Ransomware-Angriff auf Casio
Die Ransomware-Gruppe Underground hat einen Angriff auf Casio bekannt gegeben und Daten des Unternehmens veröffentlicht. Casio untersucht den Vorfall mit externen Spezialisten.
Die japanische Technologiefirma Casio ist am 5. Oktober von der Ransomware-Gruppe Underground angegriffen worden, was zu Systemstörungen und Beeinträchtigungen einiger Dienste führte. Casio bestätigt den Vorfall auf seiner Website, hält sich jedoch mit Details zurück und gibt an, externe IT-Spezialisten hinzugezogen zu haben, um den möglichen Diebstahl von persönlichen oder vertraulichen Informationen zu untersuchen.
Heute hat die Underground-Gruppe Casio auf ihrem Erpressungsportal im Darknet hinzugefügt und eine grosse Menge an Daten veröffentlicht, die angeblich vom japanischen Unternehmen gestohlen wurden, wie "Bleeping Computer" berichtet. Zu den geleakten Daten gehören vertrauliche Dokumente, rechtliche Unterlagen, persönliche Daten von Mitarbeitenden, NDAs, Gehaltsinformationen, Patentdaten, Finanzdokumente des Unternehmens, Projektinformationen und Vorfallberichte.
"Bleeping Computer" hat Casio um eine Stellungnahme zu den Behauptungen und dem Datenpaket der Underground-Gruppe gebeten, jedoch noch keine Antwort erhalten. Die Behauptungen der Bedrohungsakteure bleiben daher unbestätigt.
Laut einem Fortinet-Bericht von Ende August 2024 handelt es sich bei Underground um eine relativ kleine Ransomware-Operation, die seit Juli 2023 Windows-Systeme ins Visier nimmt. Die Gruppe wird demnach mit der russischen Cybercrime-Gruppe "RomCom" (Storm-0978) in Verbindung gebracht, die zuvor Cuba-Ransomware auf kompromittierten Systemen verbreitete.
Angriffsmethode und Auswirkungen
Fortinet berichtet, dass die Underground-Gruppe im Sommer die CVE-2023-36884-Sicherheitslücke in Microsoft Office ausnutzte, um Systeme zu infizieren. Nach einem erfolgreichen Angriff manipulieren die Angreifer die Registrierung, um Remote-Desktop-Sitzungen 14 Tage lang nach der Abmeldung des Nutzers aufrechtzuerhalten, was ihnen einen komfortablen Zugang zum System ermöglicht.
Im Gegensatz zu vielen anderen Ransomware-Varianten hängt Underground keine Dateierweiterungen an verschlüsselte Dateien an und ist so konfiguriert, dass Dateitypen, die für den Betrieb von Windows unerlässlich sind, übersprungen werden, um das System nicht unbrauchbar zu machen. Zudem stoppt die Ransomware den MS-SQL-Server-Dienst, um Daten für Diebstahl und Verschlüsselung freizugeben und den Angriff zu maximieren.
Ein ungewöhnliches Merkmal der Erpressungstaktik von Underground sei, dass sie die gestohlenen Daten auch auf Mega leakt und Links zu den dort gehosteten Archiven über ihren Telegram-Kanal verbreitet, um die Sichtbarkeit und Verfügbarkeit der Daten zu erhöhen. Das Erpressungsportal von Underground listet derzeit 17 Opfer auf, von denen die meisten in den USA ansässig sind.
Ob der Angriff auf Casio der Durchbruch der Bedrohungsgruppe in den Mainstream sein wird, bleibt abzuwarten. Auf die Liste der 10 gefährlichsten Ransomwarebanden von Cisco Talos schaffte es Underground um Juli 2024 nicht. Mehr zu den gefährlichsten Ransomware-Gruppen lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
BACS stoppt und analysiert Gorilla-Botnetz
Ransomware-Angriff auf Casio
Mit First-Class-Schulungen zum Cybersecurity-Profi
Barracuda identifiziert neue QR-Phishing-Methoden
Phisher fälschen Mails im Migros-Look
Aveniq sucht Head of Security
Internet Archive von Datenleck betroffen
United Security Providers ist KnowBe4s EMEA-Partner des Jahres
Die "Steirische Eiche" singt über einen Regenbogen
