Suche
Close this search box.

Schlagwort: Malware

Phishing Angriffe erkennen
Bedrohung

Phishing Angriffe erkennen

Phishing Angriffe erkennen – Attacken aus dem World Wide Web werden sehr häufig über das Medium E-Mail gestartet. Dabei versuchen Angreifer Passwort-Anmeldeinformationen zu stehlen, betrügerische Transaktionen durchzuführen oder Internet-User gezielt zum Download von Malware zu verleiten. Doch nicht alle Angriffe funktionieren auf die gleiche Art und Weise. Manche Phishing E-Mails sind generische Massen-E-Mails, andere wiederum wurden sorgfältig ausgearbeitet um bestimmte Personen damit zu adressieren. Phishing Angriffe erkennen Es wird also immer schwieriger Mitarbeiter und Mitarbeiterinnen auf die verschiedenen Arten der Phishing E-Mails zu schulen. Die gezielten Angriffe werden auch immer besser gestaltet so dass es selbst für gut ausgebildetes Personal immer schwieriger wird zu erkennen ob es sich um eine Phishing E-Mail handelt. Es gibt eine Reihe unterschiedlicher Arten von solchen E-Mails die wir Ihnen hier vorstellen möchten: Verbreitung von Massen E-Mails Eine der häufigsten Formen ist die Massen-E-Mail. Ein Angreifer sendet E-Mails, die vorgeben, jemand anderes zu sein. Häufig wird versucht den Empfänger auf Webseiten zu leiten die wiederum Malware enthalten. Im Zusammenhang mit dieser Variante wird auch oft das E-Mail-Spoofing angesprochen, bei dem das Absenderfeld der E-Mail gefälscht wird. Man will hiermit einen vertrauenswürdigen oder bekannten Absender imitieren. Spear-Phishing Beim Spear-Phishing werden nicht zufällige Opfer anvisiert, sondern oftmals vorab ausgewählte Unternehmen oder Anwender. Es werden gezielt hochwertige Opfer ausgesucht und attackiert. Anstatt zur versuchen, die Bankdaten von 1000 Usern zu erbeuten, kann es für Hacker lukrativer sein, ein bestimmtes Unternehmen ins Visier zu nehmen. Spear-Phishing Angriffe sind oft sehr erfolgreich weil die Angreifer gezielte Informationen zu Ihren Opfern zusammentragen und diese dann nutzen können. Whaling Eine weitere Variante des Phishings ist das sogenannte „Whaling“. Es sind abgestimmte Angriffe auf die Führungskräfte von Unternehmen, die CEOs oder andere namhafte Mitarbeiter und Mitarbeiterinnen eines Konzerns. Beispielsweise öffnen die gestohlenen Zugangsdaten eines CEOs den Hackern weit mehr Türen also eines normalen Angestellten. Die Angreifer müssen hierfür aber noch weitere Informationen zu den Opfern besitzen, beispielsweise mit wem die Opfer kommunizieren und welche Art von Gesprächen sie führen. Mit diesen Informationen können dann gezielte, gefälschte E-Mails an die Opfer versendet werden. In der Vergangenheit haben Kriminelle auf diese Art und Weise schon mehrere hundert Millionen Euro erbeutet. Business-E-Mail-Compromise (BEC) Mit falschen Identitäten das Gegenüber zu bestimmten Handlungen zu verleiten. Ziel ist es Schlüsselpersonen in Finanz- und Buchhaltungsabteilungen zu attackieren. Hacker geben sich selbst als Finanzverantwortliche oder CEOs aus und versuchen Mitarbeiter dazu zu bringen, Überweisungen auf nicht autorisierte Konten zu veranlassen. In der Regel wird hierbei ein E-Mail Konto eines leitenden Angestellten kompromittiert durch Spear-Phishing oder andere Angriffe. Angreifer überwachen oft die E-Mail Aktivitäten einer bestimmten Führungskraft um sich über die Abläufe im Unternehmen zu informieren. Der eigentliche Angriff wird durch eine gefälschte E-Mail ausgelöst, welche den Anschein erweckt, dass sie von der Führungskraft stammt. Klon-Phishing – Phishing Angriffe erkennen Hacker erstellen eine nahezu identische Kopie einer bestimmte E-Mail, um den Anschein zu erwecken, dass sie echt ist. Die E-Mail wird von einer Adresse gesendet welche dem Absender sehr ähnlich ist. Der Link darin oder der Anhang wurde dabei ausgetauscht. Im Text versucht der Angreifer dem Empfänger zu täuschen in dem von einer aktualisierten E-Mail gesprochen wird. Das sei der Grund warum die E-Mail doppelt versendet worden sei. Der kleine Unterschied ist dem Empfänger oftmals nicht bewusst. Daher funktionieren diese Angriffe auch häufig sehr gut, weil es ja um vermeintliche legitime Nachrichten geht. In Wahrheit ist auch das eine Täuschung und verleitet den Benutzer auf Malware-Verseuchte Webseiten. Teilweise werden auch gesamte Webseiten kopiert um den Benutzer in Sicherheit zu wiegen. Es gibt noch weitere Arten des Phishing zum Beispiel über das Telefon oder per SMS. Phishing über das Telefon könnte man mit Social Engineering gleichsetzten. Hierbei wird über das Telefon versucht an bestimmte Daten heranzukommen. Auch die Angriffe per SMS nehmen zu, da die Wahrscheinlichkeit, dass Menschen Textnachrichten lesen und darauf reagieren, höher als bei E-Mails eingestuft wird. Gerne stellen wir Ihnen unsere Lösungen im Bereich Anti-Phishing vor. Spreche Sie uns an!Jetzt E-Mails absichern mit dem iKomm Ultimate E-Mail Bundle.

EU-Staat Außenministerium attackiert
Bedrohung

EU-Staat Außenministerium attackiert

EU-Staat Außenministerium attackiert – ESET Forscher haben entdeckt, dass die bekannte APT-Gruppe Turla wieder aktiv war. Laut den ESET Forschern soll sich die Gruppe Zugriff auf das Netzwerk eines Außenministeriums eines EU-Staates verschafft haben. Zum Einsatz kam ein raffiniertes Spionageprogramm names Crutch. Die Malware ist ein Backdoor-Trojaner und dient zum Diebstahl von sensiblen Dokumenten. Es wurden zahlreiche Indizien gefunden welche für die Hacker-Gruppe Turla sprechen. EU-Staat Außenministerium attackiert Der spezielle Einsatzort der Schadsoftware untermauert den Verdacht, dass Crutch nur gegen ganz bestimmte hochkarätige Ziele eingesetzt wird. Aufgabe der Software ist es, sensible Daten bzw. Dokumente ausfindig zu machen und diese über Dropbox-Konten die von den Hackern kontrolliert werden zu stehlen. Eine detaillierte Analyse von Crutch haben die ESET Forscher in Ihrem WeliveSecurity Blog zusammengestellt.  „Die Hauptaufgrabe von Crutch ist die Exfiltration sensibler Informationen der jeweiligen Organisation. Aufgrund der Raffinesse und der technischen Details gehen wir davon aus, dass die Turla-Gruppe hinter den Angriffen steckt“ , erklärt Matthieu Faou, einer der beteiligten ESET Forscher. Das Spionageprogramm ist darüber hinaus auch in der Lage, einige Sicherheitssysteme zu umgehen. Die Hacker missbrauchen eine legitime Infrastruktur, in diesem Fall Dropbox, um sich in den normalen Netzwerkverkehr einzufügen. So können unbemerkt Dokumente herausgeschleust und neue Befehle von den Betreibern eingegeben werden.“ Um die Aktivitäten des Spionageprogramms nachvollziehen zu können, haben die ESET Forscher überprüft, wann Zip-Dateien auf die Dropbox-Konten hochgeladen wurde. Die Grafik zeigt, dass Crutch dann am aktivsten war, wenn auch in der Zielorganisation während der allgemeinen Arbeitszeiten der höchste Netzwerkverkehr entstand. So war eine Entdeckung schwieriger. Wer ist eigentlich Turla? Turla ist eine bekannte aktive Cyber-Spionagegruppe die bereits seit mehr als 10 Jahren aktiv ist. Die Gruppe hat bereits viele Regierungen und diplomatische Einrichtungen kompromittiert und ausspioniert. Sie verfügen über ein großes Arsenal an Malware und Spionagesoftware. ESET hat das bereits häufiger in den letzten Jahren dokumentiert und veröffentlicht. Bisher ist unklar woher die Trojaner stammen bzw. von wo aus die Gruppe ihre Angriffe startet. Es gibt Vermutungen dass gewisse Trojaner der Gruppe aus Russland stammen könnten. Bestätigt wurde das bisher aber nicht. Jetzt mit der aktuellen Anti-Viren-Software von ESET die eigenen Systeme sichern. Mehr erfahren…

Emotet in verschlüsselten Anhängen
Bedrohung

Emotet in verschlüsselten Anhängen

Emotet in verschlüsselten Anhängen – Ein wachsende Cyberbedrohung? Zumindest sind die Cyberkriminellen nicht untätig und erarbeiten ständig neue Szenarien um ihren Banking-Trojaner Emotet zu verteilen. Dabei werden verschiedenste Tricks angewendet um die Anti-Viren Filter zu umgehen. Email Conversation Thread Hijacking ist eine Methode wie die Betrüger ihren Schadcode verteilen. Aber auch andere Mechanismen wie Änderungen der Webshells bis hin zum Update des Emotet-Loaders werden verwendet um die Downloadzahl der Malware zu erhöhen. Jetzt wird Emotet erneut in verschlüsselten Anhängen versendet. Emotet in verschlüsselten Anhängen Unsere Partner von Hornetsecurity beobachten in ihrem Hornetsecurity Security Lab seit September einen erheblichen Zuwachs an Emotet-Malspam, welcher verschlüsselte Archiv-Dateien versendet. Das Passwort zur Entschlüsselung ist als Klartext im E-Mail Anschreiben enthalten. So kann jeder das Archiv öffnen. Durch die Verschlüsselung des Anhangs ist es für herkömmliche Anti-Viren-Programme nicht möglich das versteckte Schadprogramm zu entdecken. Die Malware wird nach öffnen und ausführen des Anhangs nachgeladen. Hornetsecurity hat darüber in Ihrem eigenen Blog-Beitrag ausführlich berichtet. Auch wir haben bereits des Öfteren über den Trojaner Emotet berichtet. Dieser erlangte traurige Berühmtheit und gilt als der gefährlichste Trojaner derzeit. Bereits im April 2019 entdeckten Security-Analysten erste Wellen des Emotet-Malspams mit verschlüsselten ZIP-Dateien. Also ist der Vorgang nicht wirklich neu. Als Operation „Zip Lock“ bezeichnet die White-Hat-Group „Cryptolaemus“ dieses Vorgehen der Akteure hinter Emotet. Täglich veröffentlicht die Gruppe sämtliche Updates von Emotet auf ihrer Website und dem Twitter-Account. Spamwellen zunächst im japanisch-sprachigen Raum Die Security-Spezialisten haben seit dem 1.September aktive Spamwellen erkennen können, die zunächst auf den japanisch-sprachigen Raum abzielten. Die Spezialisten von Hornetsecurity registrierten schließlich auch Spamwellen auf Spanisch, Englisch und Deutsch. Damit die Opfer in großer Zahl den Anhang auch öffnen und ausführen bedienen sich die Erpresser der sogenannten „Email Conversation Thread Hijacking“ Technik. Bestehende E-Mail Konversationen des Opfers werden verwendet um authentischer zu wirken. Die Angreifer antworten hierbei auf bestehende Unterhaltungen die ihr Angriffsziel in der Mailbox noch gespeichert hat. Auch andere kriminelle Gruppen bedienen sich der Methode ihre schadhaften Inhalte in verschlüsselte Anhänge unterzubringen. Die Malware-Kampagnen von GandCrab verschlüsselten Office-Dokumente und die Malware Ursnif verbreitet sich ebenfalls durch verschlüsselte ZIP-Dateien. Wie kann man sich schützen? Bis heute werden die verschlüsselten Emotet-Dateien nicht von herkömmlichen Anti-Viren-Systemen erkannt. Ein Beweis dafür liefert der Dienst VirusTotal. Auch das Hijacking von Konversationen ist für die Opfer nur sehr schwer zu erkennen, da die Schad-E-Mails von einem legitimen aber kompromittierten Konto versendet werden. Tiefergehende Filter und intelligente Security-Mechanismen sind jedoch in der Lage beide dieser Angriffstechniken zu entdecken und diese vom Postfach des Empfängers fernzuhalten. Mit Hornetsecurity Advanced Threat Protection können solche Inhalte dennoch erkannt werden. Mit dem Feature Malicious Document Decryption ist es Hornetsecurity möglich, diese verschlüsselten Anhänge zu analysieren und Emotet zu identifizieren. Gerne stellen wir Ihnen die Vorzüge der Hornetsecurity Lösung in einem Webcast vor. Sprechen Sie uns an. Das Vorgehen der Cyberkriminellen hinter Emotet verdeutlicht, dass es auch für Unternehmen an der Zeit ist, den nächsten Schritt im Bereich der Cybersecurity zu gehen. Denn erfolgreiche Attacken treiben die Ambitionen der Hacker weiter an und bringen auch weitere Cyberkriminelle auf den Plan. Weitere Informationen zum Produkt Advanced Threat Protection finden Sie hier –> Hornetsecurity ATP

Emotet ist wieder zurück
Bedrohung

Emotet ist wieder zurück – Vorsicht Malware

Der Trojaner-König Emotet ist wieder zurück. Sicherheitsforscher berichten über massive weltweiten Spamwellen des gefährlichen Emotet-Trojaners. Nach fast fünfmontiger Pause schlägt der Trojaner mit neuen Werkzeugen wieder zu. Zuletzt war Emotet vor allem in der Weihnachtszeit 2019 sehr aktiv und das BSI (Bundesamt für Sicherheit in der Informationstechnologie) schlug Alarm. Damals wurden verstärkte Spammails beobachtet und zahlreiche Opfer wurden von dem Schädling attackiert. In den letzten Monaten konnten diverse Sicherheitsforscher keine weiteren Angriffe dokumentieren. Doch jetzt ist Emotet wieder zum Leben erwacht und hat einen weltweiten Großangriff gestartet.  Emotet ist wieder zurück Verbesserte Angriffswerkzeuge In der Pause haben sich die Hintermänner des Emotet-Botnetzes nicht etwa ausgeruht. Die Werkzeuge wurden weiter verbessert. Die Forscher registrierten neue bzw. frische URLs in den Spammails welche versendet werden. Häufig führen die Links zu gehackten WordPress-Seiten. Aber auch frische Maschen werden verwendet um die Opfer dazu zu bewegen Word -oder Excel Dateien zu öffnen. Microsoft Security Intelligence schreibt dazu das man von mehreren hundert verschiedenen Anhängen ausgehen müsse. Vorsicht bei Links und Anhängen Das BSI rät bereits seit längerem dazu Anhänge nur von vermeintlich bekannten Personen zu öffnen. Dennoch sollte auch hier mit Vorsicht agiert werden, vor allem wenn es sich um Office Dokumente handelt. Man sollte auch immer die Links prüfen welche in den E-Mails versendet werden. Sind die Adresse plausibel oder zeigen die Links auch wirklich auf den angegeben Inhalt. Informationen zum Thema Emotet hat der BSI auch hier für Sie bereit gestellt. Aufpassen – Betrüger! Lesen Sie Ihre E-Mails sehr genau. Die E-Mails der Angreifer sehen oft vertrauenswürdig aus. Doch lassen Sie sich nicht vom aussehen täuschen. Kommt Ihnen die E-Mail spanisch vor prüfen Sie den Inhalt genau: Prüfen Sie genau die Inhalte und Absender und wenn Sie sich nicht sicher sind. Öffnen Sie keinen Anhang oder klicken auf einen Link. Rufen Sie falls angegeben beim angeblichen Absender an und fragen nach. Prüfen Sie ob der Link plausibel ist oder das Ziel korrekt ist Der Trojaner hat obendrein die Fähigkeit, auf infizierten Rechnern aus E-Mail-Programmen neben Kontaktinformationen und -beziehungen auch Nachrichteninhalte auszulesen. Damit täuschen die Angreifer sehr echt wirkende Antworten auf tatsächlich von einem Nutzer versandte E-Mails vor. Makros aktivieren, heißt es aktuell in Emotet-Spam-Mails beispielsweise, die Datei könne nicht korrekt geöffnet werden, da sie unter iOS erstellt worden sei. Man müsse die Bearbeitung aktivieren, um auf den Inhalt zugreifen zu können. Emotet lädt auch Schadsoftware nach. Oft sind das dabei Banking Trojaner, der es den Tätern erlaubt sich vollen Zugriff zum Netzwerk zu verschaffen. Die Angreifer können dann über Verschlüsselungstrojaner Ihre Daten verschlüsseln und ein Lösegeld fordern. Auf diese Art und Weise wurden in der Vergangenheit schon viele Unternehmen und Behörden lahm gelegt.  Wie schützt man sich?  Eine 100%ig sichere Lösung wird es da wohl nicht geben. Es ist eine Vielzahl an Sicherheitssystemen und Schulung von Mitarbeitern im Umgang mit Spammails notwendig. Gerne unterstützen wir die Absicherung Ihrer Infrastruktur mit unseren Partner wie beispielsweise Hornetsecurity, Kaspersky Labs oder ESET. Durch den Einsatz von Virenschutzlösungen, Antispam-Filtern, Sandboxing und vieles mehr können Sie einen großen Schritt machen um Ihre Strukturen vor solchen Angriffen zu sichern.  Sprechen Sie uns an!Wir unterstützen Sie bei der Umsetzung einer sicheren IT-Infrastruktur.#wecreatesecurity Auch interessant: Bedrohung Was Emotet anrichten kann iKomm 03 März 2020

Sophos XG Firewall v18
Bedrohung

Sophos XG Firewall SQL injection vulnerability

Das Unternehmen Sophos hat zu einen Hotfix veröffentlicht welche eine Sicherheitslücke, eine SQL injection in der XG Firewall Serie schließt. Die bisher unbekannte Sicherheitslücke konnte ausgenutzt werden um sich Benutzernamen und Passwörter von lokalen Sophos Firewall Konten zu erobern. Am 22. April hat Sophos einen Report erhalten mit einem verdächtigen Feld-Wert im Management Interface. Daraufhin wurde eine Untersuchung gestartet, welche einen Angriff auf physische und virtuelle XG Firewalls zeigte. Das Unternehmen hat sofort reagiert und einen Patch bzw. Hotfix veröffentlicht. Was ist passiert? Wenn bei einer Sophos Firewall das Admin-Interface oder auch das User-Portal auf der WAN Zone verfügbar gemacht wurde, konnten Angreifer über eine unbekannte pre-auth SQL injection sich Informationen vom System verschaffen. Dabei konnten die Daten von lokalen Accounts ausspioniert werden. Darunter waren Benutzernamen, die gehashten Kennwörter, User-Portal Accounts und auch VPN Accounts. Passwörter oder Benutzerkonten von externen Authentifizierungssystemen wie Active Directory oder LDAP waren davon nicht betroffen.  Sophos hat sofort reagiert und mit einem Hotfix diese Lücke geschlossen und auch die Systeme die evtl. betroffen waren bereinigt. Wurde meine XG kompromittiert?  Der Hotfix von Sophos beinhaltet auch eine Nachricht für die Adminstratoren ob ihre Maschine betroffen ist. In den folgenden Screenshots sieht man die Nachricht für Maschinen die betroffen sind/waren und die Maschine bei denen diese Lücke nicht ausgenutzt wurde. Nicht Betroffene XG Firewall: Betroffen XG Firewall: Sollten Sie auf Ihrer Firewall die automatischen Hotfix-Updates deaktiviert haben, lesen Sie hier wie Sie den Hotfix installieren können: https://community.sophos.com/kb/en-us/135415 Was muss man noch beachten? Ist Ihre Firewall von der SQL Injection nicht betroffen so müssen Sie nach der Installation des Hotfix nichts weiter beachten. Für Firewalls die kompromittiert wurden, führen Sie die folgenden Punkte durch um das Problem zu beheben: Setzen Sie das Kennwort für den Administrator-Account zurück | neues, sicheres Kennwort vergeben Rebooten Sie Ihre XG Firewall Setzen Sie alle Kennwörter von lokalen Benutzeraccounts zurück Auch wenn die Kennwörter nur gehasht erobert werden konnten, ist es empfohlen die Kennwörter von sämtlichen Konten zu ändern welche die gleichen credentials verwenden. Wurden also für andere Accounts die gleichen Kennwörter wie für die lokalen Sophos Accounts verwendet, sollten diese ebenfalls geändert werden. Betroffen waren alle Firmware-Versionen der unterstützen Sophos XG Firewall, sowohl physikalisch als auch virtuelle Maschinen. Alle Firmwares erhielten auch den Hotfix (SFOS 17.0, 17.1, 17.5, 18.0). Benutzer mit älteren Firmwareständen wird dringend ein Update empfohlen um auch hier die Sicherheitslücke schließen zu können. Sophos hat im KB Eintrag zu dieser Thematik auch eine Timeline der Attacke veröffentlicht… Timeline of attack All times UTC Day and Time Description 2020-04-22 16:00 Attack begins 2020-04-22 20:29 Sophos receives report of a suspicious field value in an XG Firewall management interface 2020-04-22 22:03 Incident escalated to Sophos internal cybersecurity team 2020-04-22 22:20 Initial forensics started 2020-04-22 22:44 SophosLabs blocks suspect domains found in initial forensics 2020-04-23 06:30 Sophos researchers identify indicators of attack 2020-04-23 07:52 Analysis indicates attack affecting multiple customers – major incident process initiated 2020-04-23 15:47 Sophos notifies Community of initial mitigations 2020-04-23 19:39 Initial attack vector identified as SQL injection attack 2020-04-23 21:40 SophosLabs identifies and blocks additional domains 2020-04-24 03:00 Telemetry update issued to all XG Firewalls 2020-04-24 04:20 Sophos notifies Community of additional mitigations 2020-04-24 05:00 Sophos begins design, development, and testing of hotfix to mitigate SQL injection 2020-04-25 07:00 Sophos began pushing hotfixes to supported XG Firewalls 2020-04-25 22:00 Sophos confirms completion of hotfix rollout to XG Firewall units with auto-update (default) enabled. Weitere Informationen zu der Thematik können Sie hier einsehen. Sophos hat zu dem gesamten Szenario bei SophosLab auch einen Artikel dazu gepostet: „Asnarok“ Trojan targets firewalls. Gerne können Sie uns kontaktieren wenn Sie Fragen zu der Sicherheitslücke haben. Unsere Techniker geben Ihnen gerne Auskunft.

Nach oben scrollen