Suche
Close this search box.

Kategorie: Bedrohung

Supercomputer in Deutschland kompromittiert
Bedrohung

Supercomputer in Deutschland kompromittiert

Supercomputer in Deutschland kompromittiert – Diverse Quellen wie heise online oder auch der Spiegel berichten von Cyberangriffen auf Supercomputer in Deutschland und Großbritannien. Die Angriffe sollen schon vor Monaten begonnen haben und längere Zeit unentdeckt gewesen sein. In Deutschland sollen mindestens sechs Supercomputer betroffen sein. Laut heise online betrifft es unter anderem das Leibniz Supercomputing Center in Garching bei München. Auch der Hochleistungsrechner „Hawk“ am Stuttgarter Höchstleistungsrechenzentrum (HLRS) soll betroffen sein. „Hawk wurde wegen eines Sicherheitsvorfalls abgeschaltet“, heißt es auf der HLRS-Seite knapp. Auch das Leibniz-Rechenzentrum teilte mit: „Wir können einen Sicherheitsvorfall bestätigen, von dem unsere Hochleistungsrechner betroffen sind.“. Benutzer und Behörden wurden informiert.  Supercomputer in Deutschland kompromittiert – Angriff schon im Januar Auch das bwForCluster NEMO in Freiburg ist gehackt worden. In E-Mails, welche an die Nutzer versendet worden sind hieß es übersetzt: Der NEMO Login wurde in einer Cyber-Attacke kompromittiert. Mit einem gestohlenen Account verschafften die Angreifer sich Root-Privilegien. Das sind die höchsten Rechte die man als Nutzer haben kann. Die Angreifer haben ebenfalls weitere Benutzernamen und Passwörter ausgelesen. Bereits am 9. Januar soll die erste Attacke stattgefunden haben. Weitere Versuche folgten. Ob auch andere bösartige Aktivitäten vorliegen sei nicht festzustellen. Man könne es aber nicht ausschließen. Ob die Angriffe im schottischen Edinburgh beim ARCHER National Supercomputing Service von den gleichen Angreifern ausgehen kann man derzeit nicht ermitteln. Experten, die nicht namentlich genannt werden wollten, spekulieren „The Register“ zufolge, dass ARCHER ein offensichtliches Ziel für Hacker sei, um an Forschungsdaten mit Bezug auf das Coronavirus Sars-CoV-2 zu gelangen. USA beschuldigt China Erst am Mittwoch hatten das FBI und das US-Heimatschutzministerium DHS offiziell „Cyber-Akteure“ mit „Verbindungen zur chinesischen Regierung“ beschuldigt, US-Einrichtungen anzugreifen, an denen zum Coronavirus geforscht wird. Bei mehreren Unternehmen die an COVID-19 forschen wurden Cyberangriffe, Cyber-Spionagen etc. festgestellt teilt das US-Sicherheitsunternehmen FireEye mit. Vor allem chinesische Akteure seien festgestellt worden sein, aber auch russische sowie iranische Akteure. Vermutlich haben viele Geheimdienste weltweit eine sehr hohe Priorität bei der Sammlung von Informationen zu COVID-19. Experten gehen davon aus, dass die Angriffe auch in naher Zukunft weiter stattfinden werden bzw. sich sogar noch verstärken könnten. Das Rennen um den Impfstoff hat längst begonnen und mit ausreichenden Informationen und Daten können Angreifer massive Schäden anrichten. #wecreatesecurity Wir unterstützen Sie bei der Absicherung Ihrer Systeme. Wir stellen Ihnen gerne uns Sicherheitslösungen persönlich vor. Nehmen Sie jetzt Kontakt mit uns auf um einen Termin zu vereinbaren.

Sophos XG Firewall v18
Bedrohung

Sophos XG Firewall SQL injection vulnerability

Das Unternehmen Sophos hat zu einen Hotfix veröffentlicht welche eine Sicherheitslücke, eine SQL injection in der XG Firewall Serie schließt. Die bisher unbekannte Sicherheitslücke konnte ausgenutzt werden um sich Benutzernamen und Passwörter von lokalen Sophos Firewall Konten zu erobern. Am 22. April hat Sophos einen Report erhalten mit einem verdächtigen Feld-Wert im Management Interface. Daraufhin wurde eine Untersuchung gestartet, welche einen Angriff auf physische und virtuelle XG Firewalls zeigte. Das Unternehmen hat sofort reagiert und einen Patch bzw. Hotfix veröffentlicht. Was ist passiert? Wenn bei einer Sophos Firewall das Admin-Interface oder auch das User-Portal auf der WAN Zone verfügbar gemacht wurde, konnten Angreifer über eine unbekannte pre-auth SQL injection sich Informationen vom System verschaffen. Dabei konnten die Daten von lokalen Accounts ausspioniert werden. Darunter waren Benutzernamen, die gehashten Kennwörter, User-Portal Accounts und auch VPN Accounts. Passwörter oder Benutzerkonten von externen Authentifizierungssystemen wie Active Directory oder LDAP waren davon nicht betroffen.  Sophos hat sofort reagiert und mit einem Hotfix diese Lücke geschlossen und auch die Systeme die evtl. betroffen waren bereinigt. Wurde meine XG kompromittiert?  Der Hotfix von Sophos beinhaltet auch eine Nachricht für die Adminstratoren ob ihre Maschine betroffen ist. In den folgenden Screenshots sieht man die Nachricht für Maschinen die betroffen sind/waren und die Maschine bei denen diese Lücke nicht ausgenutzt wurde. Nicht Betroffene XG Firewall: Betroffen XG Firewall: Sollten Sie auf Ihrer Firewall die automatischen Hotfix-Updates deaktiviert haben, lesen Sie hier wie Sie den Hotfix installieren können: https://community.sophos.com/kb/en-us/135415 Was muss man noch beachten? Ist Ihre Firewall von der SQL Injection nicht betroffen so müssen Sie nach der Installation des Hotfix nichts weiter beachten. Für Firewalls die kompromittiert wurden, führen Sie die folgenden Punkte durch um das Problem zu beheben: Setzen Sie das Kennwort für den Administrator-Account zurück | neues, sicheres Kennwort vergeben Rebooten Sie Ihre XG Firewall Setzen Sie alle Kennwörter von lokalen Benutzeraccounts zurück Auch wenn die Kennwörter nur gehasht erobert werden konnten, ist es empfohlen die Kennwörter von sämtlichen Konten zu ändern welche die gleichen credentials verwenden. Wurden also für andere Accounts die gleichen Kennwörter wie für die lokalen Sophos Accounts verwendet, sollten diese ebenfalls geändert werden. Betroffen waren alle Firmware-Versionen der unterstützen Sophos XG Firewall, sowohl physikalisch als auch virtuelle Maschinen. Alle Firmwares erhielten auch den Hotfix (SFOS 17.0, 17.1, 17.5, 18.0). Benutzer mit älteren Firmwareständen wird dringend ein Update empfohlen um auch hier die Sicherheitslücke schließen zu können. Sophos hat im KB Eintrag zu dieser Thematik auch eine Timeline der Attacke veröffentlicht… Timeline of attack All times UTC Day and Time Description 2020-04-22 16:00 Attack begins 2020-04-22 20:29 Sophos receives report of a suspicious field value in an XG Firewall management interface 2020-04-22 22:03 Incident escalated to Sophos internal cybersecurity team 2020-04-22 22:20 Initial forensics started 2020-04-22 22:44 SophosLabs blocks suspect domains found in initial forensics 2020-04-23 06:30 Sophos researchers identify indicators of attack 2020-04-23 07:52 Analysis indicates attack affecting multiple customers – major incident process initiated 2020-04-23 15:47 Sophos notifies Community of initial mitigations 2020-04-23 19:39 Initial attack vector identified as SQL injection attack 2020-04-23 21:40 SophosLabs identifies and blocks additional domains 2020-04-24 03:00 Telemetry update issued to all XG Firewalls 2020-04-24 04:20 Sophos notifies Community of additional mitigations 2020-04-24 05:00 Sophos begins design, development, and testing of hotfix to mitigate SQL injection 2020-04-25 07:00 Sophos began pushing hotfixes to supported XG Firewalls 2020-04-25 22:00 Sophos confirms completion of hotfix rollout to XG Firewall units with auto-update (default) enabled. Weitere Informationen zu der Thematik können Sie hier einsehen. Sophos hat zu dem gesamten Szenario bei SophosLab auch einen Artikel dazu gepostet: „Asnarok“ Trojan targets firewalls. Gerne können Sie uns kontaktieren wenn Sie Fragen zu der Sicherheitslücke haben. Unsere Techniker geben Ihnen gerne Auskunft.

Public Shaming
Bedrohung

Public Shaming durch Ransomware

Public Shaming ist die nette neue Umschreibung für Datenleaks welche Kriminelle Ransomware-Gangs oder Erpresser nutzen um Unternehmen unter Druck zu setzen. Aus Prestigegründen bzw. Vertrauensverlusten versuchen Firmen häufig die Attacken auf die Unternehmenssysteme unter den Teppich zu kehren. Kein Unternehmen gibt gerne zu Opfer eines Ransomware-Angriffs geworden zu sein. Genau hier setzen die Erpresser mit neuen Methoden an. Das Public Shaming ist dafür Bestens geeignet bzw. setzt Firmen weiter unter Druck. Was ist Public Shaming? Als Public Shaming bezeichnet man quasi den „Scham“ von Unternehmen in der Öffentlichkeit. Genauer gesagt möchte natürlich kein Unternehmen interne vertrauliche Daten veröffentlicht sehen. Hier setzen die Erpresser an und suchen gezielt nach schmutzigen Geheimnissen. Der Trojaner „Sodinokibi“ aka REvil stetzt verstärkt auf diese Strategie. Die Drahtzieher hinter den Trojanern setzen bewusst Public Shaming Webseiten auf und veröffentlichen dort die gestohlenen Daten wenn das Unternehmen nicht bezahlt. Die IT-News Webseite Bleeping Computer berichtete, dass die Macher von Sodinokibi in einem Blog mit der Überschrift „Happy Blog“ damit gedroht haben, geleakte Sozialversicherungsnummern, Geburtsdaten und andere Informationen im Darknet zu verkaufen. Auch von Finanzinformationen ist die Rede. Zudem sollen die betroffenen Personen darüber informiert werden, welches Unternehmen diese Daten geleakt hat. Erpresser-Trojaner 2.0 Auch mit Emotet oder anderen Trojanern bzw. Ransomware sind solche Szenarien denkbar. Seit Februar verfolgt auch die Ransomware „DoppelPaymer“ diese Strategie. Teilweise werden nicht mehr die gesamten Firmenstrukturen verschlüsselt, sondern nur ein kleiner Teil. Durch Nachladen von weiteren Schadcodes werden dann auch auf anderen Systemen die zunächst nicht verschlüsselt werden, Backdoors eingerichtet. So bekommt der Angreifer weiterhin Zugriff auf die Systeme und könnte interne und vertrauliche Daten stehlen. Viele dieser Schädlinge arbeiten mit C&C Servern (Command-and-Control Servern) die weitere Dateien nachladen oder eben Daten abgreifen. Der Trend zu dieser neuen Angriffswelle ist seit Monaten erkennbar. Der Hintergrund dieser gezielten Attacken ist es, schmutzige Geheimnisse von Unternehmen an die Öffentlichkeit zu bringen. Zumindest dann, wenn das Lösegeld nicht bezahlt wird. Dabei werden Firmen auch gezielt ausgesucht. So waren zu Beginn der Verschlüsselungstrojaner die Lösegeld-Forderungen immer gleich. Mittlerweile variieren die Lösegeld-Forderungen in Abhängigkeit des Unternehmens. „Wie groß und bekannt ist das Unternehmen?“ – „Wieviel Umsatz generiert das Unternehmen?“ sind Faktoren welche die Erpresser nutzen um die Höhe des Lösegeldes festzusetzen. Ransomware sind auch Datenlecks Durch diesen neuen Trend wird Ransomware auch immer gefährlicher in Bezug auf Datenlecks. Laut einer FBI-Studie zahlten Opfer von Ransomware bereits über 140 Millionen. Es ist wahrscheinlich das dieser Trend weiter anhalten wird, bzw. die Entwicklung in dieser Richtung noch weiter gehen wird. Für Unternehmen ist ein Befall auch ein potenzielles Datenleck. Sensible Daten müssen bestmöglich geschützt werden. Das ist in der digitalen Welt manchmal einfacher gesagt als getan. Dennoch werden Unternehmen mit sensiblen Daten ihren Fokus stärker auf solche Angriffe lenken müssen. Wollen Sie Ihr Unternehmen ebenfalls bestmöglich schützen? Wir beraten Sie gerne. Sprechen Sie uns an, wir haben zahlreiche Produkte im Portfolio um die Gefahren einzudämmen. Erfahren Sie mehr über unsere PAM-Lösung Fudo oder unseren Premium Antispamfilter mit Erkennungsraten bis zu 99%. Quelle: https://www.heise.de/security/meldung/Ransomware-Gang-durchsucht-gestohlene-Firmendaten-nach-Erpressungsmoeglichkeiten-4678808.html Bild von Gerd Altmann auf Pixabay

Corona Phishing E-Mails
Bedrohung

Corona Phishing E-Mails

Nur eine Frage der Zeit bis auch Corona Phishing E-Mails im Umlauf sind. Der deutsche Anbieter von Antispam-Lösungen Hornetsecurity warnt im eigenen Blog vor Corona Phishing E-Mails. Viele Experten in der IT-Security verwundert das nicht wirklich. Gerade bei einem solchen Ereignis das weltweit große Wellen schlägt, ist für Betrüger ein Spammer eine willkommene Abwechslung. Das Corona Virus welches sich über den gesamten Erdball verteilt ist nun auch in der digitalen Welt angekommen. In der analogen Welt tauchen täglich neue Meldungen über Infektionen auf. In einigen Städten und Gemeinden werden Menschen unter Quarantäne gestellt und dürfen das Haus nicht verlassen. In schlimmen Fällen ist der Weg ins Krankenhaus unumgänglich. Nun besteht auch Ansteckungsgefahr bei E-Mails. Corona Phishing E-Mails Das Hornetsecurity Lab beobachtet seit Anfang Februar ein erhöhtes Aufkommen von E-Mails, die im Namen der World Health Organization und der Centers for Disease Control and Prevention verschickt werden heißt es in dem Blogeintrag. In den englischsprachigen E-Mails werden gezielt die Ängste der Menschen vor dem Corona Virus ausgenutzt. Die E-Mails enthalten Links zu angeblichen Listen mit neuen Verdachtsfällen in der näheren Umgebung. Alles was man dazu tun muss, ist eine E-Mail Adresse und ein Passwort angeben. Dann erhält man Zugriff auf diese Informationen. Hierbei handelt es sich um eine klassische Phishing-Mail, die sensible Daten abgreifen soll. In anderen Fällen wird ein Download-Link oder ein Anhang angeboten. Nach anklicken des Links oder öffnen des Dokuments wird der Schadcode nachgeladen. Es besteht Gefahr dass die IT-Systeme mit einem Virus oder Ransomware infiziert werden.   Angriffe mit aktuellem Bezug werden immer häufiger Die Hornetsecurity IT-Experten weisen darauf hin, dass immer häufiger aktuelle Ereignisse mit hohem emotionalem Stellenwert als Aufhänger für großangelegte Phishing- und Malware-Kampagnen genutzt werden. Durch die Betroffenheit und Sensibilisierung der Menschen für diese Themen erhalten die E-Mails der Cyberkriminellen eine größere Aufmerksamkeit und wirken glaubwürdiger. Die Wahrscheinlichkeit steigt, dass die Nachrichten geöffnet werden. Beispielsweise bei den Themen der Klimaproteste rund um Greta Thunberg, der DSGVO oder den Buschbränden in Australien waren bereits Anlass für gezielte Phishing Attacken. Hornetsecurity hat auch darüber bereits berichtet. E-Mail Kommunikation absichern Das größte Einfallstor für Ransomware bzw. Cyberangriffe ist die E-Mail Kommunikation. Von daher müssen neben umfangreichen technischen Schutzmaßnahmen aber auch die Mitarbeiter für Phishing E-Mails sensibilisiert werden. Phishing E-Mails zu erkennen ist nicht einfach – aber auch nicht unmöglich. Hornetsecurity schlägt hierfür folgende Punkte vor denen wir uns anschließen können: Die Detailansicht der Absender-E-Mail-Adresse kann Aufschluss über die wahre Herkunft der Nachricht geben. Ist diese nicht plausibel, beinhaltet Buchstabendreher oder kryptische Zahlen, ist das ein Warnzeichen. Oft wird bei großangelegten Phishing-Kampagnen nur eine allgemeine Anrede des Empfängers verwendet. Fehlerhafte Rechtschreibung und Grammatik sowie ein unprofessionelles Layout sind ebenfalls ein Indiz. Das Ausüben von Druck spielt eine maßgebliche Rolle. So soll kritisches Nachdenken ausgehebelt werden. Oft versuchen Cyberkriminelle den Empfänger dazu zu bringen eine URL zu öffnen. Auch E-Mail-Anhänge können Risiken bergen. Gerne beraten wir Sie im Umgang mit Anti-Spam Lösungen wie Hornetsecurity und wie Sie Ihre E-Mail Kommunikation absichern können. Sprechen Sie uns an. Wir unterstützen Sie gerne bei Fragen zum Thema E-Mail Security und Awareness Schulungen. Quelle: Blog-Eintrag von Hornetsecurity Hornetsecurity – Nur gute Nachrichten  |  iKomm MSP Hornetsecurity Service Bild von_freakwave_ auf Pixabay

Was Emotet anrichten kann
Bedrohung

Was Emotet anrichten kann

Was Emotet anrichten kann ist in der IT-Welt mittlerweile mehr als bekannt. Dennoch treibt der Verschlüsselungstrojaner noch immer sein Unwesen im Netz. Im Jahre 2014 wurde Emotet entdeckt und verschlüsselt seither alles was ihm in die Quere kommt. Emotet ist eigentlich ein sogenannter „Dropper“ und lädt dann weitere Schadprogramme wie den Verschlüsselungstrojaner Ryuk nach. Er gelangt in der Regel über Spam E-Mails auf die Rechner, entweder durch Office-Dokumente mit Makros oder über Anhänge mit Download-Links. Was Emotet anrichten kann… Was ein Befall bedeuten kann, musste unter anderem auch die niedersächsische Stadt Neustadt am Rübenberge am eigenen Leib erfahren. Am Morgen des 6. Septembers 2019 bemerkte ein IT-Mitarbeiter, dass die Server im Rechenzentrum der Kommune seltsame und extreme Auslastungen anzeigten. Obwohl keine Tests oder Wartungsarbeiten anstanden war die Systemlast enorm hoch. Der Mitarbeiter reagierte sofort und fuhr die Server herunter, da er ein Schadprogramm vermutete. Leider war es bereits zu spät. Der Trojaner hatte bereits begonnen die Daten der Verwaltung von rund 45.000 Einwohner zu verschlüsseln. Darunter waren E-Mails, Formulare, Bauzeichnungen, Hochzeitstermine, Elterngeldanträge und vieles mehr. Auch mehr als 220.000 Steuerakten wurden von Emotet verschlüsselt. SPAM E-Mails als Übeltäter Auf welchem Weg die Stadtverwaltung befallen wurde ist nicht eindeutig geklärt sagt Maic Schillack, der erste Stadtrat und Stellvertreter des Bürgermeisters. Vermutlich wurde durch einen Mitarbeiter ein verseuchtes Office-Dokument geöffnet. Das ist zumindest laut Spezialisten der häufigste und gängigste Weg wie sich Emotet im Netzwerk breit machen kann. Was Emotet so mächtig macht, ist die perfide Aufmachung der Mails. Sie stammen aus Sicht des Empfängers offenbar von einer tatsächlich existierenden Kontaktperson und zitieren einen realen Mailwechsel zwischen dem Empfänger und dieser Person. Emotet ist in der Lage, Outlook-Konversationen (Kontaktbeziehungen und Mail­inhalte) auszulesen und so automatisiert sehr authentische Spam-Mails zur Erstinfektion zu generieren“, erklärt das BSI. Fachleute sprechen auch von Dynamit-Phishing. Was steckt hinter Emotet? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist davon überzeugt, dass „die Entwickler von Emotet ihre Software und ihre Infrastruktur an Dritte untervermieten“. Diese setzten dann weitere Schadsoftware wie Trickbot und Ransomware ein, um „ihre eigenen Ziele zu verfolgen“. Die Motivation sei in der Regel finanzieller Natur. Das BSI geht also von Cyberkriminalität aus, nicht von Spionage. Zur spannenden Frage, aus welchem Land oder aus welchen Ländern die Emotet-Entwickler und die Angreifer kommen, äußert sich das BSI nicht. Auch aus den Strafverfolgungsbehörden sind dazu bislang keine Erkenntnisse nach außen gedrungen. Es kursieren lediglich Gerüchte, in denen von Osteuropa oder Russland die Rede ist. Malware-Experte Andreas Marx von der Firma AV-Test betont jedoch: „Es gibt viele Vermutungen, aber eine Attribution ist nicht seriös möglich. Was Emotet anrichten kann – Gibt es Sicherheiten? Die Macher von Emotet prüfen stehts ihre neuen Versionen gegen Anti-Viren-Software. Auch wenn diese schnell reagieren verändern die Macher ständig den Trojaner. Mal sind es Download-Links die gesendet werden, mal sind die Office Dokumente. Wird die aktuelle Version nicht erkannt, werden Millionen E-Mails versendet mit dem Schadprogramm. Durch das Tool Trickbot werden dann unter anderem Zugangsdaten ausspioniert um sich zusätzlich im Netzwerk weiter ausbreiten zu können. Eine 100%ige Sicherheit gibt es natürlich nie. Dennoch sollte man stets darauf achten, dass die Anti-Viren-Lösung aktuell gehalten wird und auf allen Systemen installiert ist. Dazu sollte die Updates der Betriebssysteme sowie der Dritt-Anwender Produkte regelmäßig durchgeführt werden. Damit kann der Schutz schon um ein vielfaches erhöht werden. Der Mensch ist allerdings das schwächste Glied in der Kette und daher sind Awareness-Schulungen ein wichtiger Aspekt um den Schutz so groß wie möglich zu gestalten. Als IT-Security Dienstleister bieten wir Ihnen gerne unsere kompetente Beratung zum Thema Emotet bzw. Verschlüsselungstrojaner an und wie Sie sich und Ihr Unternehmen schützen können. Sprechen Sie uns an! Wir unterstützen Sie gerne. Weitere Details zu dem Vorfall in  Stadt Neustadt am Rübenberge können Sie hier weiterlesen. Jetzt bei Kaspersky Awareness Schulungen einsteigen. Erfahren Sie mehr…

Sicherheitslücken in WordPress Plugins
Bedrohung

Sicherheitslücken in WordPress Plugins

Sicherheitslücken in WordPress Plugins sind leider keine Seltenheit. In dem beliebten Content-Management-System kann man zahlreiche Plugins einsetzen um die Features des bereits mächtigen Systems zu erweitern. Wir haben bereits in der Vergangenheit über diverse Sicherheitslücken in WordPress Plugins berichtet. Heute stehen zwei Plugins im Fokus. Vorweg genommen, es gibt für beide Plugins bereits ein Update. Wir raten dazu möglichst schnell über die WordPress Update-Funktion die aktuellen Versionen zu installieren. Sicherheitslücken in WordPress Plugins Werfen wir einen genaueren Blick auf die betroffenen Plugins. Die Sicherheitslücken beider Plugins werden als „kritisch“ bewertet da die komplette Webseite übernommen werden kann. Betroffen sind rund 750.000 Webseiten welche diese Plugins einsetzen. 1. DSGVO-Plugin GDPR Cookie Consent Das erste Plugin ist das vielseitig beliebte DSGVO Plugin GDPR Cookie Consent. Mit diesem Plugin kann man seine WordPress Seite für die Datenschutz-Grundverordnung der EU fit machen. Betroffen sind ca. 700.000 Webseiten welche dieses Plugin im Einsatz haben. Die kritische Sicherheitslücke des Plugins kann für eine persistente XSS-Attacke ausgenutzt werden. Die Schwachstelle ist ein AJAX Endpoint, der nur für Admins zugänglich sein sollte. Auf Grund von mangelnder Prüfung können aber auch authentifizierte Benutzer bzw. Angreifer darauf zugreifen und die Webseite kompromittieren.  Eine genaue Erläuterung wie man die Schwachstellen ausnutzen könnte, wird von den Sicherheitsforschern von Nin TechNet auf deren Webseite beschrieben. Der Plugin Entwickler hat bereits reagiert und ein Update mit der Version 1.8.3 veröffentlicht. 2. Profile Builder Das zweite Plugin mit einer Sicherheitslücke ist der Profile Builder (User Registration & User Profile – Profile Builder) von Cozmoslabs. Mit wenig Aufwand kann man über die Schwachstelle sich selbst zum Admin machen. So können Angreifer relativ schnell und einfach die komplette Webseite übernehmen. Die Sicherheitslücke wurde mit dem höchsten Score von 10 bewertet. Angriffe können hierbei direkt über das Internet stattfinden und sogar ohne Authentifizierung. Mit der aktuellen Version 3.1.1 soll die Schwachstelle geschlossen sein. Also auch hier gilt: „Updaten, updaten, updaten!“ Alle vorherigen Versionen von 3.1.1 sollen laut Wordfence betroffen sein. Das Plugin ermöglicht es Benutzern Profile anzulegen und zu bearbeiten. Angreifer könnten auf Grund der Schwachstelle Eingaben in dafür nicht vorgesehene Felder abschicken. Laut Wordfence soll es bislang aber keine Attacken gegeben haben. Secure Webhosting – Sicherheitslücken in WordPress Plugins schnell updaten? Sicherheitslücken in WordPress Plugins möglichst sofort updaten? Die iKomm GmbH bietet als Managed Security Provider auch im Bereich des Secure Webhosting einige Pakete an. Gerade im WordPress-Hosting haben wir zahlreiche Sicherheitsfeatures in unsere Webhosting-Pakete inkludiert. Angefangen von automatischen Backups, automatischen Updates des WordPress Core-Systems sowie automatische Updates für Ihre installierten Plugins. Gerne erläutern wir Ihnen weitere Sicherheitsfeatures zu unseren Secure-Web-Hosting Paketen. Sprechen Sie uns an. Kontaktieren Sie uns telefonisch, per E-Mail oder füllen Sie schnell und einfach unser Kontaktformular aus. Unsere Techniker stehen Ihnen gerne jederzeit mit Rat und Tat zur Seite. Bild von Kevin Phillips auf Pixabay

Mac-Rechner im Visier
Bedrohung

Mac-Rechner im Visier

Mac-Rechner im Visier von Attacken – Macintosh-Rechner gelten im allgemeinen als recht sicher. Doch der Schein trügt… Jetzt haben Anti-Viren Experten von Kaspersky eine Analyse vorgestellt, in der sich zeigt dass auch in der Apple Welt einige Gefahren gibt. Haben Sie einen Windows-Rechner haben Sie bestimmt schon von diversen Viren und Trojanern gehört. Vor allem Verschlüsselungstrojaner welche Ihre Daten verschlüsseln und ein Lösegeld fordern gehen häufig durch die Medien. Ein Studie von Kaspersky zeigt nun, dass auch Angriffe auf Mac-Systeme häufiger sind als man glauben mag. Vor allem der Schädling Shlayer treibt hier sein Unwesen und kommt auf schokierend hohe Zahlen. Shlayer befällt jeden zehnten Mac Der Trojaner Shlayer ist bereits seit 2018 bekannt. Die enorme Verbreitung war allerdings bisher unklar. Kaspersky meldet, dass jedes zehnte Mac System auf dem die Kaspersky Software installiert ist, den Schädling mindestens einmal abwehren musste. Damit ist Shlayer für ein Drittel aller von Kaspersky entdeckten Attacken auf Macs verantwortlich. Hauptsächlich fanden die Angrifffe in den USA statt. Aber auch hier in Deutschland wurden Funde gemeldet wie auch in Frankreich und Großbritannien. Da Kaspersky natürlich nicht auf jedem Mac-Rechner installiert ist, lässt es sich schwer hochrechnen, wie stark die Verbreitung auf allen Macs weltweit gesehen ist. Mac-Rechner im Visier – Was macht Shlayer? Shlayer ist allerdings kein großer Schädling sondern eher ein Ärgernis und lästig. Der primitive Schädling stielt aktuell weder Daten, noch versucht er den Nutzer zu erpressen. Shlayer bombardiert den Nutzer mit Werbebanner, die dann den Betreibern Geld in die Kassen spülen. Die massiven Werbeeinblendungen stören das Arbeiten natürlich ungemein und wer wird auch gerne mit unattraktiver Werbung belästigt? Derzeit liegen aber keine weiteren Erkenntnisse vor dass dieser Schädling noch weitere Schadcodes oder Schad-Software mit sich bringt. Wie gelangt Shlayer auf meinen Mac? Aktuell werden die Systeme vor allem durch eine altbekannte Virenquelle befallen: verseuchte Installationsdateien von Adobe Flash Player sind die Ursache. Die auf Raubkopien- oder Pornoseiten platzierten Installer suggerieren dem Nutzer, dass für das Betrachten des Inhalts ein Update nötig sei und verseuchen dann den Rechner. Aber auch auf seriösen Seiten wie beispielsweise Youtube wurden Links in den Beschreibungen und Fußnoten zu betroffenen Installer gefunden. Anders als bei Windows kann sich Malware bei Macs nicht heimlich im Hintergrund installieren, sondern benötigt die aktive Mithilfe des Nutzers. Vorsichtig sein, ist wohl der Beste Rat den man hier geben kann. Programme sollten nicht aus unseriösen oder unbekannten Quellen installiert werden. Sollte ein Webseite selbst nach einem Update über Adobe direkt noch nach einem Update fragen, sollte man skeptisch werden und diese Webseite in Zukunft meiden.   Quellen: Shlayer Trojan attacks one in ten macOS users   https://www.stern.de/digital/computer/shlayer—dieser-trojaner-griff-schon-jeden-zehnten-mac-rechner-an-9108966.html   Gerne beraten wir Sie über unsere Anti-Viren Produkte im Portfolio. Mehr über das Produkt Kaspersky können Sie hier erfahren –> Kaspersky Anti-Viren Lösung Überzeugen Sie sich von unserem Managed Security Service und Testen unsere Produkte. Weitere Infos hier.

Bedrohung

Formjacking – Die neue unsichtbare Bedrohung im Cyberspace

Weihnachten steht vor der Tür und schon jetzt ist sicher, dass einigen die Festtagsstimmung vergehen wird. Wenn Millionen Menschen online auf Geschenkejagd gehen, schnappt die Falle zu. Die Rede ist von der neuen unsichtbaren Bedrohung im Internet: Formjacking, auch als E-Skimming bekannt. Dabei erbeuten Hacker auf Onlineshops mit gekaperten Bezahlformularen Kreditkarten- und Bankdaten. Der ahnungslose Kunde und das betroffene Unternehmen bekommen davon erstmal gar nichts mit – alles verläuft wie gewohnt. Der Käufer erhält sein Produkt und das Unternehmen die Bezahlung, doch im Hintergrund greifen Cyberkriminelle die geheimen Zahlungsinformationen ab. Erst bei einem späteren Blick auf das Konto kommt das böse Erwachen: Unbekannte haben auf Kosten des Kartenbesitzers ausgiebig geshoppt. BKA und FBI warnen Das BKA bestätigt im neuen Bundeslagebericht zum Thema Cybercrime, dass es bereits im Vorjahr während des Weihnachtsgeschäfts zu einem besonders starken Anstieg der Formjacking-Fälle kam. Auch das FBI gab kürzlich im Rahmen des U.S. Cyber Security Month 2019 eine Warnung insbesondere an kleine und mittelständische Unternehmen heraus, die Online-Kreditkarten-Zahlung anbieten. Diese würden häufig über weniger ausgeklügelte Abwehrmechanismen verfügen und seien somit besonders anfällig für Angriffe. Platzierte Malware bliebe auf deren Systemen zudem länger unentdeckt. Doch auch größere Firmen geraten vermehrt ins Visier. Einer der spektakulärsten Fälle ereignete sich im September 2018, als British Airways aufgrund einer infizierten Buchungsseite über 380.000 Kreditkartendaten von Kunden abhandenkamen. Den Hackern dürfte diese Attacke mehrere Millionen US-Dollar eingebracht haben. British Airways wiederrum musste nicht nur einen immensen Vertrauensverlust hinnehmen, sondern sieht sich dank mangelhafter Sicherheitsmaßnahmen auch einer möglichen Strafe in Höhe von 230 Million US-Dollar ausgesetzt – der bisher größte Betrag seit Inkrafttreten der DSGVO. Wie funktioniert Formjacking? Der Begriff Formjacking setzt sich aus „Online-Form“ und „Hijacking“ zusammen und beschreibt im Prinzip die digitale Variante des altbekannten Skimmings, bei dem Betrüger das Karteneinschubfach an Geldautomaten mit einem eigenen Kartenlesegerät präparieren. Der Pin-Code wird zeitgleich mit kleinen Kameras ausgespäht. Mit den gesammelten Daten kann die Bankkarte dupliziert werden. Ganz ähnlich läuft ein Formjacking-Angriff im Cyberspace ab. Bei der zweistufigen Attacke wird zuerst eine Verkaufsseite im Netz ins Fadenkreuz genommen, um einen Schadcode — meist kleine verschleierte JavaScripts — auf der Seite zu platzieren. Laut FBI erreichen Hacker dies häufig durch Phishing und schadhafte Mails an Mitarbeiter oder über anfällige Drittanbieter, deren Anwendungen Zugang zur Serverlandschaft eines Unternehmens haben. Ist es gelungen, den schadhaften Code zu implementieren, können Kreditkartendaten in Echtzeit erfasst werden, sobald der Kunde diese auf der Shop-Website eingibt. Mit den wertvollen Informationen gehen die Cyberkriminellen dann entweder selbst auf Shopping-Tour oder verkaufen sie im Darknet. Einer Studie der amerikanischen Kreditauskunftei Experian zufolge geht eine Kreditkartennummer mit Sicherheitscode für etwa 5 US-Dollar über den digitalen Ladentisch. Logindaten von Zahlungsdienstleistern wie Paypal bringen sogar um die 20 US-Dollar ein. Wer steckt hinter den Angriffen? Formjacking gehört zu den sogenannten Man-in-the-Middle-Attacken, bei denen sich Angreifer mittels Schadsoftware unbemerkt zwischen den Kommunikationspartnern positionieren. Aber wer sind die Unbekannten? Klar zuweisen lässt sich dies meistens nicht, doch immer wieder taucht im Zusammenhang mit den Vorfällen der Name Magecart auf, so auch im anfangs geschilderten British Airways-Fall. Es handelt sich hierbei um einen Oberbegriff, der die Aktivitäten von mindestens sieben Hackergruppen beschreibt, die ähnliche Malware in ähnlich orchestrierten Angriffen einsetzen. Die Magecart-Gruppen sind im Rahmen ihrer Hacks nicht auf eine bestimmte Plattform von Onlineshops beschränkt. Darüber hinaus ließ sich beobachten, dass sich einige der Cyberkriminellen auf Dienstleistungen von Drittanbietern, wie beispielsweise Live-Chat-Widgets, spezialisiert haben. Wie kann man sich schützen? Für den Kunden ist es beim Online-Shopping nicht möglich Formjacking zu erkennen und zu verhindern, weil die infizierten Seiten unverändert aussehen. Empfehlenswert ist es daher, Einkäufe auf große Shops zu beschränken, die im Gegensatz zu kleinen E-Commerce-Websites mit umfangreicheren Sicherheitssystemen ausgestattet sind. Kreditkarten sollten außerdem über eine zweite Verteidigungsstufe in Form des 3D-Secure-Verfahrens verfügen. Dann ist beispielsweise ohne TAN-Code, der an das Smartphone geschickt wird, keine Transaktion möglich. Die eigentliche Verantwortung, die E-Skimming-Attacken zu verhindern, liegt aber bei den Unternehmen. Diese müssen unbedingt ihre Sicherheitssysteme auf dem aktuellsten Stand halten. Es gilt die Einfallstore von Malware, etwa in Form von schadhaften Mails, mit umfangreichen Schutzmaßnahmen geschlossen zu halten. Zwar liegt der Fokus von Formjacking derzeit auf dem Diebstahl von Kreditkartendaten, aber prinzipiell lässt sich mit der Methode jede Art von Daten abgreifen, die über Online-Formulare erfasst wird. Die Ausweitung der Betrugsmasche ist daher mehr als wahrscheinlich. Quellen BKA. Bundeslagebilder Cybercrime [abgerufen am 19.11.2019] Experian.Here’s How Much Your Personal Information Is Selling for on the Dark Web [abgerufen am 19.11.2019] FBI.Oregon FBI Tech Tuesday: Building a Digital Defense Against E-Skimming [abgerufen am 19.11.2019] It-Daily.Cyberkriminelle setzen vermehrt auf Formjacking [abgerufen am 19.11.2019] IT Governance.Protect yourself and your customers from formjacking [abgerufen am 19.11.2019] Netskope.Could formjacking affect your organization? [abgerufen am 19.11.2019] Netz.de. Formjacking – digitale Gangster besinnen sich auf analoge Technik [abgerufen am 19.11.2019] Security affairs. FBI and DHS CISA issue alerts on e-skimming attacks [abgerufen am 19.11.2019] ZDNet.FBI issues warning about e-skimming (Magecart) attacks [abgerufen am 19.11.2019] ZDNet.How Magecart groups are stealing your card details from online stores [abgerufen am 19.11.2019] Bericht von Hornet Security https://www.hornetsecurity.com/de/security-informationen/formjacking/ Author: Micha Beyersdorf

Emotet nimmt wieder zu
Bedrohung

Emotet nimmt wieder zu

Emotet nimmt wieder zu – Die Schadsoftware Emotet ist wieder deutlich stärker im Umlauf als in den letzten Wochen. Seit einigen Tagen richtet das Schadprogramm erheblichen Schaden in der Wirtschaft an, aber auch bei Behörden und Organisationen. Nach eine kleinen „Sommerpause“ werden wieder zahlreiche Cyber-Angriffe mit der Schadsoftware Emotet verbucht. „Seit rund einer Woche wird Emotet wieder massenhaft versandt und hat binnen weniger Tage für Produktionsausfälle, den Ausfall von Bürgerdiensten in Kommunalverwaltungen und zahlreiche infizierte Netzwerke gesorgt. Man kann es nur gebetsmühlenartig wiederholen: Viele dieser Schäden sind vermeidbar, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden! Dazu zählt u.a. die Sensibilisierung der Belegschaft genauso wie regelmäßige Back-ups oder das Einspielen von Sicherheitsupdates“, so BSI-Präsident Arne Schönbohm. Auch Privatanweder sind betroffen Auch Privatanwender stehen im Fokus der Angreifer, da die Schadsoftware weitere Tools nachlädt, die für Angriffe auf das Online-Banking verwendet werden können. Die Verbreitung findet wieder durch eine Welle Spam-E-Mails statt, mit gefälschten Absenderadressen die vermeintliche Antworten auf tatsächliche E-Mails darstellen. man erhält ein schädliches Office-Dokument oder einen Link zu einem schädlichen Dokument welche Makros enthalten um das Opfersystem mit Emotet zu infizieren. Insbesondere die in den Spam–Mails enthaltenen Zitate aus einer vorhergehenden E-Mail-Kommunikation mit dem vermeintlichen Absender lassen die bösartigen Mails dabei für viele Empfänger authentisch erscheinen und verleiten sie zum Öffnen der schädlichen Office-Dokumente. Schäden von Emotet Den Hauptschaden richten die Angreifer mit nachgeladener Schadsoftware an. Dies ist meist zunächst ein Banking-Trojaner, der den Tätern Komplettzugriff auf das Netzwerk verschafft bevor dann Verschlüsselungstrojaner eingesetzt werden. Dieser verschlüsselt dann die Daten, legt das ganze Netzwerk lahm und fordert Lösegeld. Um die weitere Verbreitung sicherzustellen, werden die kompromittierten Konten bzw. Postfächer dazu missbraucht, weitere Spam E-Mails zu versenden und Emotet zu verbreiten. In den vergangenen Tagen hat das BSO mehrere tausend E-Mail Konten von Unternehmen und Privatanwendern, die durch eine Infektion mit Emotet kompromittiert wurden an die jeweiligen zuständigen Provider gemeldet. Das BSI hat bereits im Dezember 2018 Emotet als die „weltweit gefährlichste Schadsoftware“ bezeichnet. Das BSI warnte bereits am 05.12.2018 und 24.04.2019 vor Emotet sowie den damit verbundenen Auswirkungen wie der Verschlüsselung von Daten. Emotet nimmt wieder zu – Erfahren Sie hier welche Maßnahmen Sie ergreifen können um sich zu schützen. Hier finden Sie die aktuelle Pressemitteilung des BSI – Pressemitteilung Emotet Warnung Benötigen Sie Informationen zum Thema E-Mail Schutz? Gerne können Sie uns kontaktieren wenn Sie Fragen zu Ihrer E-Mail Sicherheit haben. Unsere E-Mail Sicherheitsprodukte finden Sie hier: Premium Antispam Filter | E-Mail Verschlüsselung

Nach oben scrollen