Suche
Close this search box.

Kategorie: Bedrohung

Phishing Angriffe erkennen
Bedrohung

Phishing Angriffe erkennen

Phishing Angriffe erkennen – Attacken aus dem World Wide Web werden sehr häufig über das Medium E-Mail gestartet. Dabei versuchen Angreifer Passwort-Anmeldeinformationen zu stehlen, betrügerische Transaktionen durchzuführen oder Internet-User gezielt zum Download von Malware zu verleiten. Doch nicht alle Angriffe funktionieren auf die gleiche Art und Weise. Manche Phishing E-Mails sind generische Massen-E-Mails, andere wiederum wurden sorgfältig ausgearbeitet um bestimmte Personen damit zu adressieren. Phishing Angriffe erkennen Es wird also immer schwieriger Mitarbeiter und Mitarbeiterinnen auf die verschiedenen Arten der Phishing E-Mails zu schulen. Die gezielten Angriffe werden auch immer besser gestaltet so dass es selbst für gut ausgebildetes Personal immer schwieriger wird zu erkennen ob es sich um eine Phishing E-Mail handelt. Es gibt eine Reihe unterschiedlicher Arten von solchen E-Mails die wir Ihnen hier vorstellen möchten: Verbreitung von Massen E-Mails Eine der häufigsten Formen ist die Massen-E-Mail. Ein Angreifer sendet E-Mails, die vorgeben, jemand anderes zu sein. Häufig wird versucht den Empfänger auf Webseiten zu leiten die wiederum Malware enthalten. Im Zusammenhang mit dieser Variante wird auch oft das E-Mail-Spoofing angesprochen, bei dem das Absenderfeld der E-Mail gefälscht wird. Man will hiermit einen vertrauenswürdigen oder bekannten Absender imitieren. Spear-Phishing Beim Spear-Phishing werden nicht zufällige Opfer anvisiert, sondern oftmals vorab ausgewählte Unternehmen oder Anwender. Es werden gezielt hochwertige Opfer ausgesucht und attackiert. Anstatt zur versuchen, die Bankdaten von 1000 Usern zu erbeuten, kann es für Hacker lukrativer sein, ein bestimmtes Unternehmen ins Visier zu nehmen. Spear-Phishing Angriffe sind oft sehr erfolgreich weil die Angreifer gezielte Informationen zu Ihren Opfern zusammentragen und diese dann nutzen können. Whaling Eine weitere Variante des Phishings ist das sogenannte „Whaling“. Es sind abgestimmte Angriffe auf die Führungskräfte von Unternehmen, die CEOs oder andere namhafte Mitarbeiter und Mitarbeiterinnen eines Konzerns. Beispielsweise öffnen die gestohlenen Zugangsdaten eines CEOs den Hackern weit mehr Türen also eines normalen Angestellten. Die Angreifer müssen hierfür aber noch weitere Informationen zu den Opfern besitzen, beispielsweise mit wem die Opfer kommunizieren und welche Art von Gesprächen sie führen. Mit diesen Informationen können dann gezielte, gefälschte E-Mails an die Opfer versendet werden. In der Vergangenheit haben Kriminelle auf diese Art und Weise schon mehrere hundert Millionen Euro erbeutet. Business-E-Mail-Compromise (BEC) Mit falschen Identitäten das Gegenüber zu bestimmten Handlungen zu verleiten. Ziel ist es Schlüsselpersonen in Finanz- und Buchhaltungsabteilungen zu attackieren. Hacker geben sich selbst als Finanzverantwortliche oder CEOs aus und versuchen Mitarbeiter dazu zu bringen, Überweisungen auf nicht autorisierte Konten zu veranlassen. In der Regel wird hierbei ein E-Mail Konto eines leitenden Angestellten kompromittiert durch Spear-Phishing oder andere Angriffe. Angreifer überwachen oft die E-Mail Aktivitäten einer bestimmten Führungskraft um sich über die Abläufe im Unternehmen zu informieren. Der eigentliche Angriff wird durch eine gefälschte E-Mail ausgelöst, welche den Anschein erweckt, dass sie von der Führungskraft stammt. Klon-Phishing – Phishing Angriffe erkennen Hacker erstellen eine nahezu identische Kopie einer bestimmte E-Mail, um den Anschein zu erwecken, dass sie echt ist. Die E-Mail wird von einer Adresse gesendet welche dem Absender sehr ähnlich ist. Der Link darin oder der Anhang wurde dabei ausgetauscht. Im Text versucht der Angreifer dem Empfänger zu täuschen in dem von einer aktualisierten E-Mail gesprochen wird. Das sei der Grund warum die E-Mail doppelt versendet worden sei. Der kleine Unterschied ist dem Empfänger oftmals nicht bewusst. Daher funktionieren diese Angriffe auch häufig sehr gut, weil es ja um vermeintliche legitime Nachrichten geht. In Wahrheit ist auch das eine Täuschung und verleitet den Benutzer auf Malware-Verseuchte Webseiten. Teilweise werden auch gesamte Webseiten kopiert um den Benutzer in Sicherheit zu wiegen. Es gibt noch weitere Arten des Phishing zum Beispiel über das Telefon oder per SMS. Phishing über das Telefon könnte man mit Social Engineering gleichsetzten. Hierbei wird über das Telefon versucht an bestimmte Daten heranzukommen. Auch die Angriffe per SMS nehmen zu, da die Wahrscheinlichkeit, dass Menschen Textnachrichten lesen und darauf reagieren, höher als bei E-Mails eingestuft wird. Gerne stellen wir Ihnen unsere Lösungen im Bereich Anti-Phishing vor. Spreche Sie uns an!Jetzt E-Mails absichern mit dem iKomm Ultimate E-Mail Bundle.

Cyber-Attacke Kaseya
Bedrohung

Cyber-Attacke Kaseya – 70 Millionen Dollar Lösegeld gefordert

Die Cyber-Attacke Kaseya zieht ihre Kreise. Bereits vergangene Woche wurde zahlreich in den Medien über die Cyber-Attacke Kaseya berichtet. Das amerikanische IT-Dienstleistungsunternehmen Kaseya wurde Opfer eines groß angelegten Cyberangriffs. Das Unternehmen wurde vermutlich von der Hackergruppe REvil attackiert. Die Cyberkriminellen nutzen eine Schwachstelle im Programm um die Kunden von Kaseya zu attackieren, Daten zu verschlüsseln und Lösegeld zu fordern. Cyber-Attacke Kaseya REvil behauptet, mehr als eine Million Computer infiziert zu haben. Das Ausmaß über die Schäden ist bislang kaum zu überblicken. Die Hackergruppe forderte mit Ihrer Erpressersoftware rund 70 Millionen Dollar von den betroffenen Unternehmen. Bei Zahlung sollten die betroffenen einen Generalschlüssel erhalten um die Systeme wieder zu entschlüsseln. Der Betrag sollte in Bitcoin bezahlt werden, so hieß es in einem Blogbeitrag von der IT-Sicherheitsfirma Sophos. Kassensysteme von Supermarkt-Kette lahmgelegt Unter den betroffenen Unternehmen ist auch eine schwedische Supermarkt-Kette Coop, die wegen nicht funktionierender Kassen vorübergehend 800 Filialen schließen musste. Kaseya berichtete zunächst von weniger als 40 Kunden die betroffen sein sollen, inzwischen ist deutlich geworden das es mindestens zwischen 800 und 1500 Kunden sind. Kaseya hat viele Dienstleister die wiederum Kunden haben welche ebenfalls betroffen sein können. Es stellt sich eine Art Domino-Effekt ein. Kaseya bietet Softwareprogramme für Firmen an, die ihren Kunden administrative und organisatorische Arbeiten abnehmen. REvil steht im Verdacht, das Desktop-Management-Tool VSA gehackt zu haben und ein schadhaftes Update aufgespielt zu haben. Dieses Update infizierte die IT-Dienstleister bzw. Management Anbieter und diese infizierten dann wiederum ihre eigenen Kunden. Bis auf die schwedische Supermarkt-Kette sind allerdings keine Produktionsausfälle bisher bekannt geworden. Supply-Chain-Attacke Im Zusammenhang mit diesem Angriff sprechen die Experten von einer sogenannten „Supply-Chain-Attacke“. Also ein Angriff auf die Lieferketten von Unternehmen bzw. auf die gesamte Kette von Lieferanten, Partner und Kunden. Diese Angriffe habe laut Thomas Uhlemann, IT-Spezialist bei ESET in Jena, deutlich zugenommen. Auch in Deutschland waren Kunden bzw. IT-Dienstleister von der Attacke auf Kaseya betroffen. Ein Sprecher des Bundesamt für Sicherheit und Informationstechnik sprach von tausenden Computern bei mehreren Unternehmen. Bereits vor einigen Wochen wurde der Fleischkonzern JBS Opfer einer Cyber-Attacke von REvil. Das Unternehmen musste mehrere Werke für Tage schließen. Laut Berichten zahlte das Unternehmen 11 Millionen US-Dollar in Bitcoin an die Hackergruppe. Auch andere Unternehmen stehen im Visier der Cyberkriminellen. Kurz vor dem Fall JBS gab es einen Angriff auf eine der größten Benzin-Pipelines in den USA. Immer häufiger werden nicht nur einzelne Unternehmen attackiert sondern ganze Netzwerke bzw. Lieferketten von Unternehmen. So können die Kriminellen noch mehr Opfer gleichzeitig erpressen. Wie können Sie sich schützen?Gerne stellen wir Ihnen unsere Lösungsansätze und Sicherheitstechnologien vor. Wir beraten Sie mit unserer 12-jähriger IT-Security Erfahrung und arbeiten mit Ihnen Hand in Hand um solche Fälle wie beschrieben so gut wie möglich zu vermeiden. Sprechen Sie uns an!

Schadcode-Lücke in Drucker Spooler
Bedrohung

Schadcode-Lücke in Drucker Spooler

Schadcode-Lücke in Drucker Spooler entdeckt – Eine neue Sicherheitslücke geht zur Zeit durchs Netz. Sicherheitsforscher haben eine neue Lücke im Printer-Spooler-Service von Microsoft entdeckt. Bislang gibt es dafür keinen Patch von Microsoft aber es gibt einen Workaround den Administratoren durchführen sollten. Schadcode-Lücke in Drucker Spooler Forscher von Sangfor haben versehentlich einen Exploit-Code für die neue Lücke veröffentlicht. Das geschah im Zuge der Vorbereitungen für einen Vortrag über Printer-Spooler-Bugs auf der bevorstehenden Hacker-Konferenz Black Hat im August 2021. Nach der Veröffentlichung stellte sich heraus, dass der Code gar nicht für die bereits geschlossen Lücke ist, welche Microsoft am Patchday im Juni geschlossen hat. Die Schwachstelle bezog sich auch auf den Printer-Spooler. Man ging also davon aus dass es sich um die Schwachstelle CVE-2021-1675 mit der Priorität „hoch“ handelt, doch weit gefehlt. Es handelt sich um eine neue Lücke die bereits als Zero-Day-Exploit im Netz unterwegs ist. Für diese neue Schwachstelle gibt es noch keine CVE-Beschreibung und Microsoft stellt auch noch keinen Patch zur Verfügung. Vermutlich wird dieser zum Patchday im Juli vorhanden sein. Der Patchday ist allerdings erst am 13. Juli geplant und die Schwachstelle kann jetzt ausgenutzt werden. Administratoren sollten also vorab schon handeln. Ob es bereits Attacken gibt, ist derzeit nicht bekannt. Printer-Spooler Schwachstelle Das Problem befindet sich im Printer-Spooler-Service von Windows. Laut Informationen sollen alle Version von Windows 7 SP1 bis 2019 betroffen sein. Diverse Sicherheitsforscher geben an, vollständige gepatchte Systeme mit Windows 2019 Server erfolgreich attackiert zu haben. Sie konnte Schadcode mit System-Rechten ausführen. Das wäre vor allem auf einem Domain-Controller fatal. Angreifer könnten so weitere Systeme mit Schadcode bzw. Malware infizieren und sich im Netzwerk ausbreiten. Nicht ausgeschlossen wäre auch ein Diebstahl von Daten bzw. Kennungen zu den Benutzern. Einem Bericht der Carnegie Mellon University zufolge muss ein Angreifer aber authentifiziert sein. Ist das gegeben, könnte er an der verwundbaren RpcAddPrinterDriverEx()-Funktion des Windows-Print-Spooler-Service ansetzen und dem Betriebssystem einen mit Schadcode präparierten Treiber unterschieben. Mit System-Rechten ausgestattet könnten Angreifer hier viel Schaden anrichten. Was können Sie tun? Noch hat Microsoft nicht auf die neue Lücke reagiert und keinen Patch angekündigt. Man geht davon aus dass ein Patch frühestens zum Patchday im Juli veröffentlicht wird. Dennoch kann man etwas gegen die Schwachstelle tun… Deaktivieren Sie den Print-Spooler Service und Systeme können mit der beschriebenen Attacke nicht angegriffen werden. Derzeit ist es nur möglich mit Deaktivierung des Dienstes das Problem zu beheben. Sie benötigen Unterstützung?Sprechen Sie uns an, unsere Techniker stehen Ihnen mit Rat und Tat zur Seite.

Hacker erpressen deutsche Behörden
Bedrohung

Hacker erpressen deutsche Behörden

Hacker erpressen deutsche Behörden – Laut einer Umfrage von BR und „Zeit Online“ ist es Cyberkriminellen in mehr als 100 Fällen gelungen, IT-Systeme von Behörden und öffentlichen Einrichtungen zu verschlüsseln. Die Bundesregierung hat keinen Überblick über die Fälle. Nicht alle Vorfälle werden gemeldet oder an zentrale Stelle der Bundesregierung registriert oder bearbeitet. Hacker erpressen deutsche Behörden In der kleinen Gemeinde Kammeltal im Landkreis Günzburg haben Cyberkriminelle einen Server verschlüsselt und versucht von der Gemeinde Geld zu erpressen. Der geschäftsführende Beamte Ernst Walter erzählt: Als die Hacker kamen, sah ich nur noch Buchstabensalat! Ernst Walter – geschäftsführender Beamter der Gemeinde Kammeltal Die Gemeinde erstattet Anzeige und nach 45 Minuten war die Kriminalpolizei im Rathaus anwesend. Ausrichten konnten diese allerdings an dieser Stelle nicht mehr viel. Die Daten sind nach wie vor nicht wieder vollständig vorhanden, die Gemeinde arbeitet mit einem Backup. Durch den Erpressungsversuch sind Daten verloren gegangen. Durch Ransomware-Angriffe werden jedes Jahr mehrere Millionen Euro erbeutet. Eine genaue Schadenshöhe lässt sich allerdings nicht so einfach ermitteln. Nicht alle Vorfälle werden gemeldet und in manchen Fällen werden stillschweigend die Lösegelder für die entwendeten oder verschlüsselten Daten bezahlt. Behörden und öffentliche Einrichtungen im Fokus Das Problem der Ransomware ist durchaus bekannt, auch das BKA gibt jährlich einen Status bzw. ein Bundeslagebild zu Cybercrime ab. Dennoch gibt es in Deutschland keinen genauen Überblick, wie stark öffentliche Verwaltungen von Hack-Angriffen betroffen sind. Es besteht derzeit keine generelle Meldepflicht für Ransomware-Angriffe, von daher hat die Bundesregierung keine Kenntnis über die genauen Zahlen der Fälle. Die Recherche von BR und „Zeit Online“ geben einen kleinen Einblick in die Dimension des Problems. In den vergangenen sechs Jahren ist es in mehr als 100 Fällen bei Behörden, Kommunalverwaltungen und anderen staatlichen sowie öffentlichen Stellen zu erfolgreichen Verschlüsselungen von IT-Systemen gekommen. Diese Informationen gehen aus eine Umfrage von BR und „Zeit Online“ hervor. Die Gesamtzahl könnte deutlich höher liegen, denn mehrere Innenministerien von Ländern wie Berlin, Hessen und Nordrhein-Westfalen machten keine konkreten Angaben. Landtage, Ministerien und Kommunen betroffen Von Erpressungsversuchen betroffen waren unter anderem die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Schulen, Polizeidienststellen, Landesministerien, Universitäten und Krankenhäuser. Auch große Städte wie Frankfurt am Main wurden bereits angegriffen. Im Prinzip sind alle öffentlichen Stellen ein potenzielles Angriffsziel. In manchen Fällen sind die Kriminellen erfolgreich bei der Erpressung von öffentlichen Einrichtungen. Es fließt also auch Steuergeld in die Taschen von Cyberkriminellen. Im Jahr 2019 soll das Staatstheater Stuttgart 15.000€ bezahlt haben nach einer Lösegeldforderungen für verschlüsselte Daten. Lokale Medien berichteten über diese Fall. Einen Überblick über erfolgreiche Erpressungen gibt es aber eben so wenig wie einen genauen Überblick über die Angriffe selbst. Mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, lassen in ihren Antworten offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlt haben. Ransomware betrifft also nicht nur große Unternehmen, sondern auch sämtliche öffentliche Stellen wie auch kleine Unternehmen und Selbstständige. Wir haben in unserem Blog auch bereits mehrfach darüber berichtet. Mit einer durchdachten Sicherheitsstrategie können Sie viele Angriffe bereits im Vorfeld abwehren. Wir unterstützen Sie gerne bei der Umsetzung einer IT-Sicherheitsstrategie. Sprechen Sie uns an!

DDos-Attacke legt Onlinedienste der Volksbanken lahm
Bedrohung

DDos-Attacke legt Onlinedienste der Volksbanken lahm

DDos-Attacke legt Onlinedienste der Volksbanken lahm – Ein Cyberangriff auf die Rechenzentren der Volks- und Raiffeisenbanken hat das Onlinebanking zeitweise blockiert und lahm gelegt. Inzwischen wurde der Angriff abgewehrt und das Onlinebanking vieler Geldhäuser funktioniert wieder. Ein Angriff auf den IT-Dienstleister Fiducia & GAD hatte in den vergangenen Tagen viele Kunden der Volks- und Raiffeisenbanken getroffen. Persönliche Daten seien aber nicht entwendet worden. Bei der DDoS-Attacke (Distributed Denial of Service Attacke) überrollten die Angreifer die Server mit einer Flut von Datenanfragen um die Systeme lahm zu legen. Nach der ersten Attacke auf das Rechenzentrum in Karlsruhe erfolgte eine zweite Attacke auf das Rechenzentrum in Münster. Bei den jeweils dort angeschlossenen Instituten waren die Bank-Webseiten oder das Onlinebanking nicht oder nur sporadisch erreichbar, wie Fiducia & GAD am Freitagmorgen mitteilte. Am Geldautomaten konnten Kunden weiterhin Geld abheben. DDos-Attacke legt Onlinedienste der Volksbanken lahm Die Angriffe erfolgten bis in die Nacht hinein. Es gab immer wieder größere Angriffe die aber erfolgreich abgewehrt wurden. Der IT-Dienstleister erklärte: „Der Krisenstab der Fiducia & GAD beobachtet die Systeme weiter engmaschig, um schnell auf etwaige erneute Attacken reagieren zu können.“ Betroffen waren demnach auch Institute, die sich auf den genossenschaftlichen IT-Dienstleister stützen, zum Beispiel einige Sparda-Banken und auch private Geldhäuser. Zunächst war unklar wie viele Kunden insgesamt betroffen waren. Die Angriffe seien aber unter Kontrolle und das Onlinebanking steht wieder überall zur Verfügung. Zu den Hintergründen des Angriffs ist nicht viel bekannt. Was die Absichten und das genaue Ziel waren ist bisher nicht geklärt. Ebenso wer hinter den Angriffen steht, bleibt noch im dunkeln. Weitere Informationen finden Sie auch hier.Mehr IT-Security News? In unserem Telegram-Channel werden Sie fündig – Jetzt anmelden

Lage bei Exchange Schwachstellen bleibt angespannt
Bedrohung

Lage bei Exchange Schwachstellen bleibt angespannt

Die Lage bei Exchange Schwachstellen bleibt angespannt – weiterhin gibt es neue Berichte über Angriffe über die vorhandenen Schwachstellen in Microsoft Exchange Server Produkten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) informiert mittlerweile auf dem Postweg. Auch einige Bundesbehörden sollen von den Schwachstellen betroffen sein. Das BSI hat die Sicherheitswarnung zur „IT-Bedrohungslage“ auf 4/Rot aktualisiert. Die Lage bei Exchange Schwachstellen bleibt angespannt Das BSI informiert zu den Sicherheitslücken des Microsoft Exchange Servers mit regelmäßigen Updates via PDF-Dokumenten. Hier werden auch Details zu den vier Schwachstellen geliefert und Informationen für Administratoren. Im Rahmen des Engagements zur Erhöhung der IT-Sicherheit bei KMU habe das BSI daher postalisch die Geschäftsführung von über 9.000 Unternehmen kontaktiert, die nach bisherigem Kenntnisstand von den Exchange-Schwachstellen betroffen sind. Zunächst wurde auch von Kompromittierungen von einigen Bundesbehörden gesprochen. Diese Informationen sind derweil kommentarlos gelöscht worden und sind nicht mehr online. Microsoft liefert Updates, Skripte und Handlungsempfehlungen Microsoft selbst hatte die Schwachstellen schon am 2. März publik gemacht und umfassende Hilfestellungen zur Behebung angeboten. Das Microsoft Security Response Center berichtet dabei auch von laufenden Angriffen. Ursprünglich habe man gezielte Zero-Day-Attacken der Gruppe HAFNIUM beobachtet – als deren Hintermänner man vom chinesischen Staat unterstützte Hacker vermutet. Mittlerweile würden auch weitere Akteure die Schwachstellen ausnutzen, um beispielsweise Web Shells zu installieren und tief in die IT-Infrastrukturen von Organisationen einzudringen. Aktuell sind die Versionen 2013,2016 und 2019 von den Sicherheitslücken betroffen. Die Exchange Server Version 2010 beinhaltet nur die Schwachstelle CVE-2021-26857. Damit ließe sich der erste Schritt der Angriffskette nicht bewerkstelligen. Dennoch sollten auch diese Systeme möglichst schnell auf den aktuellen Stand gepatcht werden und die Sicherheitsupdates zu installieren. Ältere Version von Exchange Server wie 2003 und 2007 scheinen nicht anfällig zu sein für derartige Angriffs-Szenarien. Was bringt die Zukunft? Welche Lehren Administratoren ziehen können, deutet Mircosoft in der Hilfestellung an… Leider gibt es immer noch viele Unternehmen welche die IT-Security stiefmütterlich behandeln. Durch diesen Vorfall sollten alle wach gerüttelt werden. Regelmäßige Updates und Sicherheitspatches sind ein wichtiges Mittel im Kampf gegen Hacker und Cyberkriminelle. Darüber hinaus ist ein sinnvolles, ganzheitliches Sicherheitskonzept für jedes Unternehmen wichtiger denn je. Dabei stehen auch die Verantwortlichkeiten für diverse Systeme im Fokus eines ganzheitlichen Ansatzes. Gerne unterstützen wir Sie bei der Erstellung eines ganzheitlichen Sicherheitskonzeptes und stehen Ihnen mit mehr als 12-jähriger Erfahrung im Bereich der IT-Security zur Seite. Sprechen Sie uns an, wir unterstützen Sie gerne.

Microsoft Exchange Server-Zero-Day-Schwachstellen
Bedrohung

Microsoft Exchange Server-Zero-Day-Schwachstellen

Microsoft Exchange Server-Zero-Day-Schwachstellen – Bereits am 2.März haben Microsoft in ihrem Blog auf neue Microsoft Exchange Server-Zero-Day-Schwachstellen aufmerksam gemacht. Die Schwachstellen bestehen in den lokalen Exchange-Servern 2010, 2013, 2016 und 2019. Exchange Online, also Microsoft 365 ist davon nicht betroffen. Die Akteure nennt Microsoft in ihrem Blog-Beitrag Hafnium. Die Angriffe scheinen gezielt aus China zu stammen und haben evtl. eine nationalstaatliche verbundene Gruppe im Hintergrund. Microsoft Exchange Server-Zero-Day-Schwachstelle Die Angriffe beziehen sich auf die Exchange Server Welt von Microsoft. Hier wird versucht über gestohlene Passwörter oder durch Sicherheitslücken das System übernehmen zu können. Mit Hilfe von Web Shell wird versucht das System zu übernehmen und dann Daten stehlen zu können. Hierbei wird sehr professionell vorgegangen und ein hohes Maß nach so genannten „Skills“ sind erkennbar. Die Akteure sind also keine Amateure die einfach nur ein paar Daten stehlen wollen. Microsoft stellt Patch bereit Um die Auswirkungen dieser Situation zu minimieren bzw. ganz zu vermeiden, empfiehlt Microsoft dringend, sofort Maßnahmen zu ergreifen, um die Patches für alle lokalen Exchange-Deployments anzuwenden. Um diese Schwachstellen zu beheben, sollten Sie zu den neuesten Exchange Cumulative-Updates wechseln und dann die entsprechenden Sicherheitsupdates auf jedem Exchange Server installieren. Oberste Priorität haben Server, auf die über das Internet zugegriffen werden kann (z. B. Server, die Outlook im Web/OWA und ECP veröffentlichen). Sie können das Exchange Server Health Checker-Skript verwenden, das von GitHub heruntergeladen werden kann (verwenden Sie die neueste Version). Wenn Sie dieses Skript ausführen, werden Sie darüber informiert, ob Sie mit Ihren lokalen Exchange Server-Updates in Verzug sind (beachten Sie, dass das Skript Exchange Server 2010 nicht unterstützt). Es wird außerdem empfohlen, dass Ihr Sicherheitsteam anhand der hier geteilten Kompromissindikatoren bewertet, ob die Schwachstellen ausgenutzt wurden. Weitere Informationen zum Thema finden Sie auch im Microsoft Blog. Haben Sie Fragen oder benötigen Sie Unterstützung beim Update für Ihren Exchange Server, können Sie gerne unsere technischen Experten um Rat und Unterstützung anfragen.   

verschlüsselten Unternehmensdaten
Bedrohung

Was tun, bei verschlüsselten Unternehmensdaten?

Was tun, bei verschlüsselten Unternehmensdaten? Diese Frage stellen sich leider immer wieder betroffene Unternehmen nach einem Cyberangriff mit einem Verschlüsselungstrojaner. Wir zeigen Ihnen in vier Schritten welche Dinge Sie bei der Bereinigung beachten sollten. Wichtig ist aber vor allem, dass Sie Ihre Schritte dokumentieren um Transparenz für Ihre Mitarbeiter und auch für die Öffentlichkeit zu erreichen. Leider kann jedes noch so gut geschützte IT-System ein Opfer von Ransomware werden und mit einem Schädling infiziert werden. Ruhe bewahren und langsam Schritt für Schritt, zielgerichtet an der Bereinigung arbeiten. Was tun, bei verschlüsselten Unternehmensdaten? 1. Ausfindig machen und isolieren Verschaffen Sie sich einen Überblick über das Ausmaß der Attacke. Wurde das gesamte Unternehmen befallen, nur bestimmte Systeme oder auch nur eine bestimmte Abteilung? Isolieren Sie die betroffenen Systeme vom restlichen Netzwerk. Prüfen Sie Protokolldateien von Firewall, Virenscanner und falls vorhanden weitere Schutzmechanismen wie EDR. Sind nur einzelne Geräte betroffen können diese auch direkt manuell überprüft werden. Bei größeren Angriffen wird dies aber sehr schwer möglich sein. Versuchen Sie dennoch so gut es geht die Schwachstelle ausfindig zu machen und die Systeme vom Netzwerk zu trennen. 2. Analysieren und handeln Versuchen Sie zu identifizieren welches System zuerst befallen wurde und warum entsprechende Sicherheitssoftware nicht gegriffen hat. Versuchen Sie den Übeltäter zu identifizieren. Wenn Sie wissen um welche Schadsoftware es sich handelt, können Sie bessere Gegenmaßnahmen einleiten. Durchstöbern Sie dazu Ihre Logs und versuchen den genauen Weg der Ransomware in Ihr Unternehmen ausfindig zu machen. Holen Sie sich bei Ihren Security Partner bzw. Security Anbietern Unterstützung von Fachpersonal. Das analysieren und ausfindig machen der Ransomware ist nicht immer einfach. Beheben Sie sämtliche, Ihnen bekannte Schwachstellen. Prüfen Sie gemeinsam mit IT-Security Spezialisten ob Ihr Unternehmen ausreichend gesichert ist. 3. Wiederherstellen der verschlüsselten Unternehmensdaten Haben Sie die Schadsoftware isoliert bzw. ausfindig gemacht, können Sie direkt mit der Wiederherstellung beginnen. Im Besten Fall haben Sie ein Backup zur Hand das sie schnell einspielen können. Alternativ wären auch Images von Systemen welche eine nicht all zu alten Stand aufweisen. Zahlen Sie „NIE“ das geforderte Lösegeld. Damit Unterstützen Sie die Kriminellen und wissen auch nicht ob Ihre Daten anschließend tatsächlich wieder entschlüsselt werden. Oftmals kam es bereits vor, dass nach der Zahlung des Lösegeldes dennoch die Wiederherstellung der Daten über Backups etc. geschehen musste, da keine Entschlüsselung seitens der Cyberkriminellen statt fand. Zu dem kann es vorkommen, dass die Angreifer sich Monate später nochmals bei Ihnen melden und mit Veröffentlichung von Daten drohen die beim Angriff entwendet wurde. Die Wahrscheinlichkeit sinkt wenn Sie bereits beim ersten Angriff nicht zahlen. Löschen Sie die verschlüsselten Unternehmensdaten nicht. Versuchen Sie diese zu entschlüsseln. Beispielsweise gibt es von Kaspersky zahlreiche Tools zum entschlüsseln. Vielleicht haben Sie Glück und der Befall in Ihrem Unternehmen kann mit einem Decryptor-Tool bereinigt werden. Auch wenn aktuell nicht das richtige Tool dabei ist, kann es in Zukunft noch dazu kommen. Es werden ständig neue Tools erstellt um Daten wieder zu entschlüsseln. Evtl. ist dann auch das richtig für Sie dabei. Es wäre nicht das erste Mal dass so etwas vorkommt. 4. Präventive Maßnahmen Prüfen Sie welche Sicherheitsvorkehrungen Ihr Unternehmen aufweisen kann. Setzen Sie sich mit Experten zusammen und beraten über eine IT-Security Strategie. Sie können mit vielen technischen Mitteln bereits ein hohes Maß an Sicherheit für Ihr Unternehmen herstellen. Sicherlich bleibt eine gewisse prozentuale Dunkelziffer eines Angriffs mit verschlüsselten oder entwendeten Daten, allerdings können Sie mit guten Sicherheitsanbietern einen wichtigen Schritt in Sachen IT-Security machen. Gerne unterstützen wir Sie dabei Ihre IT-Infrastrukturen sicherer zu gestalten. Nehmen Sie unverbindlich Kontakt zu uns um weitere Informationen zu erhalten. Machen Sie Ihr Unternehmen fit für Home-Office und Co. Wir zeigen Ihnen welche einfachen Tools Sie dafür verwenden können. 

iKomm verhindert Mail DDoS-Attacke
Bedrohung

iKomm verhindert Mail DDoS-Attacke

iKomm verhindert Mail DDoS-Attacke  – Die iKomm GmbH hat am vergangenen Freitag eine groß angelegte Mail DDoS erfolgreich abwehren können. Unsere Systeme des Dynamic Network Aversion Service und E-Mail Security registrierten einen plötzlichen Anstieg von versendeten E-Mails bei einem unserer Kunden. Angreifer haben über Webanwendungen bzw. über Webformulare eine SQL-Injection durchführen können um den Mailversand der Webanwendungen somit mit massenhaft E-Mails als Relay zu missbrauchen. Die Formulare, welche ungesichert ohne Captcha oder sonstige Absicherungen zugänglich waren, konnten von den Kriminellen als Sicherheitslücke genutzt werden um Ihre Spam E-Mails los zu werden. Bereits im Frühjahr hat der Kunden die Medienfirma, welche die Webanwendungen betreut darauf aufmerksam gemacht und eine Absicherung gefordert. iKomm verhindert Mail DDoS-Attacke Am frühen Freitag Abend konnten unsere Sicherheitssysteme einen Anstieg des E-Mail Versandes registrieren. 6000 E-Mails pro Minute wurden über den Mailservice der Webanwendung versendet. Die iKomm Systeme reagierten darauf und blockten die Zustellung der E-Mails. Ein IT-Security Emergency Techniker schaltete sich sofort ein und benachrichtigte den Kunden. Anschließend wurden die Sicherheitslücken in Zusammenarbeit mit dem Kunden behoben. Durch die schnelle Erkennung dieser Attacke konnte ein Massenversand von Spam E-Mails somit erfolgreich abgewehrt werden. Wäre diese Sicherheitslücke weiter ausgenutzt worden, wären alleine über das Wochenende mehr als 17 Millionen E-Mails als Spam über das Kundensystem verschickt worden. Zudem wäre das Mailsystem des Kunden durch die Bounce Messages vermutlich lahm gelegt worden. Wieder ein Fall der für Unternehmen ebenfalls kritisch sein kann. Nicht nur Ransomware mit Erpresser-Trojanern usw. kann für ein Unternehmen ein Problem darstellen. Spamwellen und das Ausnutzen von Unternehmenssystemen kann für das jeweilige Unternehmen ebenfalls einen wirtschaftlichen Schaden bedeuten. Gerade in den Corona Pandemie Zeiten, in der ohnehin wirtschaftliche Schäden vorkommen, ist es um so wichtiger die IT-Systeme gegen Angreifer abzusichern. iKomm verhindert Mail DDoS-Attacke und der Kunden ist glücklich – So wünschen wir uns das! Sichern Sie Ihre Systeme mit dem iKomm Dynamic Network Aversion Service und erhalten Sie Übersicht über angreifende Systeme und vieles mehr. Weitere Informationen erhalten Sie auch unter https://dna.ikomm.de Wir haben Ihre Sicherheit im Blick! #wecreatesecurity Sprechen Sie uns an!  

Führungskräfte im Visier
Bedrohung

Führungskräfte im Visier von Erpressern

Führungskräfte im Visier von Erpressern – Ransomware wird persönlicher. Nicht mehr sind nur Unternehmensdaten interessant für Angreifer sondern auch private Details von Führungskräften, Abteilungsleitern, CEOs und Angestellten in Führungspositionen. Dabei sind Informationen über beispielsweise Rechtsstreitigkeiten, Ehebruch, Betrug und andere Details für die Erpresser interessant. Mit diesen Daten können Sie ebenso Unternehmen zu Lösegeld-Zahlungen erpressen. Mit dieser neuen Taktik gehen nun diverese Ransomware-Banden vor. Beispielsweise hat die Erpresser Band um die Clop-Ransomware so mehrere Millionen Dollar von einem Unternehmen erpressen können. Führungskräfte im Visier von Erpressern Die Cyber-Kriminellen versuchen mit dieser neuen Methode die Firmen noch stärker dazu zu bringen die Lösegeld-Forderung auch zu bezahlen. Bisher kannte man den üblichen Weg, dass eine Ransomware Unternehmensdaten verschlüsselte und durch die Zahlung eines Lösegeldes die Daten wieder entschlüsseln können. Doch mittlerweile geht es nicht mehr nur um verschlüsselte Daten. Die Angreifer versuchen auch wichtige Dokumente zu entwenden und drohen mit Veröffentlichung der Daten wenn das Unternehmen den Forderungen nicht nachkommt. Hier kommen nun die privaten Daten ebenfalls ins Spiel. Der CEO der evtl. seine Ehefrau betrügt, möchte diese Informationen möglichst geheim halten. Die Erpresser hoffen somit auf noch bessere Chancen auf das Lösegeld. Auf den Systemen der Unternehmen liegen in der Normalität auch private Daten von Benutzern welche dann zum Problem werden können. Datenschutzverstoß bei Veröffentlichung? Wenn von einem Unternehmen Daten entwendet werden und diese anschließend veröffentlicht werden, kann es sich auch um einen Datenverstoß handeln. Der Betrieb kann dann zusätzlich zu den gestohlenen Daten und den Verlusten die damit einhergehen noch zusätzlich wegen Verstoß gegen das Datenschutz geahndet werden. IT-Sicherheit in einem Unternehmen ist also ein wichtiger Bestandteil in einem Unternehmen. Die Veröffentlichung von internen Firmendaten kann Unternehmen die Existenz kosten. Das ist in der Vergangenheit durchaus dem ein oder anderen Unternehmen schon wiederfahren. Kann man sich ausreichend schützen? Es ist nicht einfach auf sämtliche Methoden welche Erpresser anwenden auch den passenden Schutz zu etablieren. Es ist vielmehr an Anzahl von diversen Schutzmechanismen welche Ihr Unternehmen absichern können. Die Kriminellen versuchen es mit allen möglichen Methoden auch mit belästigenden und bedrohlichen Telefonanrufe sowohl bei Führungskräften als auch bei Kunden und Geschäftspartnern. Natürlich muss man bedenken, dass die Angreifer alles möglich sagen werden um an ihr Ziel zu gelagen. Bill Siegel, der CEO und Mitbegründer der Sicherheitsfirma Coveware, glaubt „Wir dürfen nicht vergessen, dass es sich um kriminelle Erpresser handelt. Sie werden alle möglichen phantastischen Dinge sagen oder behaupten, wenn es ihnen Geld einbringt.“ Gerne unterstützen wir Sie bei der Analyse Ihrer IT-Sicherheitstruktur und Implementierung von Sicherheitssystemen. Sprechen Sie uns an!  

Nach oben scrollen