Security News

Wormable XMRig Campaign Uses BYOVD Exploit and Time-Based Logic Bomb

**Was ist passiert?** Cyberkriminelle verbreiten eine neue Cryptojacking-Kampagne, die über raubkopierte Software einen speziell angepassten XMRig-Miner auf befallenen Computern installiert. Die Malware nutzt einen BYOVD-Exploit (Bring Your Own Vulnerable Driver) und eine zeitbasierte Logikbombe für eine mehrstufige Infektion. **Wer ist betroffen?** Nutzer, die raubkopierte Software herunterladen und installieren, sind gefährdet. **Was sollte man tun?** Vermeiden Sie den Download von Raubkopien und nutzen Sie ausschließlich offizielle Software-Quellen, um sich vor dieser Art von Cryptojacking-Angriffen zu schützen.

US Healthcare Diagnostic Firm Says 140,000 Affected by Data Breach

When identity isn’t the weak link, access still is

Ukrainian Gets 5 Years in US Prison for Aiding North Korean IT Fraud

**Zusammenfassung:** Ein Ukrainer namens Oleksandr Didenko wurde in den USA zu fünf Jahren Gefängnis verurteilt, weil er gestohlene Identitäten von US-Bürgern an Nordkoreaner verkauft hat. Diese konnten sich damit auf Freelancer-Plattformen als Amerikaner ausgeben und IT-Jobs erhalten, um Betrug zu begehen. Betroffen sind US-Bürger, deren Identitäten missbraucht wurden, sowie Unternehmen, die unwissentlich nordkoreanische IT-Arbeiter eingestellt haben. Freelancer-Plattformen und Arbeitgeber sollten ihre Identitätsprüfungsverfahren verschärfen, um solche Betrugsfälle zu verhindern.

⚡ Weekly Recap: Double-Tap Skimmers, PromptSpy AI, 30Tbps DDoS, Docker Malware & More

**Zusammenfassung:** Diese Woche gab es mehrere bedeutende Cybersecurity-Vorfälle, darunter neue "Double-Tap" Skimming-Angriffe, die Kreditkartendaten stehlen, sowie einen massiven 30 Terabit pro Sekunde DDoS-Angriff. Zusätzlich wurde Schadsoftware in Docker-Containern entdeckt und ein neues AI-Tool namens "PromptSpy" identifiziert, das KI-Systeme angreift. Besonders beunruhigend ist, dass die Grenzen zwischen normalem Verhalten und versteckten Sicherheitsrisiken bei Geräten, Cloud-Diensten und alltäglichen Apps immer verschwommener werden. **Betroffene:** Nutzer von Online-Zahlungssystemen, Docker-Container-Nutzer, KI-Anwendungen und allgemein alle Internet-Nutzer. **Empfohlene Maßnahmen:** Kreditkartenabrechnungen regelmäßig überprüfen, Docker-Container auf Schadsoftware scannen und generell erhöhte Wachsamkeit bei Online

Autonomous AI Agents Provide New Class of Supply Chain Attack

**Zusammenfassung:** Sicherheitsforscher haben eine neue Art von Supply-Chain-Angriff entdeckt, bei dem autonome KI-Agenten als Angriffswerkzeug eingesetzt werden. In der aktuellen Kampagne zielen die Angreifer auf Krypto-Wallets ab und stehlen Geld von den Opfern. Besonders besorgniserregend ist, dass diese KI-basierte Angriffsmethode ein viel breiteres Schadenspotenzial hat und von anderen Cyberkriminellen für verschiedenste Attacken übernommen werden könnte. Nutzer sollten besonders vorsichtig bei der Installation von Software und Apps sein und ihre Sicherheitsmaßnahmen verstärken. **Betroffen:** Aktuell Krypto-Wallet-Nutzer, potenziell aber alle Nutzer digitaler Services.

How Exposed Endpoints Increase Risk Across LLM Infrastructure

**Zusammenfassung:** Unternehmen, die eigene Large Language Models (LLMs) betreiben, schaffen durch die dafür nötigen internen Services und APIs neue Sicherheitsrisiken. Das Hauptproblem liegt nicht in den KI-Modellen selbst, sondern in der unterstützenden Infrastruktur - jeder neue LLM-Endpunkt vergrößert die Angriffsfläche. Betroffen sind alle Organisationen, die eigene LLM-Systeme implementieren und dabei zusätzliche Schnittstellen und Automatisierungsdienste einsetzen. Unternehmen sollten ihre LLM-Infrastruktur ganzheitlich auf Sicherheitslücken überprüfen und alle Endpunkte entsprechend absichern.

Romanian Hacker Pleads Guilty to Selling Access to US State Network

**Zusammenfassung:** Ein rumänischer Hacker namens Catalin Dragomir hat sich vor einem US-Gericht schuldig bekannt, Zugang zu einem Netzwerk der Regierung des US-Bundesstaats Oregon verkauft zu haben. Der Cyberkriminelle verschaffte sich unberechtigt Zugriff auf das Computersystem einer staatlichen Behörde und bot diesen Zugang anschließend zum Verkauf an. Betroffen ist die Regierung von Oregon, deren interne Systeme kompromittiert wurden. Behörden und Unternehmen sollten ihre Netzwerksicherheit überprüfen und verstärken, um ähnliche Angriffe zu verhindern.

CISA: Recently patched RoundCube flaws now exploited in attacks

**Zusammenfassung:** Die US-Cybersicherheitsbehörde CISA warnt vor zwei kritischen Sicherheitslücken in RoundCube Webmail, die bereits aktiv von Angreifern ausgenutzt werden. Betroffen sind alle Nutzer und Organisationen, die RoundCube Webmail verwenden, insbesondere US-Bundesbehörden, die binnen drei Wochen zur Aktualisierung verpflichtet wurden. Die Schwachstellen ermöglichen es Angreifern wahrscheinlich, auf E-Mail-Systeme zuzugreifen oder diese zu kompromittieren. Nutzer und Administratoren sollten umgehend die verfügbaren Sicherheitsupdates installieren, um ihre Systeme zu schützen.

Hundreds of FortiGate Firewalls Hacked in AI-Powered Attacks: AWS

**Zusammenfassung:** Hunderte von FortiGate-Firewalls wurden durch KI-gestützte Cyberangriffe kompromittiert, wie AWS berichtet. Die Angreifer nutzten offene Ports und schwache Zugangsdaten aus, um die Kontrolle über die Sicherheitsgeräte zu übernehmen. Betroffen sind Unternehmen und Organisationen, die FortiGate-Firewalls mit unzureichend gesicherten Konfigurationen betreiben. Nutzer sollten sofort ihre Firewall-Einstellungen überprüfen, starke Passwörter verwenden und unnötige offene Ports schließen.

Recent RoundCube Webmail Vulnerability Exploited in Attacks

Eine kürzlich entdeckte Sicherheitslücke in RoundCube Webmail wird aktiv von Angreifern ausgenutzt. Die Schwachstelle ermöglicht Cross-Site-Scripting (XSS)-Angriffe über animate-Tags in SVG-Dokumenten, wodurch Angreifer schädlichen Code in E-Mails einschleusen können. Betroffen sind alle Nutzer von RoundCube Webmail-Installationen, die noch nicht aktualisiert wurden. Da die Lücke bereits im Dezember 2024 gepatcht wurde, sollten Administratoren umgehend auf die neueste Version updaten, um sich vor den laufenden Angriffen zu schützen. **Hinweis:** Im ursprünglichen Artikel steht "Dezember 2025" als Patch-Datum, was vermutlich ein Tippfehler ist und "Dezember 2024" heißen sollte.

Mississippi Hospital System Closes All Clinics After Ransomware Attack

**Zusammenfassung:** Das University of Mississippi Medical Center wurde Opfer eines Ransomware-Angriffs, der das Krankenhaus-System dazu zwang, alle rund drei Dutzend Kliniken im gesamten Bundesstaat zu schließen. Zusätzlich mussten alle planbaren medizinischen Eingriffe abgesagt werden. Betroffen sind damit Patienten in ganz Mississippi, die auf medizinische Versorgung und geplante Operationen angewiesen sind. Patienten sollten sich bei ihren behandelnden Ärzten über alternative Behandlungsmöglichkeiten informieren und bei Notfällen andere Krankenhäuser aufsuchen.

Malicious npm Packages Harvest Crypto Keys, CI Secrets, and API Tokens

**Zusammenfassung:** Sicherheitsforscher haben eine aktive Supply-Chain-Angriffskampagne namens "SANDWORM_MODE" entdeckt, bei der mindestens 19 bösartige npm-Pakete verwendet werden. Diese Pakete stehlen Anmeldedaten, Kryptowährungs-Schlüssel, CI-Geheimnisse und API-Token von Entwicklern und Unternehmen. Betroffen sind alle Nutzer, die diese manipulierten npm-Pakete in ihren Projekten installiert haben. Entwickler sollten ihre installierten Pakete überprüfen, verdächtige Pakete sofort entfernen und ihre Zugangsdaten sowie Krypto-Wallets sicherheitshalber ändern.

PayPal Data Breach Led to Fraudulent Transactions

**Zusammenfassung:** PayPal erlebte eine Datenpanne, die durch einen Anwendungsfehler verursacht wurde und persönliche Kundendaten fast 6 Monate lang preisgab. Diese Datenschutzverletzung führte zu betrügerischen Transaktionen auf Kundenkonten. Betroffen sind PayPal-Nutzer, deren persönliche Informationen kompromittiert wurden. Kunden sollten ihre PayPal-Konten und Transaktionen genau überwachen, ihre Passwörter ändern und verdächtige Aktivitäten sofort melden.

MuddyWater Targets MENA Organizations with GhostFetch, CHAR, and HTTP_VIP