-Jobs und gültige Konten zur Persistenz ein. Versuche zur Privilegieneskalation wurden mit bekannten Linux-Exploits durchgeführt. Taktiken zur Umgehung der Verteidigung umfassten indirekte Befehlsausführung und die Verwendung von Tools wie RingQ. Der Zugriff auf Anmeldeinformationen wurde durch Brute-Force-Techniken und die Ausnutzung von Dienstkonten erreicht. Entdeckungsbemühungen umfassten Netzwerk-Scanning und Schwachstellenbewertungstools. CISA stellt Indikatoren für Kompromittierung und technische Details zur Verfügung, um Organisationen bei der Verhinderung ähnlicher Angriffe zu unterstützen.

Dieser Ratgeber, herausgegeben von mehreren internationalen Cybersicherheitsagenturen, beschreibt von der chinesischen Regierung gesponserte Cyberangriffe auf globale Netzwerke. Diese Angriffe, die oft mit bestimmten chinesischen Organisationen in Verbindung gebracht werden, konzentrieren sich auf Telekommunikations-, Regierungs- und Infrastrukturnetzwerke. Angreifer kompromittieren Geräte, darunter Router, um sich Zugang zu verschaffen, und greifen dann über vertrauenswürdige Verbindungen auf andere Netzwerke zu. Sie nutzen bekannte Schwachstellen, insbesondere bei Edge-Geräten, und nutzen aktiv neu entdeckte Schwachstellen aus. Zu den Techniken gehören die Änderung von Zugriffskontrollen, das Öffnen von Ports und die Verwendung von Tunneln, um einen dauerhaften Zugang aufrechtzuerhalten, wodurch ihr tatsächlicher Ursprung oft verschleiert wird. Ziel ist es, Daten für Spionagezwecke zu stehlen, einschließlich der Verfolgung von Kommunikations- und Bewegungsdaten. Der Ratgeber liefert Details zu Taktiken, Techniken und Verfahren (TTPs) und fordert Netzwerkverteidiger auf, Gegenmaßnahmen zu ergreifen. Mehrere bekannte Bedrohungsgruppen werden mit dieser Aktivität in Verbindung gebracht, obwohl der Ratgeber den generischen Begriff "APT-Akteure" verwendet. Die Angreifer nutzen mehrere CVEs aus, darunter solche, die Produkte von Cisco, Palo Alto und Ivanti betreffen. Organisationen werden dringend gebeten, Einzelheiten zu Kompromittierungen zu melden, um die kollektive Verteidigung zu verbessern.

Die Cybersecurity and Infrastructure Security Agency (CISA) und die U.S. Coast Guard (USCG) führten eine Cybersicherheitsprüfung bei einer Organisation der kritischen Infrastruktur durch. Dieses Beratungsschreiben teilt ihre Erkenntnisse, um anderen Organisationen zu helfen, ihre Sicherheitslage zu verbessern. Obwohl keine bösartige Aktivität entdeckt wurde, wurden mehrere Cybersicherheitsrisiken identifiziert. Dazu gehörten unzureichende Protokollierung, unsicher gespeicherte Anmeldeinformationen und gemeinsam genutzte lokale Administratoranmeldeinformationen. Die Organisation hatte auch uneingeschränkten Fernzugriff für lokale Administratorkonten. Darüber hinaus gab es eine unzureichende Netzwerksegmentierung zwischen IT- und Operational-Technology-Assets (OT) sowie mehrere Fehlkonfigurationen von Geräten. Es wurden Empfehlungen zur Abhilfe gegeben, die mit den CISA- und NIST-Cybersicherheitsleistungszielen übereinstimmen. Wichtige Abhilfemaßnahmen umfassen die sichere Verwaltung von Anmeldeinformationen, die Vermeidung der Speicherung im Klartext und die Durchsetzung des Prinzips der geringsten Privilegien. Organisationen werden dringend aufgefordert, diese Maßnahmen zu implementieren, um potenzielle Kompromittierungen zu verhindern. Einzigartige Administratorkennwörter und eine Multi-Faktor-Authentifizierung für allen administrativen Zugriff sind entscheidend. Strenge Richtlinien sollten für den Zugriff auf OT-Netzwerke durchgesetzt werden, wobei gehärtete Bastion-Hosts verwendet werden. Umfassende und detaillierte Protokollierung über alle Systeme hinweg wird ebenfalls empfohlen.

Die Interlock-Ransomware, die erstmals Ende September 2024 aufgetreten ist, richtet sich gegen Unternehmen und kritische Infrastrukturen in Nordamerika und Europa. Diese finanziell motivierte Ransomware verwendet ein Doppel-Extorsions-Modell, indem sie Daten nach der Exfiltration verschlüsselt. Der initiale Zugriff wird durch ungewöhnliche Methoden wie Drive-by-Downloads von kompromittierten Websites und Sozialengineering, insbesondere die ClickFix-Technik, erreicht. Nach der Infektion verwendet Interlock verschiedene Tools für die Aufklärung, das Diebstahl von Anmeldedaten und die laterale Bewegung innerhalb des Netzwerks. Die Ransomware richtet sich primär gegen virtuelle Maschinen und verschlüsselt Dateien mit .interlock- oder .1nt3rlock-Erweiterungen. Die Lösegeldforderungen werden nicht initial angezeigt, sondern werden über einen eindeutigen Code und eine .onion-URL nach Kontakt mit den Opfern kommuniziert. Das FBI, CISA, HHS und MS-ISAC veröffentlichen diese Beratung, um Indikatoren für Kompromittierungen und Taktiken, Techniken und Verfahren zur Unterstützung bei den Minderungsanstrengungen zu teilen. Die Beratung betont die Implementierung robuster Endpoint-Detection- und -Response-Tools (EDR) zum Schutz vor Interlock. Ähnlichkeiten zwischen Interlock und Rhysida-Ransomware werden festgestellt. Organisationen werden ermutigt, den bereitgestellten Minderungsempfehlungen zu folgen, um das Risiko zu reduzieren. Die Beratung schließt mit einer Tabelle ab, die die von den Akteuren verwendeten Tools auflistet.

Die Cybersecurity and Infrastructure Security Agency (CISA) veröffentlicht eine Warnung als Reaktion auf Ransomware-Akteure, die ungepatchte Instanzen einer Sicherheitslücke in SimpleHelp Remote Monitoring and Management (RMM) ausnutzen, um Kunden eines Softwareanbieters für Versorgungsabrechnungen zu kompromittieren. Ransomware-Akteure zielen seit Januar 2025 auf Organisationen über ungepatchte Versionen von SimpleHelp RMM ab. SimpleHelp Versionen 5.5.7 und älter enthalten mehrere Sicherheitslücken, darunter CVE-2024-57727, eine Path-Traversal-Schwachstelle. CISA hat CVE-2024-57727 am 13. Februar 2025 in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen. CISA fordert Softwareanbieter, nachgeschaltete Kunden und Endbenutzer dringend auf, die empfohlenen Maßnahmen unverzüglich umzusetzen, basierend auf bestätigten Kompromittierungen oder dem Risiko einer Kompromittierung. Zu den Maßnahmen gehören das Isolieren der SimpleHelp-Serverinstanz vom Internet oder das Stoppen des Serverprozesses, das Aktualisieren auf die neueste SimpleHelp-Version und das Durchführen von Threat-Hunting-Aktionen, um Anzeichen einer Kompromittierung zu finden. CISA empfiehlt außerdem die Implementierung proaktiver Maßnahmen zur Risikoreduzierung, wie z. B. die Pflege eines soliden Asset-Inventars, die Durchführung täglicher System-Backups und die Einrichtung offener Kommunikationskanäle mit Drittanbietern. Wenn ein System durch Ransomware verschlüsselt wurde, empfiehlt CISA, das betroffene System vom Internet zu trennen, das Betriebssystem neu zu installieren, das System zu bereinigen und Daten aus einem sauberen Backup wiederherzustellen.

"Das FBI und CISA haben eine gemeinsame Warnung über das LummaC2-Malware herausgegeben, das Netzwerke infiltrieren und sensible Informationen von Einzelpersonen und Organisationen aus mehreren US-Kritischen Sektoren exfiltrieren kann. Das Malware wurde zuletzt im Mai 2025 beobachtet, mit Indikatoren für Kompromisse, die bis November 2023 zurückreichen. LummaC2 wird typischerweise durch Spearphishing-Links und -Anhänge bereitgestellt und kann Standard-Cybersicherheitsmaßnahmen umgehen. Sobald infiziert, kann das Malware sensible Benutzerinformationen, einschließlich personenbezogener Informationen, Finanzanmeldedaten und Multifaktor-Authentifizierungsdetails, exfiltrieren. Das Malware verwendet einen Befehls- und Steuerungsserver, um Anweisungen zu empfangen, und kann Daten stehlen, Screenshots erstellen und sich löschen. Die Warnung enthält Indikatoren für Kompromisse und empfiehlt Organisationen, diese Indikatoren zu untersuchen und zu überprüfen, bevor sie Maßnahmen ergreifen. Das FBI und CISA ermutigen Organisationen, die Empfehlungen im Abschnitt "Minderung" der Warnung umzusetzen, um die Wahrscheinlichkeit und den Einfluss des LummaC2-Malware zu reduzieren. Die Warnung verwendet das MITRE ATT&CK-Matrix für Enterprise-Rahmenwerk, um die Aktivitäten von Bedrohungsakteuren auf Taktiken und Techniken abzubilden. Das LummaC2-Malware wurde seit 2022 auf russischsprachigen Cyberkriminal- Foren zum Verkauf angeboten und wurde verwendet, um sensible Informationen von über 21.000 Opfern zu stehlen."

Schnellfluss (Fast Flux) ist eine bösartige Technik, bei der Angreifer DNS-Einträge schnell ändern, um den Standort ihrer Server zu verbergen und die Entdeckung zu vermeiden. Dies stellt eine erhebliche Bedrohung für die nationale Sicherheit dar, da Cyberkriminelle und staatliche Akteure so widerstandsfähige C2-Infrastrukturen aufrechterhalten können. Die gemeinsam von mehreren Behörden veröffentlichte Warnung warnt Organisationen und Dienstleister vor schnellfluss-aktivierten bösartigen Aktivitäten. Sie fordert Anbieter, insbesondere PDNS-Anbieter, auf, Fähigkeiten zur Erkennung und Blockierung von Schnellfluss zu entwickeln. Das Dokument bietet Anleitung zur Erkennung und Abwehr von Schnellfluss mithilfe von DNS-Analyse, Netzwerküberwachung und Bedrohungsanalysen. Schnellfluss nutzt Techniken wie Einzel- und Doppel-Fluss, bei denen kompromittierte Hosts und Botnetze für Proxying verwendet werden. Dies ermöglicht Widerstandsfähigkeit, Anonymität und eine effektive Umgehung von IP-Blockierungen, was Phishing und bösartige Märkte ermöglicht. Die Warnung empfiehlt einen schichtweisen Ansatz zur Erkennung, einschließlich Bedrohungsanalysen, Anomalieerkennung und TTL-Analyse. Strategien zur Abwehr umfassen das Blockieren von bösartigen Domains und IPs, Reputationsfilterung und eine verstärkte Überwachung. Zusammenarbeit und Informationsaustausch sind entscheidend für die Verteidigung gegen Schnellfluss.

Das FBI, CISA und MS-ISAC haben ein gemeinsames Beratungsdokument veröffentlicht, um bekannte Taktiken, Techniken und Verfahren (TTPs) sowie Indikatoren für Kompromittierungen (IOCs) der Medusa-Ransomware zu verbreiten. Medusa ist eine Ransomware-as-a-Service-(RaaS)-Variante, die erstmals im Juni 2021 identifiziert wurde, und bis Februar 2025 mehr als 300 Opfer aus verschiedenen kritischen Infrastruktursektoren betroffen hat. Die Medusa-Akteure setzen ein Doppel-Erpressungsmodell ein, bei dem sie die Opferdaten verschlüsseln und drohen, die exfiltrierten Daten öffentlich zu veröffentlichen, wenn keine Lösegeldzahlung erfolgt. Die Akteure rekrutieren typischerweise Initial-Access-Broker (IABs), um initialen Zugriff auf potenzielle Opfer zu erlangen, oft durch Phishing-Kampagnen und Ausnutzung unpatchter Software-Schwachstellen. Sobald ein Fuß auf dem Boden ist, verwenden die Medusa-Akteure Living-off-the-Land-(LOTL)- und legitime Tools für die initiale Benutzer-, System- und Netzwerkaufklärung. Sie verwenden auch PowerShell und den Windows-BefehlsPrompt für die Netzwerkaufklärung und Dateisystemaufklärung sowie für die Nutzung von Ingress-Tool-Übertragungsfähigkeiten. Die Medusa-Akteure versuchen, durch verschiedene Vermeidungstechniken, einschließlich certutil- und PowerShell-Erkennungsvermeidungstechniken, nicht erkannt zu werden. Die Akteure haben auch beobachtet, dass sie legitime Remote-Zugangssoftware verwenden, um sich lateral durch das Netzwerk zu bewegen und Dateien für die Exfiltration und Verschlüsselung zu identifizieren. Schließlich verwenden die Medusa-Akteure Rclone, um die Daten auf ihre C2-Server zu übertragen, und setzen ein Doppel-Erpressungsmodell ein, um von den Opfern Zahlungen zu fordern.

Das Bundesamt für Ermittlung (FBI), die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) und das Multi-State-Information-Sharing-and-Analysis-Center (MS-ISAC) haben eine gemeinsame Warnmeldung herausgegeben, um Informationen über die Ghost-(Cring-)Ransomware-Variante bereitzustellen. Die Ghost-Akteure, die in China ansässig sind, führen seit Anfang 2021 umfangreiche Angriffe durch, um finanzielle Gewinne zu erzielen, indem sie Organisationen mit veralteter Software und Firmware angreifen. Die Gruppe hat Organisationen in über 70 Ländern kompromittiert, darunter kritische Infrastrukturen, Schulen, Gesundheitswesen, Regierungsnetzwerke und kleine und mittelständische Unternehmen. Die Ghost-Akteure nutzen öffentlich verfügbaren Code, um Common Vulnerabilities and Exposures (CVEs) auszunutzen und Zugriff auf internetfacing-Server zu erlangen. Sie rotieren ihre Ransomware-Executable-Payloads, ändern die Dateierweiterungen für verschlüsselte Dateien, ändern den Text der Lösegeldnotiz und verwenden zahlreiche Lösegeld-E-Mail-Adressen, was die Zuordnung erschwert. Die Gruppe verwendet verschiedene Tools, einschließlich Cobalt Strike, um Schwachstellen auszunutzen, Zugriff zu erlangen und sich laterale innerhalb der Opfer-Netzwerke zu bewegen. Die Warnmeldung enthält technische Details über die Taktiken, Techniken und Verfahren (TTPs), die von Ghost-Akteuren verwendet werden, einschließlich des initialen Zugriffs, der Ausführung, der Persistenz, der Privilegien-Eskalation, des Zugriffs auf Anmeldedaten, der Verteidigungsevasion, der Erkennung, der lateralen Bewegung, der Exfiltration und der Befehls- und Kontrolle. Die Gruppe verlässt sich stark auf Cobalt Strike Beacon-Malware und Cobalt Strike-Team-Server für Befehls- und Kontrolloperationen. Der Auswirkungen der Ghost-Ransomware-Aktivitäten variieren stark von Opfer zu Opfer, wobei die Gruppe normalerweise Zehntausende bis Hunderttausende von Dollar in Kryptowährung als Gegenleistung für die Dekodierungssoftware fordert. Die Warnmeldung empfiehlt Organisationen, Empfehlungen umzusetzen, um die Wahrscheinlichkeit und den Auswirkungen von Ghost-Ransomware-Vorfällen zu reduzieren.

Die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben ein gemeinsames Cyber-Sicherheits-Gutachten bezüglich der Ausnutzung von Schwachstellen in Ivanti Cloud Service Appliances (CSA) veröffentlicht. Die Schwachstellen, einschließlich CVE-2024-8963, CVE-2024-8190, CVE-2024-9379 und CVE-2024-9380, wurden im September 2024 ausgenutzt, um Angreifern den initialen Zugriff, die Remote-Code-Ausführung, die Erlangung von Anmeldeinformationen und die Einrichtung von Webshells in den Opfer-Netzwerken zu ermöglichen. Die Angreifer haben die Schwachstellen verkettet, um Zugriff zu erlangen, wobei zwei primäre Ausnutzungswege verwendet wurden: einer, der CVE-2024-8963 mit CVE-2024-8190 und CVE-2024-9380 ausnutzte, und ein anderer, der CVE-2024-8963 mit CVE-2024-9379 ausnutzte. Die Schwachstellen betreffen Ivanti CSA-Version 4.6x, Versionen vor 519, und zwei der Schwachstellen betreffen auch CSA-Versionen 5.0.1 und darunter. Ivanti CSA 4.6 ist End-of-Life und erhält keine Patches oder Bibliotheken von Drittanbietern mehr, und CISA und FBI empfehlen Netzwerkadministratoren dringend, auf die neueste unterstützte Version umzusteigen. Netzwerk-Verteidiger werden ermutigt, nach bösartiger Aktivität in ihren Netzwerken zu suchen, indem sie die Erkennungsmethoden und Indikatoren für Kompromisse (IOCs) innerhalb des Gutachtens verwenden. Anmeldeinformationen und sensible Daten, die in den betroffenen Ivanti-Geräten gespeichert sind, sollten als kompromittiert betrachtet werden, und Organisationen sollten Protokolle und Artefakte für bösartige Aktivität sammeln und analysieren. Das Gutachten enthält technische Details zu den Schwachstellen, einschließlich der von den Angreifern verwendeten MITRE ATT&CK-Taktiken und -Techniken. Die Aktivität der Angreifer wurde von drei Opfer-Organisationen erkannt, die in der Lage waren, die Vorfälle durch Ersetzen von virtuellen Maschinen mit sauberen und aktualisierten Versionen zu beheben.

Im Jahr 2023 nutzten böswillige Cyber-Akteure mehr Zero-Day-Schwachstellen aus, um Unternehmensnetzwerke zu kompromittieren und Operationen gegen höher priorisierte Ziele durchzuführen. Die Mehrheit der am häufigsten ausgenutzten Schwachstellen wurde ursprünglich als Zero-Day-Schwachstellen ausgenutzt, was einen Anstieg im Vergleich zu 2022 darstellt. Die verantwortlichen Behörden, einschließlich CISA, FBI, NSA, ACSC, CCCS, NCSC-NZ und CERT NZ, haben dieses gemeinsame Cybersecurity-Advisory entwickelt, um Details zu den Top-15-Schwachstellen bereitzustellen, die von böswilligen Cyber-Akteuren im Jahr 2023 ausgenutzt wurden. Diese Schwachstellen umfassen Code-Injection, Buffer-Overflow, Privilegien-Eskalation, Befehls-Injection, SQL-Injection, fehlerhafte Zugriffskontrolle, Remote-Code-Ausführung, fehlerhafte Eingabevalidierung und Informations-Offenlegung. Das Advisory bietet auch Empfehlungen für Anbieter, Designer, Entwickler und Endbenutzer-Organisationen, um das Risiko einer Kompromittierung durch böswillige Cyber-Akteure zu reduzieren.