Die Streaming-Plattform Twitch ist offenbar zum Opfer eines umfassenden Hacks geworden. Unter anderem sollen der komplette Quellcode sowie auch einige Nutzerdaten betroffen sein. Twitch-Nutzer sollten sicherheitshalber sofort ihre Passwörter ändern und eine Zweifaktor-Authentifizierung aktivieren.

In einem Internetforum ist eine mehr als 120 Gigabyte große Datei aufgetaucht, die dem Anschein nach dem kompletten Quellcode der zu Amazon gehörenden Streaming-Plattform enthält, sowie auch einige interne Daten. Für einige prominente Streamer besonders pikant: auch sämtliche Umsätze, die sie zwischen August 2019 und September 2021 in ihren Twitch-Streams generiert haben sowie die ausgezahlten Beträge, sind in den geleakten Daten enthalten.

"Die veröffentlichten Daten scheinen aktuell zu sein - das macht das Leak besonders brisant. Wer auf Twitch aktiv ist, sollte die Situation genau beobachten und seinen Account absichern. Dafür empfiehlt sich insbesondere die Nutzung von Zwei-Faktor-Authentifizierung und die Änderung des Passwortes", sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense.

Ursprung des Leaks zurzeit unbekannt
Der Ursprung des Leaks ist bislang nicht bekannt. In den vergangenen Monaten sind bekannte Ransomware-Gruppen jedoch dazu übergangen Daten ihrer Opfer zu veröffentlichen, wenn diese sich weigern das Lösegeld zu zahlen oder die Anweisungen der Kriminellen missachten. Ob hinter dem Leak ein Ransomware-Angriff steckt, lässt sich zum jetzigen Zeitpunkt allerdings nicht bestätigen.

Der Leak könnte auch politische Gründe haben. Denn innerhalb der Twitch-Community gab es in den vergangenen Monaten Auseinandersetzungen über sogenannte Hate Raids. Kritiker werfen der Plattform vor, nicht entschieden genug gegen rechtsextreme Hassbotschaften vorzugehen.

Ersten Gerüchten zufolge sollen sich auch gehashte Passwörter in der Datensammlung befinden. Verbindlich bestätigt ist das allerdings zum Zeitpunkt dieser Meldung noch nicht. Twitch selbst hat sich zu dem Vorfall bislang nicht geäußert.

Android-Nutzer sollten eingehende SMS-Nachrichten derzeit besonders genau prüfen. Mit Hilfe einer vermeintlichen Sendungs-Benachrichtigung versuchen Kriminelle, Smartphones mit dem Banking-Trojaner FluBot zu infizieren. Als Absender werden die Namen großer Logistikunternehmen, wie DHL oder FedEx, missbraucht. In der SMS-Spam werden Empfänger dazu aufgefordert, auf einen Link zu klicken und eine App zu installieren, um so den Sendungsstatus des angeblichen Pakets einzusehen. Mit dieser Anwendung gelangt jedoch der Trojaner auf das Gerät. FluBot erlangt dabei wichtige Berechtigungen, wie das Einsehen von Benachrichtigungen, das Lesen und Schreiben von SMS-Nachrichten, das Abrufen der Kontaktliste sowie das Durchführen von Anrufen. ESET Mobile Security erkennt den Schädling und verhindert eine Infektion des Geräts.

"Der Banking-Trojaner FluBot verbreitet sich derzeit rasant in Deutschland und stellt ein ernsthaftes Sicherheitsproblem dar. Einmal auf dem Gerät, stiehlt das Schadprogramm Kontaktdaten und sensible Informationen", erklärt Lukas Stefanko, Malware Researcher bei ESET. "Anwender sollten mit vermeintlichen Zustellbenachrichtigungen derzeit sehr vorsichtig umgehen. Wir empfehlen dringend, diese Nachrichten genau zu prüfen und eine Sicherheitslösung zu installieren."

Malware-Kampagne verbreitet sich rasant
Seit Dezember treibt das Schadprogramm FluBot sein Unwesen. Die Aktivitäten waren bisher weitestgehend auf Spanien und Polen beschränkt. Mit ihrer aktuellen Kampagne zielen Cyberkriminelle jedoch auf Android-Nutzer in Deutschland ab. Durch die weitgehenden Rechte auf den Geräten verbreitet sich der Trojaner rasant.

So schützen Sie sich vor den dreisten Betrügern
- Im Zweifel die Nachricht löschen: Nachrichten von unbekannten Absendern, SMS oder E-Mails mit seltsamen Inhalten sollten im Zweifel gelöscht werden. - Nicht auf Links klicken: Auf gar keinen Fall sollte in diesen dubiosen Nachrichten auf Links geklickt werden.

- Sicherheitslösung einsetzen: Anwender sollten eine Sicherheitslösung nutzen, die zuverlässig Schädlinge abwehrt und einen umfassenden Phishing- Schutz bietet - Immer auf dem neuesten Stand sein: Das Betriebssystem und die installierten Apps sollten stets auf dem neuesten Stand sein. Verfügbare Updates sollten umgehend eingespielt werden.

- Apps nur aus vertrauenswürdigen Quellen: Logistikunternehmen bieten Apps an, um den Sendungsstatus zu verfolgen. Anwender sollten die Verlinkungen auf deren offiziellen Webseiten verwenden, um zum App-Store zu gelangen und diese dort herunterladen.

Die kürzlich publik gemachten Sicherheitslücken in Microsoft Exchange schlagen immer höhere Wellen. So entdeckten die Forscher des IT-Sicherheits-Herstellers ESET mehr als zehn verschiedene APT-Gruppen (Advanced Persistent Threats), welche die Schwachstellen derzeit verstärkt ausnutzen, um E-Mail-Server zu kompromittieren und an Unternehmensdaten zu gelangen. Die Bedrohung ist also nicht auf die chinesische Hafnium-Gruppe beschränkt, wie bislang vermutet wurde. ESET identifizierte weltweit rund 5.000 E-Mail-Server von Unternehmen und Regierungseinrichtungen, die kompromittiert wurden. Die meisten Ziele der Hackergruppen liegen in Deutschland. Die Telemetrie der Security-Experten zeigte das Vorhandensein von sogenannten Webshells. Diese bösartigen Programme oder Skripte ermöglichen die Fernsteuerung eines Servers über einen Webbrowser.

Einsatz von Frühwarnsystemen empfehlenswert
Der Einsatz sogenannter "Endpoint Detection und Response"-Lösungen (EDR-Lösungen) hätte in vielen Fällen den Diebstahl von Unternehmensdaten eingrenzen bzw. verhindern können. "Mit Hilfe von EDR-Lösungen, wie beispielsweise ESET Enterprise Inspector, wären Administratoren frühzeitig auf verdächtige Aktivitäten aufmerksam gemacht worden. So hätte der Abfluss von Unternehmensdaten trotz Ausnutzung des Sicherheitslücke frühzeitig registriert werden können, um diesen durch entsprechende Maßnahmen zu unterbinden", erklärt Michael Schröder, Security Business Strategy Manager bei ESET Deutschland.

Um den Sicherheitsstatus beurteilen zu können, sollten Exchange-Server auf die folgenden Erkennungen überprüft werden: * JS/Exploit.CVE-2021-26855.Webshell.A * JS/Exploit.CVE-2021-26855.Webshell.B * ASP/Webshell * ASP/ReGeorg

ESET-Analysen zeigen Cyberspionage-Gruppen auf
"Seit dem Tag der Veröffentlichung der Patches durch Microsoft beobachteten wir, dass immer mehr Hacker massenhaft Exchange-Server scannen und kompromittieren. Interessanterweise handelt es sich dabei durchweg um APT-Gruppen, die für Spionagetätigkeiten berüchtigt sind. Wir sind uns sicher, dass auch andere Gruppen, beispielsweise Ransomware-Betreiber, diese Exploits für ihre Zwecke ausnutzen und auf den Zug aufspringen werden", sagt Matthieu Faou, der die Forschungsarbeiten von ESET zu diesem Thema leitet. Die ESET-Forscher stellten ebenfalls fest, dass einige APT-Gruppen die Schwachstellen bereits ausnutzten, bevor die Patches zur Verfügung gestellt wurden. "Wir können daher ausschließen, dass diese Gruppen einen Exploit durch Reverse Engineering von Microsoft-Updates erstellt haben", fügt Faou hinzu.

Drei schnelle Tipps für Administratoren
- Exchange-Server sollten so schnell es geht gepatcht werden. Dies gilt auch dann, wenn sie nicht direkt mit dem Internet verbunden sind. - Administratoren wird geraten, nach Webshells und weiteren bösartigen Aktivitäten zu suchen und diese umgehend zu entfernen. - Anmeldedaten sollten umgehend geändert werden. "Der Vorfall ist eine sehr gute Erinnerung daran, dass komplexe Anwendungen wie Microsoft Exchange oder SharePoint nicht zum Internet hin offen sein sollten", rät Matthieu Faou.

APT-Gruppen und ihre Verhaltensmuster
Tick - kompromittierte den Webserver eines Unternehmens mit Sitz in Ostasien, das IT-Dienstleistungen anbietet. Wie im Fall von LuckyMouse und Calypso hatte die Gruppe wahrscheinlich schon vor Veröffentlichung der Patches Zugang zu einem Exploit. LuckyMouse - infizierte den E-Mail-Server einer Regierungsbehörde im Nahen Osten. Diese APT-Gruppe verfügte wahrscheinlich mindestens einen Tag vor Veröffentlichung der Patches über einen Exploit, als dieser noch ein Zero-Day war. Calypso - griff die E-Mail-Server von Regierungsstellen im Nahen Osten und in Südamerika an. Die Gruppe hatte wahrscheinlich Zugang zu dem Exploit als Zero-Day. In den folgenden Tagen griffen die Calypso-Betreiber weitere Server von Regierungsstellen und Unternehmen in Afrika, Asien und Europa an. Websiic - zielte auf sieben E-Mail-Server ab, die Unternehmen (in den Bereichen IT, Telekommunikation und Technik) in Asien und einer staatlichen Einrichtung in Osteuropa gehören. Winnti Group - kompromittierte die E-Mail-Server eines Ölunternehmens und einer Firma für Baumaschinen in Asien. Die Gruppe hatte wahrscheinlich schon vor Veröffentlichung der Patches Zugang zu einem Exploit. Tonto Team - attackierte die E-Mail-Server eines Beschaffungsunternehmens und eines auf Softwareentwicklung und Cybersicherheit spezialisierten Beratungsunternehmens, beide mit Sitz in Osteuropa. ShadowPad activity - infizierte die E-Mail-Server eines Softwareentwicklungsunternehmens mit Sitz in Asien und eines Immobilienunternehmens mit Sitz im Nahen Osten. ESET entdeckte eine Variante der ShadowPad-Backdoor, die von einer unbekannten Gruppe eingeschleust wurde. "Operation" Cobalt Strike - zielte auf rund 650 Server, hauptsächlich in den USA, Deutschland, Großbritannien und anderen europäischen Ländern, nur wenige Stunden nach Veröffentlichung der Patches. IIS-Backdoors - ESET beobachtete IIS-Backdoors, die über die bei diesen Kompromittierungen verwendeten Webshells auf vier E-Mail-Servern in Asien und Südamerika installiert wurden. Eine der Backdoors ist öffentlich als Owlproxy bekannt. Mikroceen - kompromittierte den Exchange-Server eines Versorgungsunternehmens in Zentralasien, einer Region, die typischerweise Ziel dieser Gruppe ist. DLTMiner - ESET entdeckte den Einsatz von PowerShell-Downloadern auf mehreren E-Mail-Servern, die zuvor über die Exchange-Schwachstellen angegriffen wurden. Die Netzwerkinfrastruktur, die bei diesem Angriff verwendet wurde, steht in Verbindung mit einer zuvor gemeldeten Coin-Mining-Kampagne.

Eine detaillierte Analyse veröffentlichen die IT-Experten auf dem ESET Security Blog:

Mit der steigenden Bedrohungslandschaft und erhöhten Anforderungen an die Datensicherheit hat das Zero-Trust-Security-Modell bei Unternehmen deutlich an Popularität gewonnen. Die meisten traditionellen Ansätze der Netzwerksicherheit konzentrieren sich auf starke Schutzmaßnahmen gegen unerlaubten Zugang. Deren tendenzielle Schwäche ist jedoch das Vertrauen, welches User und Entitäten automatisch genießen, sobald sie sich im Netzwerk befinden. Denn gelingt es Cyberkriminellen, sich Zugang zum Netzwerk zu verschaffen, gibt es oft sehr wenig, was sie daran hindert, sich dort frei zu bewegen und sensible Daten hinauszuschleusen. Das Zero-Trust-Konzept schlägt deshalb vor, dass der gesamte Zugriff blockiert bleiben sollte, bis das Netzwerk den Benutzer verifiziert und den Grund für seinen Aufenthalt im Netzwerk bestätigt hat.

Hackern das Leben schwer machen: Umsetzung des Zero-Trust-Modells
Viele Unternehmen haben heute kritische Daten in der Cloud gespeichert. Deshalb ist es umso wichtiger, Benutzer ordnungsgemäß zu verifizieren und zu autorisieren, bevor sie Zugang erhalten. Darüber hinaus ist es aufgrund des enormen Anstiegs mobiler Geräte für Mitarbeiter einfacher denn je, von überall und jederzeit auf sensible Daten zuzugreifen, was die Regelung des Zugriffs auf allen Ebenen mit einer Zero-Trust-Richtlinie zusätzlich erforderlich macht. Zero Trust basiert darauf, eine sichere Umgebung durch eine kontinuierliche Infrastruktur-Transformation zu schaffen. Das Security-Team sollte eine Multi-Faktor-Authentifizierung für den Zugriff auf verschiedene Mikrosegmente des Netzwerks einführen. Dies gewährleistet eine hohe Sicherheit und erschwert es Hackern effektiv, all die Informationen zu erhalten, die sie für den Zugriff auf das Konto eines Nutzers benötigen.

Das Konzept legt zudem den Fokus auf ein ausgeprägtes Risikomanagement, das auf Anomalie-Erkennung und Datenanalyse fußt. Technologien zur Analyse des Nutzerverhaltens, Endpoint Detection and Response (EDR) sowie Data Loss Prevention (DLP) unterstützen bei der Erkennung von verdächtigem Verhalten oder blockieren unautorisierten Zugriff auf sensible Daten. Dies hilft bei der Eindämmung von Sicherheitsbedrohungen und ermöglicht deren schnelle Entdeckung und Abwehr.

Granularer Schutz vor Insider-Bedrohungen: Zero Trust Networking
Zero Trust Networking ist ein zusätzlicher Teil des Zero-Trust-Modells, das darauf ausgelegt ist, laterale Bewegungen innerhalb des Unternehmensnetzwerks zu stoppen. Hierdurch kann der Zugriff eines Benutzers verhindert werden, auch wenn er sich auf der gleichen Unternehmensebene wie ein Kollege befindet, der legitimen Zugriff besitzt. Dies geschieht durch Hinzufügen von Perimetern zur Überprüfung bei jedem Schritt innerhalb des Netzwerks. Hierbei wird die Mikrosegmentierung genutzt und granulare Perimeter an kritischen Stellen im Netzwerk hinzugefügt, um zu verhindern, dass ein böswilliger Insider auf die sensibelsten Daten und Systemprozesse des Unternehmens zugreifen kann. Zero Trust Networking beseitigt damit den Nachteil des traditionellen perimeterbasierten Sicherheitsmodells, indem es das generelle Vertrauen gegenüber internen Nutzern vollständig abschafft, und stattdessen die Sicherheit rund um sensible Daten und kritische Prozesse eines Unternehmens erhöht.

Effektives Zero Trust: Sicherheit aus dem Inneren heraus
Zero Trust beginnt mit der Gewährung des Benutzerzugriffs nur für die Zeit, die Mitarbeiter zur Erfüllung einer bestimmten Aufgabe benötigen, entsprechend den geltenden Richtlinien des Unternehmens. Dies erfordert die Implementierung verschiedener Technologien, einschließlich Multifaktor-Authentifizierung, Scoring, Analytik, Dateisystemberechtigungen und Orchestrierung. Bei Zero Trust geht es jedoch um mehr als nur den Einsatz der richtigen Technologien. Das Modell entwickelt auch Sicherheitsparameter durch das Verständnis, wie wichtige Geschäftsprozesse eines Unternehmens mit den jeweiligen Mitarbeitern und deren Arbeits- und Denkweisen verknüpft sind und bietet damit Sicherheit, die aus dem Inneren heraus konzipiert ist.

Der Hauptvorteil des Zero-Trust-Sicherheitsmodells besteht darin, dass es Unternehmen hilft, die Beschränkungen der perimeterbasierten Sicherheit zu überwinden. Durch regelmäßige Überprüfung der Benutzerzugriffe wird eine wirksame neue Barriere geschaffen, um Anwendungen, Prozesse und Daten sowohl gegen böswillige Insider als auch gegen externe Angreifer zu schützen.

Die Cyberkriminalität hat sich 2020 spezialisiert. Das ist ein Fazit des Threat Reports für das vierte Quartal 2020, den ESET jetzt veröffentlicht hat. Den letzten Bericht des abgelaufenen Jahres nutzen die Experten des europäischen IT-Sicherheitsherstellers auch für einen Rückblick auf das Gesamtjahr sowie einen Ausblick auf 2021. Ein Ergebnis des Reports: Ransomware wird immer stärker für gezielte Angriffen gegen Unternehmen eingesetzt. Hacker setzen hingegen bei breitgefächerten Massen-Attacken immer seltener auf Verschlüsselungstrojaner. Zudem rutschten sogenannte Banking-Malware weiter ins Rampenlicht. Immer mehr Anwender tätigen Finanzgeschäfte vom Smartphone oder Tablet. Kriminelle folgen dem Trend und setzen gerade beim beliebten Android-Betriebssystem verstärkt auf diese Schädlinge. Auch im vierten Quartal gab es zahlreiche Spam- und Phishing-Mails mit Bezug zur Corona-Pandemie und den startenden Impfungen. Der ESET Threat Report ist auf WeliveSecurity verfügbar.

"Cyberkriminalität hat sich 2020, auch beeinflusst durch die Corona-Pandemie, stark gewandelt. Die rasant digitalisierte Arbeits- und Alltagswelt hat auch das Vorgehen vieler Hacker verändert", erklärt Thomas Uhlemann, ESET Security Specialist. "Die großen Malware-Kampagnen waren 2020 seltener. Vielmehr setzte eine Spezialisierung auf gezielte Angriffe ein, was sonst eher APT-Gruppen ausgezeichnet hat. Wir erwarten, dass sich diese Entwicklung 2021 fortsetzt."

Gezielte Angriffe mit Ransomware
Vom dritten zum vierten Quartal nahm die Erkennung von Ransomware in der ESET-Telemetrie um 3,9 Prozent ab. Cyberkriminelle nutzen Verschlüsselungstrojaner immer weniger für große Massenangriffe und sind stärker dazu übergegangen, diese für gezielte Attacken zu nutzen. Insbesondere Unternehmen war hier betroffen. Ein prominenter Fall war der erfolgreiche Angriff auf ein deutsches Medienhaus Ende letzten Jahres.

Banking-Malware wird mobil
Digitale Bankgeschäfte und Shopping erfreut sich auf Smartphones und Tablets großer Beliebtheit. Laut einer aktuellen Bitkom-Umfrage nutzen 58 Prozent der Privatanwender ihr Smartphone für das Online-Banking - Tendenz steigend. Während Banking-Malware für das Windows-Betriebssystem nachlässt, haben Cyberkriminelle seit dem dritten Quartal ihre Aktivitäten mit Schadcodefür das Android-Betriebssystem deutlich gesteigert.

Betrüger versprechen Impfmöglichkeit
Das Jahr 2020 war von der Corona-Pandemie geprägt. Kriminelle haben massenhaft Spam- und Phishing-Mails mit Bezug zum grassierenden Virusverschickt. Ging es bis zur Mitte des Jahres zunächst um vermeintliche Angebote über Mund-Nasen-Bedeckungen, waren es im vierten Quartal betrügerische Impfversprechen. Dieses Thema stieg in den E-Mails um rund 50 Prozent an. Ebenfalls fiel in diesem Zusammenhang der Name des Impfstoffherstellers Pfizer-BioNTech mit Betreffzeilen, wie "Pfizers Covid Vaccine: 11 Things you need to know".

Der ESET Threat Report für das vierte Quartal 2020 ist auf WeliveSecurity erhältlich. Neben zahlreichen Statistiken zu aktuellen Cyberbedrohungen berichten die Forscher des europäischen IT-Sicherheitsherstellers über die Aktivitäten verschiedener APT-Gruppen wie Lazarus oder Winnti:

Gleich zwei kritische Sicherheitslücken in iOS-Geräten bedrohen Nutzer - Apple warnt sogar selbst vor Angriffen. Tim Berghoff von G DATA ordnet den Vorfall ein.

Eine ernste Warnung
Apple warnt derzeit vor einer aktiv ausgenutzten Sicherheitslücke in seinem Betriebssystem iOS - das bedeutet, dass bereits Angriffe gegen Nutzer stattfinden. Die Sicherheitslücken finden sich im Kernel und in Apples eigener "Webkit"-Technologie, die für die Darstellung von Internetseiten verwendet wird. Die Webkit-Lücke kann zudem aus der Ferne ausgenutzt werden. Betroffen sind alle iPhone-Geräte ab der Version 6.

"Dass Apple selbst vor aktiv ausgenutzten Sicherheitsproblemen warnt, hat absoluten Seltenheitswert", sagt Tim Berghoff, G DATA Security Evagenlist. "Mit dem Kernel und Webkit sind darüber hinaus zwei hochkritische Komponenten des Betriebssystems betroffen. Nutzer sollten also nicht auf die automatischen Updates warten, sondern umgehend selbst aktiv werden."

Das von Apple beschriebene Problem im iOS-Kernel ermöglicht einer App, die eigenen Berechtigungen zu erweitern. Somit können Angreifer Zugriff auf Daten nehmen, die der App eigentlich nicht zugänglich wären und umgehen damit die Schutzmechanismen des Betriebssystems.

Erweiterte Berechtigungen und Remote-Codeausführung
Das von Apple beschriebene Problem im iOS-Kernel ermöglicht einer App, die eigenen Berechtigungen zu erweitern. Somit können Angreifer auf Daten zugreifen, die der App eigentlich nicht zugänglich wären und umgehen damit die Schutzmechanismen des Betriebssystems.

"Die Webkit-Lücke ermöglicht sogar die Ausführung von Code aus der Ferne - viel problematischer kann eine Sicherheitslücke eigentlich nicht sein", sagt Berghoff. "Für entsprechende Exploits werden auf dem grauen Markt für Sicherheitslücken zum Teil Millionenbeträge gezahlt."

Aufgrund der vielen gespeicherten persönlichen Daten sind Smartphones ein sehr beliebtes Angriffsziel für Cyberkriminelle. Apple versorgt seine Geräte sehr lange mit Sicherheitsupdates, sodass Nutzer sich an dieser Stelle wenig Sorgen machen müssen. Gerade günstige Android-Geräte werden im Vergleich dazu oft nur für kurze Zeit mit Patches versorgt - Nutzer stehen dann ohne Schutz gegen aktuelle Gefahren da.

Aktuell gibt es verstärkt Aktivitäten der Dridex-Malware. Diese bereits einige Jahre alte Schadsoftware macht zurzeit in Excel-Dateien die Runde, die per Mail verschickt werden. Dabei hat der Schädling es vor allem auf Passwörter und andere Nutzerdaten abgesehen.

"Wenn das Wochenende vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit deutlich nach. Das machen sich Kriminelle zunutze", sagt Tim Berghoff, Security Evangelist bei G DATA.

Bereits Mitte der Woche zeichnete sich ab, dass eine Schadsoftware mit dem Namen "Dridex" wieder verstärkt Aktivitäten zeigt. Dieser Schädling ist für G DATA kein unbeschriebenes Blatt - bereits 2015 haben wir über diese Malware berichtet. Wie damals versteckt das Schadprogramm sich auch in diesem Fall in einer Office-Datei, getarnt als Versandbestätigung. Heruntergeladen wird die eigentliche Malware über ein eingebettetes Makro, welches sich hinter der "Drucken"-Funktion verbirgt.

Gerade im Moment sollten Nutzer also verstärkt auf der Hut sein, wenn es um solche vermeintlichen Versandbestätigungen geht. G DATA-Kunden sind geschützt - sowohl die Office-Datei als auch das darin eingebettete Makro werden von allen G DATA Security-Lösungen erkannt.

Vorsicht bei unsignierten Makros
Um die Sicherheit noch weiter zu erhöhen, lohnt es sich, Makros vor allem in Firmennetzwerken global zu deaktivieren. Sind dennoch Makros an einigen Stellen unverzichtbar, sollten nur signierte Makros verwendet und zugelassen werden. Die entsprechenden Optionen finden sich in den Active Directory Gruppenrichtlinien.

Zurzeit scheinen Donnerstag und Freitag zu den beliebteren Tagen für den Versand von Schadsoftware zu gehören. Bereits in der vergangenen Woche haben Kriminelle mit Gootkit/Kronos diesen Zeitpunkt für ihre Angriffe gewählt. Bei näherer Betrachtung ergibt das Sinn: Wenn das Wochenende unmittelbar vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit nach.

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall. Dies entspricht etwa einem Drittel aller Ransomware-Angriffe, die in diesem Quartal durchgeführt wurden. Die explosionsartige Zunahme von Ryuk hat zudem dazu geführt, dass die Gesamtzahl der im 3. Quartal 2020 gemeldeten Ransomware-Angriffe im Vergleich zum gleichen Zeitraum in 2019 um 40 Prozent gestiegen ist. Ryuk ist eine hochentwickelte Art von Ransomware, die gegen Organisationen auf der ganzen Welt eingesetzt wird, um sie aus ihren Computernetzen und Dateien auszusperren, bis das geforderte Lösegeld bezahlt wird. Ryuk verschlüsselt alle Zieldateien mit einer starken, auf AES-256 basierenden Verschlüsselung, mit Ausnahme der Dateien mit den Erweiterungen dll, lnk, hrmlog, ini und exe. Ryuk überspringt auch Dateien, die in den Verzeichnissen Windows System32, Chrome, Mozilla, Internet Explorer und Papierkorb gespeichert sind. Dieses Ausschlussverfahren soll vermutlich die Systemstabilität erhalten und Opfern den Zugriff auf einen Browser ermöglichen, um Lösegeldzahlungen zu leisten. Wie viele Ransomware versucht auch Ryuk, Datenträger-Schattenkopien zu löschen, um zu verhindern, dass die Opfer ihre Daten mit alternativen Mitteln wiederherstellen können.

Nach erfolgreicher Infektion der Zielsysteme, stellen die Täter Lösegeldforderungen in Höhe der geschätzten Zahlungskraft der Opfer. Nach Angaben von Forschern beträgt das durchschnittlich eingenommene Lösegeld etwa 750.000 Dollar (gezahlt in Bitcoin). Die bisher höchste bekannte Zahlung wird jedoch auf 34 Millionen Dollar geschätzt, die von einem unbekannten Unternehmen im Austausch für den Decryption Key übermittelt wurden. Die russische Gruppe, die hinter den Angriffen steckt, ist dafür bekannt, dass sie hocheffektive manuelle Hacking-Techniken und Open-Source-Tools einsetzt, um sich seitlich in kompromittierten Netzwerken zu bewegen. Dies hilft den Cyberkriminellen, Zugang zu möglichst vielen Verwaltungsbereichen zu erhalten und ihre Spuren zu löschen oder zu verwischen, bevor sie die Ransomware zur Detonation bringen, was verheerende Folgen hat.

Welche Ziele Cyberkriminelle ins Visier nehmen
Cyberkriminelle nehmen mit Ryuk ein breites Spektrum von Sektoren ins Visier. Eines der Ziele sind Einrichtungen im Gesundheitswesen, von denen viele besonders gefährdet sind. Denn Krankenhäuser und Gesundheitseinrichtungen verfügen häufig über eine Fülle veralteter Netzwerkinfrastrukturen, die nur unzureichend vor solchen Cyberangriffen geschützt sind. In den letzten Monaten haben Angriffe auf Krankenhäuser auf der ganzen Welt zu Störungen geführt. Im September 2020 legte ein Angriff Computersysteme im Universitätsklinikum Düsseldorf lahm und führte dazu, dass eine Patientin starb, da sie, statt in die nahegelegene Klinik, in ein weiter entferntes Krankenhaus gebracht werden musste. Es wird angenommen, dass Ryuk auch hinter dem jüngsten Ransomware-Angriff auf die Universal Health Services (UHS) steckt, die etwa 400 Krankenhäuser und Pflegezentren in den USA und in Großbritannien betreibt, und die Attacke damit einen der größten Cyberangriffe im Healthcare-Bereich in der Geschichte der USA darstellt.

Was Organisationen tun können, um sich wirksam zu schützen
Die Cybersicherheitsindustrie hat bereits zahlreiche Schritte unternommen, um Organisationen dabei zu helfen, sich gegen den Aufstieg von Ryuk zu verteidigen. So haben viele Anbieter von Advanced Threat Protection (ATP) kostenlose Policy Packs herausgebracht, mit denen Kunden ihre bestehenden Sicherheitstools und -lösungen aktualisieren können, um schnell verdächtige Netzwerkaktivitäten zu erkennen, die auf einen potenziellen Angriff durch Ryuk hinweisen. Hierzu gehören die Erkennung der massenhaften Bearbeitung von Dateien mit bekannten Ryuk-Ransomware-Erweiterungen, die Löschung von Volume-Schattenkopien und Versuche, eine Verbindung zu einer bekannten Command-and-Control-Infrastruktur herzustellen, die mit der Ransomware-Kampagne in Verbindung steht. Weiterhin können Organisationen die folgenden grundlegenden Schritte durchführen, um ihre Cybersicherheitsabwehr gegen Bedrohungen wie Ryuk zu stärken:

- Regelmäßige Datensicherungen: Die Durchführung regelmäßiger Sicherungen aller wichtigen Organisationsdaten ist eine der besten Möglichkeiten, die Störungen von Arbeitsabläufen im Falle eines erfolgreichen Angriffs zu minimieren. Die sichere Aufbewahrung dieser Backups außerhalb des Hauptnetzwerks verhindert, dass sie als Teil eines Angriffs gelöscht oder verschlüsselt werden.

- Sicherheitspatches auf dem neuesten Stand halten: Wie bereits erwähnt, sind die Anbieter von Cybersicherheitsdiensten bereits gut über Ryuk informiert, und die große Mehrheit hat ihre Produkte und Lösungen aktualisiert, um Ryuks Signaturen zu erkennen. Diese Aktualisierungen treten jedoch erst dann in Kraft, wenn Kunden die neuesten Sicherheits-Patches in ihren Netzwerken installieren. Daher ist es entscheidend, dass solche Patches installiert werden, sobald sie veröffentlicht werden.

- Mitarbeiter über Cybersicherheit aufklären: Selbst fortschrittliche Cyber-Bedrohungen verlassen sich noch immer häufig auf die grundlegendsten Angriffsmethoden wie Phishing-E-Mails und Social-Engineering-Taktiken. Daher sollten in regelmäßigen Schulungen eine Aufklärung der Mitarbeiter durchgeführt werden, wie sie diese Angriffe erkennen können. Ryuk stellt eine starke Bedrohung für Organisationen auf der ganzen Welt dar, insbesondere für Einrichtungen im Gesundheitswesen, von denen viele derzeit besonders anfällig sind. Daher ist es wichtig, dass Organisationen ihren bestehenden Schutz bewerten, Schwachstellen identifizieren und die richtigen Korrekturen umsetzen, um die Risiken dieser Angriffe zu minimieren.

2020 wird zweifellos in die Geschichtsbücher eingehen, denn nur wenige Teile unseres Lebens sind so geblieben, wie wir sie vor Covid19 gewohnt waren. Und die Corona-Pandemie hat uns in vielen Bereichen die gesellschaftlichen und politischen Versäumnisse in puncto Digitalisierung und Cyber-Sicherheit schmerzhaft aufgezeigt. Aber: In kaum einem anderen Jahr hat die Digitalisierung im privaten und beruflichen Umfeld mehr an Fahrt aufgenommen als 2020. War Homeoffice als Arbeitsmodell in vielen Betrieben zuvor undenkbar, ist es jetzt gelebte Realität. Meetings finden dank Videokonferenzen klimaneutral statt und WhatsApp, Zoom und Co. haben unlängst auch die Wohnzimmer der Generation 70+ erobert. Dieser Digitalisierungsschub hat auch dazu beigetragen, dass das laufende Jahr für viele Onlinekriminelle sehr erfolgreich wurde. Daher hat ESET für Internetnutzer die wichtigsten "Don’ts" für 2021 zusammengefasst, damit Anwender im neuen Jahr nicht wieder in die gleichen Cyber-Fallen tappen.

Home-Digitalisierung: Vertrauen ist gut - Kontrolle ist besser!
Baumärkte hatten bereits während des ersten Lockdowns Umsatzrekorde zu vermelden. Deutschland wurde scheinbar über Nacht zu einem Land der Handwerker und Gartengestalter. Vielen nutzten die Zeit, um auch in den eigenen vier Wänden digital aufzurüsten und legten sich Smart Home Steuerungssysteme, vernetzte Haushalts- und Gartengeräte, Steckdosen per Sprachsteuerung oder Webcams zur Überwachung des eigenen Grundstücks zu. Das große Techie-Finale folgte dann am 24. Dezember mit Smart-TVs, Laptops, Tablets und Smartphones unterm Weihnachtsbaum.

Selbst ambitionierte Heim-Admins haben hier Schwierigkeiten, den Überblick und die Kontrolle über das Heimnetzwerk zu behalten. Dank Home-Office vermischen sich zudem private und berufliche Geräte im selben (W)LAN. Eine Schwachstelle im smarten Device, auf dem Privatrechner oder Router reicht dabei schnell aus, um nicht nur private Daten, sondern auch sensible Firmendaten zu gefährden.

Security-Tipp: Smarte Helfer
Anwender sollten sich zuerst einen Überblick verschaffen, welche Devices im eigenen Netzwerk eingebunden sind. Schnell und problemlos ist das mit einem Internet-Security-Paket zu bewerkstelligen, das über einen eingebauten Heimnetz-Scanner verfügt. Im nächsten Schritt sollten Anwender dann smarte und berufliche Geräte im Netzwerk separieren. Am einfachsten geht das mit Hilfe der Funktion Gast-WLAN, die bei allen Routern verfügbar ist. Die Geräte nutzen für den Onlinezugang weiterhin denselben Router, haben aber einen anderen IP-Adressbereich als das Heimnetz und sind hierdurch von ihm getrennt. So können Angreifer selbst über unsichere Smart-Home-Geräte keine Verbindung auf Netzwerkspeicher (z.B. Raid-Systeme), PC oder Notebooks im Heimnetzwerk aufbauen.

Passwortfallen vermeiden und Durchblick behalten
In jedem zweiten Sicherheitsratgeber werden Anwender aufgefordert, komplexe Passwörter für jeden genutzten Online-Dienst zu verwenden. Eine lobenswerte Aufforderung, aber in der Praxis kaum realisierbar, denn kaum ein Anwender ist in der Lage, sich für jeden Dienst ein separates Passwort zu merken. Wie auch? Ohne Probleme müssten sich Anwender zehn oder mehr unterschiedliche komplexe Passwörter merken. In der Praxis gibt es daher entweder zu einfache Passwörter, die leicht zu knacken sind oder viele Passwort-Doubletten, d.h. zwei bis drei Passwörter werden für zehn oder mehr Dienste genutzt. Das erleichtert Cyberkriminellen ihre Arbeit, denn Passwortdiebe kommen so schnell auf einen Schlag mit nur einem erbeuteten Passwort an unterschiedliche Nutzerkonten, wie z.B. Social Media Accounts. Gelingt die Übernahme des E-Mail-Accounts, sind sie in der Lage, neue Passwörter für Online-Shops zu erstellen und anschließend auf Kosten der Opfer auf Shopping-Tour zu gehen.

Security-Tipp: Passwörter
PC-Nutzer sollten Passwortmanager verwenden, um für jeden Zweck ein anderes und vor allem sicheres Passwort zu erstellen und geschützt zu speichern. Achtung: Das Speichern im Browser ist keine sichere Alternative, da diese teilweise auf dem Endgerät unverschlüsselt vorliegen. Dadurch kann jeder Nutzer mit Zugang auf das Gerät die Dateien problemlos auslesen. Ein Höchstmaß an Sicherheit bietet die Anmeldung mit Hilfe einer Zwei-Faktor-Authentifizierung. Hier wird zusätzlich zum Benutzernamen und Passwort ein individueller Einmalcode per SMS oder App an das Smartphone versendet oder die Anmeldung muss via APP bestätigt werden. Eine Vielzahl von Anbietern setzen seit längerem auf dieses sehr sichere Verfahren - Nutzer müssen es beim jeweiligen Dienst lediglich aktivieren. Zum Entsperren von Smartphones bieten sich darüber hinaus biometrische Verfahren an, wie etwa der Fingerabdruck oder FaceID. Diese Methoden sind wesentlich schwerer zu knacken als eine simple Zahlenkombination oder Wischmuster.

Vier Basisregeln, die immer gelten:
* Setzen Sie eine Internet Security Software ein, die neben E-Mails und Webseiten auch Wechselmedien wie USB-Sticks, die Netzwerkschnittstellen und den Arbeitsspeicher auf Malware überprüft. * Spielen Sie Updates des Betriebssystems, der installierten Software, Apps oder der Firmware automatisch ein. Bekannte Sicherheitslücken werden so geschlossen und sind nicht mehr durch Angreifer ausnutzbar. Sollte ein Automatismus fehlen: Regelmäßig auf Aktualisierungen prüfen und ebenfalls umgehend einspielen. * Löschen Sie Mails unbekannten Ursprungs einfach - es handelt sich in der Regel immer um SPAM. Auch wenn ein vermeintlicher Lotto-Gewinn in Aussicht gestellt wird oder Schnäppchen locken: Klicken Sie auf keinen Fall auf Links oder öffnen Sie Dateianhänge, denn das kann zur Infektion Ihres Rechners mit Schadcode führen. * Erstellen Sie regelmäßig Backups ihrer digitalen Schätze. Diese Backups sollten auf externen Festplatten erstellt werden, die nach Datensicherung vom Rechner umgehend zu trennen sind. Selbst wenn Ihr Rechner mit Ransomware infiziert und ihre Daten verschlüsselt wurden, hat der Schadcode keine Chance, auf das Backup-Medium zuzugreifen. Und zu guter Letzt: Falls ein angeblicher Microsoft-Mitarbeiter bei Ihnen anruft, sollten Sie direkt einhängen. Denn es handelt sich immer um einen Kriminellen, der nur versucht Internetnutzer in die Falle zu locken und per Remote-Zugriff Schadcode auf den PC einzuspielen.

Die Schadsoftware IceRat spioniert die Zugangsdaten von Nutzern für verschiedene Online-Dienste aus und kann bei einer Infektion ungewollt die Stromrechnung von Anwendern in die Höhe treiben - durch verdecktes illegales Coin-Mining. Technisch haben sich die Entwickler einiges ausgedacht, um eine Erkennung des Schadcodes durch Sicherheitslösungen zu verhindern.

G DATA-Virusanalyst Karsten Hahn hat IceRat genauer unter die Lupe genommen. Gelangt das gefährliche Schadprogramm auf den Computer, späht es die Zugangsdaten für verschiedene Online-Dienste, zum Beispiel Facebook oder Amazon aus. Diese Informationen alleine reichen den Kriminellen allerdings nicht aus: Sie installieren zusätzlich einen Coin-Miner, der illegal digitale Währungen schürft. So verdienen die Täter zusätzlich Geld und die Opfer haben es mit einer erhöhten Stromrechnung zu tun.

Cyberkriminelle setzen auf eine Doppelstrategie, um Virenschutzlösungen auszutricksen
Bei IceRat haben die Angreifer die Schadfunktionen nicht in eine Datei geschrieben, sondern diese auf mehrere Komponenten verteilt, die zu der Malware zusammengesetzt wurden. Bei den meisten dieser Bestandteile ist der Analyst auf eine Programmiersprache gestoßen, die für Schadcode sehr ungewöhnlich ist: JPHP. Dabei handelt es sich um eine PHP-Implementierung, die in der virtuellen Maschine von Java läuft.

Durch dieses Vorgehen versuchen die Cyberkriminellen Sicherheitslösungen auszutricksen, um eine Erkennung zu verhindern. Wenn einzelnen Dateien des Schadprogramms der Gesamtkontext fehlt, ist es schwer, diese als bösartig zu identifizieren. Die Nutzung von JPHP ist ebenfalls so ungewöhnlich, dass viele Sicherheitslösungen nicht Alarm schlagen.

"IceRat ist sehr gefährlich und schädigt Nutzer gleich in zweierlei Hinsicht. Eine Infektion führt dazu, dass nicht nur Passwörter in fremde Hände geraten und lukrativ in speziellen Untergrundmärkten verkauft werden können. Gleichzeitig wird der Computer auch noch für illegales Coin-Mining missbraucht. Damit verdienen die Angreifer doppelt auf Kosten ihrer Opfer", sagt Karsten Hahn, Virusanalyst bei G DATA CyberDefense.

Windows XP-Systeme sind wie Zombies: Sie sind nur schwer tot zu kriegen. In vielen mittelständischen Unternehmen sind immer noch Computer mit dem veralteten Betriebssystem im Einsatz. Gerade im produzierenden Gewerbe laufen viele Steuercomputer nur unter Windows XP oder anderen veralteten Betriebssystemen. Hierdurch haben Cyberkriminelle leichtes Spiel bei Angriffen. Die Rechner sollten schnellstmöglich aus dem Netzwerk entfernt oder zumindest wirkungsvoll separiert werden. Ansonsten drohen Schäden durch Angriffe, die schnell existenzbedrohend sind. "Hexen und Zombies sind zu Halloween allgegenwärtig, aber nach dem Fest wieder verschwunden. In vielen Unternehmen sind Untote das ganze Jahr über aktiv. Kritische Systeme laufen noch mit Windows XP, Serversysteme sind total veraltet und der Herstellersupport seit Jahren abgelaufen. Das ist unverantwortlich, denn es gefährdet die Sicherheit und damit auch den wirtschaftlichen Erfolg der Firmen", sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. "Die Aktualisierung der betroffenen Systeme ist schwierig, in einigen Fällen ist nur eine Neuanschaffung oder die Separierung des Netzwerkes erfolgversprechend. Fakt ist aber, dass hier ein dringender Handlungsbedarf bei den Unternehmen besteht, ansonsten drohen hohe Image- und wirtschaftliche Verluste."

Windows XP: Ein Untoter lebt weiter
edes Jahr werden weltweit Millionen neuer Computer verkauft. Trotzdem liegt der Anteil der Rechner mit einem Windows XP-Betriebssystem insgesamt bei 0,8 Prozent. Immer noch setzen viele Unternehmen teils notgedrungen auf ein System, das schon lange nicht mehr mit Updates versorgt wird und dessen Quellcode teilweise geleakt wurde. Nach den Erfahrungen der Security-Experten von G DATA CyberDefense zeigt sich das Problem immer wieder. Ein Beispiel: Ein Unternehmen kauft einen neuen Industriedrucker, der Lackproben für Autos drucken kann. Kunden können so nachvollziehen, wie sich der Lack eines Autos anfühlt. Dieser Drucker kostet mehrere Millionen Euro und wird durch ein XP-System gesteuert. Dieses Beispiel zeigt: Veraltete Betriebssysteme lassen sich auf vielen Computern zur Steuerung von Industriemaschinen oder ganzen Produktionsanlagen finden. Oft ist die Steuersoftware für die Maschine, die das System kontrolliert, nicht mit aktuellen Windows-Versionen kompatibel.

Alte Server sind immer noch im Einsatz
Jeder Zombie-Experte weiß: Einen Zombie muss man enthaupten, um ihn unschädlich zu machen. Bei Windows XP ist das schwer, da das Unternehmen streng genommen ohne den Zombie-PC aufgeschmissen ist. Zudem sind Firmen oft an vertragliche Laufzeiten oder Abschreibungsfristen gebunden oder haben es bei Aktualisierungen mit hohen Neu-Lizensierungskosten zu tun.

Ein weiteres Problem: Manchmal existiert die Herstellerfirma nicht mehr und ein Update ist ausgeschlossen oder eine neue Version ist mit einem aktuellen Betriebssystem inkompatibel. Dann hilft nur noch eine Neuanschaffung.

Generell ist ein die Durchführung eines Updates mit einem hohen Aufwand verbunden. Die Produktion, die oft ohne Unterbrechung läuft, muss dafür angehalten werden. Eine Aktualisierung ist daher schwierig und teuer. Zudem behindern Zertifizierungen und Regulierungen einen Updateprozess: Wenn die Umgebung in einem bestimmten Zustand abgenommen wurde, kann nicht einfach eine neue Software aufgespielt werden. Daher ist die Investition in eine kostspielige Neuanschaffung eine Alternative.

Netzwerk separieren
Eine andere Möglichkeit ist die konsequente Separierung des Netzwerks, in dem die betroffenen Computer laufen. Hierdurch kann ein Angreifer nicht vom Verwaltungsnetzwerk aus auch auf die Steuerung der Produktions-IT zugreifen. Dieses System sollte gehärtet sein, also nach Möglichkeit über keine Internetverbindung verfügen und nur mit den allernotwendigsten Diensten ausgestattet sein. Zusätzlich sollte ein hartes Regelwerk etabliert werden, was sicherstellt, dass nur ein Minimum an notwendigem Datenverkehr möglich ist.

"Welchen Weg ein Unternehmen auch immer geht, es muss etwas passieren. Ansonsten droht auch ein gravierender Imageverlust, wenn bekannt wird, dass ein Angriff aufgrund veralteter Betriebssysteme erfolgreich war. Es lohnt sich also, das Problem anzupacken und für mehr Sicherheit zu sorgen", so Tim Berghoff.

Die cyberkriminelle Organisation hinter der Malware InterPlanetary Storm hat eine neue Variante veröffentlicht, die neben Windows- und Linux-Rechnern nun auch Mac- und Android-Geräte ins Visier nimmt. Die Malware baut ein Botnetz auf, das derzeit etwa 13.500 infizierte Computer in 84 verschiedenen Ländern der Welt umfasst, und diese Zahl wächst weiter.

Die erste Variante von InterPlanetary Storm, die auf Windows-Rechner abzielte, wurde im Mai 2019 aufgedeckt, und im Juni dieses Jahres wurde über eine Variante berichtet, die in der Lage ist, Linux-Rechner anzugreifen. Die neue Variante, die Barracuda-Forscher erstmals Ende August entdeckten, zielt auf IoT-Geräte wie beispielsweise Fernseher, die auf Android-Betriebssystemen laufen, sowie auf Linux-basierte Maschinen wie Router mit schlecht konfiguriertem SSH-Dienst. Das Botnetz, das diese Malware aufbaut, verfügt zwar noch über keine klare Funktionalität, aber bietet den Betreibern der Kampagne eine Hintertür in die infizierten Geräte, sodass diese später für Cryptomining, DDoS oder andere groß angelegte Angriffe missbraucht werden können.

Die Mehrzahl der von der Malware infizierten Rechner befindet sich derzeit in Asien.
• 59% der infizierten Computer befinden sich in Hongkong, Südkorea und Taiwan. • 8% in Russland und der Ukraine • 6% in Brasilien • 5% in den Vereinigten Staaten und Kanada • 3% in Schweden • 3% in China • Alle anderen Länder verzeichnen 1% oder weniger (Deutschland aktuell 0,5%)

Funktionsweise der neuen InterPlanetary Storm-Malware
Die neue Variante der InterPlanetary Storm-Malware verschafft sich Zugang zu Rechnern, indem sie einen Wörterbuch-Angriff auf SSH-Server ausführt, ähnlich wie FritzFrog, eine weitere Peer-to-Peer-(P2P)-Malware. Sie kann sich auch durch den Zugriff auf offene ADB-Server (Android Debug Bridge) Zugang verschaffen. Die Malware erkennt die CPU-Architektur und das Betriebssystem ihrer Opfer, und sie kann auf ARM-basierten Rechnern ausgeführt werden, eine Architektur, die bei Routern und anderen IoT-Geräten recht häufig anzutreffen ist. Die Malware wird als InterPlanetary Storm bezeichnet, da sie das IPFS (InterPlanetary File System)-p2p-Netzwerk und die zugrunde liegende libp2p-Implementierung verwendet. Dadurch können infizierte Knoten direkt oder über andere Knoten (bspw. Relays) miteinander kommunizieren.

Spezielle Eigenschaften der neuen Variante
Diese Variante von InterPlanetary Storm ist in Go geschrieben, verwendet die Go-Implementierung von libp2p und ist mit UPX gepackt. Sie verbreitet sich unter Verwendung von SSH-Brute-Force und offenen ADB-Ports und stellt Malware-Dateien für andere Knoten im Netzwerk bereit. Die Malware ermöglicht auch Reverse Shell und kann Bash Shell ausführen. Die neue Variante verfügt über mehrere einzigartige Funktionen, die dazu beitragen sollen, dass die Malware persistent bleibt und geschützt wird, nachdem sie einen Rechner infiziert hat:

• Sie erkennt Honeypots. Die Malware sucht nach der Zeichenfolge "svr04" im Standard-Shell-Prompt (PS1), die zuvor vom Cowrie Honeypot verwendet wurde. • Sie aktualisiert sich automatisch. Die Malware vergleicht die Version der laufenden Instanz mit der neuesten verfügbaren Version und aktualisiert sich entsprechend. • Sie versucht, persistent zu bleiben, indem sie einen Dienst (system/systemv) installiert, unter Verwendung eines Go Daemon Package. • Sie stoppt andere Prozesse auf dem Rechner, die eine Bedrohung für die Malware darstellen, wie zum Beispiel Debugger und konkurrierende Malware.

Maßnahmen zum Schutz vor neuer InterPlanetary Storm-Variante
• Ordnungsgemäße Konfigurierung des SSH-Zugriffs auf allen Geräten: Dies bedeutet, dass Schlüssel anstelle von Passwörtern verwendet werden, was den Zugriff sicherer macht. Wenn die Passwort-Anmeldung aktiviert ist und der Dienst selbst zugänglich ist, kann die Malware die schlecht konfigurierte Angriffsfläche ausnutzen. Dies ist ein Problem, das bei Routern und IoT-Geräten häufig auftritt, sodass sie leichte Ziele für diese Malware darstellen. • Verwendung eines Cloud Security Posture Management Tools zur Überwachung der SSH-Zugriffskontrolle, um jegliche Konfigurationsfehler zu vermeiden, die schwere Folgen haben können. Bei Bedarf sollte ein gesicherter Zugriff auf Shells bereitgestellt werden; anstatt die Ressource im Internet Bedrohungen auszusetzen, sollte eine MFA-fähige VPN-Verbindung bereitgestellt und die Netzwerke für die spezifischen Anforderungen segmentiert werden, statt den Zugriff auf breite IP-Netzwerke zu gewähren.

Auch wenn Cyberkriminelle immer anspruchsvollere Angriffstechniken nutzen, um in Unternehmensnetzwerke einzudringen – oft sind Sicherheitsverletzung auf vermeidbare, häufig übersehene Fehlkonfigurationen zurückzuführen. Um Hackern nicht Tür und Tor auf sensible Daten und IT-Umgebungen zu öffnen, im Folgenden deshalb die fünf häufigsten Konfigurationsfehler, die es für Unternehmen zu vermeiden gilt.

1. Standard-Anmeldeinformationen
Nicht konfigurierte Standard-Benutzernamen und -Passwörter von Geräten, Datenbanken, und Installationen sind vergleichbar mit dem Hinterlassen des Schlüssels in einer verschlossenen Tür. Selbst Hobbyhacker können hier mithilfe frei verfügbarer Tools einem Unternehmen weitreichenden Schaden zufügen. Standard-Anmeldedaten auf Netzwerkgeräten wie Firewalls, Routern oder sogar Betriebssystemen ermöglicht es Angreifern, simple Passwort-Checkscanner zu verwenden, um einen direkten Zugang zu erhalten. Bei etwas ausgeklügelteren Attacken führen Hacker eine Reihe von Skriptangriffen aus, um Geräte mit roher Gewalt zu knacken, indem sie sich entweder auf Standardbenutzernamen und -passwörter oder einfache Kennwörter wie "qwerty" oder "12345" konzentrieren.

2. Mehrfachverwendung von Passwörtern
Werden in einer Flotte von Endpunkten auf jedem Gerät dasselbe Benutzerkonto und Passwort verwendet, gibt dies Cyberkriminellen die Möglichkeit, jede Maschine anzugreifen, selbst wenn nur eines der Geräte einen Sicherheitsverstoß erlitten hat. Von dort aus können Angreifer Credential-Dumping-Programme verwenden, um die Passwörter oder sogar die Hashes selbst in die Finger zu bekommen. Unternehmen sollten deshalb die Wiederverwendung von Passwörtern um jeden Preis vermeiden und nicht benötigte Konten deaktivieren.

3. Offene Remote Desktop Services und Standard-Ports
Dienste wie Remote Desktop Protocol (RDP), ein von Microsoft entwickeltes proprietäres Protokoll, bieten Administratoren eine Schnittstelle zur Fernsteuerung von Computern. Zunehmend haben Cyberkriminelle dieses offene Protokoll missbraucht, wenn es nicht richtig konfiguriert war. Beispielsweise kann Ransomware wie CrySiS und SamSam Unternehmen über offene RDP-Ports ansprechen, sowohl durch Brute Force als auch durch Dictionary-Angriffe. Jedes nach außen gerichtete Gerät, das mit dem Internet verbunden ist, sollte deshalb durch einen mehrschichtigen Schutz abgesichert werden, um Zugriffsversuche wie etwa einen Brute-Force-Angriff zu bekämpfen. Administratoren sollten eine Kombination aus starken, komplexen Passwörtern, Firewalls und Zugriffskontrolllisten nutzen, um die Wahrscheinlichkeit eines Sicherheitsverstoßes zu reduzieren.

4. Verzögertes Software-Patching
Oft machen Zero-Day-Bedrohungen Schlagzeilen, doch die häufigsten Schwachstellen, die durch Cyberkriminelle ausgenutzt werden, sind in der Regel digitale Fossilien. Daher ist die Aktualisierung von Betriebssystemen und Patches entscheidend, um einen Sicherheitsverstoß zu verhindern. Auch wenn täglich zahlreiche Exploits und Schwachstellen gefunden werden und es schwierig sein kann, Schritt zu halten, gilt es für Unternehmen, verzögertes Software-Patching zu vermeiden.

5. Ausgeschaltete Protokollierung
Deaktiviertes Logging erlaubt es Angreifern nicht unbedingt, in ein System einzudringen, aber es ermöglicht ihnen, dort unbemerkt zu agieren. Einmal eingedrungen, können sich Hacker seitlich durch das Netzwerk bewegen, um nach Daten oder Assets zu suchen, die sie hinausschleusen wollen. Ohne entsprechende Protokollierung hinterlassen sie dabei keine Spuren. Dies schafft eine Nadel im Heuhaufen für IT-Teams bei der Rekonstruktion eines Sicherheitsvorfalls. Daher sollte die Protokollierung aktiviert sein und an einen zentralen Ort wie eine SIEM-Plattform (Security Information and Event Management) gesendet werden. Diese Daten liefern die Spuren, die forensische Analysten während einer Incident-Response-Untersuchung benötigen, um den Angriff nachzuvollziehen und den Einbruch zu erfassen. Darüber hinaus hilft dies, adäquat auf Bedrohungen zu reagieren, die eine Warnung aufgrund bereits protokollierter Ereignisse auslösen.

Durch Fehlkonfigurationen und das Belassen von Geräten oder Plattformen in ihrem Standardzustand haben Cyberkriminelle leichtes Spiel bei ihren Angriffen. Deshalb sollten Unternehmen die oben genannten Sicherheitsmaßnahmen implementieren, um sich und ihre sensiblen Daten zu schützen.

Der Google-Browser Chrome warnt Smartphone-Nutzer ab jetzt vor gehackten Passwörtern. Dieses Feature war früher schon auf dem Computer verfügbar, soll jetzt aber auch sowohl auf Android- als auch iOS-Handys kommen. Chrome schickt Passwörter an die Google-Server, die feststellen, ob sie in bekannten Datenlecks entschlüsselt wurden.

"Schnell und unkompliziert"
"Internet-Browser können User sehr schnell und unkompliziert vor gehackten oder schwachen Passwörtern warnen. Für die meisten Anwender ist es viel zu aufwendig und unpraktisch, sich selbst über ihre Cybersecurity zu informieren, obwohl es eigene Services dafür gibt. Google Chrome findet leicht heraus, ob ein Passwort am falschen Ort auftaucht. Jeder Browser sollte das für seine Nutzer tun", sagt Josef Pichlmayr, CEO von IKARUS Security Software, im Gespräch mit pressetext.

Für den Passwort-Check brauchen Nutzer die neue Browser-Version Chrome 86. Sie müssen außerdem Chrome verwenden, um ihre Passwörter zu speichern. Google selbst kann bei der Überprüfung nicht die User-Namen oder Passwörter sehen, sondern nur überprüfen, ob sie mit einer Liste an gestohlenen Daten übereinstimmen.

Passwörter stark gefährdet
Google verwendet ab jetzt auch ein von Apple entwickeltes Feature, mit dem Browser und Passwort-Manager leichter die Adresse einer Website finden, auf der Anwender ihre Zugangsdaten ändern können. In der Corona-Zeit sind Passwörter aufgrund der zunehmenden Arbeit im Home Office deutlich stärker gefährdet. Ein Überschuss an gehackten Informationen im Darknet verringert sogar die Preise dafür.

Der europäische IT-Sicherheitsspezialist ESET hat in diesem Jahr erstmals einen DDoS-Angriff per Mobile-Botnet aufgedeckt. Die Täter attackierten mit infizierten gekaperten Zombie-Smartphones die internationale ESET-Webseite. Der erfolgreich abgewehrte Angriff ermöglichte es den Security-Experten, dieses neu aufkommende Angriffsszenario und die dahinterliegenden Strukturen detailliert zu analysieren.

"DDoS-Angriffe werden normalerweise immer noch über PCs oder Server realisiert. Die Zeiten ändern sich jedoch gerade. Mobile Geräte werden leistungsfähiger und ihre Internetanbindung wird schneller", erklärt Lukas Stefanko, Android Malware Researcher bei ESET. "Wenn ihr Anteil am gesamten Internetdatenverkehr im Consumer-Bereich die von Computern übertreffen wird, werden Kriminelle sie noch häufiger für ihre Angriffe verwenden."

Fake-App verwandelt Handys in Zombie-Smartphones
ESETs Analysen ergaben, dass die DDoS-Attacke mithilfe einer App namens "Updates for Android" erfolgte, die bis Januar 2020 mehr als 50.000 Downloads verzeichnete. Um der Anwendung einen legitimen Touch zu verleihen und diese zu bewerben, stellten die Angreifer eine eigens dafür eingerichtete Webseite online.

Zudem setzten die Angreifer auf ein zweistufiges Vorgehen: In der ursprünglichen Version fehlte der Anwendung die bösartige Funktionalität. Das erklärt auch, warum es die App in den Play-Store geschafft hatte. Erst zwei Wochen vor dem Angriff wurde die Malware per Update ausgespielt und in die installierte App implementiert.

Analog zu einem PC-Botnet ermöglichte der Schadcode, jedes infizierte Smartphone individuell anzusteuern. Die für einen DDoS-Angriff notwendigen Befehle verteilten die Kriminellen dann per Command & Control Konsole. Im Sekundentakt riefen so die ferngesteuerten Zombie-Smartphones die anvisierten Webseiten auf. An der durchgeführten Attacke, die circa sieben Stunden andauerte, waren etwa zehn Prozent der infizierten Geräte beteiligt.

Angreifer legen eigenes Botnet ungewollt offen
Die Ziele des Angriffs bleiben indes im Dunkeln. "Wir können nur spekulieren", sagt Stefanko. "Unter dem Strich war der einzige Effekt des Angriffs, dass die Angreifer ihr Botnetz offengelegt haben. Praktisch existiert dieses DDoS-Tool nicht mehr." Die entsprechende App wurde an Google gemeldet und umgehend aus dem Play Store entfernt. Die Anwendung kann allerdings noch aus inoffiziellen Quellen bezogen werden. ESET-Sicherheitslösungen erkennen den Trojaner als Trojan.Android/Hiddad.AJN.

"Unsere Erkennungssysteme haben wir umgehend modifiziert und weiter verbessert", so Stefanko. "Aufgrund unserer Erfahrungen besteht nun die Möglichkeit, dass wir ähnliche Trojaner an Google melden können." Einige der Verbesserungen wurden bereits in die Technologien implementiert, die innerhalb von Googles App Defense Alliance zum Einsatz kommen, zu der auch ESET gehört.

Für viele Unternehmen ist IT-Security ein Balanceakt zwischen der sorgfältigen Priorisierung von Sicherheitsanforderungen und Budget-Restriktionen. Einige Organisationen konzentrieren sich auf Advanced Threat Protection, um die Flut an Cyberangriffen zu bekämpfen, für andere sind Applikationssicherheit und das Testen von Anwendungen gesetzliche Anforderung und daher kaum verhandelbar. Zudem hat der Anstieg von Bring-Your-Own-Device (BYOD) die Angriffsfläche für Cyberkriminelle enorm vergrößert, und der Schutz vor Datenlecks ist stets ein Hauptanliegen von Unternehmen und muss angemessen berücksichtigt werden.

Eine Option, die deshalb immer beliebter wird, ist die partielle oder vollständige Auslagerung der Security. Durch die Entscheidung für einen Managed Security Service können Unternehmen von externem Spezialwissen profitieren und zugleich die Bereitstellung, Verwaltung und Überwachung von Sicherheitsanwendungen an eine vertrauenswürdige dritte Partei weitergeben. Dieser Ansatz kann die Rentabilität von Security-Investitionen beschleunigen, die Sicherheitseffektivität optimieren und gleichzeitig Kosten reduzieren. Security-as-a-Service-Modelle sind zwar nicht neu auf dem Markt, doch die Ausgereiftheit der verfügbaren Optionen und das immer günstigere Schutz-zu-Kosten-Verhältnis unterstreichen ihren Wert für ein breites Spektrum an Unternehmen.

Interne Bereitstellung versus Managed Security Services
Obwohl sich Managed Services nicht zwangsläufig für jede Organisation oder Branche eignen, sind viele Unternehmen, die diese Dienstleistungen in Anspruch nehmen, der Ansicht, dass sie dadurch für einen Bruchteil der Investitionen, die für eine interne Bereitstellung derselben Lösung erforderlich wäre, Security auf Enterprise-Niveau realisieren können. Im Folgenden drei strategische Vorteile, die Managed Security Services bieten:

1. Zugang zu externen Sicherheitsexperten: Entschärfung des Fachkräftemangels
In der gesamten Cyber-Security-Branche sind erfahrene Fachkräfte das knappste Gut, selbst für Unternehmen mit größeren Budgets. Dies macht Sicherheitsexperten zu einer seltenen und oft teuren Ressource. Die Zusammenarbeit mit einem Managed Services Provider gibt Unternehmen Zugang zu externem Fachwissen, wie es in jedem Service Level Agreement festgelegt ist. Dies bietet große Vorteile, insbesondere für Organisationen mit geringeren Budgets, die sich keine eigenen internen Sicherheitsressourcen leisten können.

2. Flexibler Einsatz durch hybride Modelle: Sensible Daten bleiben on-Premises
Bei einigen Unternehmen erfordert die Sorge um die Sensibilität von Security-Reporting-Daten, dass ihre Infrastruktur on-Premises bleiben muss. Doch für Situationen, in denen der interne Betrieb von Software nicht praktikabel, die Auslagerung der Verantwortung jedoch nicht wünschenswert ist, hat sich ein hybrides Modell herausgebildet: das Hosting von Managed Security Services vor Ort. Bei diesem Ansatz liefert und verwaltet der Provider die im Rahmen des Managed-Security-Programms verwendete Software, während das Unternehmen die Infrastruktur in seiner eigenen IT-Umgebung verwaltet. Alle Daten verbleiben beim Unternehmen, während die Verantwortlichkeiten für die Programmverwaltung vom Managed Security Service Provider übernommen werden. Auf diese Weise können Unternehmen den Security-Betrieb sicher an ihre(n) Managed-Service-Partner auslagern. Dabei werden die Investitionskosten im Vorfeld minimiert, und die Bedenken, dass Daten jeglicher Art das Haus verlassen könnten, ausgeräumt.

3. Schnellere Wertschöpfung von Security-Investitionen
Trotz des allgegenwärtigen Drucks, die Zeit bis zur Wertschöpfung zu minimieren, ist es nicht immer einfach, neue Softwarelösungen intern einzusetzen. Denn interne Teams müssen lernen, mit neuer Software zu arbeiten, die Implementierung erfolgreich zu managen sowie Kollegen zu schulen – neben vielen weiteren Prioritäten. Darüber hinaus können auch die Auswirkungen unerwarteter Verzögerungen aufgrund mangelnder Vertrautheit mit den Tools die Zeit bis zur Wertschöpfung verlangsamen. Durch den Einsatz eines Managed Security Service Providers kann jedoch ein Großteil der Einrichtungszeit und Kosten, die mit der Einführung verbunden sind, entfallen. Darüber hinaus werden Änderungen an der Infrastruktur minimiert oder gänzlich eliminiert, und externe Sicherheitsexperten übernehmen die Verantwortung für Installation, Einführung sowie Schulung aller relevanten Mitarbeiter. Dies führt zu einer schnelleren Implementierung und einer schnelleren Wertschöpfung.

Der Einsatz eines Managed Security Service Providers erfordert eine sorgfältige Abwägung, und die Entscheidung, ob es sich um die richtige Wahl handelt, hängt von einigen Variablen ab. Unternehmen, die über die Zeit, Ressourcen, das Budget oder eine bereits umfangreiche Infrastruktur verfügen, finden die Bereitstellung on-Premises möglicherweise immer noch am sinnvollsten. Wenn jedoch eine schnellere Wertschöpfung, niedrigere IT-Overheads und zusätzliche Sicherheitsexpertise dringendere Prioritäten sind, kann ein Managed-Security-Service- oder Hybrid-Modell eine äußerst effektive Möglichkeit zur Optimierung der Unternehmenssicherheit sein.

Aktuell verschicken Kriminelle ein Dokument mit angeblich geänderten Corona-Arbeitsschutzregeln. Die Mail ist getarnt als Information des Gesundheitsministeriums.
Eine Mail, die angeblich vom Bundesgesundheitsministerium stammt, enthält einen Downloader für eine Schadsoftware. Der Dateianhang mit dem Namen "Bund-Arbeitsschutzregel-Corona-September.zip" enthält vorgeblich ein Dokument mit aktualisierten und ab sofort verbindlichen Regeln für den Infektionsschutz am Arbeitsplatz. Der Text der Mail lässt den Schluss zu, dass in erster Linie Unternehmen zur Zielgruppe gehören. Aus diesem Grund ist momentan für Unternehmen besondere Vorsicht geboten, wenn vermeintliche Mails von Behörden im Postfach landen. Uns sind Berichte über derzeit aktive Infektionen bekannt.

"Die Corona-Pandemie sorgt noch immer für viel Unsicherheit - und die Mischung aus viel Homeoffice und Hygieneregeln am Arbeitsplatz stellt Arbeitgeber tatsächlich vor große Herausforderungen", sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. "Gerade deshalb sollten die Verantwortlichen aber sehr genau hinschauen und nur offiziellen Quellen vertrauen. Denn eine Infektion mit Schadsoftware können Unternehmen im Moment noch weniger gebrauchen, als ohnehin schon."

Der Text der Mail weist auf ein Treffen zwischen den Gesundheitsministern der EU hin, bei dem die aktualisierten Vorschriften überarbeitet worden seien. Dass es solch ein Treffen gegeben hat, mag vielleicht sogar stimmen - allerdings werden solche Informationen in der Regel nicht per Mail von den Ministerien versendet, sondern auf einem eigenen Portal veröffentlicht. Es findet kein proaktiver Versand per Mail statt.

Des Weiteren nimmt der Mailtext Bezug auf ein Treffen, welches "heute" stattgefunden habe. Es befinden sich auch einige Zeichenfehler in der Mail, vor allem den Buchstaben U, W, C und D sowie bei Umlauten. Die Mail enthält auch eine falsche Absendeadresse, die auf "bundesministerium-gesundheit.com" verweist - diese Domain gehört jedoch nicht zum Gesundheitsministerium. Die im Mailtext erwähnte Adresse "poststelle@bmg.bund.de" ist jedoch tatsächlich korrekt.

Um sich vor einer Schadsoftwareinfektion aus einer solchen Mail zu schützen, sollten Unternehmen und Privatpersonen alle Informationen rund um die COVID-19-Pandemie und entsprechende Schutzmaßnahmen ausschließlich aus offiziellen Quellen beziehen. Alle aktuellen Informationen rund um Corona und COVID-19 sind auf der Internetseite des Bundesministeriums für Gesundheit (BmG) gesammelt.

Eine weitere Mail mit identischer Schadfunktion ist übrigens derzeit in Form eines gefälschten Bewerbungsschreibens unterwegs. Einer der verwendeten Namen für die vermeintliche Bewerbung lautet "Claudia Alick". Das Kriminelle die Pandemie als Hebel für ihre Aktivitäten nutzen, ist nicht neu: bereits zu Beginn der Pandemie haben Betrüger dafür gesorgt, dass die Auszahlung von Finanzhilfen für gefährdete Unternehmen kurzzeitig ausgesetzt wurde.

Schadfunktionen
Nach bisherigen Erkenntnissen enthält der Mailanhang einen JScript-Loader namens "Buer" - dieser wiederum lädt aus dem Internet eine weitere Schadsoftware nach. Bei dieser handelt es sich um NuclearBot - ein Bankingtrojaner, der es unter anderem auf die Passwörter von Bankkonten abgesehen hat. Diese Schadsoftware ist für uns keine Unbekannte - wir hatten vor einiger Zeit bereits mit ihr Berührung und haben darüber ebenfalls einen Blog-Artikel geschrieben:

Die Corona-Pandemie hat auch ein halbes Jahr nach dem Ausbruch das Arbeits- und Privatleben fest im Griff. Die ESET-Forscher sehen in den Aktivitäten der Kriminellen, dass sie sich auf die Situation eingestellt haben. Insbesondere Web- und E-Mail-Attacken haben stark zugenommen. Ein weiteres beliebtes Ziel: Das Remote Desktop Protokoll (RDP) von Microsoft. Gerade Mitarbeiter, die von zu Hause aus arbeiten, greifen hierüber auf das Firmennetzwerk zu. Die Kriminellen versuchen, dieses Protokoll zu missbrauchen und sich in die Verbindung zwischen Unternehmens-IT und Home-Office einzuklinken, um Schadprogramme einzuschleusen oder Hintertüren einzurichten. Seit Jahresbeginn haben sich die Angriffsversuche darüber mehr als verdoppelt. Aber nicht nur auf Cyberbedrohungen geht der Report ein. Der Bericht gibt auch einen Lagebericht zu bekannten APT-Gruppen und deren momentane Aktivitäten.

"Unsere Forschungsdaten zeigen eine kontinuierliche Welle an Web- und E-Mail-Attacken, die die Corona-Pandemie als Thema haben. Angriffe, die auf das Remote Desktop Protokoll abzielen, haben ebenfalls zugenommen", so Roman Kovac, Chief Research Officer bei ESET.

Phishing-Mail gibt sich als Paketzustelldienst aus
Einen besonders hohen Anstieg beobachteten die ESET-Forscher bei Phishing-Mails. Hauptsächlich setzen die Kriminellen derzeit auf Nachrichten, die auf den ersten Blick vom Paketzustelldienst DHL stammen. Gegenüber dem ersten Quartal sehen die Experten bei dieser Kampagne eine Verzehnfachung des Aufkommens. Die meisten dieser E-Mails enthalten Anhänge mit den Namen "DHL_Receipt.pdf.htm" oder "DHL_Document.pdf.html". Dies sind gefälschte Formulare, die versuchen, an die Anmeldeinformationen zu DHL-Onlinediensten zu gelangen. Eine mögliche Erklärung kann die Zunahme der Online-Bestellungen durch die Corona-Pandemie sein. Gerade dieses stärkere Bestellverhalten könnte auch die Steigerung bei den Android-Bedrohungen begründen.

Android-Bedrohungen nehmen zu
Laut aktuellen Umfragen des Digitalverbandes BITKOM shoppt mehr als jeder zweite Anwender mit dem Smartphone - Tendenz steigend. Mobile Shopping ist heute bereits fast so verbreitet wie der Kauf per Laptop. Eine Steigerung zeigt auch die Android-Bedrohungslage: Um 18 Prozent sind die Malware-Erkennungen bei diesem Betriebssystem im Vergleich zum Vorjahresquartal gestiegen. Sehr beliebt waren auch im zweiten Quartal Attacken mit Bezug zur Corona-Pandemie. Ein typisches Szenario waren Banking-Trojaner, die über schadhafte Webseiten verbreitet wurden und vorgaben, Seiten der Gesundheitsministerien zu sein. Darüber hinaus sahen die Experten Fälle, in denen sich eine Android-Ransomware als kanadische Covid-19-App ausgab.

RDP-Angriffe haben Beschäftigte im Home-Office als Ziel
Seit der Corona-Pandemie hat sich der berufliche Alltag vieler Beschäftigten radikal verändert. Viele Mitarbeiter erledigen heute große Teile ihrer Arbeit per Fernzugriff auf das Firmennetzwerk. Dabei kommt häufig das Remote Desktop Protokoll (RDP) zum Einsatz. Trotz der zunehmenden Bedeutung von RDP (und anderer Remote-Access-Dienste) vernachlässigen Unternehmen häufig deren Einstellungen und Schutz. Das wissen auch Cyberkriminelle. Insbesondere Ransomware-Gruppen versuchen, daraus einen finanziellen Vorteil zu schlagen. ESET-Forschungen bestätigen einen Anstieg an Attacken auf Clients, um in schlecht gesicherte Netzwerke einzudringen. Seit Jahresbeginn haben sich die Angriffsversuche mehr als verdoppelt.

Exklusiver Blick auf die Aktivitäten der APT-Gruppen
Advanced-Persistent-Threat-(APT)-Gruppen greifen in der Regel mit gezielten Angriffen kritische Infrastrukturen sowie Behörden und Unternehmen an. Dabei geht es diesen Gruppen darum, sich im jeweiligen Netzwerk einzunisten, um an vertrauliche Daten zu gelangen. Im Threat Report berichten die ESET-Forscher über aktuelle Aktivitäten von Winnti, Turla oder Gamaredon.

Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch größere Gefahr vergessen – die Bedrohung durch Insider. Insider-Bedrohungen sind laut Verizon inzwischen für 34 Prozent aller Datenverstöße verantwortlich und können von unachtsamen Angestellten bis hin zu verärgerten Dienstleistern reichen. Das vielleicht stärkste Risiko geht jedoch von einer bestimmten Untergruppe aus – den ausscheidenden Mitarbeitern.

Sicherheitsrisiken durch ausscheidende Mitarbeiter
Für Unternehmen aller Größenordnungen haben ausscheidende Mitarbeiter schon immer ein Problem dargestellt. Denn sie verfügen nicht nur über den notwendigen Zugriff und das Wissen, wo sich sensible Daten befinden, sondern haben in der Regel auch ein Motiv. In einigen Fällen kann es einfach der Wunsch sein, Kopien der eigenen Arbeit für zukünftige Referenzen mitzunehmen. In anderen Fällen allerdings sollen sensible Daten an ein Konkurrenzunternehmen verkauft oder Insider-Wissen den Medien zugespielt werden. Hohe finanzielle Verluste und Reputationsschäden können die Folge sein. Aufgrund der unbekannten Variablen sind Unternehmen im Nachteil, wenn sie sich dieser Art von Bedrohung stellen müssen. Deshalb ist es wichtig, auf verdächtige Aktivitäten und Verhaltensweisen zu achten, die auf eine potenzielle Insider-Bedrohung hinweisen.

Transparenz der Datenbewegungen zum Schutz vor Datendiebstahl
Um sich vor Datendiebstahl durch Insider zu schützen, ist in erster Linie eine Datensichtbarkeit an den Endpunkten erforderlich, aber auch dort, wo Daten das Unternehmen verlassen oder intern übertragen werden. Zumindest sollten Organisationen in der Lage sein, alle Arten von Dateibewegungen und Datenaustritten zu verfolgen und einen Audit-Trail darüber zu erstellen, was jeder Mitarbeiter vor seinem Ausscheiden aus dem Unternehmen gemacht hat. Auf diese Weise kann das Verhalten eines Mitarbeiters zwischen dem Zeitpunkt seiner Kündigung und seinem Ausscheiden genau überwacht und ihm, falls erforderlich, sogar beim Abschlussgespräch zur Klärung vorgelegt werden.

Warnzeichen für Insider-Bedrohungen durch ausscheidende Mitarbeiter
Zu den häufigsten Warnzeichen, die einen ausscheidenden Mitarbeiter als Insider-Bedrohung entlarven können, zählen Spitzen im Datenbewegungsvolumen, das heißt große Datenmengen, die auf USB-Geräte oder Cloud-Speicherorte wie Dropbox oder Google Drive gelangen. Wenn ein Unternehmen über eine Data Loss Prevention (DLP)-Lösung verfügt, ist es möglich, Dateien nach dem Grad ihrer Sensibilität zu kennzeichnen, sodass leichter zu erkennen ist, wie vertraulich die exfiltrierten Daten sind. Werden beispielsweise vertrauliche Dateien an E-Mails angehängt und entgegen den Unternehmensrichtlinien an eine private Domain wie Gmail oder Hotmail gesendet, würde die DLP-Lösung dies melden. Ein Sicherheitsanalytiker kann daraufhin den Vorfall untersuchen, um die Absicht der Person festzustellen, die die Datei versendet hat, und prüfen, wie sensibel ihr Inhalt war.

Maschinelles Lernen zur Verhaltensanalyse
In jüngerer Zeit haben Sicherheitsanbieter begonnen, maschinelles Lernen in ihren Lösungen einzusetzen, um Analysten zu entlasten, die in der Vergangenheit jeden Alarm manuell untersuchen mussten. Machine Learning bietet zudem die Fähigkeit, im Laufe der Zeit ein Standardverhaltensprofil für eine Person oder Maschine zu erzeugen. Einmal erstellt, wird alles, was außerhalb des Normalverhaltens liegt, automatisch für die weitere Analyse markiert, sodass die Sicherheitsteams verdächtige Aktivitäten viel schneller ausmachen können.

Natürlich ist die Bewegung großer Datenmengen nicht immer Grund zur Beunruhigung. Oftmals kann dies einfach das Ergebnis von Datensicherungen in Unternehmen sein. Andererseits können viele sensible Geschäftsgeheimnisse in nur einer einzigen Datei gestohlen werden. Deshalb ist es wichtig, genau zu wissen, welche Personen oder Applikationen auf sensible Informationen zugreifen, und sicherzustellen, dass die Daten angemessen geschützt sind.

Glücklicherweise haben sich die Vorgehensweisen ausscheidender Mitarbeiter in den letzten 15 Jahren nicht dramatisch geändert. Zwar mag es gelegentlich einen Mitarbeiter geben, der über das technische Know-how verfügt, gestohlene Daten in einer Bilddatei zu verstecken und mithilfe von Steganografie hinauszuschmuggeln, doch solche Fälle sind extrem selten. Mit den richtigen Sicherheitsvorkehrungen zur Überwachung auf verdächtiges Verhalten können Unternehmen Insider-Bedrohungen durch ausscheidende Mitarbeiter erheblich minimieren.

Die Experten des IT-Sicherheits-Herstellers ESET warnen davor, Corona-Warn-Apps ohne genaue Überprüfung zu installieren. Im aktuellen Fall entdeckten die Security-Forscher eine Android-Ransomware, die sich als kanadische Covid-19-App tarnt. Diese verschlüsselt nach der Installation das Android-Gerät und fordert ein Lösegeld. Die Hintermänner des als "CryCryptor" getauften Verschlüsselungstrojaners machten sich die Ankündigung der kanadischen Regierung zunutze, eine offizielle App zur Kontaktverfolgung zu unterstützen.

"Es ist klar, dass die Operation mit CryCryptor so konzipiert wurde, dass sie sich an die offizielle COVID-19-Tracing-App anlehnt", kommentiert Lukas Stefanko, der die ESET-Untersuchung leitete. Mithilfe zweier COVID-19-Themen-Websites lockten die Angreifer ihre Opfer zum Herunterladen eines vermeintlich offiziellen COVID-19-Tracing-Tools. Dahinter verbirgt sich jedoch eine getarnte Lösegeld-App. Dank eines Tweets, der die Entdeckung einer gefälschten Android-Banking-Malware ankündigte, kam er mit seinem Forscher-Team diese Lösegeldoperation auf die Schliche.

"Neben der Verwendung einer hochwertigen mobilen Sicherheitslösung raten wir Android-Benutzern, nur Anwendungen aus seriösen Quellen wie dem Google Play-Store zu installieren", sagt Stefanko von ESET. Beide Websites sind mittlerweile außer Betrieb.

Kostenlose Entschlüsselung möglich
Opfer von CyrCryptor haben Glück im Unglück. ESET-Forscher entwarfen umgehend ein Entschlüsselungstool, das unter https://github.com/eset/cry-decryptor heruntergeladen werden kann. "CryCryptor enthält einen Fehler in seinem Code. Dieser erlaubt jeder Anwendung, die auf dem betroffenen Gerät installiert ist, einen beliebigen Dienst zu starten, der von der fehlerhaften Anwendung bereitgestellt wird. Also haben wir ein Tool erstellt, das die in CryCryptor eingebaute Entschlüsselungsfunktionalität startet", erklärt Lukás Stefanko.

Eine detaillierte Analyse von CryCryptor ist auf dem ESET-Security-Blog veröffentlicht:

22. Juni 2020. Remote-Mitarbeiter extrahieren klassifizierte Daten in noch nie dagewesener Geschwindigkeit, so das Ergebnis des neuen Data Trends Reports von Digital Guardian, der das Risiko des Verlusts sensibler Daten während der COVID-19-Krise bewertet. Das Volumen der auf USB-Geräte heruntergeladenen Daten stieg um 123 Prozent seit der WHO-Pandemie-Erklärung und großflächigen Einführung von Homeoffice. Zudem zeigte sich ein Anstieg von 72 Prozent des Daten-Uploads in die Cloud.

Der Datenaustritt über alle Pfade (E-Mail, Cloud, USB usw.) stieg um 80 Prozent im ersten Monat nach der Pandemie-Erklärung. Cloud-Speicher und USB-Geräte wurden zu den bevorzugten Ausgangspfaden (89 Prozent). Auch gab es 62 Prozent mehr böswillige Aktivitäten durch externe Angreifer und 54 Prozent mehr erforderliche Incident-Response-Untersuchungen. Sicherheitsexperten sollten besonders dem deutlichen Anstieg bei der Nutzung von USB-Geräten Aufmerksamkeit schenken, da diese aufgrund der Wahrscheinlichkeit, verlegt, verloren oder gestohlen zu werden, das Risiko des Verlusts sensibler Daten erhöhen.

Der DG Data Trends Report basiert auf aggregierten, anonymisierten Daten von fast 200 Kunden des Managed Security Program von Digital Guardian weltweit. Die Untersuchung repräsentiert ein breites Spektrum von Unternehmensgrößen und Branchen, darunter Finanzdienstleistungen, Fertigung, Gesundheitswesen und Unternehmensdienstleistungen.

„Homeoffice wird für viele Unternehmen eine Notwendigkeit bleiben“, so Christoph M. Kumpa, Director DACH & EE bei Digital Guardian. „Deshalb sollten Führungskräfte und Sicherheitsteams die Implementierung von Lösungen in Betracht zu ziehen, die Einblick in die Datenbewegungen geben und ein Mittel zur Kontrolle bieten, um potenzielle Datenverstöße zu vermeiden.“

Ein kostenloses Exemplar des DG Data Trends Reports ist erhältlich unter:

Bei der aktuellen Malware-Kampagne der InvisiMole-Gruppe deckten ESET-Forscher ihre neuesten Werkzeuge sowie bisher unbekannte Details über ihre Arbeitsweise auf. Gezielte Angriffe auf hochkarätige Organisationen im militärischen Sektor und diplomatische Vertretungen in Osteuropa charakterisieren diese neue Aktion der Cyberspione. Die Untersuchungsergebnisse stammen aus einer tiefgehenden Analyse der ESET-Experten in Zusammenarbeit mit den betroffenen Organisationen.

Die Auswertung der ESET-Telemetriedaten zeigt, dass die Attacken von Ende 2019 bis zur Veröffentlichung des Forschungsberichts andauerten. Im Rahmen der derzeit veranstalteten ESET Virtual World stellen die Experten des europäischen IT-Sicherheitsherstellers ihre Ergebnisse erstmalig der Öffentlichkeit vor. Der vollständige Bericht und das Whitepaper sind ab sofort auf Welivesecurity online verfügbar.

"Bereits in der Vergangenheit machte die InvisiMole-Gruppe mit hochentwickelten Backdoors auf sich aufmerksam. Es fehlte uns aber der Einblick in die Hintergründe - wie die Schadprogramme verteilt, wie sie verbreitet werden und wie sie auf die Systeme gelangen", erklärt ESET-Forscherin Zuzana Hromcová, die InvisiMole eingehend untersuchte. "Mit diesem dazugewonnenen Wissen aus dieser aktuellen Analyse werden wir die bösartigen Aktivitäten der Gruppe zukünftig noch genauer verfolgen können."

ESET erhält tiefe Einblicke in die Arbeitsweise von InvisiMole
Dank der Zusammenarbeit mit den betroffenen Organisationen hatten die ESET-Forscher die Möglichkeit, einen genauen Blick auf die Operationen von InvisiMole zu werfen. "In unserer Analyse konnten wir den umfangreichen Werkzeugkasten der Gruppe genauestens unter die Lupe nehmen, der für die Lieferung, die Bewegung im Netzwerk und das Ausführen der Backdoors verwendet wurde", führt Anton Tscherepanow, leitender ESET Malware Researcher im Fall InvisiMole weiter aus.

ESET-Analyse belegt Zusammenarbeit zweier Spionagegruppen
Eines der Hauptergebnisse der Untersuchung betrifft die Zusammenarbeit der InvisiMole-Gruppe mit einer anderen Spionagegruppe namens Gamaredon. Die Forscher fanden heraus, dass die Werkzeuge und Schadprogramme von InvisiMole erst zum Einsatz kommen, nachdem Gamaredon bereits in das Netzwerk des attackierten Ziels eingedrungen ist. Die ESET-Forscher vermuten, dass die Angriffe auf wichtige Ziele von der relativ einfachen Gamaredon-Malware auf die fortgeschrittene InvisiMole-Malware aufgerüstet werden.

Dies hilft der Gruppe, mit ihren Schadprogrammen unentdeckt zu bleiben und ihr Vorgehen besser zu verschleiern. Hierzu nutzt InvisiMole vier verschiedene Ablaufketten, bei denen Schadcode mit legitimen Tools und anfälligen ausführbaren Dateien erstellt wurden. Damit das eigentliche Schadprogramm von den Sicherheitsforschern nicht erkannt wird, verschlüsselt es die Komponenten bei jedem Opfer individuell Darüber hinaus enthält das neue Werkzeugset auch eine neue Funktion namens DNS Tunneling. Dadurch wird die Kommunikation mit dem C&C-Server getarnt.

Über InvisiMole
nvisiMole ist laut Einschätzung der Experten des europäischen IT-Sicherheitsherstellers mindestens seit 2013 aktiv. ESET-Forscher haben über sie schon 2018 im Zusammenhang mit gezielten Spionageaktivitäten in Russland und der Ukraine berichtet.

Für Cyberkriminelle bleibt Phishing eine der effizientesten Angriffsarten, um Log-in-Informationen abzugreifen. Besonders verheerend für Unternehmen ist die Kompromittierung privilegierter Benutzerkonten, die über hohe Berechtigungen verfügen. Hierdurch erhalten Hacker weitreichenden Zugriff auf Unternehmensressourcen und können unter dem Deckmantel der gestohlenen Identität lange unentdeckt agieren, um etwa Informationen wie Finanzdaten, Geschäftsgeheimnisse oder geistiges Eigentum zu exfiltrieren. Darüber hinaus können Cyberkriminelle die gestohlenen Zugangsdaten auch lukrativ im Darknet verkaufen. Laut Forrester sind 80 Prozent der Sicherheitsverletzungen mit kompromittierten privilegierten Zugangsdaten verbunden. Um sich vor Identitätsdiebstahl und Kontenmissbrauch durch Phishing-Angriffe zu schützen, sollten Unternehmen deshalb einen mehrschichtigen Ansatz aus Mitarbeiteraufklärung und Technologien einsetzen.

Best Practices gegen Kontenmissbrauch durch Phishing - 1. Mitarbeiterschulungen
Die umfangreiche Aufklärung der Mitarbeiter über die Gefahr und Merkmale von Phishing zählt zu den Grundpfeilern, um sich vor Angriffen zu schützen. Generell sollten Nutzer folgende Punkte beachten: • Persönliche Daten nicht öffentlich teilen: Nutzer sollten keine persönlichen Daten wie Geburtstage, Reisepläne oder persönliche Kontaktinformationen in sozialen Medien preisgeben, da diese von Angreifern für Social Engineering missbraucht werden können. • Absenderadresse und Schreibstil prüfen: Bei verdächtigen E-Mails sollten Mitarbeiter stets die E-Mail-Adresse des Absenders kontrollieren, indem sie mit der Maus über die Absenderadresse fahren. Warnzeichen für Phishing sind zudem Rechtschreib- und Grammatikfehler sowie unübliche Formulierungen. • Legitimität von Webseiten prüfen: Nutzer sollten nicht auf Links zu Webseiten in E-Mails klicken, sondern die Website direkt über den Browser aufrufen, um die Authentizität der in der E-Mail angegebenen Seite zu überprüfen. • Neue Nachricht an bekannte Absender bei verdächtigen E-Mails: Wirkt eine E-Mail von einer scheinbar bekannten Quelle verdächtig, sollten Nutzer sich mit einer neuen E-Mail an diese Quelle wenden, anstatt auf „Antworten“ zu klicken. Hierdurch kann die Legitimität der Nachricht kontrolliert werden. • Ruhe walten lassen: Bei Phishing-Angriffen vermitteln Cyberkriminelle in ihren Nachrichten häufig Dringlichkeit, um ihre Opfer dazu zu bringen, rasch und unbedacht zu handeln. Nutzer sollten sich nicht aus der Ruhe bringen lassen und stets die oben genannten Schritte zur Überprüfung der Nachricht durchführen.

2. Vorsicht bei Web-Tools von Drittanbietern
Beim Einsatz von Drittanbieter-Web-Tools sollten Unternehmen deren Sicherheitsprotokolle untersuchen, um festzustellen, ob diese umfassend genug sind, um das Einschleusen von Malware zu minimieren. Natürlich muss bei der Beschränkung der Verwendung von Drittanbieter-Web-Tools ein Gleichgewicht zwischen Sicherheit und Nutzererfahrung ausgelotet werden.

3. E-Mail-Security-Software
Weiterhin ist eine E-Mail-Security-Software empfehlenswert, die eingehende E-Mails in einer Sandbox sammelt und validiert sowie bösartige Links erkennt und entfernt.

4. Multi-Faktor-Authentifizierung
Es sollte eine Multi-Faktor-Authentifizierung (MFA) eingesetzt werden, die mehrere Identifizierungsmethoden erfordert. Hierzu zählt etwas, das der Nutzer kennt (Passwort); etwas, das er besitzt (Gerät); sowie etwas, das er ist (biometrische Authentifizierung). Dies ist eine der besten Methoden, um zu verhindern, dass unautorisierte Benutzer auf sensible Daten zugreifen und sich lateral im Netzwerk bewegen können.

5. Risikobasierte Zugriffskontrollen
Unternehmen sollten zudem risikobasierte Zugriffskontrollen implementieren, um Zugriffsrichtlinien auf Grundlage des Benutzerverhaltens zu definieren und durchzusetzen. Durch eine Kombination aus Analysen, maschinellem Lernen, Benutzerprofilen und der Durchsetzung von Richtlinien können Zugriffsentscheidungen in Echtzeit getroffen werden. Je nach Risiko-Level können dadurch die Authentifizierungsanforderungen verstärkt oder der Zugriff vollständig blockiert werden. Risikobasierte Zugriffskontrollen werden oft in Kombination mit MFA eingesetzt.

Die Flut an Phishing-Angriffen und damit einhergehende kompromittierte Zugangsdaten bleibt eine der größten Bedrohungen für die Unternehmenssicherheit. Die Aufklärung der Mitarbeiter und die Verbesserung der Authentifizierungssysteme einer Organisation sind wesentliche Schritte, um sich gegen Phishing und Identitätsdiebstahl zu schützen.

Hacker aus dem Iran und China haben die Wahlkampagnen der beiden US-Präsidentschaftskandidaten Donald Trump und Joe Biden mit Phishing-Mails attackiert, heißt es von Google. Die Angriffe waren dem US-Tech-Riesen zufolge nicht erfolgreich, seien aber bedenklich, weil beide Gruppen von ihren jeweiligen Staaten unterstützt werden und bereits die Präsidentschaftswahl 2016 unter Manipulationsversuchen von außen gelitten hat.

"Viele Möglichkeiten der Manipulation"
"Online-Plattformen sind heute deutlich besser auf Manipulationsversuche vorbereitet als noch im Jahr 2016. Allerdings gibt extrem viele Möglichkeiten, den politischen Prozess zu beeinflussen. Durch Fake News und unterschwellige Nachrichten können Angreifer auch die Meinungen der Wähler lenken. Dafür müssen sie nur wissen, was eine bestimmte Zielgruppe hören will", erklärt Josef Pichlmayr, CEO von IKARUS Security Software, gegenüber pressetext.

Beim Phishing-Betrug geben sich die Täter als Vertreter von Institutionen aus, um sich wichtige Informationen wie beispielsweise Passwörter zu erschleichen. Die von Google entdeckten Attacken richteten sich speziell auf einzelne Angestellte der beiden Wahlkampagnen. Google hat beide Teams auf die versuchten Attacken bereits aufmerksam gemacht.

Weitere Angriffe auf Wahlkampf erwartet
Mitarbeiter der Kampagnen sollten Google zufolge auf verstärkte Sicherheitsmaßnahmen setzen. Beispielsweise fügt das "Advanced Protection"-Tool des Konzerns E-Mail-Accounts zusätzliche Authentifizierungsschritte hinzu und macht sie für Hacker unzugänglicher. In den USA rechnen die meisten Online-Plattformen schon jetzt mit weiteren Manipulationsversuchen. So hat Facebook im Januar die Verwendung von Deepfakes verboten.

Zwei von drei Menschen ändern ihr Passwort nach einem Datenleck nicht. Wenn eine Domain öffentlich bekannt gibt, dass ihre Cybersecurity durchbrochen wurde, greifen die meisten Nutzer dieser Domain nicht zu Sicherheitsmaßnahmen, wie eine Studie der Carnegie Mellon University ergibt.

Nutzer bleiben Monate inaktiv
"Besonders besorgniserregend ist, dass die neuen Passwörter oft sehr ähnlich wie die anderen Zugangscodes von Anwendern sind. Außerdem ändern Menschen auch selten ihre Passwörter in anderen Domains, auch wenn diese identisch mit denen auf den Seiten sind, die von Datenlecks betroffen sind", schreiben die Studienautoren.

Für die Studie haben die Forscher Informationen von den Heim-Computern von 249 Menschen gesammelt. Von den Studienteilnehmern hatten 63 einen Account bei einer Domain, die zwischen den Jahren 2017 und 2018 ein Datenleck meldeten. Nur 21 davon änderten auf der Seite ihr Passwort. Sechs von diesen Studienteilnehmern haben mehr als drei Monate gebraucht, um aktiv zu werden.

Neues Passwort oft schwächer
Lediglich ein Drittel der User, die Passwörter geändert haben, suchten sich stattdessen einen stärkeren Sicherheitscode aus. Der Großteil wechselte auf einen weniger sicheren Code. Dem Team zufolge ist vielen Menschen nicht klar, was ein starkes Passwort ausmacht. Sie empfehlen deswegen die Verwendung eines Passwort-Managers, der automatisch starke Passwörter erstellt. Jedoch hat eine Studie der University of York von März 2020 auch Passwort-Manager als mögliche Sicherheitslücke identifiziert.

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches Talent, um hohe Summen von ihren Opfern zu erpressen. Die Entwickler des GandCrab-RaaS rühmten sich, 2,5 Millionen US-Dollar pro Woche einzunehmen. Aktuelle Angriffe mit dem polymorphen Emotet-Virus, der den TrickBot-Trojaner einführt, daraufhin Daten stiehlt und die Ryuk-Ransomware herunterlädt, können ebenso effektiv wie profitabel sein.

Neues Druckmittel: Victim-Outing von Unternehmen, die kein Lösegeld bezahlen
Darüber hinaus greifen Cyberkriminelle zu neuen Mitteln, um den Druck auf ihre Opfer weiter zu erhöhen. Die Angreifer hinter der Ransomware-Variante Maze haben begonnen, öffentlich bekanntzumachen, wenn Unternehmen sich weigern, Lösegeld zu zahlen. Auf einer Website gaben die Kriminellen kürzlich Namen, Websites und sogar gestohlene Daten von Opferfirmen weiter. Ransomware bleibt nicht nur eine ernsthafte Bedrohung, weil sie für Cyberkriminelle eine effektive Einnahmequelle ist. Das florierende Geschäft der Daten-Geiselnahme wird auch durch weitere Akteure zusätzlich angefacht:

Ransomware-Broker zur Abwicklung der Lösegeldzahlungen
Versicherungsanbieter: Teilweise Ermutigung zur Zahlung von Lösegeldern Traditionell ermöglichen Anbieter, die auf Cyber-Versicherungen spezialisiert sind, eine Deckung für Verluste, die durch eine Ransomware-Infektion entstehen. Wie die Non-Profit-Nachrichtenseite ProPublica vor kurzem herausfand, haben einige Versicherer dazu ermutigt, Lösegelder zu zahlen, wenn es wahrscheinlich ist, dass die Kosten durch eine schnelle Wiederherstellung des Geschäftsbetriebs minimiert werden können. Dies ermöglicht es den betroffenen Unternehmen zwar, schneller einen Decryption-Key zu erhalten, doch durch Lösegeldzahlungen an die Erpresser wird das Problem nur noch weiter verschärft. Nicht jede Organisation, die von Ransomware betroffen ist, ist mit den treuhänderischen Forderungen der Angreifer vertraut; dazu gehört auch, wie Krypto-Währungen wie Bitcoin funktionieren. Hierfür gibt es mittlerweile Vermittlerservices, die von Unternehmen oder deren Rechtsberatung beauftragt werden können, um eine Reduzierung der geforderten Summe auszuhandeln oder den Prozess der Lösegeldzahlung abzuwickeln. Zu diesen Dienstleistern zählt etwa die Firma Coveware, die sich selbst als „Ransomware Recovery First Responder“ bezeichnet und Unternehmen bei der Erleichterung von Zahlungen, aber auch bei der Erhebung und Weitergabe von Daten hilft, die sie mit Strafverfolgungsbehörden und Sicherheitsforschern austauscht. Eine Handvoll anderer Firmen wie Gemini Advisory und Cytelligence sind in letzter Zeit ebenfalls entstanden.

Grundlegende Best Practices gegen Ransomware
1. Aufklärung: Eine effektive Ransomware-Abwehr fußt maßgeblich auf der umfangreichen Die Einhaltung grundlegender Best Practices bleiben der Schlüssel zur Minimierung von Schäden durch Ransomware. Zu den wichtigsten Sicherheitspraktiken zählen: Mitarbeiterschulung. Zu den häufigen Infektions- oder Angriffsvektoren gehören: • E-Mail-Anhänge: Eine der gängigsten Methoden zur Verbreitung von Ransomware ist die Versendung bösartiger E-Mail-Anhänge durch Phishing-Attacken, beispielsweise als gefälschte Rechnungen oder Bewerbungsunterlagen. • Social Media: Ein weiteres Mittel der Täuschung ist ein Angriff über Social Media. Einer der bekanntesten Kanäle ist der Facebook Messenger: Kriminelle erstellen Konten, die die aktuellen Kontakte eines Benutzers nachahmen und Nachrichten mit bösartigen Dateien oder Links versenden. • Online-Popups: Ein älterer, gängiger Angriffsvektor sind Online-Popups, die häufig verwendete Software nachahmen und Nutzer dazu bringen wollen, auf das gefälschte Fenster zu klicken, um die Malware herunterzuladen. • Gefälschte Apps: Im Bereich der mobilen Ransomware zählen gefälschte Apps zu den häufigsten Infektionsvektoren. Apps sollten daher nur von vertrauenswürdigen Quellen bezogen werden.

2. Häufige und getestete Backups: Die Sicherung aller wichtigen Dateien und Systeme ist eine der stärksten Abwehrmaßnahmen gegen Ransomware. Backups sollten regelmäßig getestet werden, um sicherzustellen, dass die Daten vollständig und nicht beschädigt sind. 3. Strukturierte, regelmäßige Updates: Die meiste Software, die Unternehmen verwenden, aktualisiert der Softwarehersteller regelmäßig. Diese Updates können Patches beinhalten, um die Software vor bekannten Bedrohungen zu schützen. Jedes Unternehmen sollte einen Verantwortlichen benennen, der die Software aktualisiert. 4. Korrekte Verfolgung von Berechtigungen: Jeder Mitarbeiter, der Zugang zu Systemen erhält, schafft eine potenzielle Schwachstelle für Ransomware. Fehlende Aktualisierung von Passwörtern und unzulässige Nutzerberechtigungen können zu noch höheren Angriffswahrscheinlichkeiten führen. 5. Weitere Security-Technologien und -Services: Darüber hinaus können zusätzliche Security-as-a-Service-Dienste wie etwa Managed Detection and Response (MDR) Unternehmen durch externe Sicherheitsexperten dabei unterstützen, Bedrohungen zu jagen, zu erkennen und in Echtzeit auf Angriffe zu reagieren, um Ransomware-Angriffe und andere Advanced Threats zu stoppen, bevor sensible Unternehmensdaten gefährdet werden.

Prävention bleibt die beste Verteidigung. Mit einem mehrschichtigen Sicherheitsansatz aus Mitarbeiteraufklärung, kontinuierlichen Update- und Backup-Praktiken sowie Sicherheitstechnologien lässt sich das Risiko eines Ransomware-Angriffs deutlich verringern.

Dieses Jahr wurde das Symposium IT- und Datensicherheit online ausgetragen: Die Teilnehmer/innen holten sich von den Experten den entscheidenden Informationsvorsprung und konnten im Chat ihre Fragen stellen. Die Kernfrage war: Ist die IT-Security in der Industrie vernachlässigt worden?

Die OT-Security (Operational Technology Security) regelt die Cybersicherheit in industriellen Anlagen und ist in allen industriellen Sektoren zu finden, wie der Wasserversorgung, der Lebensmittelversorgung, der Energieversorgung oder in medizinischen Einrichtungen. Die Industrie ist mittlerweile Hauptangriffspunkt für Hacker: Es gibt eine Reihe von Angriffen, die gezielt und professionell ausgeführt werden. Grund dafür ist einerseits die steigende Vernetzung der Industrie 4.0, andererseits auch Systeme, die auf lange Lebenszeit ausgerichtet wurden, aber mit heutigen Anforderungen nicht mehr mithalten können. Anlagen wurden unter anderer Security-Prämisse geschaffen, aus dem Blickwinkel eines Ingenieurs und der Voraussetzung eines abgeschlossenen Systems. Die Konnektivität der heutigen Anlagen hatte niemand bedacht. Die Folge sind eine breite Angriffsfläche für potentielle Hacker.

Umso wichtiger sei die OT-Security, so Prof. Thomas Brandstetter vom Institut für Sicherheitsforschung der FH St. Pölten. Der Vortragende appellierte an die Betreiber der Anlagen, die offenen Flanken der Systeme zu beseitigen und die Cybersicherheit zu verstärken. Der regulatorische Druck dazu sei stärker geworden, die Regelwerke vielfältiger. Die NIS-Verordnung zum Schutz kritischer Infrastruktur ist aktueller denn je, gut ausgebildetes OT-Personal wichtig für die Cyber-Resilienz des Unternehmens. Außerdem sollten Zugriffsbeschränkungen in den Netzwerken eingeführt und / oder erweitert werden, um vor Angriffen zu schützen. Die Programmpunkte des diesjährigen Symposiums trafen nicht nur ins Herz der IT-Systeme von Unternehmen, sie warfen auch Spannungsfelder der öffentlichen Diskussion auf: 5G, Algorithmen, die Stopp-Corona-App und Fachkräftemangel.

Über zwei Drittel (70 Prozent) der Unternehmen setzen Multi-Faktor-Authentifizierung (MFA) und ein Virtual Private Network (VPN) ein, um die Sicherheitsrisiken zu bewältigen, die durch die Zunahme der Fernarbeit während der Corona-Krise entstehen. Dies geht aus einer aktuellen Umfrage von Centrify hervor, einem führenden Anbieter von identitätszentrierten Lösungen für Privileged Access Management.

Trotz der Erkenntnis, dass angesichts zunehmender Bedrohungen mehr Wachsamkeit im Bereich der Cyber-Sicherheit erforderlich ist, ergab die Umfrage auch, dass 43 Prozent der Entscheidungsträger glauben, dass die erhöhten Cyber-Sicherheitsprotokolle für Remote-Mitarbeiter negative Auswirkungen auf die Produktivität am Arbeitsplatz haben werden. Auch zog es fast die Hälfte der Befragten (49 Prozent) vor, zusätzliche Authentifizierungsschritte für grundlegende Anwendungen und Daten am Arbeitsplatz abzuschaffen, da sie der Meinung waren, dass dies die Verfahren unnötig verlängert.

60 Prozent für biometrische Identifikationsfaktoren zur Produktivitätssteigerung
Als mögliche Alternative zur Steigerung der Produktivität befürworten 60 Prozent der Entscheidungsträger biometrische Identifikationsfaktoren wie Fingerabdruck oder Gesichtserkennung, die von der FIDO2-Spezifikation für die kennwortlose Authentifizierung unterstützt werden, als geeigneten Ersatz für die zeitintensivere Multi-Faktor-Authentifizierung. Darüber hinaus stimmen zwei Drittel (66 Prozent) zu, dass sie sich bei Verwendung von Fingerabdruck- oder Gesichtserkennungs-IDs sicherer fühlen würden als bei Verwendung eines herkömmlichen Passworts.

„Jedes Unternehmen möchte die Produktivität ihrer Remote-Mitarbeiter sicherstellen, doch dies darf nicht auf Kosten der notwendigen Sicherheit gehen. Besonders wichtig ist dies für den privilegierten Zugang von IT-Administratoren“, so Martin Kulendik, Regional Sales Director DACH bei Centrify. „Die zusätzlichen wenigen Sekunden, die Benutzer benötigen, um ihre Identität ordnungsgemäß zu authentifizieren, lohnen sich. Wie unsere Umfragedaten zeigen, befassen sich viele Organisationen mit moderneren Authentifizierungsfaktoren wie der Biometrie, die sowohl die Sicherheit als auch Produktivität erhöhen können.“

Forscher des IT-Security-Unternehmens Bitdefende haben eine Android-Spyware entdeckt, die ihnen zufolge mindestens vier Jahre lang im Google Play Store unbemerkt geblieben ist. Die laut Bitdefender "unglaublich ausgereifte" Malware hat sich dabei als Bitcoin-Wallet oder Banking-App ausgegeben und konnte letztlich volle Kontrolle über ein Gerät und die darauf befindlichen Daten erlangen. Der Schädling war aber wählerisch und hat nur relativ wenige Ziele voll befallen - wohl auch, um eben lange unbemerkt zu bleiben.

Stufenweise zum Erfolg
Die Cyber-Kriminellen hinter Mandrake nutzten verschiedene Entwickler-Accounts, um ihre Malware als verschiedenste vermeintliche legitime Apps getarnt zu vertrieben, beispielsweise als Crypto-Wallet Coinbase, Chrome-Browser, PayPal oder als Banking-App australischer und deutscher Banken. Dabei gaben sich die Hintermänner große Mühe, die falschen Apps legitim aussehen zu lassen und brachten beispielsweise in manchen Fällen Wartungs-Updates heraus, um von Nutzern gemeldete Probleme zu beheben. Manche Apps hatten sogar eigene kleine Webseiten oder Social-Media-Präsenzen.

Die falschen Apps waren dabei noch nicht der eigentliche Schädling, sondern konnten einen Loader nachladen, der dann den eigentlichen Mandrake-Kern herunterlädt. Diese zwei weiteren Schritte geschahen aber offenbar nur, wenn die Cyber-Kriminellen der Malware den Befehl dazu gaben. Das geschah wohl nur bei aus ihrer Sicht lohnenden Zielen mit einem eher geringen Risiko, entdeckt zu werden. Daher dürften nur relativ wenige Geräte wirklich eine vollwertige Mandrake-Infektion haben. "Wir vermuten, dass die Zahl der Opfer in den Zehntausenden liegt", meint Bitdefender-Sicherheitsexperte Bogdan Botezatu gegenüber "TheRegister".

Selbstmord-Malware
Bei voll befallenen Geräten konnten die Angreifer sämtliche Daten wie beispielsweise Zugangsdaten für diverse Accounts oder das Online-Banking stehlen und den Bildschirminhalt aufnehmen. Mandrake ermöglichte auch, den Nutzerstandort zu verfolgen. Wohl um einer möglichen Entdeckung möglichst lange zu entgehen, kam der Schädling auch mit einer Art Selbstzerstörungsfunktion: Indem Mandrake ein Zurücksetzen des Geräts auf Werkseinstellungen auslöste, konnte sich die Malware wieder spurlos entfernen.

Die Apps am Anfang der Infektionskette hatten laut Bitdefender teils auch Mechanismen, um zu erkennen, ob sie auf einer virtuellen Maschine oder in einem Emulator laufen. Dies diente dazu, eine tiefgehende Analyse insbesondere der weiteren Komponenten durch Experten zu vermeiden. All das hat dazu geführt, dass Mandrake-Varianten zumindest seit 2016 unbemerkt im Google Play Store zu finden waren. Inzwischen wurden die entsprechenden Apps aber aus dem offiziellen Android-Marktplatz entfernt.

Die Covid-19-Pandemie hat viele Mitarbeiter ins Homeoffice verbannt. Viele nutzen ihre privaten Geräte für die Arbeit - inklusive ihrer gewohnten Standard-Suchmaschine. Für Unternehmen bringt das ein zusätzliches Datenschutz-Risiko mit sich. Die Datenschutzsuchmaschine Startpage startpage.com warnt vor Industriespionage durch die Hintertür.

Die meisten Unternehmen wurden praktisch über Nacht dazu gezwungen, ihre Mitarbeiter im Homeoffice arbeiten zu lassen. Und nur wenige waren darauf vorbereitet. Damit die Arbeit überhaupt weitergehen konnte, musste der Großteil der Angestellten auf ihre eigenen PCs und Laptops zurückgreifen. Für eine sichere Unternehmenskommunikation im Homeoffice wurden in den meisten Betrieben bereits Vorkehrungen getroffen. Was jedoch oft außer Acht gelassen wird, ist die vorinstallierte Standard-Suchmaschine auf privaten Computern.

Datenschutzrisiko Standardsuchmaschine
Während im Firmennetzwerk bestimmte Domains gesperrt bzw. Standardsuchmaschinen für alle Mitarbeiter vorgegeben werden können, verwenden die Mitarbeiter auf ihren privaten Geräten meist voreingestellte Suchmaschinen. Und das kann zu enormen Datenschutz-Risiken bis hin zur Industriespionage führen.

Der Bayerische Rundfunk hat bereits im September 2019 in einer Dokumentation über die US-amerikanische Industriespionage berichtet. So wandern Jahr für Jahr unzählige hochsensible Daten aus heimischen Betrieben in die USA ab und können von Konkurrenzunternehmen beliebig verwendet werden. Betroffen sind alle Software-Anbieter, die ihren Firmensitz in den USA haben - selbst, wenn sich die Server auf europäischem Boden befinden. Und das betrifft selbstverständlich auch Suchmaschinen.

Möglich ist dies durch den sogenannten Cloud Act, der Internetfirmen und IT-Dienstleistern mit Sitz in den USA zwingt, den Behörden Zugriff auf alle gespeicherten Daten zu garantieren - selbst, wenn diese auf Europäischen Servern gespeichert sind.

Welche Betriebsgeheimnisse Sie Ihrer Suchmaschine anvertrauen
Vor jeder Innovation kommt meist eine groß angelegte Recherche - gibt es diese Entwicklung oder Erfindung bereits? Ist ein Markt dafür vorhanden? Welche Produktnamen wären sinnvoll bzw. gibt es bereits ähnliche? Für solche Recherchen werden in der Regel Suchmaschinen verwendet. Und genau aus diesen Recherchen können Algorithmen zuverlässig ableiten, woran ein Unternehmen gerade arbeitet. Wenn ein Konkurrenz-Unternehmen auf gute Ideen aufmerksam wird und aufgrund der größeren Ressourcen schneller ist, haben europäische Firmen oft das Nachsehen - weil sie ihre Daten unwissentlich geteilt haben.

Homeoffice wird auch in Zukunft ein wichtiges Thema sein
Laut einer Umfrage des Bayerischen Forschungsinstituts für Digitale Transformation (BIDT) sind die Mitarbeiter im Homeoffice sehr zufrieden und möchten auch nach der Covid-19-Pandemie vermehrt auf diese Weise arbeiten. Es ist unwahrscheinlich, dass alle Unternehmen eigene Laptops für ihre Homeoffice-Mitarbeiter anschaffen. Deshalb ist es umso wichtiger, die Teams für Datenschutz zu sensibilisieren und sie aufzufordern, auf europäische Lösungen wie die Datenschutz-Suchmaschine Startpage zurückzugreifen - vor allem, wenn es um Recherchen zu sensiblen Firmenangelegenheiten geht.