Suche
Close this search box.

Schlagwort: Trojaner

Vorsicht vor präparierten Office-Dokumenten
Bedrohung

Vorsicht vor präparierten Office-Dokumenten

Vorsicht vor präparierten Office-Dokumenten – Derzeit gehen wieder gezielte Angriffe auf Windows-Systeme los. Angreifer versuchen über präparierte Office-Dokumente sich Zugriff zum System zu verschaffen bzw. einen Trojaner-Download zu erzwingen. Standardmäßig sind die Systeme nicht gefährdet. Die Sicherheitslücke ist bei Microsoft bekannt. Vorsicht vor präparierten Office-Dokumenten Gezielte Angriffe sind zur Zeit im Umlauf. Mit präparierten Microsoft-Office-Dokumenten versuchen die Cyberkriminellen nach dem Öffnen dieser Dokumente den Rechner mit Schadcode zu infizieren. Mit den Standard-Einstellungen von Office laufen die Attacken allerdings ins leere. Sicherheits-Patches stehen allerdings derzeit noch aus. Über einen Workaround können aber Administratoren die Systeme absichern. Microsoft hat dazu eine Warnmeldung herausgegeben und stuft die Lücke als „hoch“ ein. (CVE-2021-40444). Die Lücke betrifft die HTML-Rendering-Engine MSHTML von Windows. Die Engine wird von Microsoft Office verwendet wie auch vom Internet Explorer. Betroffen sind Systeme von Windows 8.1 bis Windows 10 sowie die Windows Server 2008 bis 2019. Ablauf der Angriffe Auf diese Lücke sind mehrere Sicherheitsforscher gestoßen unter anderem von Expmon. Sie berichten, dass wenn ein Opfer eine Office-Datei öffnet, der Internet Explorer eine von Angreifern kontrollierte Webseite öffnet. Über ein platziertes ActiveX-Steuerelement wird eine Trojaner auf den Computer geladen. In den Standard-Einstellungen von Office funktionieren diese Angriffe allerdings nicht. Office öffnet Dokumente aus dem Internet in einem abgesicherten Modus. Zudem gibt es noch den Schutzmechanismus Office Application Guard der Dokumente isolieren soll und so die Angriffe auf diese Art und Weise verhindern kann. Dennoch können diese Attacken zu Erfolgen führen wenn die Opfer bestimmte Einstellungen verändert haben oder verändern auf Grund von Aufforderungen in den E-Mails. Generell sollten keine Dokumente willkürlich geöffnet werden. Erhält man Dokumente die man selbst nicht angefragt hat, sollte man skeptisch sein. Noch mehr hinterfragen sollte man sich, wenn es Dokumente von unbekannten Absendern sind. Patchen Sicherheits-Updates stellt Microsoft für den kommenden Patchday in Aussicht. Bis dahin können Admins die ActiveX-Steuerelemente im Internet Explorer deaktivieren. Erzeugen Sie hierfür eine Textdatei mit folgenden Inhalt und speichern Sie die Datei mit der Endung .reg. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] „1001“=dword:00000003 „1004“=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] „1001“=dword:00000003 „1004“=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] „1001“=dword:00000003 „1004“=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] „1001“=dword:00000003 „1004“=dword:00000003 Im Anschluss öffnen Sie die Datei mit einem Doppelklick und fügen die Einträge zur Windows Registry hinzu. Anschließend führen Sie einen Neustart des Systems durch. Sie können die Registry Einträge auch manuell im Registrierungseditor setzen. Die ActiveX-Steuerelemente sind dann deaktiviert und es können über die präparierten Office-Dokumente keine Trojaner heruntergeladen werden. Sichern Sie Ihre E-Mail Kommunikation bereits vorher ab, bevor die E-Mails bei Ihnen im Hause landen. Mit Hornetsecurity können Sie Dokumente vorab in der Sandbox prüfen und solche Angriffe gehören bei Ihrem Unternehmen der Vergangenheit an. Lesen Sie mehr zum Thema E-Mail Sicherheit mit Hornetsecurity.

verschlüsselten Unternehmensdaten
Bedrohung

Was tun, bei verschlüsselten Unternehmensdaten?

Was tun, bei verschlüsselten Unternehmensdaten? Diese Frage stellen sich leider immer wieder betroffene Unternehmen nach einem Cyberangriff mit einem Verschlüsselungstrojaner. Wir zeigen Ihnen in vier Schritten welche Dinge Sie bei der Bereinigung beachten sollten. Wichtig ist aber vor allem, dass Sie Ihre Schritte dokumentieren um Transparenz für Ihre Mitarbeiter und auch für die Öffentlichkeit zu erreichen. Leider kann jedes noch so gut geschützte IT-System ein Opfer von Ransomware werden und mit einem Schädling infiziert werden. Ruhe bewahren und langsam Schritt für Schritt, zielgerichtet an der Bereinigung arbeiten. Was tun, bei verschlüsselten Unternehmensdaten? 1. Ausfindig machen und isolieren Verschaffen Sie sich einen Überblick über das Ausmaß der Attacke. Wurde das gesamte Unternehmen befallen, nur bestimmte Systeme oder auch nur eine bestimmte Abteilung? Isolieren Sie die betroffenen Systeme vom restlichen Netzwerk. Prüfen Sie Protokolldateien von Firewall, Virenscanner und falls vorhanden weitere Schutzmechanismen wie EDR. Sind nur einzelne Geräte betroffen können diese auch direkt manuell überprüft werden. Bei größeren Angriffen wird dies aber sehr schwer möglich sein. Versuchen Sie dennoch so gut es geht die Schwachstelle ausfindig zu machen und die Systeme vom Netzwerk zu trennen. 2. Analysieren und handeln Versuchen Sie zu identifizieren welches System zuerst befallen wurde und warum entsprechende Sicherheitssoftware nicht gegriffen hat. Versuchen Sie den Übeltäter zu identifizieren. Wenn Sie wissen um welche Schadsoftware es sich handelt, können Sie bessere Gegenmaßnahmen einleiten. Durchstöbern Sie dazu Ihre Logs und versuchen den genauen Weg der Ransomware in Ihr Unternehmen ausfindig zu machen. Holen Sie sich bei Ihren Security Partner bzw. Security Anbietern Unterstützung von Fachpersonal. Das analysieren und ausfindig machen der Ransomware ist nicht immer einfach. Beheben Sie sämtliche, Ihnen bekannte Schwachstellen. Prüfen Sie gemeinsam mit IT-Security Spezialisten ob Ihr Unternehmen ausreichend gesichert ist. 3. Wiederherstellen der verschlüsselten Unternehmensdaten Haben Sie die Schadsoftware isoliert bzw. ausfindig gemacht, können Sie direkt mit der Wiederherstellung beginnen. Im Besten Fall haben Sie ein Backup zur Hand das sie schnell einspielen können. Alternativ wären auch Images von Systemen welche eine nicht all zu alten Stand aufweisen. Zahlen Sie „NIE“ das geforderte Lösegeld. Damit Unterstützen Sie die Kriminellen und wissen auch nicht ob Ihre Daten anschließend tatsächlich wieder entschlüsselt werden. Oftmals kam es bereits vor, dass nach der Zahlung des Lösegeldes dennoch die Wiederherstellung der Daten über Backups etc. geschehen musste, da keine Entschlüsselung seitens der Cyberkriminellen statt fand. Zu dem kann es vorkommen, dass die Angreifer sich Monate später nochmals bei Ihnen melden und mit Veröffentlichung von Daten drohen die beim Angriff entwendet wurde. Die Wahrscheinlichkeit sinkt wenn Sie bereits beim ersten Angriff nicht zahlen. Löschen Sie die verschlüsselten Unternehmensdaten nicht. Versuchen Sie diese zu entschlüsseln. Beispielsweise gibt es von Kaspersky zahlreiche Tools zum entschlüsseln. Vielleicht haben Sie Glück und der Befall in Ihrem Unternehmen kann mit einem Decryptor-Tool bereinigt werden. Auch wenn aktuell nicht das richtige Tool dabei ist, kann es in Zukunft noch dazu kommen. Es werden ständig neue Tools erstellt um Daten wieder zu entschlüsseln. Evtl. ist dann auch das richtig für Sie dabei. Es wäre nicht das erste Mal dass so etwas vorkommt. 4. Präventive Maßnahmen Prüfen Sie welche Sicherheitsvorkehrungen Ihr Unternehmen aufweisen kann. Setzen Sie sich mit Experten zusammen und beraten über eine IT-Security Strategie. Sie können mit vielen technischen Mitteln bereits ein hohes Maß an Sicherheit für Ihr Unternehmen herstellen. Sicherlich bleibt eine gewisse prozentuale Dunkelziffer eines Angriffs mit verschlüsselten oder entwendeten Daten, allerdings können Sie mit guten Sicherheitsanbietern einen wichtigen Schritt in Sachen IT-Security machen. Gerne unterstützen wir Sie dabei Ihre IT-Infrastrukturen sicherer zu gestalten. Nehmen Sie unverbindlich Kontakt zu uns um weitere Informationen zu erhalten. Machen Sie Ihr Unternehmen fit für Home-Office und Co. Wir zeigen Ihnen welche einfachen Tools Sie dafür verwenden können. 

EU-Staat Außenministerium attackiert
Bedrohung

EU-Staat Außenministerium attackiert

EU-Staat Außenministerium attackiert – ESET Forscher haben entdeckt, dass die bekannte APT-Gruppe Turla wieder aktiv war. Laut den ESET Forschern soll sich die Gruppe Zugriff auf das Netzwerk eines Außenministeriums eines EU-Staates verschafft haben. Zum Einsatz kam ein raffiniertes Spionageprogramm names Crutch. Die Malware ist ein Backdoor-Trojaner und dient zum Diebstahl von sensiblen Dokumenten. Es wurden zahlreiche Indizien gefunden welche für die Hacker-Gruppe Turla sprechen. EU-Staat Außenministerium attackiert Der spezielle Einsatzort der Schadsoftware untermauert den Verdacht, dass Crutch nur gegen ganz bestimmte hochkarätige Ziele eingesetzt wird. Aufgabe der Software ist es, sensible Daten bzw. Dokumente ausfindig zu machen und diese über Dropbox-Konten die von den Hackern kontrolliert werden zu stehlen. Eine detaillierte Analyse von Crutch haben die ESET Forscher in Ihrem WeliveSecurity Blog zusammengestellt.  „Die Hauptaufgrabe von Crutch ist die Exfiltration sensibler Informationen der jeweiligen Organisation. Aufgrund der Raffinesse und der technischen Details gehen wir davon aus, dass die Turla-Gruppe hinter den Angriffen steckt“ , erklärt Matthieu Faou, einer der beteiligten ESET Forscher. Das Spionageprogramm ist darüber hinaus auch in der Lage, einige Sicherheitssysteme zu umgehen. Die Hacker missbrauchen eine legitime Infrastruktur, in diesem Fall Dropbox, um sich in den normalen Netzwerkverkehr einzufügen. So können unbemerkt Dokumente herausgeschleust und neue Befehle von den Betreibern eingegeben werden.“ Um die Aktivitäten des Spionageprogramms nachvollziehen zu können, haben die ESET Forscher überprüft, wann Zip-Dateien auf die Dropbox-Konten hochgeladen wurde. Die Grafik zeigt, dass Crutch dann am aktivsten war, wenn auch in der Zielorganisation während der allgemeinen Arbeitszeiten der höchste Netzwerkverkehr entstand. So war eine Entdeckung schwieriger. Wer ist eigentlich Turla? Turla ist eine bekannte aktive Cyber-Spionagegruppe die bereits seit mehr als 10 Jahren aktiv ist. Die Gruppe hat bereits viele Regierungen und diplomatische Einrichtungen kompromittiert und ausspioniert. Sie verfügen über ein großes Arsenal an Malware und Spionagesoftware. ESET hat das bereits häufiger in den letzten Jahren dokumentiert und veröffentlicht. Bisher ist unklar woher die Trojaner stammen bzw. von wo aus die Gruppe ihre Angriffe startet. Es gibt Vermutungen dass gewisse Trojaner der Gruppe aus Russland stammen könnten. Bestätigt wurde das bisher aber nicht. Jetzt mit der aktuellen Anti-Viren-Software von ESET die eigenen Systeme sichern. Mehr erfahren…

Emotet in verschlüsselten Anhängen
Bedrohung

Emotet in verschlüsselten Anhängen

Emotet in verschlüsselten Anhängen – Ein wachsende Cyberbedrohung? Zumindest sind die Cyberkriminellen nicht untätig und erarbeiten ständig neue Szenarien um ihren Banking-Trojaner Emotet zu verteilen. Dabei werden verschiedenste Tricks angewendet um die Anti-Viren Filter zu umgehen. Email Conversation Thread Hijacking ist eine Methode wie die Betrüger ihren Schadcode verteilen. Aber auch andere Mechanismen wie Änderungen der Webshells bis hin zum Update des Emotet-Loaders werden verwendet um die Downloadzahl der Malware zu erhöhen. Jetzt wird Emotet erneut in verschlüsselten Anhängen versendet. Emotet in verschlüsselten Anhängen Unsere Partner von Hornetsecurity beobachten in ihrem Hornetsecurity Security Lab seit September einen erheblichen Zuwachs an Emotet-Malspam, welcher verschlüsselte Archiv-Dateien versendet. Das Passwort zur Entschlüsselung ist als Klartext im E-Mail Anschreiben enthalten. So kann jeder das Archiv öffnen. Durch die Verschlüsselung des Anhangs ist es für herkömmliche Anti-Viren-Programme nicht möglich das versteckte Schadprogramm zu entdecken. Die Malware wird nach öffnen und ausführen des Anhangs nachgeladen. Hornetsecurity hat darüber in Ihrem eigenen Blog-Beitrag ausführlich berichtet. Auch wir haben bereits des Öfteren über den Trojaner Emotet berichtet. Dieser erlangte traurige Berühmtheit und gilt als der gefährlichste Trojaner derzeit. Bereits im April 2019 entdeckten Security-Analysten erste Wellen des Emotet-Malspams mit verschlüsselten ZIP-Dateien. Also ist der Vorgang nicht wirklich neu. Als Operation „Zip Lock“ bezeichnet die White-Hat-Group „Cryptolaemus“ dieses Vorgehen der Akteure hinter Emotet. Täglich veröffentlicht die Gruppe sämtliche Updates von Emotet auf ihrer Website und dem Twitter-Account. Spamwellen zunächst im japanisch-sprachigen Raum Die Security-Spezialisten haben seit dem 1.September aktive Spamwellen erkennen können, die zunächst auf den japanisch-sprachigen Raum abzielten. Die Spezialisten von Hornetsecurity registrierten schließlich auch Spamwellen auf Spanisch, Englisch und Deutsch. Damit die Opfer in großer Zahl den Anhang auch öffnen und ausführen bedienen sich die Erpresser der sogenannten „Email Conversation Thread Hijacking“ Technik. Bestehende E-Mail Konversationen des Opfers werden verwendet um authentischer zu wirken. Die Angreifer antworten hierbei auf bestehende Unterhaltungen die ihr Angriffsziel in der Mailbox noch gespeichert hat. Auch andere kriminelle Gruppen bedienen sich der Methode ihre schadhaften Inhalte in verschlüsselte Anhänge unterzubringen. Die Malware-Kampagnen von GandCrab verschlüsselten Office-Dokumente und die Malware Ursnif verbreitet sich ebenfalls durch verschlüsselte ZIP-Dateien. Wie kann man sich schützen? Bis heute werden die verschlüsselten Emotet-Dateien nicht von herkömmlichen Anti-Viren-Systemen erkannt. Ein Beweis dafür liefert der Dienst VirusTotal. Auch das Hijacking von Konversationen ist für die Opfer nur sehr schwer zu erkennen, da die Schad-E-Mails von einem legitimen aber kompromittierten Konto versendet werden. Tiefergehende Filter und intelligente Security-Mechanismen sind jedoch in der Lage beide dieser Angriffstechniken zu entdecken und diese vom Postfach des Empfängers fernzuhalten. Mit Hornetsecurity Advanced Threat Protection können solche Inhalte dennoch erkannt werden. Mit dem Feature Malicious Document Decryption ist es Hornetsecurity möglich, diese verschlüsselten Anhänge zu analysieren und Emotet zu identifizieren. Gerne stellen wir Ihnen die Vorzüge der Hornetsecurity Lösung in einem Webcast vor. Sprechen Sie uns an. Das Vorgehen der Cyberkriminellen hinter Emotet verdeutlicht, dass es auch für Unternehmen an der Zeit ist, den nächsten Schritt im Bereich der Cybersecurity zu gehen. Denn erfolgreiche Attacken treiben die Ambitionen der Hacker weiter an und bringen auch weitere Cyberkriminelle auf den Plan. Weitere Informationen zum Produkt Advanced Threat Protection finden Sie hier –> Hornetsecurity ATP

Cybercrime steigt auf neues Niveau an
Bedrohung

Cybercrime steigt auf neues Niveau an

Cybercrime steigt auf neues Niveau an – Kriminelle und Erpresser werden immer raffinierter und bringen neue Gemeinheiten mit. Die Hintermänner von Emotet und Trickbot haben es uns in der Vergangenheit schon oft gezeigt wie lukrativ die neue Form der Entführung sein kann. Sie erpressten vielstellige Summen von Unternehmen und Organisationen und machten die Erpressung damit zum Goldesel der Kriminalität im Internet. Aber die Konkurrenz schäft nicht und schraubt die Gefahr für Unternehmen mit neuen Methoden auf ein noch höheres Niveau. Cybercrime steigt auf neues Niveau an Laut Berichten zahlte die Firma Garmin Ende Juli nach eine Infektionen mit der Ransomware WastedLocker mehrere Million US-Dollar in Bitcoin. Die Summen zum entschlüsseln der Daten etc. steigen weiter an und Unternehmen wie auch Organisationen müssen viel Geld in die Hand nehmen um Ihre Daten wieder zu erhalten. Der US-amerikanische Reiseorganisator CWT zahlte vermutlich 4,5 Millionen US-Dollar für Ihre Daten. Interessant bei dem Fall CWT ist, dass die Verhandlungen in einem öffentlich zugänglichen Forum geführt wurden. Auf Twitter wurde der Chat-Verlauf veröffentlicht und gibt uns Einblicke in die Verhandlungen. Die Erpresser gehen hier besonders trickreich vor. Sie haben nicht nur die Daten auf ca. 30.000 PCs verschlüsselt, sondern vorab auch knapp 2 Terabyte interne Firmendaten auf eigene Server kopiert und hochgeladen. Somit konnten Sie CWT ein doppeltes Angebot machen. Für 10 Millionen US-Dollar würden sie nicht nur die Schlüssel zu den verschlüsselten Daten herausgeben sondern auch die gestohlenen Daten von den eigenen Servern löschen. Am Ende einigte man sich vermutlich auf eine Summe von 4,5 Millionen US-Dollar. Reicht der Druck durch gestohlene Daten nicht aus, greifen die Erpresser auch gerne zu richtig schmutzigen Tricks. Dabei werden weitere erpresserische Szenarien eröffnet wie beispielsweise die sexuellen Vorlieben eines Vorstandsmitglieds zu veröffentlichen. Dabei wurden Illustrationen direkt mit gesendet. Auch vor Anrufen bei Geschäftspartnern schrecken die Erpresser nicht zurück. Somit müssen sich Ransomware-Opfer nunmehr nicht nur auf nicht mehr zugängliche Daten einstellen sondern auch darauf, mit den geklauten Daten systematisch erpresst zu werden. Man mag sich gar nicht ausmalen, was da noch alles auf uns zukommen kann. Es gibt zahlreiche Berichte und Vorfälle mit Erpressungstrojanern und die Zahlen steigen weiter an. Lesen Sie den kompletten Bericht von Jürgen Schmidt auf Heise.de Quelle: heise.de Erhalten Sie weitere Informationen zum Schutz Ihrer Infrastrukturen. Wir unterstützen Sie gerne Ihre Daten abzusichern. Schauen Sie dazu auf unsere aktuellen Aktionen von ESET Multifaktor-Authentifizierung oder unseren Premium Spamfilter von Hornetsecurity.

BKA liest bei WhatsApp mit?
Sicherheit

BKA liest bei WhatsApp mit? Oder doch nicht?

BKA liest bei WhatsApp mit? Nein, schaut man genauer hin stellt man fest, dass es doch nicht so einfach ist. In einem Bericht der Tagesschau heißt es, das BKA könne Nachrichten beim Chat-Dienst WhatsApp mitlesen. Dem WDR und BR liegt ein internes Schreiben der Polizeibehörde vor, in dem es heißt: „Das BKA verfügt über eine Methode, die es ermöglichen kann, Text, Video-, Bild- und Sprachkurznachrichten aus einem WhatsApp-Konto in Echtzeit nachzuvollziehen.“ Laut dem WDR bzw. BR sollen BKA Beamte auch ohne Spionagesoftware dazu in der Lage sein, Chats von verdächtigen Personen mitlesen zu können. BKA liest bei WhatsApp mit? Der WhatsApp Messenger Dienst nutzt eine Ende-zu-Ende Verschlüsselung. So gesehen können keine dritte die Nachrichten mitlesen. Nicht mal WhatsApp kann diese Nachrichten mitlesen da die Verschlüsselung direkt zwischen den Kommunikationspartner hergestellt wird. Wie soll das BKA also mitlesen ohne das System mit beispielsweise einer Spionagesoftware auszustatten oder gar die Verschlüsselung auf zu brechen? Richtig, ganz so einfach ist es dann doch nicht. Aber was hat das BKA dann gemacht? Sie nutzen im Prinzip eine Synchronisationstechnik welche WhatsApp selbst zur Verfügung stellt. Das Zauberwort hier lautet: „WhatsAppWeb“. Die Web-Oberfläche für WhatsApp kann mit dem Smartphone verknüpft werden. Dazu muss man lediglich den QR-Code des Web-Interface mit seiner WhatsApp App am Smartphone scannen. Schon hat man Zugriff auf die Chats des Smartphones und kann über den PC auch WhatsApp Nachrichten versenden etc. Diese Funktion stellt WhatsApp zur Verfügung um auch am PC den Messenger-Dienst nutzen zu können ohne jedes Mal sein Smartphone entsperren zu müssen etc. Aber genau hier liegt der Hase im Pfeffer. Die BKA Beamten benötigen das Smartphone des Verdächtigen und müssten auch den Sperrbildschirm des Gerätes überwinden um dann diese Synchronisation starten zu können. Die Verbindung bleibt aber einige Zeit vorhanden. Somit könnten theoretisch die Beamten wirklich für eine gewisse Zeit mitlesen wenn Sie die beschriebenen Hürden überwunden haben. Wirklich effektiv ist es allerdings nicht, denn man sieht es natürlich sofort am Smartphone das eine Verbindung zur WhatsAppWeb Oberfläche besteht. Hier kann man auch die Verbindungen trennen. Also hätten Verdächtige jederzeit die Möglichkeit die Verbindung wieder zu kappen wenn sich das Smartphone wieder in Ihrem Besitz befindet. Wind um relativ wenig Zwar wurde im Bericht der Tagesschau auch darauf hingewiesen, allerdings hat sich in den letzten Tagen durchaus die Meinung verbreitet das BKA könne ohne Staatstrojaner mitlesen. Diese Behauptung ist schlicht falsch. Über Umwege und auch mit Hürden wäre generell möglich aber nicht zielführend und hilfreich schon gar nicht. Daher wird die Methode von BKA auch kaum eingesetzt wie auch im Bericht erwähnt wurde. Liest man also mehr als nur die Überschrift, stellt man sehr schnell fest, dass nicht viel dran ist an den Behauptungen. Dennoch sollen die Überwachungsbefugnisse von Verfassungsschutz und Behörden ausgebaut werden. Staatstrojaner für Überwachung Für eine wirkliche Überwachung ohne direkten physischen Zugriff auf das Smartphone müsste man wie bereits erwähnt eine Spionagesoftware bzw. einen Trojaner des BKA oder anderer Behörden einschleusen. Damit könnte man Verdächtige Chats beobachten bzw. Informationen zu Verdächtigen oder kriminellen Aktivitäten erhalten. Rechtliche Möglichkeiten hierfür wurden bereits 2017 geschaffen. Laut Medienberichten sollen auch schon Überwachungstrojaner eingesetzt worden sein. Der Streit zwischen Behörden und Bürgerrechtsorganisationen geht schon mehrere Jahre. Es bleibt ab zuwarten wie sich die Thematik in Bezug auf Staatsschnüffelei verändert. Tagesschau Beitrag Bild von Thomas Ulrich auf Pixabay Verschlüsselte E-Mail Kommunikation? Weiter Informationen finden Sie hier.

Sophos XG Firewall v18
Bedrohung

Sophos XG Firewall SQL injection vulnerability

Das Unternehmen Sophos hat zu einen Hotfix veröffentlicht welche eine Sicherheitslücke, eine SQL injection in der XG Firewall Serie schließt. Die bisher unbekannte Sicherheitslücke konnte ausgenutzt werden um sich Benutzernamen und Passwörter von lokalen Sophos Firewall Konten zu erobern. Am 22. April hat Sophos einen Report erhalten mit einem verdächtigen Feld-Wert im Management Interface. Daraufhin wurde eine Untersuchung gestartet, welche einen Angriff auf physische und virtuelle XG Firewalls zeigte. Das Unternehmen hat sofort reagiert und einen Patch bzw. Hotfix veröffentlicht. Was ist passiert? Wenn bei einer Sophos Firewall das Admin-Interface oder auch das User-Portal auf der WAN Zone verfügbar gemacht wurde, konnten Angreifer über eine unbekannte pre-auth SQL injection sich Informationen vom System verschaffen. Dabei konnten die Daten von lokalen Accounts ausspioniert werden. Darunter waren Benutzernamen, die gehashten Kennwörter, User-Portal Accounts und auch VPN Accounts. Passwörter oder Benutzerkonten von externen Authentifizierungssystemen wie Active Directory oder LDAP waren davon nicht betroffen.  Sophos hat sofort reagiert und mit einem Hotfix diese Lücke geschlossen und auch die Systeme die evtl. betroffen waren bereinigt. Wurde meine XG kompromittiert?  Der Hotfix von Sophos beinhaltet auch eine Nachricht für die Adminstratoren ob ihre Maschine betroffen ist. In den folgenden Screenshots sieht man die Nachricht für Maschinen die betroffen sind/waren und die Maschine bei denen diese Lücke nicht ausgenutzt wurde. Nicht Betroffene XG Firewall: Betroffen XG Firewall: Sollten Sie auf Ihrer Firewall die automatischen Hotfix-Updates deaktiviert haben, lesen Sie hier wie Sie den Hotfix installieren können: https://community.sophos.com/kb/en-us/135415 Was muss man noch beachten? Ist Ihre Firewall von der SQL Injection nicht betroffen so müssen Sie nach der Installation des Hotfix nichts weiter beachten. Für Firewalls die kompromittiert wurden, führen Sie die folgenden Punkte durch um das Problem zu beheben: Setzen Sie das Kennwort für den Administrator-Account zurück | neues, sicheres Kennwort vergeben Rebooten Sie Ihre XG Firewall Setzen Sie alle Kennwörter von lokalen Benutzeraccounts zurück Auch wenn die Kennwörter nur gehasht erobert werden konnten, ist es empfohlen die Kennwörter von sämtlichen Konten zu ändern welche die gleichen credentials verwenden. Wurden also für andere Accounts die gleichen Kennwörter wie für die lokalen Sophos Accounts verwendet, sollten diese ebenfalls geändert werden. Betroffen waren alle Firmware-Versionen der unterstützen Sophos XG Firewall, sowohl physikalisch als auch virtuelle Maschinen. Alle Firmwares erhielten auch den Hotfix (SFOS 17.0, 17.1, 17.5, 18.0). Benutzer mit älteren Firmwareständen wird dringend ein Update empfohlen um auch hier die Sicherheitslücke schließen zu können. Sophos hat im KB Eintrag zu dieser Thematik auch eine Timeline der Attacke veröffentlicht… Timeline of attack All times UTC Day and Time Description 2020-04-22 16:00 Attack begins 2020-04-22 20:29 Sophos receives report of a suspicious field value in an XG Firewall management interface 2020-04-22 22:03 Incident escalated to Sophos internal cybersecurity team 2020-04-22 22:20 Initial forensics started 2020-04-22 22:44 SophosLabs blocks suspect domains found in initial forensics 2020-04-23 06:30 Sophos researchers identify indicators of attack 2020-04-23 07:52 Analysis indicates attack affecting multiple customers – major incident process initiated 2020-04-23 15:47 Sophos notifies Community of initial mitigations 2020-04-23 19:39 Initial attack vector identified as SQL injection attack 2020-04-23 21:40 SophosLabs identifies and blocks additional domains 2020-04-24 03:00 Telemetry update issued to all XG Firewalls 2020-04-24 04:20 Sophos notifies Community of additional mitigations 2020-04-24 05:00 Sophos begins design, development, and testing of hotfix to mitigate SQL injection 2020-04-25 07:00 Sophos began pushing hotfixes to supported XG Firewalls 2020-04-25 22:00 Sophos confirms completion of hotfix rollout to XG Firewall units with auto-update (default) enabled. Weitere Informationen zu der Thematik können Sie hier einsehen. Sophos hat zu dem gesamten Szenario bei SophosLab auch einen Artikel dazu gepostet: „Asnarok“ Trojan targets firewalls. Gerne können Sie uns kontaktieren wenn Sie Fragen zu der Sicherheitslücke haben. Unsere Techniker geben Ihnen gerne Auskunft.

Public Shaming
Bedrohung

Public Shaming durch Ransomware

Public Shaming ist die nette neue Umschreibung für Datenleaks welche Kriminelle Ransomware-Gangs oder Erpresser nutzen um Unternehmen unter Druck zu setzen. Aus Prestigegründen bzw. Vertrauensverlusten versuchen Firmen häufig die Attacken auf die Unternehmenssysteme unter den Teppich zu kehren. Kein Unternehmen gibt gerne zu Opfer eines Ransomware-Angriffs geworden zu sein. Genau hier setzen die Erpresser mit neuen Methoden an. Das Public Shaming ist dafür Bestens geeignet bzw. setzt Firmen weiter unter Druck. Was ist Public Shaming? Als Public Shaming bezeichnet man quasi den „Scham“ von Unternehmen in der Öffentlichkeit. Genauer gesagt möchte natürlich kein Unternehmen interne vertrauliche Daten veröffentlicht sehen. Hier setzen die Erpresser an und suchen gezielt nach schmutzigen Geheimnissen. Der Trojaner „Sodinokibi“ aka REvil stetzt verstärkt auf diese Strategie. Die Drahtzieher hinter den Trojanern setzen bewusst Public Shaming Webseiten auf und veröffentlichen dort die gestohlenen Daten wenn das Unternehmen nicht bezahlt. Die IT-News Webseite Bleeping Computer berichtete, dass die Macher von Sodinokibi in einem Blog mit der Überschrift „Happy Blog“ damit gedroht haben, geleakte Sozialversicherungsnummern, Geburtsdaten und andere Informationen im Darknet zu verkaufen. Auch von Finanzinformationen ist die Rede. Zudem sollen die betroffenen Personen darüber informiert werden, welches Unternehmen diese Daten geleakt hat. Erpresser-Trojaner 2.0 Auch mit Emotet oder anderen Trojanern bzw. Ransomware sind solche Szenarien denkbar. Seit Februar verfolgt auch die Ransomware „DoppelPaymer“ diese Strategie. Teilweise werden nicht mehr die gesamten Firmenstrukturen verschlüsselt, sondern nur ein kleiner Teil. Durch Nachladen von weiteren Schadcodes werden dann auch auf anderen Systemen die zunächst nicht verschlüsselt werden, Backdoors eingerichtet. So bekommt der Angreifer weiterhin Zugriff auf die Systeme und könnte interne und vertrauliche Daten stehlen. Viele dieser Schädlinge arbeiten mit C&C Servern (Command-and-Control Servern) die weitere Dateien nachladen oder eben Daten abgreifen. Der Trend zu dieser neuen Angriffswelle ist seit Monaten erkennbar. Der Hintergrund dieser gezielten Attacken ist es, schmutzige Geheimnisse von Unternehmen an die Öffentlichkeit zu bringen. Zumindest dann, wenn das Lösegeld nicht bezahlt wird. Dabei werden Firmen auch gezielt ausgesucht. So waren zu Beginn der Verschlüsselungstrojaner die Lösegeld-Forderungen immer gleich. Mittlerweile variieren die Lösegeld-Forderungen in Abhängigkeit des Unternehmens. „Wie groß und bekannt ist das Unternehmen?“ – „Wieviel Umsatz generiert das Unternehmen?“ sind Faktoren welche die Erpresser nutzen um die Höhe des Lösegeldes festzusetzen. Ransomware sind auch Datenlecks Durch diesen neuen Trend wird Ransomware auch immer gefährlicher in Bezug auf Datenlecks. Laut einer FBI-Studie zahlten Opfer von Ransomware bereits über 140 Millionen. Es ist wahrscheinlich das dieser Trend weiter anhalten wird, bzw. die Entwicklung in dieser Richtung noch weiter gehen wird. Für Unternehmen ist ein Befall auch ein potenzielles Datenleck. Sensible Daten müssen bestmöglich geschützt werden. Das ist in der digitalen Welt manchmal einfacher gesagt als getan. Dennoch werden Unternehmen mit sensiblen Daten ihren Fokus stärker auf solche Angriffe lenken müssen. Wollen Sie Ihr Unternehmen ebenfalls bestmöglich schützen? Wir beraten Sie gerne. Sprechen Sie uns an, wir haben zahlreiche Produkte im Portfolio um die Gefahren einzudämmen. Erfahren Sie mehr über unsere PAM-Lösung Fudo oder unseren Premium Antispamfilter mit Erkennungsraten bis zu 99%. Quelle: https://www.heise.de/security/meldung/Ransomware-Gang-durchsucht-gestohlene-Firmendaten-nach-Erpressungsmoeglichkeiten-4678808.html Bild von Gerd Altmann auf Pixabay

Was Emotet anrichten kann
Bedrohung

Was Emotet anrichten kann

Was Emotet anrichten kann ist in der IT-Welt mittlerweile mehr als bekannt. Dennoch treibt der Verschlüsselungstrojaner noch immer sein Unwesen im Netz. Im Jahre 2014 wurde Emotet entdeckt und verschlüsselt seither alles was ihm in die Quere kommt. Emotet ist eigentlich ein sogenannter „Dropper“ und lädt dann weitere Schadprogramme wie den Verschlüsselungstrojaner Ryuk nach. Er gelangt in der Regel über Spam E-Mails auf die Rechner, entweder durch Office-Dokumente mit Makros oder über Anhänge mit Download-Links. Was Emotet anrichten kann… Was ein Befall bedeuten kann, musste unter anderem auch die niedersächsische Stadt Neustadt am Rübenberge am eigenen Leib erfahren. Am Morgen des 6. Septembers 2019 bemerkte ein IT-Mitarbeiter, dass die Server im Rechenzentrum der Kommune seltsame und extreme Auslastungen anzeigten. Obwohl keine Tests oder Wartungsarbeiten anstanden war die Systemlast enorm hoch. Der Mitarbeiter reagierte sofort und fuhr die Server herunter, da er ein Schadprogramm vermutete. Leider war es bereits zu spät. Der Trojaner hatte bereits begonnen die Daten der Verwaltung von rund 45.000 Einwohner zu verschlüsseln. Darunter waren E-Mails, Formulare, Bauzeichnungen, Hochzeitstermine, Elterngeldanträge und vieles mehr. Auch mehr als 220.000 Steuerakten wurden von Emotet verschlüsselt. SPAM E-Mails als Übeltäter Auf welchem Weg die Stadtverwaltung befallen wurde ist nicht eindeutig geklärt sagt Maic Schillack, der erste Stadtrat und Stellvertreter des Bürgermeisters. Vermutlich wurde durch einen Mitarbeiter ein verseuchtes Office-Dokument geöffnet. Das ist zumindest laut Spezialisten der häufigste und gängigste Weg wie sich Emotet im Netzwerk breit machen kann. Was Emotet so mächtig macht, ist die perfide Aufmachung der Mails. Sie stammen aus Sicht des Empfängers offenbar von einer tatsächlich existierenden Kontaktperson und zitieren einen realen Mailwechsel zwischen dem Empfänger und dieser Person. Emotet ist in der Lage, Outlook-Konversationen (Kontaktbeziehungen und Mail­inhalte) auszulesen und so automatisiert sehr authentische Spam-Mails zur Erstinfektion zu generieren“, erklärt das BSI. Fachleute sprechen auch von Dynamit-Phishing. Was steckt hinter Emotet? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist davon überzeugt, dass „die Entwickler von Emotet ihre Software und ihre Infrastruktur an Dritte untervermieten“. Diese setzten dann weitere Schadsoftware wie Trickbot und Ransomware ein, um „ihre eigenen Ziele zu verfolgen“. Die Motivation sei in der Regel finanzieller Natur. Das BSI geht also von Cyberkriminalität aus, nicht von Spionage. Zur spannenden Frage, aus welchem Land oder aus welchen Ländern die Emotet-Entwickler und die Angreifer kommen, äußert sich das BSI nicht. Auch aus den Strafverfolgungsbehörden sind dazu bislang keine Erkenntnisse nach außen gedrungen. Es kursieren lediglich Gerüchte, in denen von Osteuropa oder Russland die Rede ist. Malware-Experte Andreas Marx von der Firma AV-Test betont jedoch: „Es gibt viele Vermutungen, aber eine Attribution ist nicht seriös möglich. Was Emotet anrichten kann – Gibt es Sicherheiten? Die Macher von Emotet prüfen stehts ihre neuen Versionen gegen Anti-Viren-Software. Auch wenn diese schnell reagieren verändern die Macher ständig den Trojaner. Mal sind es Download-Links die gesendet werden, mal sind die Office Dokumente. Wird die aktuelle Version nicht erkannt, werden Millionen E-Mails versendet mit dem Schadprogramm. Durch das Tool Trickbot werden dann unter anderem Zugangsdaten ausspioniert um sich zusätzlich im Netzwerk weiter ausbreiten zu können. Eine 100%ige Sicherheit gibt es natürlich nie. Dennoch sollte man stets darauf achten, dass die Anti-Viren-Lösung aktuell gehalten wird und auf allen Systemen installiert ist. Dazu sollte die Updates der Betriebssysteme sowie der Dritt-Anwender Produkte regelmäßig durchgeführt werden. Damit kann der Schutz schon um ein vielfaches erhöht werden. Der Mensch ist allerdings das schwächste Glied in der Kette und daher sind Awareness-Schulungen ein wichtiger Aspekt um den Schutz so groß wie möglich zu gestalten. Als IT-Security Dienstleister bieten wir Ihnen gerne unsere kompetente Beratung zum Thema Emotet bzw. Verschlüsselungstrojaner an und wie Sie sich und Ihr Unternehmen schützen können. Sprechen Sie uns an! Wir unterstützen Sie gerne. Weitere Details zu dem Vorfall in  Stadt Neustadt am Rübenberge können Sie hier weiterlesen. Jetzt bei Kaspersky Awareness Schulungen einsteigen. Erfahren Sie mehr…

Mac-Rechner im Visier
Bedrohung

Mac-Rechner im Visier

Mac-Rechner im Visier von Attacken – Macintosh-Rechner gelten im allgemeinen als recht sicher. Doch der Schein trügt… Jetzt haben Anti-Viren Experten von Kaspersky eine Analyse vorgestellt, in der sich zeigt dass auch in der Apple Welt einige Gefahren gibt. Haben Sie einen Windows-Rechner haben Sie bestimmt schon von diversen Viren und Trojanern gehört. Vor allem Verschlüsselungstrojaner welche Ihre Daten verschlüsseln und ein Lösegeld fordern gehen häufig durch die Medien. Ein Studie von Kaspersky zeigt nun, dass auch Angriffe auf Mac-Systeme häufiger sind als man glauben mag. Vor allem der Schädling Shlayer treibt hier sein Unwesen und kommt auf schokierend hohe Zahlen. Shlayer befällt jeden zehnten Mac Der Trojaner Shlayer ist bereits seit 2018 bekannt. Die enorme Verbreitung war allerdings bisher unklar. Kaspersky meldet, dass jedes zehnte Mac System auf dem die Kaspersky Software installiert ist, den Schädling mindestens einmal abwehren musste. Damit ist Shlayer für ein Drittel aller von Kaspersky entdeckten Attacken auf Macs verantwortlich. Hauptsächlich fanden die Angrifffe in den USA statt. Aber auch hier in Deutschland wurden Funde gemeldet wie auch in Frankreich und Großbritannien. Da Kaspersky natürlich nicht auf jedem Mac-Rechner installiert ist, lässt es sich schwer hochrechnen, wie stark die Verbreitung auf allen Macs weltweit gesehen ist. Mac-Rechner im Visier – Was macht Shlayer? Shlayer ist allerdings kein großer Schädling sondern eher ein Ärgernis und lästig. Der primitive Schädling stielt aktuell weder Daten, noch versucht er den Nutzer zu erpressen. Shlayer bombardiert den Nutzer mit Werbebanner, die dann den Betreibern Geld in die Kassen spülen. Die massiven Werbeeinblendungen stören das Arbeiten natürlich ungemein und wer wird auch gerne mit unattraktiver Werbung belästigt? Derzeit liegen aber keine weiteren Erkenntnisse vor dass dieser Schädling noch weitere Schadcodes oder Schad-Software mit sich bringt. Wie gelangt Shlayer auf meinen Mac? Aktuell werden die Systeme vor allem durch eine altbekannte Virenquelle befallen: verseuchte Installationsdateien von Adobe Flash Player sind die Ursache. Die auf Raubkopien- oder Pornoseiten platzierten Installer suggerieren dem Nutzer, dass für das Betrachten des Inhalts ein Update nötig sei und verseuchen dann den Rechner. Aber auch auf seriösen Seiten wie beispielsweise Youtube wurden Links in den Beschreibungen und Fußnoten zu betroffenen Installer gefunden. Anders als bei Windows kann sich Malware bei Macs nicht heimlich im Hintergrund installieren, sondern benötigt die aktive Mithilfe des Nutzers. Vorsichtig sein, ist wohl der Beste Rat den man hier geben kann. Programme sollten nicht aus unseriösen oder unbekannten Quellen installiert werden. Sollte ein Webseite selbst nach einem Update über Adobe direkt noch nach einem Update fragen, sollte man skeptisch werden und diese Webseite in Zukunft meiden.   Quellen: Shlayer Trojan attacks one in ten macOS users   https://www.stern.de/digital/computer/shlayer—dieser-trojaner-griff-schon-jeden-zehnten-mac-rechner-an-9108966.html   Gerne beraten wir Sie über unsere Anti-Viren Produkte im Portfolio. Mehr über das Produkt Kaspersky können Sie hier erfahren –> Kaspersky Anti-Viren Lösung Überzeugen Sie sich von unserem Managed Security Service und Testen unsere Produkte. Weitere Infos hier.

Nach oben scrollen