Eine der größten vietnamesischen Krypto-Handelsplattformen, ONUS, erlitt kürzlich einen Cyberangriff auf ihr Zahlungssystem, auf dem eine anfällige Log4j-Version läuft.
Schon bald wandten sich Bedrohungsakteure an ONUS, um eine Summe von 5 Millionen US-Dollar zu erpressen, und drohten mit der Veröffentlichung von Kundendaten, falls ONUS sich weigert, den Anforderungen zu entsprechen.
Nach der Weigerung des Unternehmens, das Lösegeld zu zahlen, haben Bedrohungsakteure Daten von fast 2 Millionen ONUS-Kunden in Foren zum Verkauf angeboten.
Fast 2 Millionen Kundendatensätze wurden in diesen Datenbanken gespeichert, darunter auch E-KYC-Informationen, die von Banken, FinTech-Unternehmen verwendet werden und identische Dokumente oder Nachweise von Kunden wie Video-Selfies zur Verifizierung beinhalten.
Die Zahlungssoftware hatte die angreifbare log4j-Version, sodass Angreifer die Schwachstelle ausnutzten und auf Kundendaten zugreifen konnten. Einmal ausgenutzt, scannen die Angreifer das Internet nach anfälligen Servern.
Schwachstelle erfolgreich ausgenutzt
Zwischen dem 11. und 13. Dezember nutzten Bedrohungsakteure erfolgreich die Log4Shell-Sicherheitslücke auf einem Cyclos-Server von ONUS aus und setzten Hintertüren für weiteren Zugriff.
Cyclos bietet eine Reihe von Point-of-Sale (POS)- und Zahlungssoftwarelösungen an und verwendet wie die meisten Anbieter eine anfällige log4j-Version in ihrer Software.
Obwohl Cyclos am 13. eine Empfehlung herausgegeben und ONUS angeblich aufgefordert hat, ihre Systeme zu patchen, war es zu spät. Das Offenlegungsfenster gab Bedrohungsakteuren ausreichend Zeit, um Informationen aus der Datenbank zu sammeln, die E-KYC-Daten, persönliche Informationen und gehackte Passwörter umfassen.
Die Fehlkonfiguration ermöglichte es Angreifern, auf Kundendaten vom Programmierserver zuzugreifen
Die Schwachstelle Log4Shell existierte auf einem Sandbox-Server, der nur zu Programmierzwecken verwendet wurde, Angreifern jedoch aufgrund einer Fehlkonfiguration des Systems den weiteren Zugriff auf sensible Datenspeicherorte mit Produktionsdaten ermöglichte.
Das Unternehmen widersetzte sich der Zahlungsoption und entschied sich, den Angriff über eine private Facebook-Gruppe gegenüber seinen Kunden offenzulegen.
Der Hack selbst ist etwas mehr als nur ein Log4j-Problem. Es mag der Einstiegspunkt für Angreifer gewesen sein, aber unsachgemäßer Zugriff und Kontrolle auf ONUS Amazon S3-Buckets ermöglichten Angreifern einen unzulässigen Zugriff.
Aufgrund eines Konfigurationsproblems enthält dieser Server jedoch Informationen, die Bösewichten Zugriff auf unser Datenspeichersystem verschafften und einige wichtige Daten stahlen. Dies führt zu der Gefahr, dass die persönlichen Daten einer großen Anzahl von Benutzern preisgegeben werden.
Bis zum 25. Dezember, nachdem es ihnen nicht gelungen war, sich den Erpressungsbetrag von ONUS zu sichern, boten Bedrohungsakteure die Kundendaten auf einem Marktplatz für Datenschutzverletzungen zum Verkauf an. Die Behauptungen des Bedrohungsakteurs, Kopien verschiedener Datenbanktabellen mit Listen und Listen mit persönlichen Daten von Kunden zu haben.
Inzwischen werden log4j-Schwachstellen von allen möglichen Bedrohungsakteuren ausgenutzt, von staatlich unterstützten Hackern bis hin zu Ransomware-Gangs und anderen Kriminellen. Der Fehler sollte behoben werden, wenn Log4j-Benutzer sofort auf die neueste Version 2.17.1 aktualisieren, die gestern veröffentlicht wurde.