Der Kühlschrank - das "Passwort" der Zukunft im Smarthome

News

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Cryptominern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security.

(Source: Coen Kaat / Netzmedien)

Ticker

17.11.2024 - 09:00 Uhr

Der Kühlschrank - das "Passwort" der Zukunft im Smarthome

Sie sind - zumindest aktuell - noch genauso notwendig wie lästig: Passwörter. Während die einen daran arbeiten, Passwörter beispielsweise mit weiteren Faktoren zu stärken, arbeiten andere daran, sie ganz abzuschaffen. Denn eine gute Passwortstrategie setzt eigentlich voraus, dass man sich eine Unzahl an unterschiedlichen Passwörtern merkt, die sich ein Mensch möglichst nicht merken kann. Deshalb sucht man eifrig nach Alternativen.

Die ETH geht auf ihrer Suche einen unüblichen Weg. "Stellen Sie sich vor, Sie kommen nach einem langen Arbeitstag nach Hause in Ihr Smarthome, das Sie mit Ihrer Familie bewohnen. Im Korridor loggen Sie sich anhand Ihrer Fusstemperatur und dem typischen Platz ihres Schlüssels im Regal automatisch ins Sound System ein. Ihre Lieblingsmusik erklingt leise. In der Küche möchten sie ein kühles Getränk aus dem Kühlschrank nehmen. Dieser erkennt Sie allein aufgrund der Art, wie Sie den Kühlschrankgriff drücken und lässt sich problemlos öffnen." So beschreibt die ETH die Idee in einer Mitteilung.

Smarthome sollen ihren Bewohnern und Bewohnerinnen möglichst viel Komfort bieten. Die vernetzten Geräte darin würden jedoch oft ein langes Passwort erfordern, um sich einzuloggen. Dieses müsse zudem über eine Fernbedienung oder ein kleines Display eingegeben werden, zum Beispiel auf dem Smartphone, was häufig zu Tippfehlern führe und nicht benutzerfreundlich sei.

"Aktuell ist die Authentifizierung eine zusätzliche Hürde und Herausforderung, die Nutzende in Smarthomes überwinden müssen", sagt Verena Zimmermann, Psychologin und Professorin für Sicherheit, Privatsphäre und Gesellschaft an der ETH Zürich. "Vor allem ältere Menschen, Kinder und Personen mit körperlichen Einschränkungen haben damit Mühe." Gemeinsam mit Forschenden aus Deutschland will sie daher neue Möglichkeiten zur Authentifizierung schaffen.

Zuerst die Ideen, dann die Sicherheit

In einer kürzlich publizierten Studie beschreibt das Forschungsteam, wie man alltägliche und bereits vorhandene Gegenstände im smarten Haushalt für Logins nutzen könnte. Diese Form der Authentifizierung lasse sich leicht in Alltagsroutinen integrieren und erfordere keine zusätzlichen Schritte mehr.

"Spannend war beispielsweise, dass viele der entwickelten Interaktionen für Aussenstehende nicht als Akt der Authentifizierung erkennbar sind, während die Eingabe eines Passworts sofort erkannt wird", sagt Zimmermann. Dies könne nützlich sein, wenn Kinder beispielsweise nicht wissen sollen, wie man den Herd einschaltet.

Das Team geht davon aus, dass es nicht ein Anmeldeverfahren geben wird, das für alle funktioniert. Stattdessen würden sich wohl eher Cluster für bestimmte Nutzergruppen bilden, die zu einem gewissen Grad personalisierbar sind, heisst es in der Mitteilung.

Ein paar wichtige Fragen sind allerdings noch offen, wie Zimmermann selbst einräumt. "Wir wollten auf der grünen Wiese beginnen und gerade im ersten Schritt wirklich alle Ideen sammeln und frei denken", sagt Zimmermann. Aspekte wie Sicherheit, Privatsphäre und technische Umsetzbarkeit seien daher noch nicht Teil dieser Studie gewesen. Sie sollen aber "im Anschluss" betrachtet werden.

10.11.2024 - 09:00 Uhr

Wenn die Heissluftfritteuse heimlich mithört und petzt

Eigentlich seien Heissluftfritteusen ja gesünder als gewöhnliche Fritteusen. Sie benötigen weniger Fett und sollen dennoch die gleiche knusprige Textur hinkriegen, wie beim herkömmlichen Frittieren. Hersteller behaupten daher, die Mahlzeiten würden daher bis zu 80 Prozent weniger Kalorien enthalten. Gemäss der britischen Verbraucherschutzorganisation Which haben die Geräte dafür ein anderes, wohl viel grösseres Problem: Airfryer sind Petzen!

Wie die Organisation mitteilt, sollen drei Geräte der Hersteller Xiaomi, Aigostar und Cosori Daten über ihre Nutzer und Nutzerinnen sammeln. Dies geschieht vor allem über die Begleit-Apps. Die smarten Fritteusen wollten alle den Standort wissen. Noch fragwürdiger war jedoch, dass alle drei zudem die Berechtigung haben wollten, Audiodaten auf dem Smartphone aufzuzeichnen. Einen Grund dafür nannten die Apps nicht.

Die Xiaomi-App vernetzte sich - abhängig vom Standort - zudem mit Trackern von Facebook, Pangle (das Anzeigennetzwerk von Tiktok for Business) und Tencent. Die Aigostar-App fragte beim Einrichten eines User-Profils auch Daten wie Geschlecht und Geburtsdatum ab. Allerdings waren diese Informationen wohl nicht zwingend nötig, um ein Profil zu erstellen, schreibt Which.

Daten nach China übermittelt

Zwei der drei Heissluftfritteusen übermittelten persönliche Daten an Server in China. Dies wurde zwar in den Datenschutzbestimmungen erwähnt. "Jedoch lesen bekanntlich die wenigsten Nutzenden diese tatsächlich aufmerksam, so dass eine solche Datenübermittlung oftmals gar nicht zur Kenntnis genommen wird", schreibt "Golem" dazu.

Ob die Geräte auch Daten über die frittierten Mahlzeiten sammeln, schreibt die Organisation nicht. Es ist also nicht davon auszugehen, dass es den Herstellern darum geht, heimlich europäische Rezepte zu erhaschen.

In einem Statement gegenüber der Organisation Which teilte Xiaomi mit, dass es alle britischen Datenschutzgesetze einhalten würde. Der Hersteller versicherte, dass er keine persönlichen Daten an Dritte verkaufe. Bestimmte Funktionen seien zudem nur in ausgewählten Märkten aktiv. So könnten die Tencent-Dienste etwa nur in China genutzt werden. Auch Cosori beteuerte, dass die Produkte die Vorgaben der DSGVO einhalten würden. Ohne spezifische Prüfberichte von Which oder des Prüflabors könne der Hersteller jedoch keine weiteren Kommentare dazu geben, schreibt Cosori. Aigostar habe gemäss der Verbraucherschutzorganisation nicht auf deren Anfrage reagiert.

Which hat nicht nur Airfryer getestet. Auch Smartwatches, Fernseher und Smart Speaker wollten mehr Informationen und Berechtigungen, als nachvollziehbar ist. Die Organisation empfiehlt, auf diese Berechtigungen zu achten und sie gegebenenfalls zu verwehren. Zudem sollten User die Datenschutzbestimmungen jeweils wenigstens überfliegen.

03.11.2024 - 09:00 Uhr

Sophos kämpft mit Cybercrime-Kaijū in "Pacific Rim"

2013: Im ersten "Pacific Rim"-Film haben Idris Elba und Charlie Hunnam böse Kaijū, also riesige Monster, in genau so riesigen Robotern bekämpft. 2018: Im zweiten Teil prügelten sich John Boyega und Scott Eastwood mit noch gigantischeren Kreaturen. Ende 2018: Der britische Cybersecurity-Anbieter Sophos hatte wohl keine Geduld mehr, auf einen neuen Teil in der Filmserie zu warten und inszenierte seine eigene Pacific-Rim-Fortsetzung.

Das Unternehmen kämpft nach eigenen Angaben nämlich seit fünf Jahren mit seinem eigenen Kaijū im pazifischen Raum. In einem Report namens "Pacific Rim" beschreibt das Unternehmen "ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China", wie Sophos mitteilt. Gemäss dem Report nutzte das "riesige Cybercrime-Ökosystem" neuartige Exploits und massgeschneiderte Malware, um Perimetergeräte, wie etwa die Firewalls von Sophos, zu attackieren. Das Ziel der Attacken war die Überwachung und Sabotage ihrer Opfer. Dabei handelte es sich laut Sophos vor allem um Regierungsziele sowie um kleine und grosse kritische Infrastrukturen in Süd- und Südostasien. Laut Sophos seien die verwendeten Taktiken und Tools teilweise identisch mit denjenigen von bekannten chinesischen Nationalstaatsgruppen wie etwa Volt Typhoon, APT31 und APT41.

Gemäss dem Report begann Sophos’ Pacific Rim im Dezember 2018. Der erste Angriff richtete sich damals jedoch nicht gegen ein Netzwerkgerät. Stattdessen war Sophos zunächst selbst das Ziel: Im Netzwerk des indischen Tochterunternehmens Cyberoam entdeckte Sophos einen Remote Access Trojan. Teil des Angriffs war auch ein zuvor unbekanntes und komplexes Rootkit, das Sophos Cloud Snooper nannte.

Von Anfang 2020 bis weit in das Jahr 2022 hinein änderten die Cyberkriminellen ihr Tempo. In mehreren, aufwändigen Kampagnen suchten und attackierten sie öffentlich zugängliche Netzwerkgeräte. Sophos bemerkte diese lauten Attacken nach eigenen Angaben schon kurz nachdem sie begonnen hatten. Mitte 2022 wurde es dann stiller - nicht, weil die Bedrohungsakteure aufgegeben hatten, sondern weil sie auf heimliche Angriffsmethoden umgeschwenkt waren. Dabei handelte es sich um sehr gezielte, eng begrenzte Attacken auf ausgewählte Organisationen.

"Die Angreifer scheinen gut ausgestattet, geduldig, kreativ und ungewöhnlich gut über die interne Architektur der Gerätefirmware informiert zu sein", schreibt Sophos im Report. Die Angriffe "zeigen einen Grad an Entschlossenheit zu schädlichen Aktivitäten, die wir in der fast 40-jährigen Firmengeschichte von Sophos selten gesehen haben." Gemäss dem Unternehmen entwickelt sich die Situation noch immer laufend weiter, während Ermittlungen der Strafverfolgungsbehörden laufen.

27.10.2024 - 09:00 Uhr

Was ist schneller - ein Frühstücksei oder Ransomware?

Diese Frage hat sich gewiss jeder schon einmal gestellt: Kann ich ein Frühstücksei kochen, während ich darauf warte, dass eine Ransomware ein Firmennetzwerk verschlüsselt? Dank Cisco Talos, dem Cybersecurity-Arm des fast gleichnamigen US-amerikanischen Herstellers, haben wir nun eine Antwort auf diese Frage: ja!

Lockbit, die bislang schnellste Ransomware, könne 100'000 Testdateien - beziehungsweise 53 Gigabyte - in nur 5 Minuten und 50 Sekunden verschlüsseln. Für ein hartgekochtes Ei reicht das zwar nicht - es sei denn, man hat Lust auf ein Wachtelei. Aber wer das Eigelb lieber noch etwas flüssig mag, schafft es wohl, das Ei zu kochen und zu verspeisen, ehe das Firmennetzwerk verschlüsselt ist.

Die temporalen Analysen von Cisco Talos gehen noch weiter. Mit einem Verweis auf das geflügelte Wort "Zeit ist Geld" untersuchte das Unternehmen die Dauer verschiedener Vorgänge aus dem Cybersecurity-Umfeld. So braucht eine herkömmliche Kaffeemaschine etwa mehr Zeit (60 Sekunden) als ein Phishing-Opfer. Im Schnitt würden 21 Sekunden vergehen, bevor ein Phishing-Opfer auf einen bösartigen Link klicke und danach nochmals 28 Sekunden, bis diese Person ihre Daten unbedacht weitergibt. "Also nehmen Sie sich besser etwas mehr Zeit: sowohl beim Kaffee als auch beim Lesen Ihrer E-Mails", schreibt das Unternehmen.

Eine Minute Downtime kostet 9000 US-Dollar. Unternehmen benötigen 88 Tage, um eine kritische Schwachstelle zu stopfen - Cyberkriminelle nutzen diese aber bereits nach 44 Tagen aus. Apropos Schwachstellen: Acht der zehn meistgenutzten Einfallstore im Jahr 2023 waren älter als fünf Jahre. Vier der Top-Bedrohungen sind sogar schon über 10 Jahre alt. Und ein bisschen Eigenwerbung musste natürlich auch noch sein: Nach eigenen Angaben analysiert Cisco Talos durchschnittlich 10 Millionen Security-Ereignisse pro Sekunde; damit sei das Unternehmen etwa 100-mal schneller als Google (100'000 Suchanfragen pro Sekunde).

"Cybercrime ist eine Frage des Timings. Um erfolgreich zu sein, setzen die Akteure auf Geschwindigkeit und den exakten Moment der Unaufmerksamkeit", sagt Holger Unterbrink, Technischer Leiter von Cisco Talos in Deutschland. "Sind Unternehmen in der Lage, Automatisierung und damit das Moment der Zeit für sich zu nutzen, verbessert sich auch ihre Abwehrfähigkeit merklich."

20.10.2024 - 09:00 Uhr

Wenn Staubsauger plötzlich zu Rassisten werden, steckt wohl ein Hacker dahinter

Es klingt wie eine Szene aus einem Terminator-Film. In Los Angeles erwacht ein Staubsaugerroboter ungeplant und von alleine aus seinem Schlaf. Der Besitzer kann ihn nicht kontrollieren - und muss hilflos zusehen, wie der Roboter seinen Hund durch die Wohnung jagt.

Die saugende Hundejagd ist kein Einzelfall. Mehrere Geräte des chinesischen Herstellers Ecovacs machten sich - auf unheimliche Art und Weise - selbstständig. In einem weiteren Fall, über den "ABC" berichtet, begann ein Saugroboter auf seiner Spritztour zu sprechen. "Es klang wie ein abgehaktes Radiosignal oder so etwas", sagt der Betroffene dem Nachrichtenportal. "Man konnte Bruchstücke einer Stimme hören." Auf seiner App sah er, dass eine unbekannte Person auf die Kamera des Roboters zugegriffen hatte und seine Familie beobachtete.

Er setzte das Passwort zurück und startete das Gerät neu - aber das war nicht genug. Der Robotor setzte sich fast sofort wieder in Bewegung. Und beim zweiten Mal kam eindeutig eine Stimme aus dem Gerät. Diese schrie immer wieder rassistische Beleidigungen - direkt vor dem Betroffenen und dessen Familie. Gemäss dem Bericht sind ABC weitere Fälle von verhaltensgestörten Saugrobotern in den USA bekannt.

ABC bringt die Vorfälle in Zusammenhang mit einer Reihe von Schwachstellen in den Geräten und in der App des Herstellers. Security-Analysten hatten den Hersteller sechs Monate zuvor darüber informiert. Der schwerwiegendste Bug war in der Absicherung der Bluetooth-Verbindung. Dieser ermöglichte aus 100 Metern Entfernung den vollständigen Zugriff auf den Roboterstaubsauger Ecovacs X2. Das Gerät ist übrigens auch in der Schweiz erhältlich. Der PIN-Schutz, mit dem eigentlich die Videoübertragung abgesichert werden sollte, lasse sich umgehen. Und der Warnton, der erklingen sollte, wenn die Kamera aktiviert wird, lässt sich aus der Ferne deaktivieren.

Der Hersteller sieht den Fehler jedoch nicht bei seinen Produkten. Als der beschimpfte Benutzer sich beim Hersteller beschwerte, schob dieser die Schuld auf seinen Kunden. Eine Untersuchung soll ergeben haben, dass die Hacker sich mit den Zugangsdaten des Kunden eingeloggt hätten. Diese Anmeldeinformationen hätten die Hacker aber woanders erbeutet - Ecovacs sei nicht kompromittiert worden gemäss dem Hersteller selbst.

Ecovacs verspricht, im November ein Sicherheits-Update für die X2-Serie herauszugeben. Bis dahin sollten Ecovacs-User wohl auf politisch korrekte Hacker hoffen, die weniger obszönes beim Staubsaugen herausposaunen - und idealerweise auch keine voyeuristischen Neigungen besitzen.

12.09.2024 - 16:36 Uhr

Fortinet entdeckt neue Variante des Snake-Keyloggers in Excel-Dokument

Der US-amerikanische IT-Security-Anbieter Fortinet hat bei der Analyse einer Phishing-Kampagne etwas Interessantes entdeckt. Den betrügerischen E-Mails war jeweils ein Excel-Dokument angehängt. Dieses Dokument nutzen die Cyberkriminellen, um eine neue Variante des Keyloggers Snake zu verbreiten. Der Schädling ist zuweilen auch als 404 Keylogger oder Krakenkeylogger bekannt.

Wie für einen Keylogger üblich, ist Snake für das Ausschnüffeln seiner Opfer entwickelt worden. Gemäss der ausführlichen Analyse von Fortinet verfügt der Schädling über viele Features. Dazu zählt die Fähigkeit, in der Zwischenablage, in Webbrowsern und in anderen beliebten Softwareprogrammen gespeicherte Anmeldeinformationen zu stehlen. Ferner kann der Keylogger auch Geräteinformationen auslesen, Tastatureingaben aufzeichnen und Screenshots aufnehmen.

Beim Excel-File handelt es sich angeblich um einen Bankauszug. Dieser soll gemäss dem betrügerischen Schreiben belegen, dass Gelder auf das Konto des Empfängers überwiesen wurden. Das manipulierte Excel-Dokument nutzt gemäss der Analyse die Sicherheitslücke CVE-2017-0199 aus. So lädt das Dokument heimlich eine Datei herunter, wenn man es öffnet. Dies beginnt die Infektion des Rechners.

In der Vergangenheit nutzten die verschiedenen Ausführungen von Snake jeweils unterschiedliche Methoden, um die gestohlenen Daten an die Cyberkriminellen zu schicken: FTP-Server, E-Mails oder auch Telegram-Bots. Diese neue Variante sendet die Daten via dem Simple Mail Transfer Protocol (SMTP) - ein Kommunikationsprotokoll zum Senden und Empfangen von E-Mail-Nachrichten über das Internet.

Interessierte können die komplette Analyse des neuen Snake-Keyloggers auf der Website von Fortinet lesen.

04.09.2024 - 14:40 Uhr

Die Malware, deren Namen nicht genannt werden darf, nistet sich in Google-Tabellen ein

Da hat Harry Potter wohl nicht alle Horkruxe zerstört: Voldemort lebt und korrumpiert aktuell Google-Tabellen. Nein, es gibt keine Fortsetzung der Bücherreihe über den Zauberjungen. Stattdessen treibt seit August eine neue Malware ihr Unwesen. Der Schädling wurde von dessen Entwicklern “Voldemort” genannt, wie Proofpoint in einem Report schreibt.

Die Cyberkriminellen geben sich als lokale Steuerbehörden aus, um an Informationen über ihre Opfer zu gelangen. Gemäss Proofpoint attackierten die Kriminellen bis zu 6000 Unternehmen pro Tag in Europa, Asien und den USA. Die Cyberkriminellen scheinen dabei eine besondere Vorliebe zu haben: Über die Hälfte der gezielt angegriffenen Unternehmen sind laut dem Bericht in den Bereichen Versicherungen, Luft- und Raumfahrt, Transport und Bildung tätig.

Die Attacken beginnen mit Phishing-E-Mails; darin behauptet die vermeintliche Steuerbehörde, dass aktualisierte Steuerdokumente vorliegen und verlinkt diese. Klicken die Empfänger aber auf den Link, gelangen sie nicht zu den Dokumenten, sondern auf eine manipulierte Landing-Page. Wer kein Windows-System nutzt, landet in einem leeren Google-Drive-Ordner. Windows-Nutzer werden hingegen mit der Voldemort-Malware infiziert, während sie denken, dass sie lediglich ein PDF geöffnet haben.

Der Schädling kann eine Reihe von Aktionen ausführen. Der unverzeihliche Fluch Avada Kedavra gehört zwar nicht dazu. Aber Voldemort kann unter anderem Dateien von einem infizierten Gerät zu seinem Command-and-Control-Server laden und umgekehrt. Bei diesem Server handelt es sich interessanterweise um eine Google-Tabelle. Diese wird angefunkt, um neue Befehle zu erhalten und dient zugleich als Datenbank für gestohlene Daten. Um mit der Tabelle zu interagieren, nutzt Voldemort Google-APIs mit einer eingebetteten Client-ID.

Das heisst, die Cyberkriminellen können auf einen zuverlässigen und hochverfügbaren Kommunikationskanal zugreifen, der zudem für viele Security-Tools wohl unter dem Radar fliegt und nicht als auffällig erkannt wird. Den Datenverkehr zu Google-Diensten zu unterbinden, ist in vielen Unternehmen wohl nicht sinnvoll.

Update vom 23.10.2024: Proofpoint hat die Voldemort-Malware einer Tätergruppe zugeordnet. Bei den Angreifern soll es sich um die mit China verbündeten Cyberkriminellen von TA415 - auch bekannt unter den Namen APT41 beziehungsweise Brass Typhoon handeln, wie das Unternehmen im aktualisierten Blog-Eintrag schreibt. Die Zuordnung basiere auf mehreren kürzlich identifizierten Verbindungen zwischen der Kampagne, die Voldemort verbreite, und bekannten Infrastrukturen, die mit der Gruppe in Verbindung stehen würden.

21.08.2024 - 10:46 Uhr

Echt jetzt? Hollywood-Hacker bilden offenbar nicht die Realität ab

Hacking-Szenen in Hollywood-Filmen würden oft die Dramatik in den Vordergrund stellen und die Genauigkeit vernachlässigen. So komme es, dass die tatsächlichen Cybersicherheitsherausforderungen nicht genau widergespiegelt werden. Zu diesem – erstaunlichen – Resultat kommt eine Studie des Netzwerksicherheitsunternehmens Nordlayer, das zur Nord-Security-Gruppe gehört.

So bemängelt die Studie etwa eine Zeitverzerrung: Komplexe digitale Verstösse würden in Filmen oft schon innert Minuten oder Sekunden erfolgen. Noch häufiger könnten Hacker – als seien sie Magier – jedes System unabhängig von dessen Sicherheitsmassnahmen kompromittieren. Um das Gesehene aufzupeppen, greifen Filme zudem auf "auffällige visuelle Effekte" zurück, um den Hack darzustellen.

Dennoch könnten diese Filme, wenn man sie kritisch betrachte, als wertvolle Lehrmittel dienen, schreibt das Unternehmen. "Entscheidend ist es, dass diese Filme Gesprächsstoff liefern", sagt Andrius Buinovskis, Head of Product bei Nordlayer. "Wählen Sie Filme aus, die diskussionswürdig sind, und lernen Sie aus Hollywoods kreativen Freiheiten, während sie Tatsachen von Fiktion unterscheiden." Filme könnten so einen guten Einstiegspunkt für komplexe Diskussionen liefern.

Für die Studie untersuchte Nordlayer die folgenden Filme:

Tron (1982)
Hackers (1995)
Goldeneye (1995)
Independence Day (1996)
Mission Impossible (1996)
The Matrix (1999)
Swordfish (2001)
The Core (2003)
The Fate of the Furious (2017)
The Emoji Movie (2017)

06.08.2024 - 16:51 Uhr

Ransomware-Bande attackiert IT-Spezialisten mit SharpRhino-Malware

Die Hacker der Ransomware-Gruppe "The Hunters International" haben es auf IT-Spezialisten abgesehen. Damit will die Bande Konten mit erhöhten Berechtigungen komprimieren. Einerseits suchen sie so den Weg in Unternehmensnetzwerke. Aber mit dieser Taktik könnten sie andererseits wohl auch Supply-Chain-Attacken erzwingen - um an noch fettere Beute zu gelangen.

Zu diesem Zweck tarnt die Gruppe ihre "Brechstange" als ein legitimes Open-Source-Scanning-Tool für IT-Mitarbeitende. Die "Brechstange" ist in diesem Fall das neue Schadprogramm SharpRhino. Dieses wurde von Security-Forschenden des Unternehmens Quorum Cyber entdeckt. Gemäss deren Bericht verbreiten die Kriminellen ihre Malware über eine Typosquatting-Website, die sich als Website für Angry IP Scanner ausgibt.

SharpRhino ist ein sogenannter RAT - ein Remote Access Trojan. Also ein Schädling, der es Cyberkriminellen ermöglichen soll, einen infizierten Rechner aus der Ferne zu steuern. Nach der Erstinfektion kann SharpRhino auch genutzt werden, um eine Ransomware in das System einzuschleusen. So können die Kriminellen gespeicherte Daten verschlüsseln, um Opfer zu erpressen.

"The Hunters International" ist - unter diesem Namen - seit Ende 2023 aktiv, wie "Bleepingcomputer" berichtet. Allein im Jahr 2024 attackierte die Gruppe nach eigenen Angaben 134 Unternehmen. Laut dem Bericht von Quorum könnte es sich bei der Bande um ein Rebranding der Ransomware-Gruppe Hive handeln, da der Quellcode der Malware "verblüffende Ähnlichkeiten" aufweist.

27.06.2024 - 12:01 Uhr

Es ist nicht jeder von der CISA, der vorgibt, von der CISA zu sein

Die Cybersecurity and Infrastructure Security Agency (CISA) ist die für IT-Sicherheit zuständige Bundesbehörde der Vereinigten Staaten von Amerika. Sie soll die Sicherheit und Widerstandsfähigkeit der kritischen Infrastruktur der USA gewährleisten und Cyberbedrohungen verhindern. Entsprechend sollte man die Behörde auch ernst nehmen, wenn sie etwas sagt – sofern es wirklich die CISA ist, die spricht.

Wie die CISA selbst warnt, geben sich Betrüger derzeit als die Behörde aus, um ihre Opfer telefonisch einzuschüchtern. Die Scammer behaupten, von fragwürdigem Verhalten der potenziellen Opfer zu wissen. Der Einschüchterungsversuch soll jeweils darauf abzielen, dass das Opfer den Kriminellen Geld überweist. Eine vergleichbare Warnung hatte die CISA schon Ende 2019 veröffentlicht.

Wer Grund hat, davon auszugehen, dass er oder sie gerade nicht mit der richtigen CISA telefoniert, solle kein Geld überweisen, sich die Telefonnummer notieren und sofort auflegen. Anschliessend solle man die notierte Nummer den Behörden melden. Die CISA erinnert in der Warnung daran, dass ihre Mitarbeitenden Unternehmen niemals mit der Bitte kontaktierten würden, Geld, Bargeld oder Kryptowährungen zu überweisen oder Geschenkkarten zu verwenden. Ausserdem würde sie Unternehmen niemals anweisen, das Gespräch geheim zu halten.

25.06.2024 - 14:34 Uhr

FBI macht Lockbit-Opfern Hoffnung mit sichergestellten Schlüsseln

Das Federal Bureau of Investigation (FBI) hat mehr als 7000 Decryption Keys für die Ransomware Lockbit sichergestellt. Eine Ransomware verschlüsselt nach der Infektion von Hardware sämtliche oder ausgewählte Dateien; für die Herausgabe verlangen die Betreiber der Erpresserprogramme ein Lösegeld. Eine Zahlung führt allerdings nicht immer dazu, dass man die Daten tatsächlich zurückerhält. Mit den sichergestellten Schlüsseln muss man dieses Risiko gar nicht erst eingehen und auch keiner kriminellen Organisation eine Finanzspritze geben. Hat man den richtigen Schlüssel, kann man die chiffrierten Daten wieder freigeben.

Der stellvertretende Direktor der Cyberabteilung des FBI, Bryan Vorndran, gab dies im Juni an einer Cybersecurity-Konferenz in Boston bekannt, wie "Bleepingcomputer" berichtet. Das FBI kontaktiere nun bekannte Lockbit-Opfer, um bei der Entschlüsselung der Daten zu helfen. Zugleich ermutige das FBI auch alle, die vermuten, dass sie ein Opfer dieser Gruppe waren, sich bei der Behörde zu melden. Vorndran sprach in diesem Zusammenhang von einer "anhaltenden Störung des Betriebs" der Lockbit-Gruppe.

Bislang scheint in diesem Jahr die Cybersecurity tatsächlich die Oberhand zu gewinnen. Im Februar hatte Europol 34 Lockbit-Server im Rahmen der Operation Chronos heruntergefahren. Kurz darauf kündigte die Gruppe bereits die nächsten Attacken an. Im Juni verhaftete die ukrainische Polizei zudem einen mutmasslichen Verschlüsselungsspezialisten, der an den Schadprogrammen Lockbit und Conti entwickelt haben soll, wie Sie hier lesen können. Noch hat Lockbit seinen Biss nicht verloren; für Siegeshymnen ist es also noch zu früh.

04.06.2024 - 10:34 Uhr

Apple hat über 7 Milliarden US-Dollar an betrügerischen Zahlungen blockiert

Das kalifornische Unternehmen Apple klopft sich selbst auf die Schulter: Nach eigenen Angaben verhinderte es seit 2020 mehr als 7 Milliarden US-Dollar an potenziell betrügerischen Transaktionen. Im Jahresvergleich geht die Summe aktuell zurück. So blockierte Apple 2023 rund 1,8 Milliarden Dollar an potenziell betrügerischen Transaktionen; im Vorjahr waren es noch 2 Milliarden.

Zwischen 2020 und 2023 identifizierte Apples Technologie zur Betrugsbekämpfung ausserdem mehr als 14 Millionen gestohlene Kreditkarten. Die Transaktionen mit diesen Karten wurden blockiert und im Zusammenhang damit wurden auch 3,3 Millionen Konten gesperrt.

2023 wies das Unternehmen zudem mehr als 1,7 Millionen App-Einreichungen aus verschiedenen Gründen zurück. 375 000 Einreichungen seien aufgrund von Datenschutzverletzungen abgelehnt worden, 248 000 weitere, weil sie Spam, Kopien oder irreführend seien, 98 000 weil sie möglicherweise betrügerisch seien, 40 000 weil es sich dabei um Lockangebote handle und 38 000 weil sie verborgene oder nicht dokumentierte Features enthalten würden.

29.05.2024 - 16:46 Uhr

Falscher IT-Support verbreitet Ransomware Black Basta

Die Quick-Assist- beziehungsweise Schnellhilfe-Anwendung von Microsoft soll eigentlich Hilfesuchende rasch mit hilfsbereiten Personen vernetzen. In Windows 11 ist sie vorinstalliert. Mit dem Tool kann man ein Windows- oder macOS-Gerät über eine Remoteverbindung für eine andere Person freigeben. Hierfür müssen beide Parteien einen Schlüssel teilen.

Eigentlich ist die Anwendung etwa dafür gedacht, dass Mitarbeitende möglichst rasch IT-Support von ihren Unternehmen erhalten. Allerdings erleichtert die Schnellhilfe auch Scammern das Leben. Die Betrüger geben sich als IT-Support aus und erhalten so vollen Zugriff auf die Geräte ihrer Opfer.

Genau davor warnt Microsoft derzeit selbst auf seiner Website. Eine cyberkriminelle Gruppierung, die der Konzern als Storm-1811 bezeichnet, missbraucht demnach das Tool derzeit, um die Ransomware Black Basta zu verbreiten. Die Social-Engineering-Attacken beginnen mit Voice-Phishing; dabei versuchen die Scammer ihre Opfer zu überzeugen, ihnen Zugriff auf ihre Rechner zu geben.

In einigen Fällen werden die Nutzer mit Spam-E-Mails bombardiert und dann gefragt, ob sie Hilfe bei der Behebung des Problems wünschen. Abgesehen von der Schnellhilfe würden die Cyberkriminellen auch andere Remote-Monitoring-and-Management-Tools einsetzen, darunter etwa Screenconnect und Netsupport Manager.

Microsoft untersuche derzeit die Verwendung der Schnellhilfe bei diesen Angriffen und arbeite daran, die Transparenz und das Vertrauen zwischen Helfern und Sharern zu verbessern, heisst es auf der Website des Konzerns. Eine mögliche Neuerung wäre etwa, Warnmeldungen in Quick Assist einzubauen, um vor möglichen Betrügereien beim technischen Support zu warnen.

24.04.2024 - 09:49 Uhr

Tool rüstet Raspberry Pi zu Cybercrime-Werkzeug für Anfänger auf

Wie viel kostet es, um aus einem Raspberry Pi ein Werkzeug für Cyberattacken zu machen? 80 US-Dollar pro Monat oder 700 Dollar für eine lebenslange Lizenz. Für diesen Preis können Cyberkriminelle in spe über Telegram die Software Geobox erwerben.

Sicherheitsexperten von Resecurity entdeckten Geobox bei der Untersuchung eines Online-Banking-Diebstahls, wie die Firma mitteilt. Demnach war darin ein vermögender Kunde eines führenden Fortune-100-Finanzinstituts verwickelt. Darauffolgend erwarb die Security-Firma selbst das Geobox-Tool, um dieses zu untersuchen.

Gemäss Resecurity handelt es sich bei Geobox um ein "äusserst leistungsfähiges Tool", das den Strafverfolgungsbehörden die Verfolgung und Ermittlung erschweren kann. Die Software für den Einplatinencomputer spezialisiert sich auf Betrug und Anonymisierung. Zum Funktionsumfang zählt unter anderem GPS Spoofing, die Umgehung von Anti-Fraud-Features und Traffic Routing über anonymisierte Proxys. Ferner könne das Tool etwa auch WebRTC-IP- und Wi-Fi-MAC-Adressen maskieren, um die echte IP-Adresse der Cyberkriminellen zu verbergen.

Das Ganze ist verpackt in einem sehr benutzerfreundlichen Interface. Dieses sei auch für unerfahrene Cyberkriminelle leicht zu bedienen. Vor allem, da eine beiliegende Bedienungsanleitung klare und detaillierte Anweisungen bereitstellt. Zwar sind keine der Features von Geobox revolutionär. Aber die Benutzerfreundlichkeit gekoppelt mit der Tatsache, dass es auf der verbreiteten Hardware von Raspberry Pi läuft, könnten Geobox zu einem Einstiegstool für viele Ersttäter machen.

19.04.2024 - 10:05 Uhr

Latrodectus - der jüngste Schädling der IcedID-Entwickler

Der Banking-Trojaner IcedID hat für kurze Zeit die Malware-Rankings in der Schweiz angeführt. Ende 2022 war der Schädling einige Monate lange an der Spitze der "Most Wanted"-Liste von Check Point - bis er im Januar 2023 von Qbot abgelöst wurde. Und was macht IcedID nun? Einer der Rädelsführer hinter der Malware bekannte sich vor Gericht schuldig. Aber seine IcedID-Kollegen waren auch ohne ihn eifrig am Werk: Die Sicherheitsexperten von Proofpoint entdeckten nämlich eine neue Malware, die wohl von denselben Entwicklern stammt: Latrodectus.

Proofpoint beschreibt Latrodectus als einen aufstrebenden Downloader mit verschiedenen Sandbox-Umgehungsfunktionen. Erste Untersuchungen schienen darauf hinzudeuten, dass es sich um eine neue Variante von IcedID handelte. Weitere Untersuchungen zeigten jedoch, dass es eine neue Malware sein muss. Den Namen fanden die Sicherheitsexperten im Code des Schädlings. Latrodectus ist übrigens eine Gattung von Kugelspinnen, zu der auch die Schwarze Witwe gehört.

Zu den deutlichsten Hinweisen, dass eine Verbindung zwischen IcedID und Latrodectus besteht, gehört die genutzte Infrastruktur. Einerseits ist die Wahl von C2-Hosts ähnlich. Und andererseits verbindet sich Latrodectus zu einer mit IcedID assoziierten Backend-Infrastruktur. Diese kam bereits bei früheren IcedID-Operationen zum Einsatz, wie Proofpoint schreibt.

11.04.2024 - 09:40 Uhr

"TheMoon" infiziert 6000 Asus-Router in nur 72 Stunden

Sicherheitsexperten von Black Lotus Labs haben eine neue Version des Malware-Botnets "TheMoon" entdeckt. Die aktuellste Kampagne begann Anfang März 2024. In nur 72 Stunden hatte es über 6000 Asus-Router infiziert, wie "Bleepingcomputer" berichtet.

Das Schadprogramm hatte es auf veraltete und nicht aktualisierte Router für kleine Büros und Homeoffices sowie auf IoT-Geräte in 88 Ländern abgesehen. Seitdem verlangsamte sich die Ausbreitung etwas. Wie die Malware in die Geräte eindringt, sagen die Sicherheitsexperten nicht. Vermutlich nutze sie dafür bereits publizierte Schwachstellen aus, heisst es im Bericht.

Zu den häufigen Anzeichen für eine Infektion zählen Verbindungsprobleme, Überhitzung sowie verdächtige Veränderungen bei den Einstellungen.Infizierte Geräte werden zu einem als "Faceless" bekannten Proxy-Dienst verknüpft. Dieser leitet den Netzwerkverkehr seiner Kunden über kompromittierte Geräte weiter. Die Kunden zahlen nur mit Kryptowährungen und ihre Identität wird nicht überprüft.

Obwohl die beiden eng verbandelt sind, scheinen "TheMoon" und der Faceless-Proxy-Dienst doch separate Operationen zu sein. So werden etwa nicht alle infizierten Geräte Teil des Proxy-Dienstes.

"TheMoon" treibt übrigens schon länger sein Unwesen. Das Botnet wurde erstmals 2014 gesichtet. Damals nutzte es eine Schwachstelle in Geräten des Herstellers Linksys aus, um diese zu kapern.

18.03.2024 - 10:14 Uhr

Von Lucifer besessene Apache-Server schürfen unfreiwillig Kryptowährungen

Aqua Securitys Team Nautilus hat vor einer neuen Krypto-Mining-Kampagne gewarnt. Die verantwortliche Malware ist unter dem Namen Lucifer bekannt, wie das Unternehmen mitteilt. Die Cyberkriminellen hinter dem diabolischen Schädling zielen damit auf Apache-Server ab.

Lucifer hat es besonders auf die Software-Libraries Hadoop und Druid abgesehen. Um diese zu infizieren, nutzen die Cyberkriminellen laut Mitteilung bestehende Fehlkonfigurationen und Schwachstellen aus – darunter die schon seit 2021 bekannte Druid-Sicherheitslücke CVE-2021-25646.

Ist ein System infiziert, zapfen die Angreifer die Rechenleistung der von Lucifer besessenen Server ab. Die gekaperten Maschinen werden genutzt, um nach der Kryptowährung Monero zu schürfen. Zu diesem Zweck installiert Lucifer den Crypto-Miner XMRig. So verdienen sich die Cyberkriminellen eine goldene Nase, während die Opfer auf den Strom- und Wartungskosten sitzenbleiben für Server, die sie nicht oder nicht zu 100 Prozent nutzen können.

Nach eigenen Angaben entdeckte das Unternehmen Lucifer-Angriffe, die bereits im Juli 2023 stattfanden. Dabei handle es sich wohl um Testläufe, vermutet das Unternehmen. Nach diesen Tests stieg die Anzahlen Attacken: Allein im Februar dieses Jahres registrierte Aqua Security laut Mitteilung 3000 verschiedene Angriffe.

13.03.2024 - 17:46 Uhr

Magnet Goblin attackiert Linux- und Windows-Server

Eine Hackergruppe namens Magnet Goblin macht derzeit Jagd auf öffentlich zugängliche Linux- und Windows-Server. Dabei bedient sich die Gruppe bei öffentlich bekannten Schwachstellen, die kürzlich gepatcht wurden, wie Check Point, das Unternehmen, das Magnet Goblin entdeckte, mitteilt. Das heisst, die Hacker versuchen das – idealerweise sehr kurze – Zeitfenster zwischen der Veröffentlichung eines Patches und dessen Einspielen auf betroffene Systeme zu erwischen.

Auch bei Schwachstellen, die ohne Machbarkeitsnachweis veröffentlicht werden, sei es teilweise sehr einfach, herauszufinden, wie man sie ausnutzt. In anderen Fällen könnte Magnet Goblin anhand der Patches einen Exploit rekonstruieren. Manchmal vergingen nur wenige Tage, bevor Magnet Goblin nach der Bekanntgabe einer Schwachstelle diese bereits ausnutzen, wie Check Point in einem Bericht zur Hackergruppe schreibt.

Zu den Lösungen, die Magnet Goblin ausnutzt, gehören Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887, CVE-2024-21888, CVE-2024-21893), Apache ActiveMQ, ConnectWise ScreenConnect, Qlik Sense (CVE-2023-41265, CVE-2023-41266, CVE-2023-48365) und Magento (CVE-2022-24086).

Die Hackergruppe nutzt die Sicherheitslücken, um eigens entwickelte Schadprogramme auf den infizierten Systemen zu installieren. Die Gruppe greift Windows- und Linux-Systeme an. Laut Check Point hat Magnet Goblin finanzielle Motive.

13.03.2024 - 17:30 Uhr

Ransomware-Gruppe Blackcat versucht, eigene Partner zu beschwindeln

Mit ihrem jüngsten Streich hat es die Ransomware-as-a-Service-Gruppe Blackcat für einmal nicht auf unschuldige Opfer abgesehen. Stattdessen versucht die Gruppe wohl gerade, die eigenen Partner übers Ohr zu hauen. Wie "Bleepingcomputer" berichtet, steckt die auch als ALPHV bekannte Gruppe gerade mitten in einem Exit Scam.

In einem Hackerforum behaupteten die Cyberkriminellen, dass sie den Betrieb einstellen, weil ihnen verschiedene Strafverfolgungsbehörden auf den Fersen seien. "Wir können offiziell erklären, dass uns das FBI über den Tisch gezogen hat", zitiert der Bericht einen Administrator der Gruppe. Gegenüber "Bleepingcomputer" bestätigten jedoch Europol und die NCA, die nationale Kriminalpolizei des Vereinigten Königreichs, dass sie an keiner Aktion gegen Blackcat beteiligt gewesen seien. Beide werden jedoch in einem gefälschten Banner erwähnt, das auf den Websites der Gruppe über deren Beschlagnahmung informiert.

Die Gruppe hingegen versicherte dem Onlineportal, dass ihre Infrastruktur beschlagnahmt worden sei. Derweil gibt es auch Meldungen von Blackcat-Partnern, die behaupten, sie hätten ihren Anteil an den ergaunerten Lösegeldern nicht erhalten.

So oder so: Die Blackcat-Infrastruktur wurde schrittweise heruntergefahren. Den Source Code ihrer Ransomware bieten die Cyberkriminellen für 5 Millionen US-Dollar zum Verkauf an.

12.02.2024 - 11:30 Uhr

So fängt man sich mit Youtube-Tutorials zu gecrackter Software Malware ein

Fortiguard Labs warnt vor einer Malware-Kampagne auf Youtube, die Fahrt aufgenommen hat. Die Opfer werden über Videos angelockt, die Anleitungen für gecrackte Softwareprogramme zeigen, wie "Golem" berichtet.

In die Videobeschreibungen setzten die Cyberkriminellen Links zu File-Sharing-Websites. Um die wahren Absichten der Kriminellen zu verstecken, wurden die Links mit Onlinediensten wie TinyURL gekürzt. Statt der gecrackten Software laden sich die Opfer über diese Links die Malware Lumma herunter. Das Schadprogramm kann sensible Daten von infizierten Systemen stehlen; dazu zählen System- und Browserdaten sowie Zugangsdaten für Kryptowallets. Die gestohlenen Daten übermittelt der Infostealer an einen der rund ein Dutzend Command-and-Control-Server, die von den Cyberkriminellen kontrolliert werden.

Die Videos wurden bereits Anfang 2023 auf der Videoplattform hochgeladen. Nach eigenen Angaben registrierte Fortiguard Labs aber Ende Dezember eine erhöhte Aktivität. Dies messen die Sicherheitsexperten an der Anzahl der Kontaktaufnahmen infizierter Rechner mit den Servern. In der Schweiz sind gemäss dem Bericht des Unternehmens zwar keine Fälle bekannt; die Malware fand aber unter anderem auch im benachbarten Deutschland und Italien eine nicht bezifferte Anzahl Opfer.

12.02.2024 - 09:29 Uhr

Mastodon stopft Lücke, die zu Account-Übernahmen führt

Der Open-Source-Mikroblogging-Dienst Mastodon hat eine Sicherheitslücke behoben. Die Social-Media-Plattform zählt aktuell 12 Millionen Nutzerinnen und Nutzer. Die Sicherheitslücke wird mit einem CVSS-Wert von 9,4 als "kritisch" eingestuft.

Mastodon ermöglicht die Konfiguration des LDAP-Netzwerkprotokolls für die Authentifizierung, wie es in der Beschreibung der Schwachstelle (CVE-2024-23832) heisst. Aufgrund der unzureichenden Herkunftsüberprüfung in allen Mastodon-Versionen können sich Angreifer als ein beliebig entferntes Konto ausgeben und es übernehmen.

Die Schwachstelle ist ab Version 4.2.5 behoben. Um zu verhindern, dass Cyberkriminelle die Schwachstelle ausnutzen, hält sich Mastodon bezüglich technischer Details noch zurück. Diese will der Mikroblogging-Dienst erst am 15. Februar bekannt geben. Dies soll den Administratoren etwas Zeit geben, die Aktualisierung auf ihren Servern auszurollen.

Übrigens: Mastodon ist nicht die Social-Media-Plattform der Band Mastodon, stattdessen erhielt sie ihren Namen vom amerikanischen Mammut Mastodon. Dies hinderte die Band jedoch nicht daran, ein Bisschen Spass mit der ganzen Verwirrung um die unterschiedlichen Mastodons zu haben:

23.01.2024 - 18:12 Uhr

Skrupellose Schein-Samariter geben Ransomware-Opfern falsche Hoffnungen

Ransomware. Datenverlust. Erpressung. Wer Opfer einer Erpressersoftware wurde, ist wohl für jede Hilfe dankbar, die angeboten wird. Das wissen die Cyberkriminellen allerdings ebenfalls - und sie wissen das auch auszunutzen. Die Sicherheitsspezialisten von Arctic Wolf Networks beschreiben zwei aktuelle Fälle, in denen unbekannte Bedrohungsakteure dies demonstrierten.

Arctic Wolf untersuchte mehrere Fälle, bei denen der Spuk für die Opfer nicht mit dem Ransomware-Befall endete. Seit Oktober 2023 untersuchte das Unternehmen mehrere Fälle, bei denen die Opfer nach der ersten Infektion für weitere Erpressungsversuche kontaktiert wurden.

Zwei Fälle hebt das Security-Unternehmen besonders hervor. In den beiden Fällen gaben die Bedrohungsakteure vor, ein Sicherheitsforscher zu sein und den attackierten Organisationen helfen zu wollen. Sie boten an, sich in die Serverinfrastruktur der ursprünglich beteiligten Ransomware-Gruppen zu hacken, um die gestohlenen Daten zu löschen.

Im ersten Fall gab der skrupellose Schein-Samariter vor, von einer Firma namens "Ethical Side Group" zu sein. Im zweiten Fall kam das Angebot von einer Person, die sich "xanonymoux" nannte. Arctic Wolf geht aber davon aus - mit "mässiger Zuversicht" - dass die angeblichen Hilfsangebote jeweils von denselben Cyberkriminellen stammten.

Arctic Wolf schliesst dies unter anderem aus stilistischen Analysen der Kommunikation zwischen den Organisationen. Das Unternehmen fand 10 identische Phrasen in den ersten Mails von "xanonymoux" und der "Ethical Side Group". Ferner erfolgte die Kommunikation jeweils über den Peer-to-Peer-Messenger Tox, der geforderte Betrag war derselbe (5 Bitcoin) und auch der Aufbau der Kommunikation wies Ähnlichkeiten auf.

Ob der betrügerische Retter in der Not mit der Erlaubnis oder sogar im Auftrag der ursprünglichen Ransomware-Banden operierte, ist nicht klar.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.