Ferrari-Datenpanne bekannt gegeben: Angreifer erhalten Zugriff auf das Firmennetzwerk und fordern Lösegeld, um Datenlecks zu verhindern
Inhaltsverzeichnis:
Der massive Cyber-Vorfall bei Ferrari, der die persönlichen Daten einiger Kunden des Unternehmens kompromittierte, hat kürzlich die Schlagzeilen gemacht. Ferrari, der führende italienische Autohersteller, deckte den Datendiebstahl des Unternehmens ab, nachdem Bedrohungsakteure, die Zugang zu einem Teil der IT-Infrastruktur der Organisation erlangt hatten, ein Lösegeld forderten, um die gestohlenen Daten nicht zu leaken. Ferrari deckte den Vorfall nach Erhalt der Lösegeldforderung auf, jedoch gibt es unter Cyber-Verteidigern noch Diskussionen darüber, ob der Vorfall als Ransomware-Angriff angesehen werden kann.
Erkennung von RansomEXX: Eine Ransomware-Gruppe, die des Ferrari-Datenlecks verdächtigt wird
Obwohl Ferrari keine Details des Vorfalls bekannt gab, gehen Sicherheitsexperten davon aus, dass der Vorfall mit einer weiteren Ransomware-Kampagne im Oktober 2022 zusammenhängen könnte. Damals erklärten die Betreiber der RansomEXX-Ransomware, dass es ihnen gelungen sei, 7 GB sensible Daten von Ferrari zu stehlen. Der Anbieter bestritt jedoch zu dieser Zeit solche Behauptungen.
Angesichts der zunehmenden Anzahl und Raffinesse von Ransomware-Angriffen suchen Sicherheitsexperten nach einer zuverlässigen Quelle für Erkennungsinhalte, um potenzielle Kompromittierungen zu identifizieren. Obwohl noch unklar ist, ob die Gruppe RansomEXX für den Ferrari-Vorfall verantwortlich ist, können SecOps-Teams die Sicherheitslage der Organisation proaktiv stärken, indem sie eine kuratierte Sigma-Regelsatz anwenden, um bösartige Aktivitäten im Zusammenhang mit RansomEXX zu erkennen:
Sigma-Regeln zur Erkennung potenzieller RansomEXX-Infektionen
Um Cyberangriffe auf ihre Infrastruktur proaktiv zu identifizieren, können sich SOC Prime-Nutzer auch auf kuratierte Erkennungsinhalte stützen, die RansomEXX-assoziierte Taktiken, Techniken und Verfahren gemäß MITRE ATT&CK®.
Tactics | Techniques | Sigma Rule |
Initial Access | Valid Account (T1078) | |
Execution | Command and Scripting Interpreter: Windows Command Shell (T1059.003) | |
Defense Evasion | Deobfuscate/Decode Files or Information (T1140) | |
Impair Defenses: Disable or Modify Tools (T1562.001) | ||
Discovery | System Information Discovery (T1082) | |
System Network Connections Discovery (T1049) | ||
File and Directory Discovery (T1083) | ||
Data Encrypted for Impact (T1486) | ||
Impact | Service Stop (T1489) | |
Inhibit System Recovery (T1490) |
Außerdem aggregiert die SOC Prime Plattform eine dedizierte Ransomware Inhaltsliste, um Organisationen zu helfen, den neuesten Ransomware-Angriffen standzuhalten. Klicken Sie auf die Explore Detection -Schaltfläche unten und greifen Sie auf die umfangreiche Liste relevanter Regeln zu, die mit CTI, ATT&CK-Referenzen und weiteren umsetzbaren operativen Metadaten angereichert sind, um eine optimierte Bedrohungsuntersuchung zu fördern.
Ferrari-Datenleck: Was steckt hinter dem Cyber-Vorfall
Seit 2020 ist Ransomware ein wachsender Trend in der Cyber-Bedrohungslandschaft mit zunehmender Raffinesse der Angriffe und ständig zunehmender Anzahl bösartiger Affiliates.
Am 20. März 2023 hat Ferrari eine Erklärung veröffentlicht um ihre Kunden über einen Cyber-Vorfall zu informieren, der zur Kompromittierung eines Teils der IT-Umgebung führte. Der führende Autohersteller deckte auf, dass bösartige Akteure ein Lösegeld für die sensiblen Daten bestimmter Ferrari-Kunden forderten. Das Unternehmen gab diese Erklärung ab, um seine Kunden über die potenzielle Datenexposition zu informieren und Licht auf den aufgedeckten Datendiebstahl zu werfen.
Laut TechCrunch-Recherchen, erlangten Bedrohungsakteure Zugang zum Netzwerk des Unternehmens und erreichten sensible Daten einiger ihrer Kunden, einschließlich ihrer Namen und Kontaktdaten. Dennoch wurde, wie Ferrari behauptet, keine Zahlungsdetails der Bestellungen oder im Besitz von Ferrari-Fahrzeugen von den Angreifern gestohlen.
Cybersicherheitsexperten vermuten, dass der Ferrari-Cyber-Vorfall mit der gezielten Ransomware-Kampagne im Oktober zusammenhängen könnte, in der Bedrohungsakteure, die unter dem Spitznamen „RansomEXX“ bekannt sind, erklärten, den Autohersteller infiltriert zu haben. Die TechCrunch-Untersuchung ergab, dass bei diesem Ransomware-Einsatz ungefähr 7 GB von Ferrari gestohlen wurden, wie interne Dokumentationen, Reparaturanleitungen und andere Kollaterale.
Obwohl ein Teil der IT-Infrastruktur betroffen war, wurden keine Kunden-Persönlichkeitsdaten infolge eines potenziellen Ransomware-Angriffs offengelegt, und Ferrari behauptete, dass der Vorfall keine Auswirkungen auf die betriebliche Funktionalität des Unternehmens hatte.
Um Sicherheitsteams dabei zu unterstützen, sich proaktiv gegen bestehende und aufkommende Ransomware-Bedrohungen zu verteidigen, kuratiert SOC Prime 650 einzigartige Sigma-Regeln zur Erkennung von Ransomware, mit mehr als 30 kostenlosen Erkennungsinhalten. Suchen Sie nach weiteren Erkennungen? Schalten Sie premium ransomware-bezogene Sigma-Regeln Ihrer Wahl mit unseren On-Demand-Abonnements frei unter http://my.socprime.com/pricing.
