[English]Der Hoster GoDaddy hat jetzt eingestanden, Opfer eines Cyber-Angriffs geworden zu sein. Den Angreifern gelang es, Mitarbeiter von GoDaddy, die für Go Daddy als Registrar für Domainnamen aktiv waren, zu täuschen. Die Betrüger leiteten in der vergangenen Woche E-Mail- und Web-Verkehr für mehrere Kryptogeld-Handelsplattformen auf eigene Seiten um.
Anzeige
Krebs on Security berichtet in diesem Artikel über den Fall. Diese jüngste Kampagne scheint am oder um den 13. November mit einem Angriff auf die Krypto-Währungshandelsplattform liquid.com begonnen zu haben.
"Der Domain-Hosting-Provider 'GoDaddy', der einen unserer Kerndomänennamen verwaltet, hat die Kontrolle über das Konto und die Domäne fälschlicherweise an einen böswilligen Akteur übertragen", teilte Liquid-CEO Mike Kayamori in einem Blog-Post mit. "Dadurch erhielt der Akteur die Möglichkeit, DNS-Einträge zu ändern und im Gegenzug die Kontrolle über eine Reihe von internen E-Mail-Konten zu übernehmen. Zu gegebener Zeit war der böswillige Akteur in der Lage, unsere Infrastruktur teilweise zu kompromittieren und Zugang zum Dokumentenspeicher zu erlangen".
In den frühen Morgenstunden des 18. November 2020 mitteleuropäischer Zeit (MEZ) entdeckte der Cyptocurrency-Mining-Dienst NiceHash, dass einige der Einstellungen für seine Domain-Registrierungseinträge bei GoDaddy ohne Genehmigung geändert worden waren. Die Akteure und leiteten kurzzeitig den E-Mail- und Webverkehr für die Website um. NiceHash fror alle Kundengelder für etwa 24 Stunden ein, bis überprüft worden war, dass seine Domain-Einstellungen wieder auf ihre ursprünglichen Einstellungen zurückgesetzt worden waren. "Bis jetzt es so aus, als ob auf keine E-Mails, Passwörter oder persönliche Daten zugegriffen wurde, aber wir empfehlen, das Passwort zurückzusetzen und die 2FA-Sicherheit zu aktivieren", schrieb das Unternehmen in einem Blog-Post.
NiceHash-Gründer Matjaz Skorjanc sagte, dass die nicht autorisierten Änderungen von einer Internetadresse bei GoDaddy aus vorgenommen wurden. Die Angreifer versuchten, ihren Zugang zu den eingehenden NiceHash-E-Mails zu nutzen, um Passwortrücksetzungen bei verschiedenen Diensten Dritter, darunter Slack und Github, durchzuführen. Matjaz Skorjanc sagte, dass GoDaddy zu dieser Zeit nicht erreichbar war, weil sie durch einen größeren Systemausfall nicht auf Telefonanrufe und E-Mail-Nachrichten reagierten.
Es wurden wohl mehrere Krypto-Währungsplattformen von derselben Gruppe ins Visier genommen, darunter Bibox.com, Celsius.network und Wirex.app. Keines dieser Unternehmen reagierte auf Anfragen von Brian Krebs. Lediglich GoDaddy räumte auf Anfrage von KrebsOnSecurity ein, dass "eine kleine Anzahl" von Kundendomainnamen geändert worden sei, nachdem eine "begrenzte" Anzahl von GoDaddy-Mitarbeitern auf einen Social-Engineering-Betrug hereingefallen war. Go Daddy sagte, der Ausfall zwischen 19.00 Uhr und 23.00 Uhr PST am 17. November habe nichts mit einem Sicherheitsvorfall zu tun, sondern vielmehr mit einem technischen Problem, das während der geplanten Netzwerkwartung auftrat.
GoDaddy fällt eigentlich ständig durch Sicherheitsvorfälle im Hosting-Bereich auf. GoDaddy wurde beispielsweise 2019 Opfer eines Hacks, der offenbar aber nur einige Server betraf (siehe Sicherheitsmeldungen 5. Mai 2020).
Ähnliche Artikel:
Sicherheitsmeldungen 5. Mai 2020
GoDaddy schaltet 15.000 betrügerische -Subdomains ab
GoDaddy übernimmt die Host Europe Group
2015
