Eine #Hackergruppe mit dem Namen #Mydocs hat in den vergangenen Wochen mehrere Hotels in #Italien sowie ein Luxushotel auf Mallorca angegriffen. Dabei wurden rund 70 000 Ausweis- und Pass-Scans von Gästen entwendet und anschließend im Darknet zum Verkauf angeboten – teilweise für bis zu 10 000 Euro pro Dokument. Besonders betroffen war das venezianische Hotel Ca’ dei Conti mit über 38 000 gestohlenen Dateien. Ermittlungen laufen, die italienische Digitalagentur AGID warnt vor möglichem Identitätsmissbrauch.

#hacking #vulnerability #darknet #hotel

https://therecord.media/italy-hotel-guests-possible-data-breach-ids

#DDoS als gezielter Eingriff in die staatliche #Souveränität: Massenhafte Überlastungsattacken sind nicht nur eine ernsthafte Gefahr für die #Cybersecurity, sondern ebenso für das staatliche Gemeinwesen, indem auch öffentliche Infrastrukturen für Bürger:innen blockiert werden.

Nachdem es in den letzten Wochen verstärkt DDoS-Angriffe gab, wurden nun die hinter der prorussischen #Hackergruppe #NoName057(16) stehenden Personen ermittelt und das Servernetz abgeschaltet:

https://www.tagesschau.de/inland/servernetz-hacker-100.html

Wegen #Taurus:

#Prorussische #Hacker attackieren #Deutschland.

Die Pläne von Friedrich Merz, der #Ukraine #Taurus-Marschflugkörper zu liefern, verärgern prorussische #Cyberakteure. Sie schlagen mit Datenpaketen um sich.

Die #prorussische #Hackergruppe #Noname057(16) hat es seit einigen Tagen wieder einmal verstärkt auf deutsche Organisationen abgesehen. Entsprechende Hinweise sind in einem Telegram-Kanal der Angreifer zu finden.

https://www.golem.de/news/wegen-taurus-prorussische-hacker-attackieren-deutschland-2504-195622.html

Russische Hackergruppe nahm UN-Agentur ins Visier

Dieser Artikel stammt von CORRECTIV.Faktencheck / Zur Quelle wechseln

Das Flüchtlingskommissariat der Vereinten Nationen (UNHCR) ist im vergangenen Herbst offenbar Ziel russischer Hacker geworden. Ein gezielter Phishing-Versuch ist nach Einschätzung eines Sicherheitsexperten mit hoher Wahrscheinlichkeit auf die Gruppe RomCom zurückzuführen, die zuletzt unter anderem die Regierung in der Ukraine ausgespäht haben soll. Die UN-Agentur wollte den konkreten Fall nicht kommentieren.

CORRECTIV hatte von dem Vorfall erfahren, weil seine Marke für den Angriffsversuch missbraucht worden ist. Ende September vergangenen Jahres hatte ein Mitarbeiter des UNHCR eine Presseanfrage im Namen eines CORRECTIV-Reporters erhalten. Darin wurde behauptet, die Redaktion plane einen Bericht über Korruption im ukrainischen Militär und Veruntreuung gelieferter Waffen. Weil es sich nicht um eine offizielle E-Mail-Adresse handelte, hatte sich das Flüchtlingskommissariat bei CORRECTIV nach den Hintergründen erkundigt. So konnte die Anfrage als Phishing erkannt werden.

Recherchen von CORRECTIV haben nun eine Verbindung zwischen der Phishing-Mail und der russischen Hackergruppe RomCom herstellen können: Der Adressat der vermeintlichen Presseanfrage wurde aufgefordert, auf einen personalisierten Link zu klicken, um angebliche Beweisdokumente einzusehen. Dieser führte zur Domain correctiv.news, bei der es sich allerdings nicht um eine offizielle CORRECTIV-Internetadresse handelt.

Nach Erkenntnissen eines Analysten der slowakischen IT-Sicherheitsfirma ESET handelt es sich vielmehr um eine Adresse, die er anhand technischer Merkmale „mit hoher Sicherheit“ RomCom zuordnet. Die Hacker-Gruppe ist unter anderem auch als Storm-0978 oder UAT-5647 bekannt.

Volle Kontrolle über einen Computer möglich

Wenige Wochen danach – ohne Kenntnis von dem Phishing-Versuch beim UNHCR zu haben – hatte ESET auf seiner Website darauf hingewiesen, dass RomCom zwei inzwischen behobene Sicherheitslücken ausgenutzt habe. So habe die Gruppe Menschen auf bestimmte Internetseiten gelockt und auf ihren Rechnern Schadsoftware installieren können.

In dem Bericht werden bereits vermeintliche CORRECTIV-Domains wie correctiv.sbs oder redircorrectiv.com gelistet. Es sei sogar möglich gewesen, die volle Kontrolle über einen Computer zu erhalten. Solche Sicherheitslücken sind für Hacker von großem Wert.

Auf Anfrage teilte der Analyst von ESET mit, dass es vorstellbar sei, dass RomCom die raren Sicherheitslücken zuerst für ausgewählte gezielte Attacken verwendet habe. Nach Auffliegen, so das Szenario, habe man versucht, durch weitere zufällige Opfer Spuren und Motive zu verwischen sowie selbst finanziell etwas herauszuschlagen.

RomCom ist einerseits als kriminelle Hackergruppe bekannt, andererseits agiert sie auch im Interesse des russischen Staates. Da der Link zum Zeitpunkt der Recherchen bereits offline war, ließ sich vorerst nicht nachvollziehen, ob über die Seite tatsächlich Schadsoftware installiert werden sollte oder sogar wurde.

Bekannte Vorgehensweise russischer Hacker

Sicherheitsbehörden und Experten beobachten seit einiger Zeit ein Zusammenwirken von Hacktivisten, kriminellen Gruppen und russischen Geheimdiensten. Zuletzt hat das Bundesamt für Verfassungsschutz laut Tagesschau Dutzende Stiftungen, Vereine und Organisationen vor russischen Cyberattacken gewarnt. Auch die Vorgehensweise, die nun beim Angriffsversuch auf das UNHCR zu beobachten war, ist bekannt.

Im September vergangenen Jahres hatten ZDF und Spiegel berichtet, dass russische Staatshacker die Website des Kieler Instituts für Weltwirtschaft imitierten, um Besuchern gefährliche Schadsoftware aufzuspielen. Bei der groß angelegten Kampagne, die laut dem zitierten IT-Bericht der Hackergruppe APT28 alias „Fancy Bear“ zugeschrieben wird, verschickten die Angreifer E-Mails mit Links, die zu eigens dafür eingerichteten und scheinbar seriösen Webseiten führen. Die Experten von X-Force warnten vor weiteren Fake-Adressen mit dem Kürzel der Agentur der Europäischen Union für das Weltraumprogramm (Euspa).

Der Angriffsversuch auf das UNHCR dürfte sich somit zeitlich und methodisch in das russische Vorgehensmuster fügen. Ob es in diesem Rahmen weitere potentielle Ziele von RomCom gab, ist CORRECTIV nicht bekannt.

Faktencheck: Stella Hesch

Zur Quelle wechseln
Author: Alexej Hock

#agentur #hackergruppe #russische #visier

#Darknet #Datendump von #Fortinet aus dem Jahr 2022 aufgetaucht - Datensatz ist scheinbar authentisch:

"Eine #Hackergruppe namens Belsen Group hat in dem berüchtigten Hackerforum #Breachforums Konfigurations- und #VPN-Zugangsdaten von mehr als 15.000 Firewalls des Herstellers Fortinet veröffentlicht. Nach Angaben des unabhängigen Sicherheitsforschers Kevin Beaumont scheinen die Daten aus dem Jahr 2022 zu stammen."

https://www.golem.de/news/fortinet-hacker-teilen-passwoerter-und-configs-von-15-000-firewalls-2501-192482.html