Was IT-Security-Experten den Schlaf raubt

Handy-Malware nistet sich in SIM-Karte ein

Uhr
von Coen Kaat

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Cryptominern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security.

(Source: Coen Kaat)
(Source: Coen Kaat)

Ticker

11.10.2019 - 10:10 Uhr

Handy-Malware nistet sich in SIM-Karte ein

Seit zwei Jahren schon soll eine unsichtbare Bedrohung Mobiltelefone unsicher machen. Das teilte der irische Mobile-Security-Spezialist Adaptivemobile mit. Das Unternehmen warnt vor einer Spyware namens Simjacker. Diese gelangt über präparierte SMS-Nachrichten auf das Handy der Opfer. Die SMS beinhaltet mehrere Sim-Toolkit-Befehle (STK), die auf der SIM-Karte ausgeführt werden. Dort nistet sich dann die Spyware ein. 

Dies funktioniert jedoch nur mit SIM-Karten, die mit dem S@T-Browser bestückt sind. Dabei handelt es sich um eine obskure, veraltete Software. Ursprünglich war diese dafür entwickelt worden, um etwa den Kontostand über die SIM-Karte abfragen zu können. Mittlerweile übernehmen andere Technologien diese Funktionen. 

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

 

Die Spezifikationen seien daher seit 2009 nicht mehr aktualisiert worden, schreibt Adaptivemobile. Der S@T-Browser wurde jedoch nicht entfernt, sondern geisterte weiterhin im Hintergrund auf SIM-Karten herum – dasselbe Schicksal, das so manch eine Legacy-Technologie erleidet. 

Eine Milliarde Personen betroffen

Stand heute seien die SIM-Karten in rund 30 Ländern mit insgesamt mehr als einer Milliarde Einwohnern betroffen. Ist die SIM-Karte infiziert, kann die Spyware anschliessend den Standort, die IMEI-Seriennummer des Geräts und die Rufnummer des Handys herausfinden. Die gestohlenen Informationen sendet Simjacker per SMS an den Angreifer zurück. 

Das Opfer bekomme von alldem nichts mit, schreibt Adaptivemobile. Er bemerke weder die SMS, die ankommen und verschickt werden noch die Infektion auf der SIM-Karte.

Vermutlich könne das Schadprogramm über STK-Befehle noch mehr Schaden anrichten. In Tests gelang es Adaptivemobile etwa auch, das Mobiltelefon in eine Wanze zu verwandeln oder eine gebührenpflichtige Nummer anzurufen. Dies gehe jedoch nicht unbemerkt, sondern nur mit einer Bestätigung des Opfers.

Der gesamte Report von Adaptivemobile über Simjacker ist hier nachzulesen.

 

03.10.2019 - 11:02 Uhr

Cyberkriminelle plündern Guthaben von Digitec-Galaxus-Kunden

"Sehr geehrter Kunde. Wir haben festgestellt, dass Sie mit hoher Wahrscheinlichkeit Opfer einer Phishing-Attacke wurden und sich deshalb Unbefugte Zugriff auf Ihr Digitec- beziehungsweise Galaxus-Konto verschaffen konnten." 

Diese Zeilen mussten wohl etliche Kunden von Digitec-Galaxus lesen. Der Schweizer Onlinehändler war das Ziel eines grossangelegten Cyberangriffs, wie SRF berichtet. Mehrere 100'000 Konten waren betroffen – bei 40 waren die Angreifer erfolgreich. Die Attacke kam wohl aus dem Ausland, wie Mediensprecher Alex Hämmerli gegenüber SRF sagt. 

Die Angreifer nutzten vermutlich eine im Darknet gekaufte Liste mit Zugangsdaten. Derartige Listen kommen zustande, wenn Unternehmen selbst gehackt werden, oder wenn die Kunden von Unternehmen auf Phishing-E-Mails hereinfallen. Die betroffenen Passwörter hat der Onlinehändler bereits zurückgesetzt. 

Für 3200 Franken Softwarelizenzen gekauft

Die Cyberkriminellen plünderten Gutscheine und Guthaben auf den 40 Konten. Mit dem Geld kauften sie anschliessend Softwarelizenzen. Der Gesamtschaden belaufe sich auf 3200 Franken und werde vom Unternehmen übernommen, heisst es im Bericht.

Warum Softwarelizenzen? Gemäss Hämmerli lassen sich diese im Internet schnell weiterverkaufen. Produkte, die man sich erst noch schicken lassen muss, seien daher nur selten Ziel solcher Attacken.

"Solche Angriffe passieren", sagt Hämmerli. "Das ist Teil unseres Geschäfts und das wird sicher auch in Zukunft wieder passieren." Daher arbeite die IT-Abteilung stetig daran, neue Hürden für Angreifer einzubauen. So könne man etwa nur noch eine beschränkte Anzahl Softwarelizenzen zugleich kaufen. Zudem bietet Digitec-Galaxus auch eine Zwei-Faktor-Authentifizierung an.
 

03.10.2019 - 10:59 Uhr

Die sechs überraschendsten Cyberangriffsvektoren

Anti-Virus-Lösung auf dem PC? Selbstverständlich! Anti-Virus-Lösung auf dem Smartphone? Auch keine Seltenheit mehr. Und Anti-Virus-Lösung auf der Computermaus? ...

Die schlimmsten Schwachstellen sind nicht die unauffälligen Sicherheitslücken. Es sind die Lücken in den unauffälligen Geräten. Solche, die man im Netzwerk vergisst. Und aufgrund des Trends hin zu mehr smarten Geräten – im Büro wie auch im Alltag – nimmt ihre Anzahl stetig zu. Daher ist es heute auch nicht mehr unüblich, wenn sogar eine Glühbirne in einem Haushalt über ein eigenes WLAN-Modul verfügt. Dies macht sie aber nicht nur smart, sondern auch zu einem potenziellen Angriffsvektor für Cyberkriminelle. 

Der französische IT-Security-Unternehmen Stormshield – das zur "Airbus Defence and Space"-Gruppe gehört – erstellte daher eine Liste mit den sechs häufigsten, überraschendsten Einstiegspunkten für Cyberattacken.

Auf der Liste findet sich neben der Computermaus, dem Faxgerät und dem Babyphone auch das Aquariumthermometer. Stormshield verweist dabei auf einen Fall aus dem Jahr 2017, bei dem Hacker über die Thermometer in den Aquarien eines nordamerikanischen Casinos in das Netzwerk eindrangen. Im Netz drin, suchten die Hacker nach weiteren Schwachstellen und Daten, die sie stehlen könnten.

Die komplette Liste von Stormshield:

  1. Elektrischer Warmwasserbereiter
  2. Bayphone
  3. Computermaus
  4. USB-Kabel
  5. Aquariumthermometer
  6. Faxgerät

Mehr Infos gibt’s auf der Website von Stormshield.

10.09.2019 - 14:27 Uhr

Cybercrime steigt in der Schweiz dramatisch an

Im Vergleich zu den vergangenen Jahren ist die Kriminalität in der Schweiz um etwa ein Drittel gesunken. Seit dem Rekordjahr 2012 nahm die Anzahl Opfer von Straftaten um 100'000 ab. Dies geht aus einer Studie der ZHAW hervor.

Die Cyberkriminalität jedoch schwimmt gegen den Strom. Insbesondere Betrugsdelikte wie die unbefugte Datenbeschaffung, das unbefugte Eindringen in Datensysteme oder der betrügerische Missbrauch einer EDV-Anlage nehmen zu.

Cybercrime bevorzugt Italienisch und Französisch

Zwischen 2014 und 2018 nahmen die Fälle von unbefugter Datenbeschaffung um knapp zwei Drittel zu, der Missbrauch von EDV-Anlagen um 27 Prozent. Beide sind jedoch noch deutlich unter dem Vergleichswert von 2012. Das unbefugte Eindringen in Datensysteme nimmt laut der Studie seit 2009 kontinuierlich zu – und zwar um insgesamt 325,8 Prozent.

 

 

 

Ferner gaben 7,7 Prozent der Befragten an, in den vergangenen 12 Monaten Opfer von Cyber-Bullying geworden zu sein. Bei der sexuellen Onlinebelästigung waren es 7 Prozent. 

Cybercrime kommt in der italienischsprachigen Schweiz am häufigsten vor. In der Region berichten 15,6 Prozent der Befragten von derartigen Delikten. In der französischsprachigen Schweiz sind es 14 Prozent und in der Deutschschweiz 10,3 Prozent. Bei der traditionellen Kriminalität gibt es laut der Studie keinen signifikanten Unterschied zwischen den Sprachregionen.

Schweizer wollen härtere Strafen

Obwohl die Kriminalität insgesamt sank, sehen die Befragten dies anders. Lediglich 14,8 gaben an, dass die Straftaten seltener geworden sind. Die deutliche Mehrheit der Bevölkerung schätze die Entwicklung insofern falsch ein, heisst es in der Studie. Beim Cybercrime gingen 95,3 Prozent der Umfrageteilnehmer davon aus, dass diese Straftaten zunehmen. 

Diese Fehleinschätzung führen die Studienautoren vor allem auf zwei Faktoren zurück: den Medienkonsum – insbesondere den Konsum privater Fernsehsender und die politische Orientierung. "Je weiter rechts sich Befragte verorten, umso eher sind sie der Meinung, dass Kriminalität ein Problem ist und umso eher werden höhere Strafen gefordert", sagt Studienautor Dirk Baier. "Mehr als zwei von drei der Befragten befürworten Forderungen nach härteren Strafen."

Zur Methodik

Die ZHAW verschickte nach eigenen Angaben für die Studie über 10'000 Fragebogen an zufällig ausgewählten erwachsenen Personen in der ganzen Schweiz. 2111 hätten geantwortet. Dies entspreche der für derartige Studien durchschnittlichen Rücklaufquote von 20,1 Prozent.
 

10.09.2019 - 15:37 Uhr

Wie Kopfhörer zu Cyberwaffen werden

Matt Wixey, ein Sicherheitsforscher der Beratungsfirma PWC, hat untersucht, wie ein Hacker mit Lautsprechern einen möglichst grossen Schaden anrichten kann. Dass Hacker über Audiogeräte nicht hörbare Töne abspielen können, mit denen sich das Opfer unbemerkt verfolgen lässt, ist schon länger bekannt. Wixey untersuchte stattdessen, wie sich solche Geräte als Waffe missbrauchen lassen, wie "Wired" berichtet

Für seine Experimente nutzte der Sicherheitsforscher verschiedene Geräte, darunter Laptops, Smartphones, Bluetooth-Lautsprecher, Over-Ear-Kopfhörer, aber auch eine an einem Fahrzeug montierte Lautsprecheranlage. Das Ergebnis: Eine kleine Anzahl der Geräte lasse sich überraschend einfach manipulieren.

Ein Hacker könne etwa die Lautstärke so weit erhöhen, dass die Geräte das menschliche Gehör schädigen oder einen Tinnitus verursachen könnten. Der Angriff auf einen Smartspeaker erzeuge zudem eine Menge Hitze. Genug, um die internen Komponenten nach nur wenigen Minuten zum Schmelzen zu bringen. Ferner seien auch psychologische Folgen für die Opfer denkbar.

Solche Attacken könnten gezielt genutzt werden, um Einzelpersonen ausser Gefecht zu setzen. Die gleiche Methode könne jedoch auch etwa auf den Lautsprecheranlagen eines Stadiums angewandt werden. Im Experiment benötigte Wixey physischen Zugriff auf die Geräte. 

04.09.2019 - 14:37 Uhr

Die allsehenden Augen eines Teslas

Die Elektroautos des Herstellers Tesla sehen alles, was in der unmittelbaren Umgebung geschieht. Mit den Daten von – je nach Modell – bis zu acht Kameras und zwölf Ultraschallsensoren kann das Autopilot-Assistenzsystem das Fahrzeug teilweise autonom lenken. Künftige Modelle sollen vollständig autonomes Fahren ermöglichen.

Truman Kain vom US-amerikanischen Beratungsunternehmen Tevora hatte jedoch eine andere Idee: Er entwickelte einen Soft- und Hardware-Stack, um die Elektroautos in mobile Überwachungssysteme zu verwandeln. Das System erkennt Menschen und Fahrzeuge. Wenn eine zuvor identifizierte Person wieder auftaucht, sendet es eine Nachricht auf das Smartphone des Nutzers. So soll dieser erkennen, wenn er verfolgt wird. 

Die Lösung namens Surveillance Detection Scout verwendet einen Nividia Jetson Xavier oder Nano, könne aber auch mit einem Raspberry Pi 4 funktionieren. Gemäss dem Anbieter funktioniert die Lösung mit den Tesla-Modellen 3, S und X. 

Die Version 0.1 ist auf Github verfügbar. Der Hersteller arbeitet nach eigenen Angaben bereits an der nächsten Version. Neben den Installationsanleitungen findet sich auf Github auch eine kleine, aber wichtige Warnung. Je nach Rechtslage könne die Verwendung rechtswidrig sein. Die Lösung sei daher nur für Bildungszwecke gedacht.

Online bietet Tevora ausführlichere Informationen zum Stack an.

26.08.2019 - 14:41 Uhr

Was intelligent ist, ist auch eine Virenschleuder

"Es gibt keine Malware für Apple-Geräte." Eine Aussage, die man noch immer von vielen Nutzern – und auch einigen Fachhändlern! – hören kann. Ein hartnäckiger Irrglaube, wie sich immer wieder zeigt. Im August etwa präsentierte eine Sicherheitsforscherin an der Black-Hat-Konferenz in den USA, wie man mit einer manipulierten iMessage-Nachricht Zugriff auf Bilder, Textnachrichten und weitere Daten des Empfängers erhalten kann. Nur wenige Tage darauf, an der Defcon 2019, stellte ein anderer Sicherheitsforscher ein scheinbar unscheinbares Lightning-Kabel vor. Das Kabel selbst ist jedoch WLAN-fähig und ermöglicht einem Angreifer, Nutzerdaten zu stehlen oder Schadprogramme zu installieren. 

Tatsächlich werden mit der fortschreitenden Digitalisierung immer mehr Produkte zu potenziellen Virenschleudern. Malware ist kein reines Microsoft- und Android-Problem. Das jüngste Beispiel: digitale Spiegelreflexkameras. Sicherheitsforscher des israelischen Cybersecurity-Anbieters Check Point fanden eine Schwachstelle im Picture Transfer Protocol (PTP) – das Protokoll, das den Datenverkehr zwischen Kameras und PCs steuert. Ihnen gelang es, via USB und WLAN auf eine Kamera zuzugreifen und ein Ransomware-Programm zu installieren.

Ein Hacker könnte so die Fotos verschlüsseln und von seinem Opfer ein Lösegeld fürs Entsperren verlangen, wie Check Point schreibt. Für den Versuch verwendeten sie eine EOS 80D von Canon. Allerdings verwenden alle gängigen Kamerahersteller den PTP-Standard. "Jedes 'intelligente' Gerät, einschliesslich einer digitalen Spiegelreflex-Kamera, ist anfällig für Angriffe aus dem Internet", sagt Eyal Itkin, Sicherheitsforscher bei Check Point. 

Wie Canon mitteilt, gebe es noch keine Bestätigten Fälle, in denen Angreifer die Schwachstelle wirklich ausnutzten. Dennoch publizierte der Hersteller online bereits einen Workaround: Nutzer sollten ihre Kameras nicht an PCs in einem ungesicherten Netzwerk oder an einen PC, der potenziell mit Malware infiziert ist, anschliessen. Zudem sollten sie die WLAN-Funktion ihrer Kamera bei Nichtverwendung immer abschalten und bei einem Update darauf achten, die offizielle Firmware herunterzuladen.

Mehr Information von Canon gibt es hier. Der ausführliche Bericht von Check Point ist hier zu finden.

22.08.2019 - 12:18 Uhr

Unternehmen stecken mehr Geld in IT-Security – aber nicht primär in neue Technologien

Unternehmen weltweit wollen nächstes Jahr mehr in Cybersecurity investieren. Dies zeigt eine Studie des Beratungsunternehmens PWC. Demnach wollen 2020 etwa 69 Prozent der befragten Unternehmen 5 Prozent oder mehr ihres gesamten IT-Budgets für Cybersecurity ausgeben. Im Vorjahr lag dieser Wert noch bei 56 Prozent, wie PWC mitteilt.

Fast ein Drittel der Unternehmen wolle sogar mehr als 10 Prozent des Budgets in den eigenen Cyberschutz investieren. Gegenüber dem Vorjahr sei dieser Wert um 11 Prozentpunkte auf 30 Prozent gestiegen. 

 

 

 

"Die geplanten Budgeterhöhungen unterstreichen die betriebswirtschaftliche Relevanz der IT-Sicherheit", sagt Jörg Asma, Cyber Security Leader bei PwC Deutschland. "Waren Investitionen in Cybersicherheits-Kapazitäten und -personal vor einigen Jahren noch ein eher notwendiges Übel, sind sie heute strategischer Imperativ."

Es braucht qualitative Verbesserungen

Das Geld soll aber nicht einfach in Technologie gesteckt werden. So halten es nur 4 Prozent der Befragten für sehr wichtig, die technologische Aufklärung sowie den Fokus auf die operative technologische Sicherheit zu verbessern. Knapp die Hälfte hält aber die Einführung von künstlicher Intelligenz und Automatisierung für die wichtigste Veränderung, auf die sich Cybersecurity-Teams einstellen müssen. 

Statt technologischen brauche es vor allem qualitative Veränderungen. 76 Prozent der Befragten halten etwa signifikante Anpassungen in den Cybersecurity-Teams für notwendig. 72 Prozent der Unternehmen sagen, dass Cybersecurity-Spezialisten stärker in die Strategie und die geschäftlichen Prozesse eingebunden werden sollen. 64 Prozent gaben an, dass sie mehr Kompetenzen brauchen, um ihre Zulieferer und Partner auf Risiken zu prüfen.

 

Welche konkreten Veränderungsnotwendigkeiten sehen Sie in Bezug auf Cyber-Sicherheitsteams?

Welche konkreten Veränderungsnotwendigkeiten die befragten Unternehmen in Bezug auf Cybersecurity-Teams sehen. (Source: PWC)

"Unternehmen haben erkannt, dass in vielen Cyberteams deutlicher Lernbedarf hinsichtlich Management- und Kommunikationsfähigkeiten besteht", sagt Asma. "Auf der anderen Seite lässt sich aber eine enorme technologische Entwicklung auf Seiten der Angreifer beobachten, auf die ein Sicherheitsteam auch heute schon kurzfristig adäquat reagieren muss. Ein technologisches 'am Ball bleiben' ist damit nicht nur wichtig, sondern überlebensnotwendig."
 

17.07.2019 - 15:33 Uhr

Nach eineinhalb Jahren Arbeit: Ransomware-Entwickler geniessen Ruhestand

Eineinhalb Jahre, nachdem Gandcrab auf die Welt losgelassen wurde, geht die Ransomware nun in den Ruhestand. Dies verkündeten die Entwickler des Erpresserprogramms am Hackerforum Exploit.in, wie Bleepingcomputer berichtet

Die Entwickler stellten die Vermarktung ein, beantragten die Löschung all ihrer Posts in dem Forum und bedankten sich dabei noch bei einem Forum-Admin. Sie forderten ihre Partner auf, Gandcrab nicht länger zu verbreiten und die Opfer, zu zahlen, weil sie die Decryption Keys Ende Monat löschen werden. Das FBI veröffentlichte unterdessen die Master Decryption Keys für die Gandcrab-Ransomware.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

Obwohl diese Malware vergleichsweise kurz aktiv war, erbeutete sie gemäss den Entwicklern über 2 Milliarden US-Dollar an Lösegeldern. Die Entwickler selbst wollen über 150 Millionen Dollar eingesackt haben. Das Geld hätten die Cyberkriminellen nun in legale Unternehmen investiert. Bleepingcomputer hält dies jedoch für Prahlerei. Gandcrab gehört dennoch zu den auffälligeren Ransomware-Programmen. 

Die Entwickler verhöhnten und köderten etwa im Source Code wiederholt Sicherheitsforscher und IT-Security-FirmenGemäss Bleepingcomputer ein Zeichen dafür, dass die Entwickler ein genauso waches Auge auf die IT-Security-Branche wie diese auf die Entwickler geworfen hatten. Dabei zeigten sie auch rachsüchtige Züge: Als Ahnlab im Juli 2018 ein Abwehr-Tool gegen Gandcrab veröffentlichte, konterten die Entwickler, indem sie eine Zero-Day-Lücke in der Software der Firma ausnutzten – oder gaben dies zumindest vor. 

Die Lücke, die Gandcrab hinterlässt, wird vermutlich bald wieder gefüllt werden. Vor allem, weil die Ransomware gerade gezeigt hat, dass sich das Geschäft mit Erpresserschadprogrammen lohnt. Oder mit den Worten der Gandcrab-Entwickler: "We have proven that by doing evil deeds, retribution does not come."

17.07.2019 - 15:29 Uhr

Cyberkriminelle attackieren gamende Internetpiraten

Die Videospielbranche gehört zu den grössten Industrien überhaupt. 2018 erwirtschaftete das Spiel mit Spielen gemäss dem Marktforscher Newzoo einen Umsatz von knapp 135 Milliarden US-Dollar – über 13 Prozent mehr als im Vorjahr. Für Cyberkriminelle bedeutet dies in erster Linie eines: lukrative Ziele. 

Die Cyberkriminellen haben es jedoch nicht auf die Gamer abgesehen, die diesen Umsatz generiert haben, wie eine Studie von Kaspersky zeigt. Stattdessen gaukeln die Kriminellen ihren Opfern vor, sie könnten eine Kopie eines noch nicht veröffentlichten Spiels herunterladen, etwa "The Elder Scrolls 6", "Borderlands 3" oder "Fifa 20". Wer nicht bis zum offiziellen Release warten kann, erlebt sogleich eine böse Überraschung: Statt des neuen Games hat man sich Malware auf den Rechner geladen. 

Das populärste Spiel, um Malware zu verbreiten, ist gemäss der Studie "Minecraft". Das Open-World-Spiel wurde für fast ein Drittel aller Attacken ausgenutzt. Zwischen Juni 2018 und Juni 2019 luden 310 000 Opfer Malware statt "Minecraft" herunter. Darauf folgten "GTA 5" mit 112 000 Opfern und "Sims 4" mit knapp 105'000. Insgesamt zählte Kaspersky 932'464 Opfer.

Kaspersky empfiehlt daher auch lakonisch: Nutzt nur legitime Services, die sich bewährt haben.  

17.07.2019 - 15:25 Uhr

Falsch konfiguriert – Leck im Container

Dank Docker und Kubernetes sind Container in der IT nun in aller Munde. Wer automatisieren will, containerisiert. Über diese Container-Goldgräberstimmung hängen jedoch auch dunkle Wolken, wie einem Bericht von Palo Alto Networks zu entnehmen ist. 

Scheinbar einfache Fehlkonfigurationen könnten schwerwiegende Folgen haben, schreibt das Unternehmen. So könnten die Nutzung von Standard-Container-Namen und das Zurücklassen von Standard-Service-Ports die Umgebungen anfällig machen. Unbekannte Dritte könnten in das System eindringen und es auskundschaften. 

In dem Bericht sammelte das Unternehmen daher verschiedene Tipps, wie Unternehmen ihre Container absichern können. So könnten die richtigen Netzwerklinien und Firewalls verhindern, dass interne Ressourcen über das Internet öffentlich zugänglich werden. 

Zudem sollten Unternehmen Dienste stets in ihren eigenen Containern isolieren und nicht mehrere Dienste in einem Container unterbringen. Dies erhöhe die Ressourceneffizienz des Containers selbst und trage zudem zur Umsetzung effektiver Sicherheitsrichtlinien bei. 

Den vollständigen Bericht könnten Interessierte online lesen.

21.05.2019 - 13:31 Uhr

Happy Birthday Wannacry! Aber fast 2 Millionen haben nichts dazugelernt

Im Mai 2017 hat die Welt ein Wort gelernt, das zuvor nur IT-Security-Experten kannten: Ransomware. Die Erpressersoftware Wannacry trat ihren Siegesmarsch an und legte allein in der ersten Welle rund 200'000 IT-Systeme weltweit lahm. Es sollten noch viel mehr folgen.

Was besonders wehtut: Das Schadprogramm nutzte eine Schwachstelle aus, die Microsoft bereits im März 2017 geschlossen hatte. Zwei Monate vor dem Wannacry-Zwischenfall. Die dramatische Verbreitung der Ransomware zeigte also vor allem eines: Unternehmen patchen ihre Systeme nicht – auch nicht die kritische Infrastruktur. 

Konkret geht es um die Sicherheitslücke MS17-101 im SMB-Protokoll. SMB steht für Server Message Block und ist ein Netzprotokoll für Datei-, Druck- und andere Serverdienste. Ein Angreifer könne dank der Schwachstelle etwa Applikationen auf einem fremden Rechner ausführen oder Dateien bearbeiten. Dieser Exploit wird als EternalBlue bezeichnet. 

Und wie sieht die Situation zwei Jahre später aus? Zum Heulen! 

 

 

1,7 Millionen Rechner seien noch immer angreifbar auf diesem Weg, wie Nate Warfield, Senior Security Program Manager bei Microsoft, auf Twitter mitteilt. Auch wenn die Anzahl im Vergleich zum Vorjahr deutlich gesunken ist. Für eine seit über 2 Jahren gepatchte Schwachstelle ist die Zahl sehr hoch.

21.05.2019 - 13:24 Uhr

Hilfreiche Matrix-Fans infizieren Rechner

Der britische Sicherheitsanbieter Sophos hat ein paar hilfreiche Matrix-Fans gefunden. Diese wollen Unternehmen mit nützlichen Tipps helfen, ihre Cybersecurity aufzubessern. Die Sache hat nur einen Haken: Das Angebot unterbreiten die Matrix-Fans in der Lösegeldforderung ihrer Ransomware. 

Sophos hat die Ransomware namens "MegaCortex" seit Anfang Mai auf dem Radar, wie das Unternehmen mitteilt. Anfangs unscheinbar stieg die Anzahl geblockter Infektionen plötzlich explosionsartig an. Wie Sophos schreibt, gleicht die Erpresser-Malware der Ransomware "SamSam". Zudem sollen die Malware-Familien Emotet und Qbot bei der Verbreitung von "MegaCortex" helfen. 

 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

 

Der Name der Malware ist gemäss den Sicherheitsforschern eine Hommage an die Filmreihe "The Matrix" – wenn auch falsch geschrieben. Neo, in den Filmen durch Keanu Reeves gespielt, arbeitet zu Beginn der ersten Episode in einer Firma mit einem sehr ähnlich klingenden Namen: "MetaCortex". 

Auch die Lösegeldforderung scheine in der Stimme und Kadenz von Laurence Fishburne’s Filmfigur Morpheus geschrieben. Nachdem die Erpresser ihre Opfer zum Zahlen aufgefordert und Tipps für eine bessere IT-Sicherheit angeboten haben, endet das Schreiben der Cyberkriminellen auch mit einem leicht abgewandelten Zitat von Morpheus: "We can only show you the door. You’re the one who has to walk through it." 

 

21.05.2019 - 13:18 Uhr

Kaspersky stellt die wirklich wichtigen Fragen

Wer kennt die Situation schon nicht: Man steht vor dem offenen Kühlschrank, findet die Brokkoli hinter der Milch nicht mehr und fragt sich: Habe ich eigentlich meinen Desktop im Büro genauso ordentlich aufgeräumt? 

Der russische Sicherheitsanbieter Kaspersky Lab sieht hier nämlich einen Zusammenhang und ging dieser Frage in einer Studie nach. Das Ergebnis: Es gibt einen direkten Zusammenhang zwischen menschlichen Gewohnheiten – wie etwa das Aufräumen des Kühlschranks – und dem Umgang mit beruflichen Daten und Dokumenten. Oder anders gesagt: Wer irgendwo nicht aufräumt, räumt wohl nirgends wirklich auf. 

Gemäss der in Deutschland durchgeführten Studie schätzten 16 Prozent der befragten Büroangestellten den Inhalt ihres Kühlschranks als «wenig bis überhaupt nicht strukturiert und organisiert» ein. Dieselbe Einschätzung hatten sie auch für ihren Umgang mit gespeicherten Geschäftsdaten. 

Kaspersky sieht darin ein grosses Problem. "Da das Datenvolumen exponentiell zunimmt, sollten Geschäftsverantwortliche verstärkt auf Ordnerwüsten und das dadurch entstehende potenzielle Sicherheitsrisiko achten", sagt Maxim Frolov, Vice President of Global Sales bei Kaspersky Lab.

Fehlt der Überblick über das Datenchaos, fehlt auch die nötige Kontrolle. Wer darf jetzt auf welche Daten zugreifen? Ist dies nicht sauber und ordentlich geregelt, könnten unbefugte Drittpersonen darauf zugreifen. Je nachdem wer darauf zugreift, könnte dies finanzielle Folgen oder einen Reputationsverlust zur Folge haben.

21.05.2019 - 13:13 Uhr

E-Zigis verpetzen Nutzer

Ob E-Zigaretten gesünder sind als herkömmliche Tabakwaren, wird noch debattiert. Was jedoch ausser Diskussion steht, ist, dass E-Zigis ein völlig neues Problem für den Nutzer kreieren: ein Datenschutzproblem. 

Wie die Handelszeitung berichtet, senden die Iqos-Produkte von Philip Morris International Daten zum Nutzungsverhalten an einen Server im Norden von Zürich. Der Tabakkonzern hat eine operative Zentrale mit Forschungssitz in der Schweiz. 

Die kanadische Firma Techinsights habe die Geräte auf ihre Einzelteile hin geprüft. Dabei entdeckte sie einen übermittlungsfähigen Speicherchip. Das Gerät sammle Daten zu Batterieverbrauch und Anzahl Züge an der E-Zigarette. Per Bluetooth sei es in Tandem mit einem Smartphone auch möglich, den Standort des Qualmers herauszufinden. 

E-Zigaretten könnten auch zur Verbreitung von Malware genutzt werden. Wie, können Sie an dieser Stelle nachlesen.

Alles im Sinne der Markt- und Zielgruppenforschung für eine bessere After-Sales-Unterstützung der Nutzer, beteuert der Hersteller. Der Konzern halte sich zwar an die Datenschutzbestimmungen der EU. Aber wenn eine E-Zigarette Daten sammelt, so sind dies Gesundheitsdaten. Und diese geniessen einen besonderen Schutz. 

Der Bundesrat soll sich nun in der Sommersession der Sache annehmen. Derweil arbeiten die Konkurrenten von Philipp Morris fleissig daran, ebenfalls speicher- und übertragungsfähige E-Zigis zu lancieren.

23.04.2019 - 11:47 Uhr

Warum Cybersecurity etwas mehr Chamäleon statt Nashorn sein sollte 

Cybercrime verursacht jährlich Schäden in Milliardenhöhe. Und jedes Jahr wird die Summe sogar noch grösser. IT-Security-Firmen versuchen mit Bollwerken dagegen vorzugehen: Je schwieriger ein System zu hacken ist, desto wahrscheinlicher wird es, dass sich die Hacker ein anderes Ziel aussuchen, schreibt BBC News. Vergleichbar mit dem Nashorn, das sich dick gepanzert vor wenig fürchten muss. 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

Einige Sicherheitsexperten wollen die Branche nun aber in eine andere Richtung lenken: weniger Nashorn und mehr Chamäleon. Rechner sollen sich tarnen, um Attacken zu entgehen. “Wir müssen Prevention wieder ins Spiel bringen”, zitiert der Bericht Yuval Danieli, Vice President of Customer Services beim israelischen IT-Security-Anbieter Morphisec. Ihre Strategie basiert auf Forschungsarbeiten der renommierten Ben-Gurion-Universität des Negev.

Das Unternehmen spricht in diesem Zusammenhang von “Moving Target Security”. Dabei werden die Namen, Dateiverzeichnisse und Referenzen jeder Datei und Applikation im Speicher des Computers chiffriert. Bei jedem Neustart aufs Neue. So ändert sich die Konfiguration des PCs bei jeder Verwendung. Dies mache es für Malware schwierig, sich in das System zu verbeissen. 

Morphisecs Technologie wird gemäss dem Bericht derzeit unter anderem von der London Stock Exchange genutzt.

 

23.04.2019 - 11:39 Uhr

Fast ein Viertel aller Spear-Phishing-Attacken imitieren Microsoft 

Der kalifornische Spezialist für Netzwerksicherheit Barracuda hat eine Studie zum Thema Spear-Phishing veröffentlicht. Spear-Phishing-Attacken sind hochgradig spezialisierte und auf das Opfer zugeschnittene Phishing-Kampagnen. Die Angreifer versuchen auf diese Weise etwa an die Zugangsdaten oder Zahlungsinformationen ihrer Opfer zu kommen. 

Um ihre Opfer zu täuschen, würden die Angreifer in 83 Prozent der Fälle bekannte Unternehmen und häufig genutzte Businessapplikationen imitieren. Fast ein Drittel dieser Imitationen kopieren den Markenauftritt von Microsoft – also rund ein Viertel der totalen Anzahl an Phishing-Attacken. 21 Prozent der Imitationsattacken versuchen, das Opfer mit Apple-Logos zu täuschen. Ferner entdeckte Barracuda auch Spear-Phishing-Mails, die vorgaben, von Docusign, Amazon oder Linkedin zu kommen.

In einem Fünftel der Fälle werden laut der Studie Finanzinstitute imitiert – darunter etwa American Express oder die Bank of America. Zudem stünden Mitarbeiter von Finanzabteilungen besonders im Visier von Spear-Phishing-Angriffen. Denn diese Mitarbeiter kommunizieren am häufigsten mit Finanzinstituten. 

Wenn keine Marke ausgenutzt wird, versuchen es die Angreifer mit Sextortion oder Business E-Mail-Compromise (BEC). Laut Barracuda gaukeln 10 Prozent aller untersuchten E-Mails dem Opfer vor, der Angreifer sei im Besitz von kompromittierendem Videomaterial. 

Bei BEC-Attacken versuchen die Angreifer das Opfer glauben zu lassen, dass die E-Mail von einem Mitarbeiter kommt. Dies funktioniere besonders auf mobilen Geräten gut, da oft nur der gefälschte Absendername und nicht mehr die volle E-Mail-Adresse angezeigt wird. 

Für die Studie untersuchte Barracuda 360'000 Spear-Phishing-E-Mails in einem Zeitraum von drei Monaten.

23.04.2019 - 11:36 Uhr

Raffinierte Spionageplattform “TajMahal” bespitzelte jahrelang unentdeckt 

Kaspersky Lab hat eine bedrohliche Entdeckung gemacht: eine Spionageplattform, die während mindestens fünf Jahren aktiv war und in der Zeit auch weiterentwickelt wurde. Wer dahintersteckt und wie das Schadprogramm auf den Rechner kam, fand Kaspersky nicht heraus. Aber der Drahtzieher scheint mit keinem bekannten Bedrohungsakteur in Verbindung zu stehen. 

Kaspersky nennt die Spionageplattform “TajMahal”. Der Name leite sich von der Benennung einer Datei ab, mit der Daten herausgefiltert wurden. Die Plattform umfasse rund 80 schädliche Module, darunter Loader, Orchestratoren, C&C-Kommunikatoren, Audiorekorder, Keylogger, Bildschirme, Webcam-Grabber sowie weitere Spionagesoftware.

“Die technische Raffinesse steht ausser Zweifel und das Schadprogramm bietet Funktionen, die wir bei fortgeschrittenen Bedrohungsakteuren bisher nicht gesehen haben”, sagt Alexey Shulmin, leitender Malware-Analyst bei Kaspersky Lab. Das Schadprogramm ist etwa in der Lage, die Dokumente in der Drucker-Warteschlange zu stehlen. Wenn ein USB-Stick angeschlossen ist, kann “TajMahal” auch auslesen, welche Dateien zuvor auf diesem USB-Stick angesehen wurden. 

Bislang fand Kaspersky nur ein einziges Opfer: eine zentralasiatische Botschaft. Doch gemäss Shulmin ist es höchst unwahrscheinlich, dass eine so grosse Investition nur für ein einziges Opfer getätigt wurde. “Dies deutet darauf hin, dass es entweder noch weitere, bisher unbekannte Opfer oder weitere Versionen dieser Malware gibt – oder möglicherweise beides.”

Eine ausführlichere Beschreibung von TajMahal bietet Kaspersky Lab online.

 

25.03.2019 - 13:58 Uhr

Kantonspolizei Basel-Stadt veröffentlicht Verkehrssünder im Netz

Im Herbst 2017 hat die Kantonspolizei Basel-Stadt begonnen, Bussen mittels App und QR zu verteilen. Wer den Code mit dem Smartphone einscannt, kommt direkt zum Online-Bussenschalter. Dort findet er jedoch unter Umständen mehr als nur seine Verkehrssünden, wie die BZ Basel berichtet

Die Namen und Adressen sowie die Art und der Zeitpunkt des Vergehens von tausenden Personen waren gemäss dem Bericht jahrelang frei zugänglich und online einzusehen – bis die BZ Basel bei der Kantonspolizei Basel-Stadt nachfragte. Danach seien sie nicht mehr auffindbar gewesen.

Das Problem war jedoch nicht eine Sicherheitslücke – es wurde online schlicht keine Sicherheitsfunktion zwischengeschaltet. "Bei der Einführung des Online-Bussenschalters haben die involvierten kantonalen Stellen eine Güterabwägung vorgenommen zwischen der Art von Daten und dem Schutzmechanismus auf der einen und der Benutzerfreundlichkeit auf der anderen Seite", zitiert der Bericht den Polizeisprecher Martin Schütz.

Die online einsehbaren Daten seien auch nicht mehr, als man auch bisher mit grossem Aufwand hätte recherchieren können. "Nämlich indem man einer Strasse entlanggeht und sich die Art der Busse sowie die Autonummer notiert und danach Halterabfragen tätigt." 

"Ursprünglich hatten wir bei der Bussen-Abfrage eine zusätzliche Sicherheitsstufe eingebaut, nämlich die Autonummer", sagt Bernhard Frey Jäggi, Leiter Abteilung Verkehr, gegenüber BZ Basel. "Als wir aber auch Fussgängern und Velofahrern die Möglichkeit bieten wollten, ihre Ordnungsbussen online zu bezahlen, wurde die Autonummer weggelassen."

Vergehen mit heikleren Daten, wie etwa Fahren in angetrunkenem Zustand oder Raser-Delikte, seien nicht online publiziert gewesen. Für die Umsetzung des Online-Bussenschalters beziehungsweise der App waren die Zentralen Informatikdienste (ZID) und Abraxas verantwortlich. 

25.03.2019 - 13:52 Uhr

Welches ist das sicherste OS auf der Welt? Windows Vista, natürlich!

Avast hat sich in seinem jährlichen Global PC Risk Report mit dem Gefahrenpotenzial für Privatcomputer auseinandergesetzt. Der tschechische Anbieter von IT-Security-Software kommt darin zum Schluss, dass für Anwender von Windows 7, 8 und 10 ein Risiko von 20 Prozent besteht, dass sie Opfer eines Cyberangriffs werden. Dieses Risiko entstehe dadurch, dass die PCs unzureichend geschützt seien. 

"Die sicherste Windows-Version ist laut dem Report Windows Vista", heisst es in der Mitteilung zum Report. Wohl eine unglückliche Wortwahl. Schliesslich stellte Microsoft auch den erweiterten Support für Windows Vista am 11. April 2017 ein! Das Unternehmen warnte davor, das OS nach Supportende weiterhin zu nutzen, da Vista-Computer ohne weitere Updates die Sicherheit des Nutzers gefährden würden. 

Das geringe Infektionsrisiko bei Vista-Computer, wie auch Avast selbst im Report festhält, liege wohl eher an der geringen globalen Nutzung des Betriebssystems. Bereits Anfang 2017 machte Vista nicht mal 1 Prozent aller Windows-PCs aus, wie Marktforscher Netmarketshare damals mitteilte. Ein Jahr später war der Anteil noch weiter geschrumpft, so dass das OS gar nicht mehr in den Übersichten des Marktforschers auftauchte. Die geringe Nutzerzahl mache Vista für Cyberkriminelle wohl zu einem unattraktiven Ziel, mutmasst Avast. Dennoch: Ein Mangel an Bedrohungen macht ein wehrloses Betriebssystem nicht sicher.

In der Schweiz ist dieses Risiko für PCs übrigens etwas geringer: 14,2 Prozent gemäss Report. Den vollständigen Report können Sie online an dieser Stelle lesen (PDF-Download).

25.03.2019 - 13:48 Uhr

Hardware-Sicherheitslücke: EPFL und IBM finden Spectre-Nachfolger

Die Sicherheitslücken Spectre und Meltdown sorgten vergangenes Jahr für viel Aufsehen. Die Lücken zeigten, dass Security auch eine Frage der Hardware ist und stark von der Computerarchitektur abhängt. Welche Folgen Meltdown und Spectre für das Design zukünftiger Architekturen haben, können Sie hier nachlesen

Nun haben die ETH Lausanne (EPFL) und IBM neue jedoch mit Spectre und Meltdown vergleichbare Schwachstellen entdeckt. Sie tauften diese "SmotherSpectre", wie die EPFL mitteilt. Dabei handle es sich um eine "spekulative Seitenkanalattacke". Ein Angreifer könne ein CPU-Optimierungsverfahren ausnutzen, um Daten abzuzapfen. 

Heutige CPUs verarbeiten viele Befehle zugleich, schreibt die EPFL. Statt zu warten, bis alle Verzweigungsbefehle abgeschlossen sind, spekuliert das Optimierungsverfahren, was die nächsten Befehle sein könnten und beginnt diese bereits auszuführen. Liegt die CPU richtig, kann sie so Aufgaben schneller lösen.

Sollte die CPU sich jedoch irren, werden die spekulativen Befehle zwar verworfen. Sie kreieren allerdings auch einen so genannten Seitenkanal, durch den ein Angreifer Daten stehlen kann. Spectre und Meltdown funktionierten auf vergleichbare Weise.

"SmotherSpectre" geht gemäss Mitteilung jedoch noch weiter. "SmotherSpectre" nutzt den Datenstau (Port Contention) aus. Dieser entsteht, wenn eine Reihe von Befehlen auf einem CPU gleichzeitig ausgeführt werden sollen, aber aufgrund eines Scheduling-Konflikts nicht gleichzeitig ausgeführt werden können.

"Sogar wenn eine Software-Lösung 100-prozentig sicher ist, kann sie trotzdem von dieser Schwachstelle betroffen sein", sagt EPFL-Professor Mathias Payer. Das Problem zu lösen sei kostspielig und würde wohl die Leistung der CPUs beeinträchtigen. 

In einem Blogeintrag führen die Entdecker der Schwachstelle detailliert aus, wie die Schwachstelle funktioniert und was dagegen zu tun ist. 

25.03.2019 - 13:46 Uhr

Cardinal RAT nimmt Fintech-Firmen ins Visier

Unit 42, die Malware-Forscher von Palo Alto Networks, warnen derzeit vor dem Schadprogramm Cardinal RAT. Die Abkürzung RAT steht für Remote Access Trojan. Malware dieser Art ermöglicht dem Angreifer auf einen Rechner zuzugreifen – vergleichbar mit einer Fernwartungslösung.

Palo Alto hatte bereits 2017 vor dem Trojaner gewarnt, damals noch eine kleinvolumige Bedrohung. Nun entdeckten die Sicherheitsforscher jedoch Attacken mit einer aktualisierten Version von Cardinal RAT. Mit dem Update erhielt das Schadprogramm neue Tricks, um sich unerkannt in fremden Rechnern herumzutreiben. 

Hierfür greift die Malware etwa auf steganographische Verfahren zurück. So verschlüsselt Cardinal RAT etwa Informationen in den Pixeln einer eingebetteten Bitmap-Bilddatei. Wenn die Malware die Informationen ausliest, generiert sie daraus eine DLL-Datei.

Die aktualisierte Version – gemäss Palo Alto ist es die Version 1.7.2 – hat zudem ein klares Ziel vor Augen: die aktuell beobachteten Angriffe richten sich laut Mitteilung gegen Fintech-Unternehmen. Das Volumen bleibe jedoch weiterhin überschaubar. Palo Alto spricht von zwei zielgerichteten angegriffenen gegen Unternehmen mit Sitz in Israel. 

Unterstützt wird Cardinal RAT dabei vermutlich von der Malware-Familie EvilNum. Ein Java-Script-basiertes Schadprogramm, das bei Angriffen gegen ähnliche Unternehmen eingesetzt werde. Die beiden Schadprogramme seien bei demselben Opfer innerhalb kurzer Zeit beobachtet worden. Auch bei der Distribution zeigten sich Parallelen. Palo Alto schliesst daraus, dass dieselben Drahtzieher hinter beiden Schadprogrammen stecken könnten. 

Auf seiner Website geht Palo Alto Networks mehr ins Detail

15.03.2019 - 17:46 Uhr

Im Weltall hört dich niemand nach dem IT-Support schreien

Um den Menschen ins Weltall zu befördern, muss man an Vieles denken. Luft zum Atmen, genügend Treibstoff, um von der Schwerkraft loszukommen und die Türen zu verriegeln. Aber IT-Security gehört offensichtlich nicht dazu.

Wie eine interne Prüfung zeigt, kränkelt die IT-Abwehr der National Aeronautics and Space Administration – besser bekannt als NASA. Die US-amerikanische Raumfahrtbehörde war etwa für das Space-Shuttle-Programm der USA zuständig. 

Die Prüfung stufte die Cybersecurity der NASA auf Level zwei ein, wie The Register berichtet. Das heisst, dass die NASA zwar Abwehrprozesse und Strategien definiert und dokumentiert habe, aber diese nicht konsequent umgesetzt seien. Die NASA erhielt bereits im Vorjahr die gleiche Bewertung. 

Der Bericht zur Prüfung spricht von einer signifikanten Bedrohung für NASAs Betrieb. So seien etwa die Möglichkeiten der Raumfahrtbehörde, ihre Daten, Systeme und Netzwerke zu schützen beeinträchtigt. Und die Abwehrpläne hätten etwa fehlende, unvollständige und fehlerhafte Daten, zitiert der Bericht Jim Morrison. Gemeint ist aber nicht der verstorbene Sänger von The Doors, sondern der gleichnamige Assistant Inspector General for Audits bei der NASA.

Die NASA ist jedoch in guter Gesellschaft. Ende 2018 stellte sich heraus, dass sich die Waffensysteme des US-Militärs erstaunlich einfach hacken lassen. Mehr dazu können Sie im Eintrag vom 11.10.2018 «So einfach lassen sich US-Waffensysteme hacken» nachlesen.

15.03.2019 - 17:29 Uhr

Was haben Backdoors und goldene Ringe gemeinsam? Französisch!

15.03.2019 - 17:27 Uhr

Cyberkriminelle auf der Jagd nach Postfinance- und UBS-Kunden

Wer die E-Banking-Portale der UBS und Postfinance nutzt, sollte derzeit auf der Hut sein. Betrüger haben es auf die Zugangsdaten der Kunden abgesehen, wie das Computer Security Incident Response Team (GovCERT) der Melde- und Analysestelle Informationssicherung (Melani) warnt. 

Die Betrüger verschickten Phishing-E-Mails mit schadhaften Links. Statt auf die korrekten E-Banking-Portale, verwiesen diese auf ubsserver[.]net beziehungsweise postfinonce- logln [.]biz. 

Wer derartige E-Mails erhalten hat, sollte sie löschen und nicht auf den Link klicken. Melani ruft zudem dazu auf, verdächtige E-Mails oder Websites auf antiphishing.ch zu melden.

15.03.2019 - 17:23 Uhr

39 Prozent der Counter-Strike-Server verteilen Trojaner 

Die Debatte um die schädlichen Auswirkungen von Videospielen auf den Menschen hält zwar noch an. Die Debatte um die schädlichen Auswirkungen von Videospielen auf die IT-Infrastruktur ist jedoch eher einseitig. 

Das jüngste Beispiel: Counter Strike 1.6 – ein Online-Taktik-Shooter aus dem Jahr 2000. Unterdessen veröffentlichte der Entwickler Valve zwar bereits mehrere Nachfolger, darunter Counter Strike Source und Counter Strike Global Offensive. Dennoch wird das Original auch knapp 20 Jahre nach der Lancierung weiterhin rege gespielt.

Rund 5000 Server werden dafür genutzt, Counter-Strike-Partien zu hosten. Und 39 Prozent davon verbreiteten Malware, wie Bleepingcomputer berichtet. Die Zahlen kommen vom Anti-Virus-Anbieter Dr. Web. 

Ein Cyberkrimineller, der sich selbst Belonard nennt, nutzte eine Schwachstelle im Game Client aus, um Trojaner auf den Rechnern der Spieler zu laden. Diese fangen prompt an, Dateien im Game Client zu ersetzen. Der Cyberkriminelle wollte so andere Server und Websites gegen Bezahlung bewerben. So ändert der Trojaner etwa die Gamertags der Spieler in die URLs seiner Kunden.  

Dr. Web nahm nach eigenen Angaben zwar die schadhaften Domains vom Web. Aber die Sicherheitslücke kann nur Valve schliessen. Das Spiel wird jedoch nicht mehr unterstützt. Wann und ob die Lücke geschlossen wird, ist also unklar.

15.03.2019 - 17:17 Uhr

Simbad-Adware segelt auf Google Play Store

Die Sicherheitsforscher von Check Point haben einer Adware-Kampagne im Google Play Store das Handwerk gelegt. Die grossangelegte Kampagne war auf 206 Apps verteilt. Sie alle verbreiteten das Schadprogramm Simbad, wie Check Point mitteilt. 150 Millionen Nutzer waren betroffen.

Der Name erinnert an eine Figur aus Tausendundeiner Nacht. Die Sicherheitsforscher wählten ihn jedoch, weil der Löwenanteil der schädlichen Apps Simulations-Spiele waren, wie es in der Mitteilung heisst. 

Einmal auf dem Smartphone installiert, will die Malware auch auf dem Gerät bleiben. Zu diesem Zweck entfernt sie etwa das Icon, was es für den Nutzer schwieriger macht, die App zu löschen. Das Opfer wird anschliessend mit unzähligen Werbeanzeigen überflutet – die Einnahmequelle der Cyberkriminellen.

Simbad kann aber noch mehr: Das Schadprogramm kann zudem willkürlich andere Anwendungen öffnen und URLs über den Browser aufrufen. Und gemäss Check Point habe die Malware auch das Potenzial, eine noch grössere Bedrohung zu werden.

Google hat die betroffenen Apps bereits aus dem Store entfernt, allerdings sind die Applikationen noch auf den Geräten der Nutzer installiert, wie Check Point mitteilt. Wie die Sicherheitsforscher vermuten, waren die Entwickler dieser Apps selbst Opfer eines Betrugs. Möglicherweise nutzten sie das bösartige-Software Development Kit (SDK) RXDrioder ohne den tatsächlichen Inhalt zu kennen. 

Den vollständigen Bericht der Sicherheitsforscher zu Simbad können Sie auf der Website von Check Point lesen.

18.02.2019 - 21:07 Uhr

Frau in Bellinzona wegen Voice Phishing angeklagt

Die Bundesanwaltschaft hat in Bellinzona Klage wegen Voice Phishing erhoben. Die angeklagte Frau soll über das Telefon ihre Opfer dazu gebracht haben, die Zugangsdaten zum E-Banking zu nennen. Bei rund 50 Personen habe sie erfolgreich Überweisungen tätigen können und so mehr als 2 Millionen Franken erbeutet, wie die Bundesanwaltschaft mitteilt. Dabei handle es sich um den gewerbsmässigen betrügerischen Missbrauch einer Datenverarbeitungsanlage (Art. 147 Abs. 1 i.V.m. Abs. 2 StGB), wie es in einer Mitteilung heisst

Die angeklagte Frau sei demnach Mitglied einer kriminellen Gruppierung, welche von März 2016 bis Juli 2018 in der Schweiz aktiv war. Verhaftet wurde die Frau in Rotterdam – in Zusammenarbeit mit den niederländischen Behörden, Fedpol und Eurojust. 

Im Rahmen eines abgekürzten Verfahrens liegt der Fall nun beim Bundesstrafgericht. Bei einem abgekürzten Verfahren muss die angeklagte Person unter anderem im Wesentlichen geständig sein. Anstatt über alle Einzelheiten Beweis zu führen, prüft das Gericht ledig einen vorgefertigten Anklageentwurf inklusive Urteilsvorschlag. Die beschuldigte Person muss mit diesem Entwurf einverstanden sein.

 

18.02.2019 - 20:57 Uhr

Android-Malware nutzt faule Krypto-Nutzer aus

Kryptowährungen haben auch etwas Lästiges an sich. Wer Gelder überweisen oder empfangen will, braucht eine Wallet-Adresse. Doch wer will heute noch 27- bis 34-stellige alphanumerische Codes von Hand abtippen? Die deutlich bequemere Art ist doch, den Code einfach zu copy-pasten. 

Doch genau diese Bequemlichkeit nutzen Cyberkriminelle gerne aus. Die Sicherheitsforscher von Eset entdeckten ein Schadprogramm auf Android-Smartphones. Diese sogenannte Clipper-Malware liest und verändert den Inhalt in der Zwischenablage. Eset gab ihr den Namen Android/Clipper.C.

Das Opfer kopiert also die Wallet-Adresse, die sein Geld erhalten soll. Die Adresse landet in der Zwischenablage, wo die Clipper-Malware sie ersetzt durch die Adresse des Cyberkriminellen. Wenn das Opfer anschliessend die vermeintliche Adresse des Empfängers hineinkopiert, gibt er die Adresse des Angreifers ein. 

Derartige Schadprogramme sind nicht neu. Clipper traten erstmals 2017 auf Windows-Geräten auf. 2018 kamen die ersten Android-Ableger in fragwürdigen App-Stores auf. Doch Android-Nutzer, die ihre Apps ausschliesslich über den offiziellen Google Play Store kaufen, waren bis jetzt sicher. 

Bis jetzt. «Jetzt betrifft das Problem auch den durchschnittlichen Android-Anwender», sagt ESET Malware Forscher Lukáš Štefanko. Denn Eset fand diesen neuen Schädling im offiziellen Play Store. «Zum Glück haben wir den Clipper bereits kurz nach seinem Upload in den Store entdeckt. Wir haben den Sachverhalt dem Google Play Security Team gemeldet, welches kurz daraufhin die App entfernte», sagt Štefanko.

Mehr Informationen zur Clipper-Malware, die sich als App-Version des legitimen Diensts Metamask ausgab, bietet Eset auf seiner Website.

 

18.02.2019 - 20:43 Uhr

Krümelmonster will Kryptowährungen von Mac-Nutzern

Palo Alto hat ein Krümelmonster entdeckt, das sich auf Macs herumtreibt und Heisshunger hat auf Cookies. Daher taufte Palo Alto die Malware "Cookieminer". Die Cookies sammelt das Schadprogramm auf Kryptowährungsbörsen wie etwa Coinbase. 

Das Schadprogramm stiehlt auch gespeicherte Passwörter sowie iPhone-Textnachrichten von iTunes-Back-ups. Indem es alle diese Infos kombiniert, will Cookieminer Multifaktor-Authentifizierungen aushebeln. Wenn der Angreifer sich etwa von einem fremden Rechner mit gestohlenen Zugangsdaten anmeldet und zugleich ein Authentifizierungs-Cookie bereitstellt, wird der Anmeldeversuch wohl nicht als verdächtig eingestuft.

Einmal angemeldet, kann der Angreifer beginnen, Gelder abzuheben. Theoretisch könnte der Angreifer – sofern er genügend Opfer hat – mit grossvolumigen Käufen oder Verkäufen auch den Markt und die Marktpreise manipulieren.

18.02.2019 - 20:34 Uhr

Anzahl CEO-Scams nehmen seit Vorjahr massiv zu 

Der kalifornische IT-Security-Anbieter Proofpoint hat seinen vierteljählrichen Threat Report veröffentlicht. Wie aus der Mitteilung zum Bericht für das vierte Quartal 2018 (als PDF herunterladen) hervorgeht, stieg die Bedrohung durch Social Engineering und E-Mails für Unternehmen drastisch an. 

Einer der Schwerpunkte des Reports sind sogenannte CEO-Scams per E-Mail. Dabei täuscht der Angreifer dem Opfer etwa in einer E-Mail vor, eine vorgesetzte Person zu sein - wie etwa der CEO. In der Regel läuft es darauf hinaus, dass das Opfer aufgefordert wird, eine Zahlung zu tätigen.

Im vierten Quartal 2017 hätten Unternehmen durchschnittlich rund 21 solcher E-Mails erhalten. Ein Jahr später hat sich diese Zahl beinahe versechsfacht. Im vierten Quartal 2018 zählte Proofpoint im Schnitt bereits 121 derartige Betrugsversuche pro Unternehmen. Auch im Vergleich zum Vorquartal sei dies eine massive Steigerung, schreibt der Sicherheitsanbieter.

Wie Proofpoint schreibt, seien Unternehmen mit einer sich ständig verändernden Bedrohungslandschaft konfrontiert. Dennoch sei es ratsam, herkömmliche Cyberattacken per E-Mail nicht zu unterschätzen. Um derartige Betrugsversuche abzuwehren, sollten Firmen ihre Mitarbeiter entsprechend schulen. 

18.02.2019 - 20:25 Uhr

DDoS-Attacken werden zunehmend gefährlicher

Im Jahr 2018 ist die Anzahl DDoS-Attacken um rund 13 Prozent gesunken, wenn man es mit dem Vorjahr vergleicht. Der grösste Rückgang war im vierten Quartal 2018. In dem Zeitraum gingen die Attacken um 30 Prozent zurück. Dies geht aus dem aktuellen DDoS-Report von Kaspersky hervor. 

Wie aus dem Report ebenfalls hervorgeht, ist dies jedoch keineswegs eine erfreuliche Nachricht. Denn zur gleichen Zeit nahm die Dauer von gemischten und http-Flood-Angriffen zu, wie Kaspersky mitteilt. Dies deute darauf hin, dass die Angreifer komplexe Methoden nutzen, um die DDoS-Abwehr von Unternehmen zu umgehen. 

Derartige Schutzmassnahmen machen Standard-DDoS-Attacken fast schon nutzlos. Daher schrumpfe auch der Markt für derartige Tools. Die Attacken dieser Art, die noch vorkommen, zielten wohl eher darauf ab, die Abwehr der Opfer zu testen. Denn die Angreifer wüssten schon nach wenigen Minuten, ob ihre Attacke erfolgreich sei oder nicht. 

Kaspersky geht davon aus, dass sich dieser Trend fortsetzen wird. Auch 2019 werde sich die Anzahl Attacken verringern, während die Dauer, Angriffsbandbreite und Effekt der Attacken zunehme. Entsprechend würden auch die Anbieter von DDoS-Attacken stetig versierter werden. 

Mehr zum DDoS-Report von Kaspersky bietet das Unternehmen auf seiner Website.

22.01.2019 - 15:37 Uhr

Diese Ransomware tut zweimal weh

Das Malwarehunterteam hat eine scheinbar völlig unscheinbare Ransomware gefunden. Wie alle anderen seiner Art, verschlüsselt auch dieses Schadprogramm die Daten seiner Opfer. Eine Lösegeldforderung instruiert das Opfer anschliessend, wie es seine Daten wiederhaben kann. Genauso wie es auch bei jeder anderen Ransomware-Infektion passiert – zumindest fast. Denn in diesem Erpresserbrief ist eine fiese zweite Attacke auf das Opfer versteckt. 

Der Erpresserbrief bietet dem Opfer vermeintlich die Option, das Lösegeld via Paypal zu zahlen – statt wie üblich in Bitcoin. Wer dies jedoch versucht, wird nicht zu Paypal weitergeleitet, sondern zu einer Phishing-Site. Die falsche Paypal-Website sieht der echten täuschend ähnlich. Diese versucht anschliessend, die Zugangs- und die Kreditkartendaten des Opfers zu stehlen, wie Bleepingcomputer berichtet

 

 

Wer seine Zugangsdaten eingetippt und abgesendet hat, wird anschliessend zur richtigen Adresse von Paypal weitergeleitet, die ihn erneut auffordert, sich einzuloggen. Gefunden hatte die Ransomware das Malwarehunterteam.

Die Lektion, die man daraus ziehen kann? Immer zuerst die Website überprüfen, bevor man seine Zugangs- und Zahlungsinformationen eingibt. Insbesondere wenn Kriminelle gerade versuchen, jemandem das Leben zu vereinfachen.

22.01.2019 - 15:34 Uhr

Skype durchlöchert Androids Bildschirmsperre 

Der Messaging- und VoIP-Dienst Skype kann, was wohl so manchem Cyberkriminellen nicht gelingt: Die Microsoft-Applikation kann mühelos ein Android-Handy entsperren und unerlaubten Zugriff auf das Gerät gewähren. Entdeckt hatte die Sicherheitslücke der Bughunter Florian Kunushevci, wie The Register berichtet

Um diese Lücke auszunutzen, muss der Angreifer lediglich einen Skype-Anruf auf dem gesperrten Smartphone annehmen. Hierfür muss er das Gerät nicht entsperren. Sobald die Verbindung steht, funktioniert die Skype-App als sei das Handy im entsperrten Modus. 

So kann der Angreifer durch antippen des Profilbildes des Anrufers auf verschiedene Funktionen des Smartphones zugreifen. Darunter etwa auf sämtliche Bilder und Fotoalben, die Namen und Nummern aller Kontakte sowie auf den Webbrowser, wie Kunushevci in einem Youtube-Video demonstriert. 

Dass ein Angreifer die Skype-App auf diese Weise ausnutzen könne, sei wohl schlicht übersehen worden, heisst es in dem Bericht. Die Lücke betreffe sämtliche Skype- und auch alle Android-Versionen. Kunushevci hatte Microsoft, den Anbieter von Skype, bereits vergangenen Oktober kontaktiert. Das Dezember-Update von Skype behebt dieses Problem.

22.01.2019 - 15:27 Uhr

Die unheimliche Stimme aus der Kamera

Eine Überwachungskamera in den eigenen vier Wänden kann vor Schaden schützen. Doch eine WLAN-fähige Überwachungskamera, die zudem auch noch ungeschützt ist, kann noch sehr viel mehr Schaden verursachen. 

Dies musste Andy Gregg, ein Immobilienmakler aus Arizona, am eigenen Leib erfahren. Zum Glück allerdings auf die sanfte Art. Gregg war im Garten, als aus seinem Haus plötzlich eine unbekannte Stimme drang, wie die Lokalzeitung The Arizona Republic berichtet

Die Stimme kam jedoch nicht von einem Einbrecher, sondern von seiner Nest-Netzwerkkamera. Auf die Frage, wer sie sei, antwortete die Stimme: «Sie kennen mich nicht. Ich bin ein Sicherheitsforscher aus Kanada.» Der Sicherheitsforscher – nach eigenen Angaben Teil des Anonymous Calgary Hivemind – hatte Greggs Kamera gehackt. 

Nicht, um Gregg auszuspionieren. Sondern um ihn zu warnen, wie unsicher solche Kameras sind. Gregg und der freundliche kanadische Hacker plauderten für eine Weile. Der Sicherheitsforscher machte Gregg darauf aufmerksam, was er theoretisch alles an privaten Informationen auf diese Weise erlangen könnte und gab ihm Sicherheitstipps, wie er das vermeiden könne. Gregg, das unbeschadete Opfer, zeichnete das ganze Gespräch auf und postete es online. 

Der Hacker verabschiedete sich wieder – nachdem er sich mehrmals für seinen Auftritt und den daraus resultierenden Schrecken entschuldigte. 

22.01.2019 - 15:16 Uhr

4,3 Prozent aller Monero-Coins durch Cryptomining erwirtschaftet

Forscher der Universität Carlos III in Madrid und des King’s College in London haben 4,4 Millionen Malware-Proben analysiert. Die Proben wurden zwischen 2007 und 2018 gesammelt. Von diesen Proben ausgehend, berechneten die Forscher, wie viel Monero-Coins Cyberkriminelle durch Cryptomining erbeutet haben. 

Monero gehört zu den Kryptowährungen. Anders als etwa Bitcoin, bietet Monero viel mehr Möglichkeiten, anonyme Transaktionen durchzuführen. Dies macht die Währung sehr populär bei Cyberkriminellen. Sie nutzen etwa Cryptominer, um die Rechenleistung ihrer Opfer anzuzapfen. Mit dieser Rechenleistung schürfen sie anschliessend nach Monero. 

Die Forscher nutzten verschiedene Methoden und holten diverse Datenbanken und öffentliche Zahlungsbelege. Sie kamen zu dem Schluss, dass mindestens 4,3 Prozent des sich in Form von Monero zirkulierenden Geldes durch Cryptominer geschürft wurden. Den Cyberkriminellen spülte dies demnach bis zu 56 Millionen US-Dollar in die Kassen. 

Der Gewinn dürfte relativ hoch sein. Schliesslich ist die finanzielle Einstiegsschwelle sehr tief. Ausserdem, so schreiben die Forscher in ihrer Arbeit, habe die IT-Security-Branche das Risiko durch Cryptominer lange unterschätzt. 

Im Vergleich zu anderen Formen der Cyberkriminalität ist der Schaden durch Cryptominer beim Opfer eher gering. Ein betroffenes Unternehmen hat potenziell höhere Betriebskosten, weil es für mehr Rechenleistung aufkommen muss. Zum Vergleich: Der durchschnittliche Schaden einer Cyberattacke liegt gemäss einer Studie von Radware bei rund 1 Million Euro.   

Interessierte können die komplette Forschungsarbeit zum illegalen Geschäft mit Monero online als PDF herunterladen.
 

11.01.2019 - 15:52 Uhr

Diese Cyberbedrohungen terrorisieren das neue Jahr

Der israelische Anbieter von IT-Sicherheitslösungen Check Point hat am 10. Januar zum Neujahrslunch geladen. In kleiner Runde sprach Sonja Meindl, Country Manager von Check Point ALPS, über die IT-Security-Trends von 2018 und wie sich diese 2019 weiterentwickeln werden. Zwei Themen waren vergangenes Jahr fast omnipräsent, sagte Meindl: Cryptomining und Ransomware. 

Cryptomining – still aber sehr gefährlich

Hinter dem Begriff stecken zumeist unscheinbare Skripte, die jedoch grossen finanziellen Schaden anrichten können. Ohne Mitwissen des Nutzers, zapfen diese Schädlinge die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen. 

Die Entwicklung dieser Bedrohung sei exponentiell – wohl auch wegen dem Hype um Bitcoin und andere Kryptowährungen von 2018. 40 Prozent der Unternehmen seien davon betroffen. Im Vorjahr waren es noch 20 Prozent. Die tatsächliche Anzahl betroffener Unternehmen liegt aber wohl viel höher. Denn gemäss Meindl wissen die meisten Firmen nicht, ob ein Cryptominer ihre Ressourcen anzapft oder nicht. 

Cryptominer stehlen keine Daten und verschlüsseln sie auch nicht. Die Bedrohung, die von ihnen ausgeht, wird daher oft unterschätzt. Wenn ein Unternehmen etwa auf Cloud-Computing setzt, könnten die rechenintensiven Cryptominer die Kosten stark in die Höhe treiben.

Ransomware – der fiese Platzhirsch

Auch Ransomware ist "überraschenderweise" weiterhin ein Thema, scherzte Meindl. Das Geschäft mit Erpressungsprogrammen sei ein sehr lukratives Business. Darum werden gemäss Meindl derartige Schädlinge auch zunehmend beliebter und auch 2019 noch ein Thema bleiben.

Eine Ransomware verschlüsselt nach der Infektion eines Rechners sämtliche oder ausgewählte Dateien auf dem Gerät. Statt der gewohnten Benutzeroberfläche sehen die Opfer lediglich einen Sperrbildschirm mit einer Lösegeldaufforderung.
Die Bandbreite solcher Attacken ist immens. Sie reichen von sehr gezielten Angriffen bis zu grossangelegten Kampagnen mit kleineren Lösegeldern, um möglichst viele Opfer zum bezahlen zu bewegen.

Mangelnde E-Mail-Hygiene in der Schweiz

Global gesehen erfolgen gemäss Meindl 45 Prozent der Infektionen über das Web und 55 über schädliche E-Mails. In der Schweiz sei dieses Verhältnis jedoch ein wenig anders. Ganze 75 Prozent der Infektionen würden hierzulande von schädlichen E-Mails ausgehen – und lediglich 25 kämen aus dem Web.

Auch die Verteilung nach Herkunftsländern zeigt deutliche Unterschiede. 50 Prozent der globalen Bedrohungen kommen gemäss Check Point aus China. Die meisten Cyberbedrohungen in der Schweiz kommen jedoch aus den USA (37 Prozent), gefolgt von Deutschland (24 Prozent). Lediglich 7 Prozent der hiesigen Schädlinge kommen auch aus der Schweiz.  

Cyberkriminelle suchen sich Freunde

Das Ransomware-Geschäft ermöglichte sogar das Aufkommen völlig neuer krimineller Industrien – wie etwa der Fall von Dr. Shifro zeigte. Der vermeintliche IT-Berater gab vor, Ransomware-Opfer helfen zu wollen, ihre Daten wieder zurück zu erhalten.

Tatsächlich stand Dr. Shifro jedoch in Kontakt mit den Autoren der Erpresserprogramme und machte einen Deal mit ihnen. Er bezahlte die Lösegelder, wälzte die Kosten auf seine "Kunden" ab und verrechnete für seine Dienste eine hohe zusätzliche Gebühr. 

Sonja Meindl, Country Manager von Check Point ALPS (Quelle: Check Point)

Sonja Meindl, Country Manager von Check Point ALPS (Source: Check Point)

Dahinter steckt ein weiterer Trend, den Check Point derzeit beobachtet und was das Unternehmen als "Malware Synergy" bezeichnet: Cyberkriminelle kombinieren vermehrt Schadprogramme, um ihren Profit zu steigern. 

So infizieren sie etwa einen Rechner nicht nur mit einem Cryptominer. Stattdessen stehlen sie zugleich auch sensible Daten, um diese verkaufen zu können oder installieren eine Backdoor im System. Um diese unterschiedlichen Ziele zu erreichen, finden sich Cyberkriminelle mit unterschiedlichen Spezialgebieten im Darknet zusammen.

Wie man sich gegen all diese Risiken wappnen kann? Meindl rät diesbezüglich vor allem eins: den Notfall trainieren. Wer einen Plan für Cyberattacken hat, weiss auch, wie er im Falle eines Angriffs reagieren soll. "Leider tun das aber immer noch nur die wenigsten Unternehmen", sagte Meindl.

23.11.2018 - 18:19 Uhr

Verschlüsselter Schweizer E-Mail-Dienst gehackt – oder doch nicht?

Wer seine E-Mails verschlüsselt, will natürlich nicht, dass deren Inhalte publik werden. Um dies zu verhindern, greift man auf Anbieter wie Protonmail zurück. Der E-Mail-Dienst des Schweizer Unternehmens Proton Technologies bietet den Nutzern eine sichere Ende-zu-Ende-verschlüsselte E-Mail-Kommunikation.

Ein Unbekannter, der sich selbst AmFearLiathMor nennt, behauptet nun aber, Protonmail gehackt zu haben. Er habe Zugriff auf die persönlichen Daten der Nutzer und auf die Inhalte der von ihnen verschickten verschlüsselten E-Mails. Zudem behaupte AmFearLiathMor, dass Protonmail Kundeninformationen an US-amerikanische Server schicke, wie Bleepingcomputer berichtet

Wenn Proton Technologies die Daten zurück will, muss das Unternehmen "eine kleine Summe" zahlen, wie der Unbekannte schreibt. Wer den Erpresserbrief, in dem auch aus gewissen angeblich gehackten E-Mails zitiert wird, auf Social Media verbreite, erhalte 20 US-Dollar in Bitcoin.

 

 

"Reiner Schwindel", kontert jedoch Proton Technologies. Das Unternehmen habe keine Anhaltspunkte gefunden, dass an dieser Behauptung etwas dran sei. Von einem technischen Standpunkt aus sei vieles, was der Erpresser behaupte, nicht möglich. 

Die im Epresserbrief zitierten Mail-Inhalte würden wie ein Witz klingen, heisst es im Bericht. Sie würden alles abdecken, von Vertragsverletzungen in der Antarktis über Umgehungen der Genfer Konventionen bis zu Aktivitäten von Unterwasserdrohnen im Pazifik. Auch liegen keine Berichte vor, dass irgendwer die versprochenen 20 Dollar für das Teilen des Erpresserbriefs erhalten hat.

Der Name des Erpressers entstammt der schottischen Folklore. Am Fear Liath Mòr, auch als der grosse graue Mann bekannt, ist eine Kreatur, die auf dem Berg Ben Macdhui leben soll. Das mythische Wesen ist angeblich 6 Meter gross und mit Yeti oder Bigfoot vergleichbar. Genauso unwirklich ist wohl auch die Drohung von AmFearLiathMor.
 

23.11.2018 - 18:09 Uhr

Huch? Was macht dieser Raspberry im abgesperrten Serverraum?!

Was macht man, wenn man im Serverraum, den man verwaltet, plötzlich einen Raspberry Pi entdeckt? Ohne auch nur die geringste Ahnung, woher das Gerät kommt und was es macht. In einem abgeschlossenen Serverraum, zu dem fast niemand Zugang hat.

Ein IT-Leiter einer österreichischen Hochschule, der sich mit just diesem Problem konfrontiert sah, wusste schnell Rat: Er fragte mal auf Reddit nach, was das sein könnte. Und die Reddit-Community war tatsächlich hilfreich, wie The Register berichtet.

Schon bald war das Gerät identizifert. Es handelte sich um ein nRF52832-MDK. Ein IoT-Gadget, das sich über Bluetooth und WLAN verbinden kann. Kostenpunkt: etwa 30 US-Dollar. Aber was macht es da? Die Antwort kam sogleich: definitiv ein Keylogger!

Tatsächlich befindet sich der Serverraum, in dem der rätselhafte Raspberry eingesteckt war, nur wenige Meter neben dem Büro des CEOs. Durchaus denkbar also, dass jemand versucht, die Tastenanschläge oder die Netzwerkaktivitäten des Chefs aufzuzeichnen. Was das Ganze noch spannender macht: Auf dem Raspberry lief ein Programm namens logger. 

Was dahinter steckt, hat der IT-Leiter noch nicht herausgefunden. Aber dafür wer dahinter steckt. Von der Geschäftsleitung erfuhr er, dass ein ehemaliger Mitarbeiter noch immer einen Schlüssel zum Serverraum hat. Nur wenige Minuten bevor das Gerät erstmals registriert wurde, versuchte irgendwer sich mit dem Benutzernamen des ehemaligen Mitarbeiters einzuloggen. 

Der Zugriffsversuch wurde zwar blockiert – Identity Access Management (IAM) sei Dank. Doch die Geschichte zeigt auch, dass IAM sich nicht auf die digitalen Zugangsmöglichkeiten beschränken sollte. 
 

23.11.2018 - 17:58 Uhr

Zuerst Westeros, dann der Cyberraum: Malware Khalesi im Anmarsch

Das Botnetz Mylobot ist noch relativ jung. Es wurde erst im Juni dieses Jahres entdeckt. Der Entdecker: der US-amerikanische Telko Centurylink. Das Botnetz verfüge über fortschrittliche Methoden, um sich vor seinen Opfern zu verstecken. So «schläft» es etwa nach der Infektion erst mal zwei Wochen. Erst dann kontaktieren die infizierten Rechner den "Command and Control"-Server. 

Centurylink will nun herausgefunden haben, was Mylobot genau macht. Nachdem das Botnetz einen Rechner infiziert hat, lädt es in einem zweiten Schritt eine Malware namens Khalesi herunter. Das Schadprogramm sei darauf spezialisiert, Informationen zu stehlen.

Der Name erinnert an die populäre Buchreihe und TV-Serie Game of Thrones. Eine der Hauptfiguren ist Daenerys Targaryen, auch bekannt als Khaleesi  (Mit zwei statt einem ‘e’). Wenn diese nicht gerade Drachen aufzieht, versucht sie, die Welt zu erobern. Im Gegensatz zu ihrem Malware-Namensvetter allerdings mit mehrheitlich guten Absichten.  

Die Malware könnte jedoch auch einfach nach ihrem Entwickler benannt worden sein. Schliesslich ist Khalesi auch ein arabischer Familienname. Die Verbreitung der Malware deutet durchaus in diese Richtung . So kommt das Schadprogramm vor allem in Iraq, Iran, Argentinien, Russland, Vietnam, China, Indien, Saudi-Arabien, Chile und Ägypten vor.
 

23.11.2018 - 17:52 Uhr

In Österreich kennen Polizisten die Zukunft

Sein Blick schweift über die grossen Displays, die seinen Arbeitsplatz ausmachen. Eine Karte leuchtet auf, sie zeigt dem Polizisten, wann und wo das nächste Verbrechen begangen wird. Die Szene könnte direkt aus dem Film «Minority Report» – basierend auf dem gleichnamigen Buch von Philip K. Dick -stammen. 

Aber genau so spielt es sich derzeit im Bundeskriminalamt in Wien ab. Dort setzt die österreichische Juistiz auf "predictive Policing" - die Vorhersage von Verbrechen mithilfe von Algorithmen, wie der Standard schreibt. Anders als der Begriff vermuten lässt, sei die Arbeit aber nicht vorhersagend, sondern vorhersagenbasiert. Etwa in Form von Hotspot-Analysen auf einer Karte. 

Algorithmen pflügen zu diesem Zweck durch Österreichs Falldaten. Anhand dessen, was geschehen ist, schliessen die Programme auf das, was wohl geschehen könnte. Diese Informationen über das zukünftige Verhalten von Kriminellen treiben so laufende Ermittlungen voran. 

2019 soll das System erweitert werden, wie es im Bericht heisst. Aktuell nutze es nur von der Kriminalpolizei aufgezeichnete Daten. Ab dem nächsten Jahr sollen auch Daten aus öffentlichen Quellen in die Analysen miteinfliessen. 
Es ist also noch ein weiter Weg bis zu den hellsehenden Mutanten aus Minority Report. Bis Polizisten vor der Tür stehen, noch bevor eine Straftat begangen wurde. Aber die Marschrichtung derartiger Entwicklungen ist klar. 
 

15.11.2018 - 17:52 Uhr

Diese Cyberbedrohungen terrorisieren aktuell Schweizer Unternehmen

Auch im Cyberraum wird die Schweiz mit Finanzen und Banken in Verbindung gebracht. Fast 13 Prozent der Schweizer Firmen kamen im Oktober mit Coinhive in Kontakt. Damit führt der Cryptominer die aktuelle "Most Wanted Malware"-Liste des israelischen Sicherheitsanbieters Check Point an. 

Cryptominer wie Coinhive zapfen die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen. Das Opfer zahlt die Stromkosten für einen Rechner, den es eventuell gar nicht nutzen kann und der Hacker verdient sich eine goldene Nase. Dahinter stecken Javaskripte, die sich leicht in Websites und Applikationen verbergen lassen – oder auch in der Werbung, die online eingeblendet wird.

Vergangenen Oktober zapften gleich zwei derartige Schädlinge im grossen Stil Unternehmensrechner an: Coinhive und Cryptoloot. Beide schürfen nach der Kryptowährung Monero. Die Bitcoin-Alternative ist besonders bei Cyberkriminellen sehr beliebt. Anders als mit Bitcoin können mit Monero etwa auch anonyme Zahlungen getätigt werden. 

Ein weiteres Highlight im Oktober: Nach langer Pause kehrte Conficker wieder zurück in die Top 10. Der uralte PC-Wurm war zuletzt im März gelistet. Conficker frisst sich bereits seit 2008 durch ungenügend geschützte IT-Systeme. 

Die Top Malware in der Schweiz im Oktober:

  1. Coinhive  (Cryptominer – 12,92 Prozent der Schweizer Firmen)
  2. Roughted (Malvertising – 5,54 Prozent der Schweizer Firmen)
  3. Cryptoloot  (Cryptominer – 3,52 Prozent der Schweizer Firmen)
  4. Conficker (Wurm – 3,19 Prozent der Schweizer Firmen)
  5. Jsecoin (Cryptominer – 2,85 Prozent der Schweizer Firmen)
  6. Ramnit (Wurm – 2,85 Prozent der Schweizer Firmen)
  7. Dorkbot (Wurm – 2,18 Prozent der Schweizer Firmen)
  8. Emotet (Trojaner – 2,01 Prozent der Schweizer Firmen)
  9. Lokibot (Trojaner – 1,85 Prozent der Schweizer Firmen)
  10. Nivdort (Trojaner – 1,85 Prozent der Schweizer Firmen)

15.11.2018 - 17:47 Uhr

Des Banking-Trojaners neue Kleider

Es scheint keine Woche zu vergehen, ohne eine neue Retefe-Welle. Der Banking-Trojaner war zwar eigentlich nie wirklich weg. In letzter Zeit scheint er aber einen stärkeren Appetit auf Zugangs- und Kontodaten zu haben. 

Das Schadprogramm wird in gross angelegten Spam-Kampagnen verbreitet. Derzeit nutzten die Drahtzieher dafür das Logo und den Namen des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS), um möglichst viele Opfer zu erwischen.

 

 

Wie die Melde- und Analysestelle Informationssicherung (Melani) auf Twitter warnt, sollen Betroffene diese E-Mails nicht öffnen. Stattdessen sollten sie den Vorfall direkt an reports(at)antiphishing(punkt)ch  melden.

Melani hat zudem eine Übersicht über die Aktivitäten von Retefe erstellt. Diese zeigt, dass es zwar nicht wirklich mehr Retefe-Kampagnen gibt. Die Internetkriminellen dahinter nutzen jedoch mehr unterschiedliche Unternehmen, um ihre Opfer zu ködern. 

(Source: GOVcert)

Die blauen Kreise zeigen an, wie viele Kampagnen pro Woche verschickt wurden. Die Logos auf der rechten Seite sind die Firmenauftritte und Organisationen, welche Retefe in der Zeit für die Kampagnen nutze. (Source: GOVcert)

Die vollständige Infografik sowie eine detaillierte Analyse zum Banking-Trojaner findet sich auf der Website des Swiss Government Computer Emergency Response Teams.

08.11.2018 - 15:00 Uhr

Sicherheitslücke macht DJIs Drohnen zu Wanzen

Wenn das laufende Jahr zu Ende ist, werden Privatnutzer und Unternehmen rund 9,3 Milliarden US-Dollar für Drohnen ausgegeben haben. Diese Zahl soll in den nächsten Jahren gemäss Marktforscher IDC mit einer durchschnittlichen jährlichen Wachstumsrate von 32,1 Prozent zulegen. Die Ausgaben von Unternehmen sollen mit einer Rate von 37,1 Prozent sogar noch etwas stärker wachsen.

Um diesem Markt gerecht zu werden stellte DJI, einer der führenden Drohnenhersteller im Consumer- und professionellen Umfeld, unlängst die Mavic 2 Enterprise vor. Eine Drohne mit modularem Zubehör, konzipiert für Infrastruktur-Inspektionen sowie Einsätzen bei der Brandbekämpfung oder der Strafverfolgung. Lesen Sie hier mehr zur DJI Mavic 2 Enterprise.
Was will jedoch sicher kein Nutzer, wenn so ein mehrere Tausend Franken teures Fluggerät gerade über den Köpfen anderer schwebt? Eine Sicherheitslücke! Doch genau das fanden die Sicherheitsexperten von Check Point, wie das israelische Unternehmen mitteilt.

Zugriff auf Flugdaten, Videos und Kamera
Die Schwachstelle ermöglicht es einem Angreifer zwar nicht, eine Drohne zu kapern. Doch sie ist genug ernst zu nehmen, dass DJI sie als «hohes Risiko» einstufte. Die Wahrscheinlichkeit, dass Cyberkriminelle sie finden, sei allerdings gering. Die Sicherheitslücke sitzt im Anmeldeprozess für DJI-Nutzer. Check Point zeigte auf, wie ein Angreifer potenziell einen Account übernehmen könnte. 

Auf diese Weise hätte der Cyberkriminelle Zugriff auf die Flug- und Nutzerdaten sowie auf die mit der Drohne gemachten Fotos und Videos. Der Angreifer könnte im Flug auch die Kamera der Drohne anzapfen oder den Flug auf der Karte verfolgen. Alles ohne das Mitwissen des Nutzers.

Der Angreifer müsste dafür lediglich einen DJI-Benutzer ködern, der das Onlineforum des Herstellers frequentiert. Der Anmeldeprozess verwendet Cookies, um die einzelnen Nutzer zu identifizieren. Über einen platzieren boshaften Link konnte Check Point in ihrem Versuch an diese Cookies herankommen und so die weiteren benötigten Tokens, Tickets und Zugangsdaten generieren, um sich erfolgreich als diesen Nutzer auszugeben. 

Lücke ist bereits gestopft

Check Point entdeckte das Problem bereits im März 2018 im Rahmen von DJIs Bug-Bounty-Programm. Der Hersteller behob die Sicherheitslücke anschliessend. Gemäss DJI und Check Point gebe es keine Hinweise darauf, dass die Schwachstelle ausgenutzt wurde. 

"Angesichts der Popularität von DJI-Drohnen ist es wichtig, dass potenziell kritische Schwachstellen wie diese schnell und effektiv behoben werden, und wir begrüssen es, dass DJI genau das getan hat", lässt sich Oded Vanunu, Head of Products Vulnerability Research bei Check Point, in der Mitteilung zitieren.

Hersteller und Sicherheitsanbieter empfehlen beide, Firmware und Apps stetig auf dem neuesten Stand zu halten. Mehr Infos zur DJI-Schwachstelle auf der Website von Check Point.

 

02.11.2018 - 16:58 Uhr

Und wieder machen SBB-Mails Schweizer Inboxen unsicher

Die Welle von Retefe-Angriffen auf Schweizer E-Mail-Posteingänge scheint nicht abzubrechen. Die Melde- und Analysestelle Informationssicherung (Melani) warnte auf Twitter in den vergangenen zwei Wochen gleich zweimal vor E-Mail-Kampagnen, die den Banking-Trojaner Retefe zu verbreiten versuchen.

 

 

Die schädlichen E-Mails nutzen jeweils Firmenauftritte und Logos bekannter Unternehmen und Organisationen, um möglichst viele Opfer hinters Licht zu führen. Die aktuellen Meldungen von Melani warnen vor E-Mails, die vorgeben von den SBB zu stammen. Zuvor hatte Melani auch schon vor gefälschten WEF- oder Zurich-Mails gewarnt.

Eines ist jedoch immer gleich: Die E-Mails verfügen über eine Word-Datei im Anhang. Wer diese öffnet, wird sogleich aufgefordert, Makros zu aktivieren. So versucht das Schadprogramm sich einen Weg in die Rechner seiner Opfer zu bahnen. Auf infizierten Systemen versucht Retefe anschliessend auf das Online-Banking der Betroffenen zuzugreifen.

 

 

Melani rät, die E-Mails nicht zu öffnen. Stattdessen sollten Betroffene sich reports(at)antiphishing(punkt)ch wenden.

Eine kleine Chronik:

  • Am 30. Oktober warnte Melani vor gefälschten SBB-Mails.
  • Am 23. Oktober warnte Melani vor gefälschten SBB-Mails.
  • Am 4. September warnte Melani vor gefälschten WEF-Mails.
  • Am 28. August warnte Melani vor gefälschten Zurich-Mails.
  • Am 21. August warnte Melani vor gefälschten Post-Mails.
  • Am 7. Juni warnte Melani vor gefälschten SBB-Mails.
  • Am 6. Juni warnte Melani vor gefälschten Mails der Eidgenössischen Steuerverwaltung.
     

02.11.2018 - 16:38 Uhr

Stuxnet regt sich wieder

Das berüchtigte Schadprogramm Stuxnet könnte wieder aufgetaucht sein. Wie Bleepingcomputer berichtet, soll eine Variante von Stuxnet kritische Infrastrukturen und strategische Netzwerke im Iran angegriffen haben. Es handle sich jedoch um eine aggressivere und fortschrittlichere Malware als diejenige, die vor einem Jahrzehnt zum Einsatz kam. Details zur erneuten Attacke sind jedoch noch spärlich. 

Stuxnet wurde spezifisch für Angriffe auf industrielle Überwachungssysteme von Siemens entwickelt. Beobachtet wurde der Computerwurm erstmals 2009. Unbekannte Angreifer nutzten ihn, um das iranische Atomprogramm zu stören. Wer dahintersteckte, ist noch nicht geklärt.

Es wäre nicht das erste Wiederaufleben von Stuxnet. Einige Jahre nach den Stuxnet-Attacken entdeckten Sicherheitsforscher Duqu, sozusagen der jüngere Bruder von Stuxnet. Die beiden Schädlinge wurden vermutlich von den gleichen Entwicklern kreiert. Anders als Stuxnet war Duqu jedoch mehr auf Spionage statt Sabotage ausgelegt.
 

02.11.2018 - 16:31 Uhr

Zum Nachschlagen:

Die Namen von Schadprogrammen decken ein breites Spektrum ab: von einschüchternd (wie etwa Olympic Destroyer) über kryptisch (Necurs) bis hin zu nerdy (Kirk). Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen steckt. Die Liste wird laufend aktualisiert und ist unter www.it-markt.ch/MalwareABC zu finden.

02.11.2018 - 16:25 Uhr

Hacker erbeuten Pläne zu Atomanlagen

Die Fifa sorgt sich derzeit darum, welche sensiblen Daten nach dem Hackerangriff auf den Fussballverband wohl veröffentlicht werden. In Frankreich machen sich derzeit jedoch ganz andere Sorgen breit: Bei einem Hackerangriff erbeuteten Unbekannte 65 Gigabyte - 11'000 Dateien - vom Bauunternehmen Ingérop, wie Zeit unter Berufung auf NDR, Süddeutsche Zeitung und Le Monde berichtet.

Die gestohlenen Daten decken einen breiten Bereich ab: von persönlichen Informationen zu rund 1200 Mitarbeitern über Pläne, die zeigen wo sich die Kameras in einem Hochsicherheitsgefängnis befinden, bis hin zu Unterlagen über ein geplantes Atommüll-Endlager im Nordosten des Landes. 

Die Spur führt nach Deutschland. Ein Server in Dortmund bot im Juli die Daten des Ingérop-Hacks kurzfristig zum Download an. Der Server wurde vom Wissenschaftsladen Dortmund vermietet und von Ermittlern beschlagnahmt. Danach verschwanden die Daten grösstenteils wieder – bis sie unlängst im Darknet wieder auftauchten. 
 

22.10.2018 - 12:35 Uhr

Crypto-Miner und schädliche Werbung befallen immer mehr Schweizer Firmen

Jeden Monat listet der israelische Sicherheitsanbieter Check Point auf, welche Bedrohungen den Schweizer Unternehmen derzeit besonders zu schaffen machen. Diese "Most Wanted Malware"-Liste hat schon seit Monaten eine klare Nummer 1: den Crypto-Miner Coinhive.

Skripts wie Coinhive zapfen die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen. Sie lassen sich etwa in Websites einbetten. Wenn ein ahnungsloser Surfer auf die Website kommt, aktiviert sich das Skript. Die Anzahl Schweizer Unternehmen, die davon betroffen waren, stieg zwischen August und September um etwas mehr als einen Prozentpunkt auf 12,88 Prozent. 

Im Vergleich zum Vormonat machte jedoch vor allem Roughted einen grossen Sprung nach vorn. Die Malvertising-Kampagne verdoppelte ihren Anteil auf 4,65 Prozent und kletterte vom 5. auf den 2. Platz der Liste.

Roughted wird genutzt, um etwa bösartige Websites oder auch Schädlinge wie Adware, Exploit Kits und Ransomware zu verbreiten. Oft sind die Anzeigen nicht von regulärer Werbung zu unterscheiden. Die Cyberkriminellen, die dahinter stecken, fanden auch einen Weg, um Adblocker zu umgehen. 

Ebenfalls ganz oben mit dabei: Ramnit. Der mittlerweile schon in die Jahre gekommene Computerwurm lässt sich sein Alter nicht anmerken. Waren im August noch gerade mal 2,15 Prozent der Schweizer Firmen betroffen, waren es im September bereits 3,04 Prozent. Die ersten Ramnit-Infektionen gehen auf das Jahr 2010 zurück.

Die Top Malware in der Schweiz im September:

  • Coinhive  (Crypto Miner – 12.88 Prozent der Schweizer Firmen)
  • Roughted (Malvertising – 4,65 Prozent der Schweizer Firmen)
  • Cryptoloot  (Crypto Miner – 3,58 Prozent der Schweizer Firmen)
  • Ramnit (Wurm – 3,04 Prozent der Schweizer Firmen)
  • Jsecoin (Crypto Miner – 2,68 Prozent der Schweizer Firmen)
  • Lokibot (Trojaner - 2,33 Prozent der Schweizer Firmen)
  • Emotet (Trojaner – 2,15 Prozent der Schweizer Firmen)
  • Fireball (Adware – 1,61 Prozent der Schweizer Firmen)
  • Virut (Bot – 1,16 Prozent der Schweizer Firmen)
  • Dorkbot (Wurm – 1,43 Prozent der Schweizer Firmen)

22.10.2018 - 12:19 Uhr

Krake mit politischer Motivation sucht PCs zwecks Infektion

Wenn eine legitime Applikation verboten wird, wittern Cyberkriminelle bereits ein Geschäft. Sogar dann, wenn die Applikation nur potenziell verboten werden könnte, wie der Fall des Trojaners Octopus zeigt. Die Cyberkriminellen hinter der Schnüffler-Malware nutzten Berichte über ein bevorstehendes Verbot des Instant-Messaging-Diensts Telegram in Kasachstan aus. Der cloudbasierte Service mit russischen Wurzeln ist für Smartphones, Tablets und PCs erhältlich.

Die Cyberkriminellen verbreiteten eine Applikation, die sich als Telegram-Alternative für die oppositionellen Parteien des Landes ausgab. Der Launcher nutzte hierfür sogar das Logo einer der Parteien, wie Kaspersky Lab mitteilt. Die Applikation war jedoch nur ein Gefährt, um den Trojaner Octopus auf die PCs seiner ahnungslosen Opfer zu schleusen.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

 

Sobald der Trojaner aktiviert war, hatten die Cyberkriminellen aus der Ferne Zugriff auf die Rechner ihrer Opfer. Sie konnten etwa Dateien löschen, kopieren und stehlen sowie Systemeinstellungen verändern. Auf diese Weise war es ihnen möglich, ihre Opfer auszuspionieren und sensible Daten zu entwenden.

Gemäss den Sicherheitsexperten von Kaspersky könnte die Hackergruppe Dustsquad hinter den Angriffen stecken. Die russischsprachigen Cyberspione sind schon seit 2014 in den Ländern der ehemaligen Sowjetunion tätig. In den vergangenen zwei Jahren deckte Kaspersky nach eigenen Angaben vier ihrer Kampagnen auf. Dabei nutzte die Gruppe jeweils massgeschneiderte Android- und Windows-Malware um Privatpersonen und diplomatische Ziele anzugreifen.

11.10.2018 - 17:20 Uhr

So einfach lassen sich US-Waffensysteme hacken

Das Verteidigungsministerium der Vereinigten Staaten (DoD – engl. Department of Defense) investiert derzeit 1,66 Billionen US-Dollar in neue Waffensysteme. Grund genug, einmal genauer hinzuschauen. Das dachte sich wohl das Government Accountability Office – kurz GAO. Das Untersuchungsorgan wollte prüfen, wie sicher die Waffensysteme der USA vor Hackerangriffen sind. Das Resultat ist erschreckend.

Die Test-Hacker des GAO hatten enorm leichtes Spiel, wie aus dem Abschlussbericht (als PDF downloaden) hervorgeht. So konnten sie schon mit banalen Tools und Methoden die Kontrolle über ihre Ziele übernehmen oder diese abschalten. Dabei verwendeten sie Tools, die zum Teil kostenlos erhältlich sind für jeden, der Zugang zum Internet hat. 

Einem Team gelang es etwa, innert neun Sekunden das Admin-Passwort zu erraten. Vermutlich, weil der zuständige IT-Verantwortliche noch immer das Standardpasswort nutzte. Ein anderes Team legte ein System lahm, indem es das System lediglich scannte. Wieder ein anderes Team entwendete nebenbei rasch 100 Gigabyte an Daten.

Den IT-Verantwortlichen der angegriffenen Waffensysteme fiel das nicht mal auf – nicht mal, wenn die Angreifer bewusst auffällig agierten. Oft sei dies auf menschliches Versagen zurückzuführen. Ganze 41 Mal gaben Verantwortliche an, sie hätten keinen Grund gehabt, eine Cyberattacke zu vermuten. Denn Systemabstürze seien vollkommen normal für das System. 

11.10.2018 - 16:39 Uhr

Fast 1 Milliarde US-Dollar in Kryptowährungen gestohlen

Der Bitcoin-Kurs mag zwar weit unter seinem Rekordpreis liegen. Doch in einem bestimmten Kreis ist der Hype um Kryptowährungen ungebrochen: bei den Cyberkriminellen. Allein in den ersten neun Monaten des laufenden Jahres erbeuteten sie Kryptowährungen im Wert von insgesamt 927 Millionen US-Dollar, wie Reuters berichtet. Die Nachrichtenagentur beruft sich dabei auf eine Studie der US-amerikanischen IT-Security-Firma Ciphertrace.  

Eine dramatische Steigerung: Im Vergleich zum Vorjahr steigerte sich dieser Wert um fast 250 Prozent. Im Vorjahr raubten Cyberkriminelle gerademal 266 Millionen Dollar, indem sie Tauschbörsen hackten. Wie aus der Studie hervorgeht, nahmen vor allem auch kleine Diebstähle zu, bei denen es um Beträge von 20 bis 60 Dollar geht. 

Gemäss den Studienautoren dürfte es aber noch eine sehr grosse Dunkelziffer geben. Ciphertrace schätzt, dass sie nur rund zwei Drittel der kriminellen Transaktionen in ihrer Studie erfassten. So wisse das Unternehmen etwa von einem Raub, bei dem Unbekannte 60 Millionen Dollar stahlen. Dieser Diebstahl wurde jedoch nie gemeldet. 

In Ländern mit laschen Gesetzen gegen Geldwäscherei würden die populären Tauschbörsen im grossen Stil dafür genutzt. Laut der Studie wurden seit 2009 bereits 2,5 Milliarden Dollar über Bitcoin-Tauschbörsen gewaschen. 
 

11.10.2018 - 15:19 Uhr

Zum Nachschlagen: Das Who's who der Malware

Die Namen von Schadprogrammen decken ein breites Spektrum ab - von einschüchternd (wie etwa Olympic Destroyer) über kryptisch (Necurs) bis hin zu nerdy (Kirk). Das Who’s who der Malware gibt einen schnellen Überblick darüber,  was hinter diesen Namen steckt.

Mehr auf www.it-markt.ch/MalwareABC

28.09.2018 - 18:10 Uhr

UEFI-Malware verhakt sich in den Eingeweiden von PCs

Ein Schädling auf dem Rechner zu haben, kann sehr mühsam sein. Doch in der Regel gibt es einiges, das man dagegen tun kann. Manchmal hilft schon eine Anti-Virus-Lösung, um das Schadprogramm zu beseitigen. Wenn es heftiger wird, muss man auch mal das Betriebssystem neu aufsetzen oder eine Festplatte ersetzen. 

Doch es gibt eine Gruppe von Schädlingen, die noch tiefer im System stecken und daher keine dieser Massnahmen fürchten. Diese Bedrohungen sitzen in der zentralen Schnittstelle zwischen der Firmware und dem Betriebssystem. 

BIOS-Rootkits sind nichts Neues. Dabei handelt es sich um Sammlungen von Softwaretools, die dem Angreifer unbemerkt Kontrolle über einen Rechner ermöglichen. Rootkits für den BIOS-Nachfolger UEFI (vor allem in 64-Bit-Systemen Standard) gab es bislang nur in Form von Machbarkeitsnachweisen. 

Die Sicherheitsforscher von Eset haben nun jedoch beobachtet, wie Cyberkriminelle just solche Tools einsetzen. Dabei handelt es sich um die berüchtigte Sednit-Gruppe. Die Gruppe ist gemäss Eset bereits seit 2004 aktiv und für einige hochkarätige Angriffe verantwortlich – darunter der Hack des Democratic National Committee kurz vor der Präsidentschaftswahl in den Vereinigten Staaten 2016. 

Eset nannte das Rootkit Lojax. Eine reale und ernstzunehmende Gefahr. Schliesslich seien derartige Bedrohungen sehr schwierig zu erkennen und noch schwieriger zu beseitigen. Den vollständigen Bericht zu Lojax können Interessierte hier einsehen (PDF-Download).

Der Baarer Dienstleister Infoguard reagierte jedoch sogleich mit einem eigenen Blogeintrag. Spätestens nach der Aktivierung verhalte sich Lojax wie Malware. Altbewährte Techniken, um nach Schadprogrammen zu jagen, würden also auch hier funktionieren. 

 

28.09.2018 - 17:44 Uhr

Pentagon sucht nach Jedi – aber auf die altmodische Art

Das Pentagon, der Hauptsitz des US-amerikanischen Verteidigungsministeriums, ist auf der Suche nach JEDI. Kapuzen tragende Lichtschwertschwinger, die über tausend Generationen lang in der Alten Republik die Hüter des Friedens und der Gerechtigkeit waren, bevor es dunkel wurde in der Welt - bevor das Imperium aufkam? Nein, das sind nicht die Jedi, die das Pentagon sucht.

JEDI ist keine Anspielung auf die Star-Wars-Filmreihe, sondern die Abkürzung für Joint Enterprise Defense Infrastructure. Eine Cloud-Plattform, die das Pentagon derzeit aufbauen will. Sie soll das Verteidigungsministerium der Vereinigten Staaten modernisieren. 

Der Auftraggeber, das Pentagon, passte nun die Ausschreibungsunterlagen an, wie The Register berichtet. Unternehmen, die ihr Konzept für das hochmoderne und hochsichere Cloud-System einreichen wollen, müssen dafür auf ein altmodisches Medium zurückgreifen: DVDs.

"An Stelle von elektronischen Einreichungen müssen Bieter ihre komplette Offerte auf eine DVD speichern und persönlich überbringen", heisst es in den Richtlinien. Andere Einreichungen werden nicht akzeptiert. 

Es ist jedoch höchst fraglich, ob ein paar DVDs ausreichen. Schliesslich geht es hier um ein Projekt von 10 Milliarden US-Dollar, das den Auftragnehmer noch eine Dekade beschäftigen wird und den grössten Teil der IT-Prozesse des US- Verteidigungsministeriums übernehmen soll. Wer auch immer die Einreichungen prüft, wird sich wohl durch ganze Berge von DVDs wühlen müssen.

28.09.2018 - 17:16 Uhr

Riesiges IoT-Botnetz entdeckt – Zweck ungewiss

Sicherheitsforscher von Avast haben ein neues Botnetz entdeckt, das sich in den vernetzten Geräten des Internets der Dinge (Internet of Things -IoT) ausbreitet. Das Netz ist vergleichbar mit Mirai, doch spiele es in einer ganz anderen Liga, berichtet Bleepingcomputer. Der Name dieser neuen Bedrohung ist Torii.

Das Schadprogramm, das Geräte infiziert und sie an das Botnetz bindet, hat es in sich. Gemäss dem Bericht wurde es für möglichst heimliche und langanhaltende Operationen entwickelt. Zudem könne es eine sehr breite Palette an IoT-Geräten infizierten. Torii soll gemäss einem Blog-Eintrag von Avast mehr Geräte befallen können als irgendeine andere Botnetz-Malware zuvor. 

Die verschlüsselte Verbindung zum Command-and-Control-Server läuft über das Tor-Netzwerk. Die Attacke selbst kommt jedoch über den Port 23 – den Telnet-Port. Geräte, die diesen Port offenlassen oder nur schwach schützen, sind für Torii gefundenes Fressen.

IoT-Botnetze werden in der Regel für massive DDoS-Attacken genutzt. Die Angriffbandbreiten der Mirai-Attacken brachen damals sämtliche Rekorde (Lesen Sie mehr zu den DDoS-Rekorden hier). Torii mache jedoch keine Anstalten in diese Richtung. Jedenfalls noch nicht. 

Dem Angreifer stehen jedoch viele Möglichkeiten offen. Das Schadprogramm kann auf den infizierten Geräten nämlich beliebigen Code ausführen. Denkbar wäre etwa auch, dass die Cyberkriminellen die Rechenleistung nutzen wollen, um nach Kryptowährungen zu schürfen. 
 

28.09.2018 - 16:40 Uhr

Steigende Krankenkassenprämien – steigende Spam-Aktivität

Die Melde- und Analysestelle Informationssicherung (Melani) hat schon wieder eine Warnung vor dem E-Banking-Trojaner Retefe veröffentlicht. Das Schadprogramm wird durch grossangelegte Spam-Kampagnen verbreitet. Um möglichst viele Opfer zu infizieren, ändern die Cyberkriminellen regelmässig das Aussehen dieser Spam-Mails. 

Die aktuelle Kampagne kopiert das Design der Helsana. Wie es auf Twitter heisst, versuchen die Cyberkriminellen die aktuelle Diskussion um steigende Krankenkassenprämien für ihre Zwecke auszunutzen.  

 

 

Der Anhang der E-Mail enthalte angeblich nähere Informationen zu den geänderten Sparbeiträgen. Die angehängte .doc-Datei ist jedoch nur eine Täuschung, um die Malware Retefe auf den Rechner des Opfers zu bringen. Melani empfiehlt, diese E-Mails sofort zu löschen und sie gar nicht erst zu öffnen.

Retefe wird in jüngster Vergangenheit wieder sehr aggressiv verbreitet. So ist dies nur eine von vielen Warnungen, die Melani diesbezüglich ausgesprochen hat:

  • Am 4. September warnte Melani vor gefälschten WEF-Mails.
  • Am 28. August warnte Melani vor gefälschten Zurich-Mails.
  • Am 21. August warnte Melani vor gefälschten Post-Mails.
  • Am 7. Juni warnte Melani vor gefälschten SBB-Mails.
  • Am 6. Juni warnte Melani vor gefälschten Mails der Eidgenössischen Steuerverwaltung.

21.09.2018 - 16:00 Uhr

Akamai: Botnetze verstopfen Log-in-Formulare – auch in der Schweiz

Botnetze werden in der Regel mit DDoS-Attacken assoziiert. Derartige Attacken können Websites regelrecht vom Netz fegen. Botnetze können aber auch anders, wie Akamai in seinem aktuellen State of the Internet Security Report zeigt. Die aktuelle Ausgabe der IT-Security-Studie widmet sich nämlich dem Thema Credential Stuffing Attacks. 

Genau wie eine DDOS-Attacke nutzt auch Credential Stuffing die schiere Masse eines Botnetzes zu ihrem Vorteil aus. Während eine DDoS-Attacke versucht, mit möglichst vielen gleichzeitigen Seitenaufrufen die Infrastruktur des Betreibers zu überlasten, hat Credential Stuffing es auf Zugangsdaten abgesehen. 

Manchmal laut, manchmal heimlich

Mit einer Credential-Stuffing-Attacke versuchen Cyberkriminelle herauszufinden, wer die gleichen Passwörter für verschiedene Onlinedienste nutzt. Dazu füttern sie Botnetze mit Datenbanken voller gestohlenen Zugangsdaten. Die Botnetze klappern anschliessend das Internet ab und versuchen, sich mit den Passwörtern und Benutzernamen irgendwo einzuloggen. Ziel solcher Attacken sind vor allem E-Banking- und Onlineshopping-Seiten. 

Manchmal seien die Attacken laut und dreist und zielen mehr auf Volumen ab. In anderen Fällen würden die Kriminellen sich zurückhalten und klammheimlich langsame und leise Angriffe ausführen. Viele Botnetze würden versuchen, so lange wie möglich unter dem Radar zu fliegen. So können sie möglichst lange versuchen, ausnutzbare Zugangsdaten zu finden.

8,3 Milliarden Attacken in 8 Monaten

Wie Akamai in seinem Bericht schreibt, nehmen Credential-Stuffing-Attacken stark zu. Von Januar bis April 2018 registrierte das Unternehmen rund 3,2 Milliarden solcher betrügerischen Log-in-Versuche. In den Monaten Mai und Juni allein stieg die Anzahl bereits auf über 8,3 Milliarden. Der monatliche Durchschnittswert stieg gemäss Akamai um 30 Prozent.

Insgesamt gab es laut dem Bericht zwischen November 2017 und Juni 2018 mehr als 30 Milliarden Log-ins, die auf Credential Stuffing zurückzuführen sind. Wie Akamai in einer anderen Studie schrieb ((Ponemon Report, Oktober 2017), können durch solche Attacken Kosten von bis zu mehreren zehn Millionen US-Dollar pro Jahr entstehen für die betroffenen Unternehmen. 

"Unsere Nachforschungen zeigen, dass die Drahtzieher solcher Credential-Stuffing-Attacken ihre Methoden und ihr Arsenal konstant weiterentwickeln", sagt Martin McKeay, Senior Security Advocate bei Akamai und Hauptautor des State of the Internet Security Report.

Die meisten Attacken – mit einem signifikanten Abstand – waren auf Ziele in den USA gerichtet. Die Studienautoren führen dies auf drei Gründe zurück:

  • die hohe Anzahl an Unternehmen, deren Log-in-Seiten von US-amerikanischen Unternehmen betrieben werden,
  • Akamais Kundenstamm (Das Unternehmen hat seinen Hauptsitz in Massachusetts, USA),
  • und dass Datenabflüsse bis vor Kurzem noch primär US-amerikanische Unternehmen betrafen. 

Abwehr auf Kosten der Benutzerfreundlichkeit

Die Basis jeder Credential-Stuffing-Attacke sind die gestohlenen Datensätze mit den Zugangsinformationen. Zwar wird der Diebstahl von Log-in-Daten zunehmend zu einem weltweiten Problem. Aber sogar noch im Jahr 2016 hatten 9 von 10 Hackerangriffe mit der Absicht, Zugangsdaten zu stehlen, Firmen in den USA im Visier, wie Akamai aus einer Symantec-Studie zitiert. 

Akamai sieht noch eine weitere Auffälligkeit bei der geographischen Verteilung. Sie unterscheidet sich sehr stark von den anderen Angriffsmethoden. So sei es etwa unüblich, dass Länder wie die Schweiz, Kanada oder Schweden in den Top 10 auftauchen. Bei Credential Stuffing sei dies aber der Fall. 

Es gibt zwar Wege, sich gegen derartige Attacken zu schützen. Wie Akamai schreibt, gingen solche Attacken allerdings auf Kosten der Benutzerfreundlichkeit.

19.09.2018 - 17:18 Uhr

CEO-Betrüger versetzt Aargauer in Schrecken

Der Kantonspolizei Aargau sind mehrere Fälle von E-Mail-Betrugsversuchen zu Ohren gekommen. Es handelt sich dabei um einen CEO Scam, wie der Mitteilung zu entnehmen ist. Der Kriminelle gibt sich dabei in den E-Mails als Vorgesetzter des Opfers aus.

In den aktuellen Fällen forderte der Betrüger seine Opfer auf, Geldbeträge ins Ausland zu überweisen. Die Betrugs-Mails gingen an diverse Adressaten in verschiedenen Regionen der Schweiz - mehrheitlich an Vereine, wie die Kapo Aargau schreibt.

In wie vielen Fällen die Opfer tatsächlich gezahlt hätten, sei noch nicht bekannt. Wer eine Zahlung ausgeführt hat, soll umgehend Anzeige erstatten. Die Polizei mahnt zur Vorsicht: In solchen Fällen sei es ratsam, den Vorgesetzten direkt zu kontaktieren.

19.09.2018 - 17:16 Uhr

Zürcher Steuer-App Steuern59 teilt sensible Kundendaten mit der ganzen Welt

Jeder hat sein Smartphone fast immer zur Hand. Daher ist es naheliegend, dass immer mehr Dienste über das Handy erledigt werden. Lichter einschalten, Ofen vorwärmen oder auch die Steuererklärung ausfüllen.

Mobile Security steckt jedoch noch in den Kinderschuhen oder wird zuweilen ganz vergessen. Deutlich macht dies das jüngste Beispiel der Schweizer Steuerberatungsfirma Zürich Financial Solutions (Zufiso), wie Heise berichtet.

Zufiso bietet eine App an, mit der Nutzer für 59 Franken ihre Steuererklärung ausfüllen können. Diese nennt sich Steuern59 und ist für Android und iOS erhältlich. Wie der Sicherheitsforscher Secuninja entdeckte, speichert die App sensible Nutzerdaten in der AWS-Cloud. Jeder, der ein kostenloses AWS-Konto besitzt, konnte auf die Daten zugreifen. Alternativ kann man auch kostenlose Tools verwenden, welche die Amazon Cloud nach derartigen verwundbaren AWS-Buckets durchsucht.

Was genau fand der Sicherheitsforscher? Sämtliche in der App erhobenen Daten und alle mit dem Handy fotografierten Dokumente. Also die Steuererklärungen, die Steuerbescheide, Belege wie Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden.

Passwörter und Fotos der Entwickler in der Cloud

Der Forscher fand zudem Chat-Verläufe der Kunden mit ihren Beratern und jede Menge Passwörter; die der Kundendaten im Klartext und die der Administratoren - diese waren immerhin als Hashwerte gespeichert (bcrypt).

Heise will auch wissen, dass die App von einem externen Dienstleister in Indien entwickelt wurde. Woher das Portal dies weiss? Der Sicherheitsforscher fand gemäss Bericht noch mehr im AWS-Cloud-Ordner von Zufiso: haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.

Wie Zufiso gegenüber Heise sagt, ist die Sicherheitslücke in der App bereits behoben. Die Dateien seien nicht länger öffentlich einsehbar. Allerdings machte der Steuerberater offenbar keine Anstalten, seine Kunden über das Datenleck zu informieren.

14.09.2018 - 14:11 Uhr

Ein herrenloser Computerwurm meldet sich zurück

Bereits 2010 haben Cyberkriminelle den Computerwurm Ramnit auf die IT-Welt losgelassen. Sie verbreiteten den Wurm äusserst aggressiv. Den US-amerikanischen Strafverfolgungsbehörden war dies ein Dorn im Auge. Februar 2015 gingen sie deswegen im grossen Stil gegen die Drahtzieher vor – in Kooperation mit Symantec

Seitdem ist nicht mehr klar, ob überhaupt noch jemand die Zügel von Ramnit in den Händen hält. Dennoch taucht der Wurm immer wieder auf – zuweilen auch an ungewöhnlichen Stellen. So tauchte der PC-Wurm auch schon auf Smartphones auf. Vermutlich, weil App-Entwickler mit infizierten Geräten arbeiteten. Lesen Sie hier mehr dazu: Symantec findet uralten Wurm an ungewöhnlichen Stellen.

Auch in der Schweiz lässt Ramnit immer wieder von sich hören. So ist der Wurm etwa in der aktuellen "Most Wanted Malware"-Liste des israelischen Sicherheitsanbieters Check Point aufgetaucht. Demnach waren im Monat August 2,15 Prozent der Schweizer Unternehmen mit dem Wurm infiziert. Dies reichte für den sechsten Platz.

Die Top Malware in der Schweiz im August:

  1. Coinhive  (Crypto Miner – 11.74 Prozent der Schweizer Firmen)
  2. Emotet (Trojaner – 5,45 Prozent der Schweizer Firmen)
  3. Jsecoin (Crypto Miner – 3,14 Prozent der Schweizer Firmen)
  4. Nivdort (Trojaner – 2,48 Prozent der Schweizer Firmen)
  5. Roughted (Malvertising – 2,31 Prozent der Schweizer Firmen)
  6. Ramnit (Wurm – 2,15 Prozent der Schweizer Firmen)
  7. Scar (Trojaner – 1,49 Prozent der Schweizer Firmen)
  8. Virut (Bot – 1,16 Prozent der Schweizer Firmen)
  9. Andromeda  (Bot – 1,16 Prozent der Schweizer Firmen)
  10. Cryptoloot  (Crypto Miner – 1,16 Prozent der Schweizer Firmen)
  11. Dorkbot (Wurm – 1,16 Prozent der Schweizer Firmen)
  12. Fireball (Adware – 1,16 Prozent der Schweizer Firmen)

Ein Blick auf die Liste zeigt ferner, dass im vergangenen Monat vermehrt Unternehmen von Trojaner befallen wurden. Im Juli hatten die Trojaner Nivdort, Emotet und Scar noch gemeinsam rund 3,33 Prozent der Schweizer Unternehmen infiltriert. Im August kam Emotet im Alleingang schon auf 5,45 Prozent. Auch Nivdort legte deutlich zu.

Die Bedrohung Nummer 1 bleibt aber weiterhin Coinhive. Der Cryptominer stiehlt heimlich die Rechenleistung seiner Opfer, um nach Kryptowährungen zu schürfen. Im August baute das Schadprogramm seine Opferzahl sogar leicht aus: von 9,65 auf 11,74 Prozent. 

Die globale "Most Wanted Malware"-Liste findet sich im Blogeintrag von Check Point.

Trojaner, Ransomware und DDoS? Was war schon wieder was? Das kleine IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.

Das kleine IT-Security-Glossar
 

14.09.2018 - 14:04 Uhr

Weshalb auch Harddisk-Verschlüsselung vor dem Schlafmodus nicht schützt

Cold-Boot-Attacken, auch Kaltstarterangriffe genannt, sind in den vergangenen 10 Jahren leicht aus der Mode geraten. Bei dieser Methode muss sich ein Hacker physischen Zugang zu einem Rechner verschaffen mit der Absicht, den Arbeitsspeicher auszulesen.

Für die Attacke wird der Rechner kalt neugestartet – das heisst der Rechner war zuvor ohne Strom. Dabei verwendet der Angreifer ein minimales Betriebssystem, damit möglichst viel des Arbeitsspeichers unberührt bleibt.

Die Informationen im Arbeitsspeicher verflüchtigen sich erst ein paar Minuten. Mit einem Kältespray können die Angreifer wertvolle Zeit gewinnen. Das Flüssiggas in den Sprühdosen kann Speichermodule auf -25 bis -55 Grad abkühlen. So bleiben die Inhalte länger in den Speichermodulen erhalten.

Die Branche reagierte mit MORLock (Memory Overwrite Request Control) auf das Problem. Sobald das Sytem gestartet wird, löscht diese Firmware-Einstellung automatisch alle Inhalte im RAM-Speicher. Cold Boot Attacken gerieten danach langsam in Vergessenheit.

Bis jetzt. Die Sicherheitsforscher Olle Segerdahl und Pasi Saarinen von F-Secure zeigten eine neue Variante dieser Attacke. Diese soll gemäss dem Blogeintrag der Sicherheitsfirma mit fast allen modernen Laptops funktionieren – etwa mit den Notebooks von Apple, Dell und Lenovo. 

Die Methode zeigt, wie gefährlich der Schlafmodus dieser Geräte ist, sogar wenn man eine vollständige Harddisk-Verschlüsselung nutzt. Wenn der Laptop im Schlafmodus war, konnten die Forscher auch durch MORLock geschützte Geräte hacken. Zu diesem Zweck manipulierten die Sicherheitsforscher die Firmwareeinstellungen der Geräte im Schlafmodus.

"Es ist nicht gerade einfach", lässt sich Segerdahl in dem Blogeintrag zitieren, "aber es ist auch nicht so schwierig, dass wir die Möglichkeit ignorieren können, dass einige Hacker diesen Trick ebenfalls bereits entdeckt haben."

Derartige Angriffe würden wohl kaum bei Gelegenheitshacks zum Einsatz kommen. Aber vielleicht bei zielgerichteten Attacken. Wenn ein Banker oder CEO seinen Laptop etwa in einem Taxi vergisst, hätten die Angreifer auch genügend Zeit, um so eine Attacke durchzuführen. 

Die Experten raten IT-Verantwortlichen daher, Unternehmenslaptops so zu konfigurieren, dass sie nicht in den Schlafmodus wechseln, sondern sich abschalten. Zudem sollten sie sich bei jedem Neustart zunächst authentifizieren müssen. 

Das würde Cold-Boot-Attacken nicht verhindern. Wenn die Maschine herunterfährt, speichert sie aber die Entschlüsselungscodes nicht im Arbeitsspeicher. Die Hacker könnten also keine wertvollen Daten auslesen. 

Mehr dazu im Blogeintrag von F-Secure.

11.09.2018 - 18:14 Uhr

British Airways wollte IT-Security an IBM outsourcen – und wurde zuvor prompt gehackt

Böses Timing! Ende August haben Unbekannte die Fluggesellschaft British Airways gehackt. Die Hacker erbeuteten Kundendaten von rund 380'000 Personen – inklusive Zahlungs- und Kreditkarteninformationen. Und zur gleichen Zeit hatte die Fluggesellschaft versucht, ihre IT-Security an IBM auszulagern. 

Dies geht aus einem internen Memo hervor, das The Register vorliegt. Demzufolge wolle die Airline fast alle IT-Security-Prozesse abgeben. Nur der Bereich Security Operation Services sollte im Haus bleiben. Das Direktorium hatte dem Schritt Anfang August bereits zugestimmt. Nun sollten aber noch die Arbeitskräfte und Gewerkschaften ihr Einverständnis geben.

Doch daraus wurde nichts. Gerade mal fünf Wochen später wusste die Welt schon, dass British Airways ihre Kundendaten nicht schützen kann. Die Kriminellen hatten vom 21. August bis zum 5. September wohl mehr oder weniger freie Hand im Firmennetzwerk der Fluggesellschaft.

Die Ursache für die Sicherheitslücke dürften wohl kostensenkende Massnahmen sein, vermutet The Register. Aufgrund von Einsparungen wurden vermutlich Updates nicht getestet, bevor sie aufgeschaltet wurden, was das System unsicher machte. Vielleicht wurden die Server aber aus demselben Grund auch nicht gepatcht. 

British Airways will nach eigenen Angaben die Opfer des Hacks finanziell entschädigen. Die Fluggesellschaft wird nun aufgrund der neuen Datenschutz-Grundverordnung der EU (EU-DSGVO beziehungsweise GDPR) aber wohl noch mit derben Konsequenzen rechnen müssen. Wie es mit dem Outsoucring-Deal mit IBM weitergeht, steht noch in den Sternen.

 

11.09.2018 - 17:44 Uhr

Präsidiale Ransomware mit Heisshunger auf .exe-Dateien

Der ehemalige Präsident der USA, Barack Obama, hat einen neuen Namensvetter. Einen cyberkriminellen Namensvetter. Dabei handelt es sich um ein Schadprogramm mit dem illustren und einprägsamen Namen: Barack Obama’s Everlasting Blue Blackmail Virus.

Obwohl der Name etwas anderes vermuten lässt, handelt es sich dabei um eine Ransomware. Hat diese einen PC infiziert, schaltet sie zunächst diverse Prozesse ab, die mit Anti-Virus-Lösungen in Verbindung stehen. 

In einem nächsten Schritt analysiert das Schadprogramm den Rechner, sucht nach .exe-Dateien und verschlüsselt diese. Sämtliche .exe-Dateien, also auch diejenigen, die sich im Windows-Systemordner befinden. Für gewöhnlich meiden Ransomware diesen Ordner, um keine ungewollten Systemabstürze zu verursachen, wie Bleepingcomputer.com berichtet.

Die Ransomware ändert zudem die Icons und Registrierungsschlüssel der verschlüsselten Dateien, so dass stattdessen die Ransomware ausgeführt wird, wenn der Nutzer darauf klickt. Wer seine Dateien wieder zurück haben will, müsse sich an die angegebene E-Mail-Adresse wenden und ein Lösegeld zahlen.

 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

Ob der Angreifer bei Bezahlung tatsächlich den Entzifferungsschlüssel herausrückt, ist gemäss dem Bericht noch unklar. Ebenfalls unklar ist, wie die Ransomware verbreitet wird. Übrigens hatte auch Donald Trump die fragwürdige Ehre, als unfreiwilliger Namensgeber für eine Ransomware herhalten zu müssen. Die Donald Trump Ransomware kursierte 2016 im Vorfeld der US-amerikanischen Präsidentschaftswahlen.

11.09.2018 - 17:18 Uhr

Melani warnt vor Wolf im WEF-Pelz

Der E-Banking-Trojaner Retefe kann es einfach nicht lassen. Das Schadprogramm geistert zwar schon seit Jahren in der Schweizer IT-Landschaft herum. Die ersten Opfer fand Retefe bereits 2013. In den vergangenen Wochen scheint die Malware jedoch besonders aktiv zu sein. 

Jede Woche erscheint eine neue Warnung der Melde- und Analysestelle Informationssicherung (Melani) über eine neue Spam-Kampagne. Die Drahtzieher hinter dem Banking-Trojaner wollen mit täuschend echt wirkenden E-Mails ihre Opfer dazu bringen, die Makros im angehängten Word-Dokument zu öffnen. Hierzu verwenden die Cyberkriminellen die Logos bekannter Firmen und Organisationen. Die aktuelle Kampagne nutzt etwa den Auftritt des Wirtschaftsforums WEF. 

 

 

Wer die Makros im Anhang aktiviert, öffnet bloss Retefe das Tor zum eigenen Rechner. Melani empfiehlt daher, die E-Mails zu löschen und den Anhang nicht zu öffnen. Die falsche WEF-Kampagne grassiert gemäss Melani in der Romandie. 

28.08.2018 - 11:27 Uhr

Melani warnt schon wieder – falsche Zurich-Mails im Umlauf

Kaum eine Woche ist vergangen, seitdem die Melde- und Analysestelle Informationssicherung (Melani) vor betrügerischen E-Mails gewarnt hat, die angeblich von der Schweizerischen Post kommen (Siehe Blogeintrag vom 22. August). Nun folgt bereits der nächste Alarm.

Diese neue Spam-Welle versucht dem Empfänger vorzutäuschen, dass das Schreiben von Zurich Versicherung kommt. Tatsächlich wollen die Betrüger mit den E-Mails jedoch den E-Banking-Trojaner Retefe verbreiten, wie Melani über den Twitter-Account des Government Computer Emergency Response Team (GovCERT) mitteilt. 

Der Trojaner versteckt sich im Anhang – eine .doc-Datei, die wohl mit schädlichen Makros vollbeladen ist. Betroffene sollen gemäss der Warnung den Anhang nicht öffnen und das E-Mail löschen.

Retefe gehört zum alten Eisen im Cybercrime und ist schon seit Anfang November 2013 in der Schweiz aktiv. Der E-Banking-Trojaner ist einer der aggressivsten Schadprogramme hierzulande – aber auch fast nur in der Schweiz. Die Malware ist in nur wenigen Ländern aktiv: Neben der Schweiz sind dies lediglich noch Österreich, Schweden und Japan. 

Einmal im Rechner drin, leitet Retefe den Browser seiner Opfer um. Wenn diese bestimmte E-Banking-Portale nutzen, erhalten sie stattdessen die Aufforderung, eine App herunterzuladen – angeblich um die Sicherheit zu erhöhen. Tatsächlich handelt es sich dabei aber um ein Android-Schadprogramm. Dieses fängt sämtliche SMS von der Bank für die 2-Faktor-Authentifizierung von der Bank ab und leitet sie an die Hacker weiter.

28.08.2018 - 11:20 Uhr

Warum eine smarte Beleuchtung auch sehr dumm sein kann

Viele Wege führen nach Rom – und noch mehr führen aus einem Unternehmen hinaus. Sicherheitsforscher finden immer neue Methoden, Daten unbemerkt aus einem Unternehmen zu exfiltrieren. Unlängst ging einem Forschungsteam von der University of Texas at San Antonio wohl ein Lichtlein auf. Denn sie kamen auf die Idee, gestohlene Daten von Smartphones über smarte Glühbirnen aus einem Unternehmen heraus zu schmuggeln.

Die Angriffsmethode ist sehr theoretisch – aber eben: theoretisch möglich. Das Opfer muss dafür smarte Glühbirnen im Büro oder bei sich daheim installiert haben, die Infrarot-Licht unterstützen. Zudem dürfen sie keine Autorisierung verlangen, wenn eine Applikation die Glühbirne über das Netzwerk anzusteuern versucht. Die letzte Zutat: eine Malware auf dem Smartphone des Opfers. Das Schadprogramm wandelt Daten in Lichtsignale um und sendet diese an die Glühbirne. Im Test nutzten die Forscher Glühbirnen der Marke LIFX.

Zu diesem Zweck spielt die Malware mit der Amplitude und der Länge der Lichtwellen – sowohl im sichtbaren als im nichtsichtbaren Bereich. In dem Testversuch kodierte das Forschungsteam ein Bild in Lichtsignalen. Diese fingen sie auf verschiedenen Distanzen mit einem Teleskop ab.

Auf einer Distanz von 5 Metern zur Lichtquelle war das Bild nur unwesentlich verfälscht. Mit zunehmender Distanz nahm auch das Bildrauschen zu. Allerdings war das Bild auch bei einer Distanz von 50 Metern zwischen Glühbirne und Empfänger noch klar immer erkennbar. 

Wie man sich dagegen schützen kann? Ein paar Vorhänge könnten schon reichen, schreibt das Team in der Forschungsarbeit (Link zum PDF). Es müssten aber möglichst opak sein – je weniger Licht sie durchlassen, desto schwieriger wird es, dass dieses Licht Daten hinaus trägt. 

28.08.2018 - 11:05 Uhr

Swisscom sucht einen Cybersecurity-Experten

Das Computer Security Incident Response Team von Swisscom (CSIRT) sucht Nachwuchs. Wie der Telko auf seiner Website schreibt, sucht das Security-Team einen Senior Security Incident Responder in Zürich oder Bern-Worblaufen. Das Pensum beträgt gemäss dem Stelleninserat 80 bis 100 Prozent.

Bewerber müssen einen Uni-Abschluss in Informatik oder einen gleichwertigen technischen Abschluss mitbringen und über ein breites Fachwissen in verschiedenen Technologien verfügen (etwa Unix, Windows, Mac, Netzwerke, Middleware, Mobile). Wichtig sei zudem auch ein strategisches, analytisches sowie vorausschauendes und vernetztes Denken. 

Mehr Informationen gibt es hier.

 

22.08.2018 - 13:29 Uhr

Melani schlägt Alarm wegen falschen Post-E-Mails

Der E-Banking-Trojaner Retefe schlägt zurück – schon wieder. Die Melde- und Analysestelle Informationssicherung (Melani) warnt auf Twitter vor E-Mails, die angeblich von der Post kommen. Wie dem Screenshot zu entnehmen ist, wirken die E-Mails täuschend echt. Die Betrüger geben darin vor, es sei ein Paket unterwegs und geben Sendungsnummer, Art der Zustellung, Absender und mehr an.

Ein irritierter Nutzer mag wohl auf den Anhang klicken, um mehr herauszufinden. Zusammen mit der E-Mail kommt nämlich auch eine angehängte Doc-Datei. Von dieser soll man jedoch lieber die Finger lassen. 

Wer das Dokument öffnet, sieht zunächst einmal gar nichts. Die installierte Version von Microsoft Word sei nicht kompatibel mit dem Dokument. Der Nutzer solle doch auf "Bearbeitung aktivieren" und anschliessend auf "Inhalt aktivieren" klicken.

 

 

Folgt ein Nutzer dieser Anweisung, aktiviert er die Makros in Word. Und so gibt er der gefährlichen Nutzlast freien Zugang auf den Rechner. Die Mails dienen nämlich dazu, den E-Banking-Trojaner Retefe zu verbreiten. Die Betrüger versuchen so an die Zahlungsinformationen ihrer Opfer heranzukommen.

Dass die E-Mail nicht von der Post kommt, erkennt man an den Details. So ist das Anschreiben etwa generisch und nicht persönlich. Der Name des Empfängers fehlt. Auch ist der Absender nicht mit der Domain Post.ch verbunden – der Absender im Screenshot ist noch nicht mal eine Schweizer Adresse. 

Die Malware ist schon seit Jahren in der Schweiz aktiv. So warnte Melani etwa bereits vergangenen Oktober vor einer Spam-Kampagne, die ebenfalls versuchte, Retefe zu verbreiten. Lesen Sie mehr zu Retefe im aktuellen Halbjahresbericht von Melani.

 

 

17.08.2018 - 19:52 Uhr

Crypto-Miner-Plage befällt Schweizer Unternehmen

Sie sind quasi die Mücken des Cybercrime: Crypto Miner. Kleine, unscheinbare Parasiten, die sich fast überall verstecken können. Im Februar dieses Jahres tauchten derartige Schädlinge sogar in Youtube-Werbeanzeigen auf. Die Malware zapft die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen und so Geld für die Cyberkriminellen zu generieren. 

Auch Schweizer Firmen kämpfen schon seit einiger Zeit mit dieser Plage. Im vergangenen Monat intensivierte sich das Problem jedoch etwas, wie die Most Wanted Malware Liste von Check Point für den Monat Juli zeigt. Der israelische Sicherheitsanbieter aktualisiert die Liste jeden Monat.

Dass die Liste vom Crypto Miner Coinhive angeführt wird, ist nichts Neues – im Juli waren gemäss Check Point fast 10 Prozent aller Schweizer Unternehmen davon betroffen. Im Vergleich zum Vormonat hat es sogar einen Crypto Miner weniger auf der Liste. XMRig blieb auf der Strecke. 

Aber dafür kletterten die beiden schürfenden Parasiten Cryptoloot und Jsecoin weit hinauf auf der Liste. Im Juni lag Cryptoloot noch auf dem 4. und Jsecoin auf dem 9. Platz. In der aktuellen Liste schaffte es Cryptoloot auf den 2. Platz. Jsecoin machte vier Plätze gut und landete auf dem 5. Rang. 

Die Top Malware in der Schweiz im Juli:

  1. Coinhive (Crypto Miner – 9,65 Prozent der Schweizer Firmen)
  2. Cryptoloot (Crypto Miner – 3,53 Prozent der Schweizer Firmen)
  3. Roughted ((Malvertising – 3,53 Prozent der Schweizer Firmen)
  4. Andromeda (Bot – 1,86 Prozent der Schweizer Firmen)
  5. Jsecoin (Crypto Miner – 1,86 Prozent der Schweizer Firmen)
  6. Dorkbot (Wurm – 1,67 Prozent der Schweizer Firmen)
  7. Virut (Botnet – 1,30 Prozent der Schweizer Firmen)
  8. Nivdort (Trojan – 1,11 Prozent der Schweizer Firmen)
  9. Emotet (Trojaner – 1,11 Prozent der Schweizer Firmen)
  10. Scar (Trojaner – 1,11 Prozent der Schweizer Firmen)

Die globale "Most Wanted Malware"-Liste findet sich im Blogeintrag von Check Point.
 

17.08.2018 - 19:46 Uhr

Fake Bugs sollen vor echten Bugs schützen

Um Benutzer vor Schadprogrammen zu schützen, kommen Sicherheitsforscher manchmal auf ungewöhnliche Ideen. Die folgende Technik eines Teams der New York University gehört definitiv in die Kategorie «So unorthodox, dass es vielleicht funktionieren könnte». Sie wollen selbst Programme mit Bugs verseuchen. Mit möglichst vielen Bugs.

Ein voreiliger Hacker könnte jetzt schon ein «Danke!» auf den Lippen haben. Schliesslich leben sie davon, solche Sicherheitslücken zu finden und auszunutzen. Exploits für Bugs lassen sich etwa verkaufen. Seriöse Sicherheitslücken erlauben dem Cyberkriminellen vielleicht sogar Zugriff auf Firmennetzwerke und Unternehmensdaten.

Die absichtlich eingebauten Bugs – die Forscher nennen sie "Chaff Bugs" - sollen aber als Ablenkung dienen. Die vermeintlichen Schwachstellen sollen natürlich nicht ausnutzbar sein, sondern auf Cyberkriminelle nur so wirken. Der Hacker, so die Idee hinter der Taktik, vergeudet seine Zeit damit, Exploits für nicht ausnutzbare Schwachstellen zu entwickeln. 

Ganz ohne Probleme ist die Idee jedoch nicht. Gemäss den Forschern könnten auch falsche Bugs zu echten Systemabstürzen führen. Auch können die Forscher nicht garantieren, dass Cyberkriminelle irgendwann einen Weg herausfinden, Chaff Bugs von echten Bugs zu unterscheiden. Auch sei diese Methode nicht möglich in Open-Source-Lösungen. 

Die Idee bleibt jedoch interessant.

In ihrer Forschungsarbeit “Chaff Bugs: Deterring Attackers by Making Software Buggier” (PDF) beschreiben die Sicherheitsforscher ausführlich, wie ihre Taktik funktionieren soll. 

17.08.2018 - 19:28 Uhr

Science-Fiction lügt - wieder mal

Die Stimme als biometrischen Passwortersatz zu verwenden gehört zu den grundlegenden Stereotypen des Science-Fiction-Genres. Von Captain Jean-Luc Picard bis Detektiv John Miller – alle können ihre Rechner und Dateien mit gesprochenen Befehlen ver- und entschlüsseln. 

Science-Fiction-Filme und -Serien stellen Stimm-Passwörter als naheliegende Zukunftsvision dar, in welcher der Nutzer vom unnötigen Tippen befreit worden ist. Die Realität könnte jedoch einen grossen Bogen um solche Technologien machen wollen. 

Die Sicherheitsexperten John Seymour und Azeem Aqil zeigten an der Hackerkonferenz Def Con nämlich, wie leicht sich Stimmerkennungsverfahren täuschen lassen. Mit synthetisch erzeugten Stimmen konnten sie Apples Siri und auch Azure Speaker Recognition von Microsoft austricksen, wie Heise berichtet

Die Stimmen erzeugten sie mit dem Text-to-Speech-Verfahren (TTS). Hierbei werden grosse Mengen an Sprachaufzeichnungen genutzt und neu zusammengesetzt, um neue Sprachausgaben zu generieren. In der Regel sind hierfür Sprachproben von mehreren Stunden nötig. 

Die Forscher brauchten jedoch nur 10 Minuten. Diese zerstückelten sie in zehn Sekunden lange Fetzen und verlängerten sie künstlich. Mit diesen Fetzen trainierten sie ein neuronales Netzwerk, das gemäss dem Bericht anschliessend täuschend echte Sprachproben produzieren konnte.
 

17.08.2018 - 18:29 Uhr

Swisscom warnt vor Phising-Attacke via Linkedin

Das Computer Security Incident Response Team der Swisscom (CSIRT) hat auf Twitter vor Betrügern gewarnt. Die Betrüger versuchen mit einer Phishing-Attacke an die Zugangsdaten ihrer Opfer zu kommen, wie Swisscom mitteilt. 

Hierfür verwenden sie kompromittierte Benutzerkonten auf der Social-Media-Plattform Linkedin. Die Phishing-Attacken erfolgen über Direktnachrichten. Wenn Opfer auf den darin enthaltenen Link klicken, werden sie auf eine Website mit schädlichem Inhalt geleitet. 

 

 

17.08.2018 - 18:17 Uhr

DOS-Wurm taucht auch nach 36 Jahren noch auf

Die BBC hat sich mit den Zombies des Internets beschäftigt. Uralte Codezeilen, die noch immer herumgeistern und gelegentlich frische Opfer finden. Viren, aber vor allem Würmer, leben oft viel länger als die Kampagnen, in denen sie verbreitet werden.

"Die meisten dieser Würmer verbreiten sich selbstständig weiter", zitiert die BBC Candid Wüest, Senior Threat Researcher bei Symantec. Sobald diese Würmer einen Rechner infiziert haben, verfügen sie über alle Mittel, die sie brauchen, um sich auf weiteren PCs einzunisten. Daher rührt auch ihre Langlebigkeit. 

Zu den aktivsten Zombie-Würmern gehört Conficker. Dieser befällt schon seit 2008 IT-Systeme. Symantec findet aber auch regelmässig noch ältere Zombies: Darunter etwa das SillyFDC-Virus von 2007, Virut von 2006 und ein Schadprogramm namens Sality, das erstmals 2003 auftauchte. 

Zu den alten Eisen gehört auch Ramnit – ein Wurm, der schon seit sieben Jahren sein Unwesen treibt. Symantec hatte Ende 2017 darauf hingewiesen. Lesen Sie mehr dazu hier

"Von Zeit zu Zeit sehen wir sogar DOS-Viren", sagt Wüest gegenüber der BBC. Das DOS-Betriebssystem ist mittlerweile über 36 Jahre alt und geht auf die Anfangszeit des PCs zurück. Wüest vermutet, dass es sich dabei wohl um Forscher handelt, die eine alte Disk fanden und einsteckten. 

Mehr zu Malware-Antiquitäten auf der Seite von BBC.


 

08.08.2018 - 13:50 Uhr

Was passiert, wenn man Ransomware-Autoren erzürnt?

Die Ransomware Gandcrab hat in diesem Jahr eine Vielzahl Systeme befallen - bis ein südkoreanischer IT-Security-Anbieter ihr am 19. Juli die Zähne zog. Ahnlab, so der Name des südkoreanischen Unternehmens, veröffentlichte ein Tool, das die Ransomware daran hindert, Dateien zu verschlüsseln, wie Bleepingcomputer berichtet.

Nach einer erfolgreichen Infektion kreiert Gandcrab eine bestimmte Datei mit der Endung .lock. Der Name der Datei ist ein hexadezimaler Code, welcher auf Informationen zum Festplattenlaufwerk basiert. So weiss die Ransomware, ob ein Rechner bereits verschlüsselt ist oder nicht. Das Tool von Ahnlab kreiert just so eine Datei, wenn es eine Infektion durch Gandcrab erkennt und stoppt die Ransomware, bevor sie loslegen kann.

Der Autor der Gandcrab-Ransomware war über diese Entwicklung – verständlicherweise – nicht sonderlich erfreut. Der Cyberkriminelle kontaktierte Bleepingcomputer und kündigte neue Ausführungen seiner Ransomware an. Diese würden angeblich eine Zero-Day-Lücke in der Anti-Virus-Lösung von Ahnlab ausnützen. Die Rache für das Tool sollte den Ruf der Südkoreaner über Jahre hinweg schädigen.

Anfang August entdeckte der IT-Security-Analyst Marcelo Rivero von Malwarebytes die neue Version. Sie war bereits im Umlauf – inklusive des Ahnlab-Exploits. Das südkoreanische Unternehmen blieb jedoch unbesorgt. 

Der Exploit funktioniert zwar. Der Gandcrab-Autor erweiterte seine Ransomware mit einem Denial-of-Service-Bug, welcher die Anti-Virus-Lösung, einzelne Komponenten der Lösung oder auch den ganzen Rechner zum Absturz bringen könnte. 

Allerdings wird dieser Angriffscode erst aktiviert, nachdem Gandcrab die Dateien auf dem Rechner verschlüsselt hat, wie Han Chang-kyu, Director von Ahnlab, gegenüber Bleepingcomputer erklärt. Ihr Tool stoppt Gandcrab jedoch, bevor es überhaupt so weit kommt. 

Das Unternehmen nehme sich daher nun die nötige Zeit, ihre Lösung ordentlich zu patchen. 

12.07.2018 - 17:05 Uhr

Die Folgen von Cybercrime in der physischen Welt

11.07.2018 - 18:25 Uhr

Wurminfektion frisst sich durch Schweizer IT

Der Monat Juni hat der Schweiz nicht nur den Sommer gebracht – sondern auch Computerwürmer. Dies zeigt eine Übersicht von Check Point. Der israelische Sicherheitsanbieter analysiert jeden Monat die Top-Malware in der Schweiz. 

Im Mai war lediglich ein einzelner Wurm auf der Liste: Dorkbot, ganz am unteren Ende der Liste. Dabei handelt es sich laut Check Point um einen Internet-Relay-Chat-Wurm. Also ein schadhaftes Programm, das sich via IRC-Message-Foren verbreitet. Im Juni kletterte der Wurm auf Platz 6 der Top-Liste hinauf.

Diesen Monat gesellte sich noch ein weiterer Wurm dazu. Ein alter Bekannter. Ein sehr alter Bekannter! Der uralte Wurm Ramnit ist neu auf Rang 7. Der Wurm treibt sich schon seit über sieben Jahren auf PCs herum – und wurde im November auch auf Android-Geräten entdeckt. Lesen Sie mehr dazu hier

 

 

Beide Würmer können als Backdoor genutzt werden. Das heisst, dass Angreifer auf den infizierten Rechnern weitere Schadprogramme installieren können. In der Regel sollen so etwa Zugangsdaten oder E-Banking-Informationen gestohlen werden. Dorkbot vernetzt seine Opfer zusätzlich noch zu einem Botnetz, um etwa DDoS-Attacken zu lancieren. 

Obwohl der Crypto Miner Coinhive weiterhin die Liste anführt, war der vergangene Juni kein guter Monat für diese Form von Malware. Cryptoloot, Jsecoin und XMRig purzelten alle hinunter. Diese Schädlinge zapfen die Rechenleistung ihrer Opfer an, um nach Kryptowährungen zu schürfen.

Die Top Malware in der Schweiz im Juni:

  1. Coinhive (Crypto Miner)
  2. Emotet (Trojaner)
  3. Roughted ((Malvertising)
  4. Cryptoloot (Crypto Miner)
  5. Nivdort (Trojan)
  6. Dorkbot (Wurm)
  7. Ramnit (Wurm)
  8. Scar (Trojaner)
  9. Jsecoin (Crypto Miner)
  10. XMRig (Crypto Minter)

Die globale "Most Wanted"-Liste findet sich im Blogeintrag von Check Point.

11.07.2018 - 18:05 Uhr

Fussball-App belauscht israelische Soldaten

Fussball bringe die Menschen zusammen, sagt man. So auch Hacker und Opfer, wie das Beispiel einer falschen App zur aktuellen Fussball-Weltmeisterschaft namens Golden Cup zeigt. Dahinter stecke die islamistische Terrororganisation Hamas, teilt der israelische Sicherheitsanbieter Check Point mit. 

Auf diese Weise soll die Hamas versucht haben, die Smartphones von israelischen Soldaten zu infizieren. Bei rund 100 Soldaten sei dies auch geglückt. Check Point beschreibt die Apps als hochgradig invasiv. Die Malware könne etwa 

  • Telefonate aufnehmen
  • heimlich Fotos machen, wenn das Opfer angerufen wird
  • SMS-Nachrichten stehlen
  • alle Dateien, Bilder und Videos auf dem Gerät stehlen
  • die GPS-Informationen ablesen
  • Tonaufnahmen machen

Neben der WM-App hatte sich die Malware auch in Dating-Applikationen eingenistet. Die boshaften Apps waren gemäss Check Point im offiziellen Google Play Store erhältlich. Weil sich die Malware in legitim scheinenden Apps mit Bezug zu aktuellen Grossereignissen versteckt hatte, konnte sie Googles Schutzmechanismen umgehen. 

Die Masche ist nicht neu, wie Check Point schreibt. 2017 versuchte die Spyware Viperat israelische Soldaten im Gazastreifen zu bespitzeln. Im März 2016 sollen pakistanische Akteure mit der Messaging-App Smeshapp versucht haben, Angehörige des indischen Militärs zu belauschen. 

Mehr zu Golden Cup gibt es auf der Website von Check Point.

06.07.2018 - 16:59 Uhr

Melani warnt Schweizer Firmen vor falschen Bankern

Die Melde- und Analysestelle Informationssicherung (Melani) warnt Schweizer Firmen vor Betrugsversuchen. In den letzten Tagen sind vermehrt Vorfälle gemeldet worden, wie Melani mitteilt. 

Die Masche ist bekannt: Unbekannte rufen bei potenziellen Opferfirmen an und geben sich als Mitarbeiter ihrer Bank aus. Sie versuchen ihre Opfer zu überzeugen, eine Fernzugriffssoftware wie etwa Teamviewer zu installieren – alles unter dem Vorwand, ein Update beim E-Banking durchführen zu müssen.

Anschliessend gaukeln die Angreifer ihren Opfern vor, sie müssten das Update nun testen. Dafür müssten die Opfer die Zugangsdaten des Unternehmens eintippen. Sollten Zahlungen durch ein Kollektiv geschützt sein, versuchen die Angreifer alle Unterschriftsberechtigten zusammentrommeln zu lassen. 

Zwei Varianten der Masche

Verschiedentlich versuchen die Angreifer auch mit einer anderen Taktik ihre Opfer hinters Licht zu führen. Der Vorwand ist wieder ein Update beim E-Banking. Doch in dieser Variante geben die Angreifer vor, das Unternehmen müsse aufgrund eines Updates während einiger Tage auf das E-Banking verzichten. Bei dringenden Transaktionen solle die Firma sich telefonisch melden -  auf eine Rufnummer, welche die Betrüger angeben. 

Sollte ein Unternehmen tatsächlich eine dringende Zahlung tätigen wollen und die Rufnummer wählen, tritt die zweite Phase des Angriffs in Kraft. Die Angreifer fragen nach Benutzername, Passwort und Einmalpasswort. So holen sich die Betrüger sämtliche Zugangsdaten, die sie brauchen, um selbständig Zahlungen durchzuführen. 

Derartige Social-Engineering-Attacken sind nicht neu. Dass sie wieder vermehrt vorkommen, zeigt, wie wichtig es für Firmen ist, ihre Mitarbeiter in Sachen Cybersecurity zu sensibilisieren. Online listet Melani mehrere Punkte auf, die Mitarbeiter beachten sollten
 

06.07.2018 - 16:46 Uhr

Wenn die eigene Körperwärme das Passwort verrät 

Alles, was wir berühren, trägt die Spuren dieser Berührung. Mit einer Normaltemperatur von rund 37 Grad Celsius ist der menschliche Körper in der Regel deutlich wärmer als sein Umfeld. Was wir anfassen, wird dadurch leicht wärmer, als es vorher war. Auch dann, wenn wir in den Buchstabensalat einer Tastatur hauen: Mit jedem Anschlag wird die gedrückte Taste wärmer und wärmer.  

Wie ein Team aus Sicherheitsexperten der University of California, Irvine (UCI) herausfand, könnte man diesen Umstand nutzen, um Passwörter zu stehlen. Thermanator nennen die Forscher ihr hypothetisches Angriffsszenario. 

Thermanator UCI 2018

Das Passwort "passw0rd" ungefähr 0 Sekunden (oben links), 15 Sekunden (oben rechts), 30 Sekunden (unten links) und 45 Sekunden (unten rechts) nach dem Eintippen auf der Tastatur. (Source: UCI / Screenshot aus der wissenschaftlichen Arbeit)

Alles, was man dafür brauche, sei eine Wärmebildkamera mittlerer Reichweite. Diese könnte die gedrückten Tasten noch bis zu einer Minute nach dem Eintippen identifizieren. In ihren Laborversuchen zeigten die Forscher, dass auch Nicht-Experten aufgrund der Wärmebildaufnahmen Passwörter und PIN-Codes korrekt eruieren können.

Das mag zwar noch nach einer Szene aus einem Mission-Impossible-Film klingen. Doch derartige Wärmebildkameras werden immer mehr zur Commodity. Unlängst gab etwa die Bullit-Gruppe den Verkaufsstart des neusten Cat-Smartphones S61 mit verbesserter Wärmebildkamera bekannt. Die Forschergruppe der UCI plädiert daher dafür, nicht mehr auf Passwörter zu setzen, sondern alternative Security-Massnahmen zu nutzen. 

Den vollständigen wissenschaftlichen Bericht können Interessierte an dieser Stelle lesen. 
 

29.06.2018 - 17:42 Uhr

Datenklau bei Adidas und Ticketmaster 

Diese Woche haben gleich zwei globale Firmen über einen potenziellen Verlust von Kundendaten informiert: Adidas und Ticketmaster.

Unbekannte sollen gemäss dem Schuhhersteller Adidas Kontaktdaten, Benutzernamen und verschlüsselte Passwörter der Kunden erbeutet haben, wie Bloomberg berichtet. Adidas habe aber keinen Grund anzunehmen, dass auch Kreditkartendaten entwendet wurden. 

Betroffen waren angeblich nur die Benutzer der US-amerikanischen Website des Schuhherstellers. Insgesamt soll sich die Anzahl Opfer auf rund «einige wenige Millionen» belaufen. Der Vorfall werde noch untersucht.
Der Ticketmaster-Zwischenfall liegt ein paar Tage mehr zurück. Vergangenen Samstag will das Unternehmen Malware in ihrer Kundensupport-Chat-Applikation entdeckt haben – ein Produkt von Inbenta Technologies.  

Der Ticketdienst kappte anschliessend nach eigenen Angaben sofort die Verbindung zu dem Drittanbieter. Dennoch seien rund 5 Prozent der weltweiten Kunden betroffen von diesem Zwischenfall – und auch ihre Zahlungsinformationen. 

Das Unternehmen hat die betroffenen Kunden bereits informiert, wie es mitteilt. Ticketmaster bietet den Opfern einen kostenlosen Identity-Monitoring-Service an. Wer diesen in Anspruch nehmen will, erfährt hier mehr

29.06.2018 - 17:27 Uhr

Was VoIP für Hacker interessant macht

Am 26. Juni hat der Schweizer IT-Security-Dienstleister ins Theater Casino Zug geladen. Auf der Bühne stellte der Schweizer IT-Security-Dienstleister unter anderem sein Red-Team, die hauseigenen Pentester, ins Rampenlicht. Ihr Job ist es, Schwachstellen und neue Angriffsmethoden zu finden, bevor Cyberkriminelle auf die Idee kommen.

In Zug zeigte das Team, was es drauf hat. Es hatte sich mit der Frage befasst, wie man heute noch versteckt Daten übermitteln kann aus Unternehmen heraus. Ihre Antwort war VoIP. Genauer gesagt: mittels Skype for Business. Ihre Lösung nannten sie Skynet.

"VoIP bietet für Angreifer einige sehr interessante Features", sagte Luca Cappiello, Head of Penetration Testing & Research bei Infoguard. So geniesse VoIP im Netzwerk etwa eine Priorisierung bei der Bandbreite.

Theater Casino Zug

Der Vortrag von Luca Cappiello fand im Rahmen der Infoguard Security Lounge im Theater Casino Zug statt. (Source: Netzmedien)

Zudem würden nur wenige Systeme prüfen, was für Daten effektiv über die Verbindung flössen. Derartige Attacken auf der Netzwerkebene zu erkennen sei "zwar nicht unmöglich", sagte der Anführer des Red-Teams, "aber extrem schwierig". Skype for Business bietet auch noch ein paar weitere Vorteile: der Anmeldeprozess ist klar definiert über Windows Credentials und die Lösung ist vorinstalliert.

Da es zu auffällig wäre, die Client-Schnittstelle zu nutzen und die Server-Schnittstelle zu leicht zu blockieren sei, entschieden Cappiello und sein Team sich für einen anderen Weg: Sie bauten den Sykpe-for-Business-Protocol-Stack selbst nach. Nach eigenen Angaben eine enorm aufwändige Arbeit, die einige Nachtschichten erforderte.

Skynet wird zum Leben erweckt

Auf der Zielgeraden kam es dann doch noch zu einer leichten Verzögerung, wie Cappiello sagte. Skynet, "obwohl es keine nennenswerten Abweichungen zum regulären Datenverkehr gab", funktionierte nicht. Es folgten drei Wochen Debugging und die Realisation, dass der Code korrekt war. Es hatte sich lediglich ein Tippfehler eingeschlichen, den das Team schnell wieder behoben hatte: Canditate statt Candidate.

So konnte das Red-Team in Zug ein funktionsfähiges Skynet demonstrieren. Da die Lösung auf Skype basiert, konnte Cappiello telefonisch ein Update erhalten, wie viele Opfer Skynet infiziert hat und welche Payload auf den betroffen Maschinen geladen werden soll.

In der Live-Demo beschränkte sich Skynet darauf, auf dem infizierten Rechner die Nachricht "You have been pwned, miner is running. Best regards from the IG Red-Team" anzuzeigen. Die Möglichkeiten seien jedoch fast unbegrenzt, sagte Cappiello. So könnten Angreifer über VoIP etwa auch grosse Mengen an Daten abziehen.

Den vollständigen Eventbericht zur Infoguard Security Lounge können Sie an dieser Stelle lesen.

29.06.2018 - 17:14 Uhr

5G wird noch vor dem Start zum Sicherheitsrisiko

Die Sicherheitsexperten Horst-Görtz-Institut der Ruhr Universität Bochum haben eine Schwachstelle im Mobilfunkstandard LTE entdeckt. Davon seien alle Geräte betroffen, die den Mobilfunkstandard 4G nutzen, wie die Uni in einem Blogeintrag schreibt.

Die Daten werden zwar verschlüsselt übertragen. Sie werden aber nicht auf ihre Integrität geprüft. „Ein Angreifer kann den verschlüsselten Datenstrom verändern und dafür sorgen, dass die Nachrichten an einen eigenen Server umgeleitet werden, ohne dass das dem Nutzer auffällt“, zitiert der Eintrag David Rupprecht, einer der Sicherheitsexperten.

Was die Lücke besonders problematisch macht: Sie lässt sich gemäss der Mitteilung nicht schliessen. Ausserdem soll sie auch im noch bevorstehenden Mobilfunkstandard 5G enthalten sein. Die 5G-Frequenzen müssen noch versteigert werden. 

Mehr zur Sicherheitslücke im Blogeintrag der Universität

29.06.2018 - 17:05 Uhr

Eine Ratte macht Handys zu Wanzen

Der Endpoint-Security-Anbieter Eset warnt vor einer neuen Mobile-Bedrohung. Die Malware heisst HeroRat und nutzt das Protokoll der Messenger-App Telegram, wie das slowakische Unternehmen mitteilt. 

Wie der Name schon vermuten lässt, gehört die Malware zur Gruppe der RAT-Schädlinge – Remote Access Trojan. Die Malware versucht ihre Opfer mit Schein-Apps zu verführen. Diese werden in den App Stores von Drittanbietern oder über Social Media und Messaging Apps verbreitet. Das Schadprogramm sei jedoch nicht im offiziellen Google Play Store zu finden.

Nach der Installation erscheint eine Fehlermeldung. Die App könne auf dem Gerät nicht ausgeführt werden und deinstalliere sich selbst wieder. Das Symbol auf der Benutzeroberfläche verschwindet. Aber der Angreifer hat nun die volle Kontrolle über das Gerät. 

Die Malware verfügt über eine breite Palette von Spionage- und Datei-Filterfunktionen, wie Eset schreibt. Sie kann Textnachrichten abfangen, selbst Nachrichten verschicken, anrufen, die Geräteeinstellungen verändern sowie Audio- und Bildschirmaufnahmen machen.

Über das Telegram-Protokoll sendet die Malware Daten zurück an den Angreifer. So verhindert HeroRat, dass sie entdeckt wird, weil sie Datenverbindungen zu bekannten von Cyberkriminellen genutzten Upload-Servern nutzt. Die Malware ist je nach Konfiguration in drei Preismodellen auf dem Schwarzmarkt erhältlich und kommt mit einem eigenen Video-Support.

Mehr zu HeroRat auf der Website von Eset.

15.06.2018 - 18:34 Uhr

Cyberkriminelle springen auf Container-Hype auf

Sogenannte Container gehören aktuell zu den grössten Trends in der IT. Die Technologie soll etwa die Bereitstellung von Anwendungen vereinfachen und beschleunigen. Zu diesem Zweck werden mehrere Instanzen eines Betriebssystems isoliert voneinander betrieben. In den letzten Jahren trug vor allem die Open-Source-Software Docker zur Bekanntheit von Containern bei.

Nun sind auch Cyberkriminelle auf den Zug aufgesprungen. Unbekannte luden diverse Docker-Images in das offizielle Repository der gleichnamigen Container-Verwaltungssoftware, wie Heise berichtet. Die Images, um die es hier geht, waren mit versteckten Backdoors versehen.

Auf diese Weise übernahmen die Angreifer die Kontrolle über die Container. Einmal im System drin, installierten sie Crypto Miner, um heimlich nach der Kryptowährung Monero zu schürfen und Geld für die Angreifer zu generieren.

Das Docker-Team entfernte bereits 17 derartige Images – alle wurden von einem Nutzer namens Docker123321 hochgeladen. Die Images waren ganze 10 Monate online. In der Zeit wurden sie 5 Millionen mal heruntergeladen. Davon ausgehend schätzt Heise, dass die Kriminellen rund 58000 Euro ergaunerten. Da der Wechselkurs stetig fällt seit Januar, verliere die Beute aber jeden Tag an Wert.

15.06.2018 - 18:14 Uhr

Hacker treffen sich in Zürich

Wer gerade in Zürich ist, sollte vielleicht mal im Xtra-Club vorbeischauen. Noch bis morgen, 16. Juni 2018, findet dort nämlich die IT-Security-Konferenz Area 41 statt. Das Programm besteht aus Vorträgen und Workshops zu den verschiedensten Themen im Bereich Cybersecurity.

Eröffnet wurde der Anlass etwa mit einem Referat von Costin Raiu, dem Direktor von Kasperskys Global Research and Analysis Team (GREAT). Neben interessanten Inputs bietet der Anlass aber wohl auch die besten Konferenz-Badges. Mehr Infos auf der Website von Area 41.

Der Konferenz-Badge für die diesjährige Area 41.

Der Konferenz-Badge für die diesjährige Area 41. (Source: Netzmedien)

15.06.2018 - 18:04 Uhr

Crypto Miner drängen in die Schweiz

Der israelische Sicherheitsanbieter Check Point hat die jüngste Ausgabe seiner Top-Malware-Liste für die Schweiz veröffentlicht. Die Liste wird jeden Monat aktualisiert. An der Top 3 änderte sich nichts. Die Liste wird weiterhin vom Crypto Miner Coinhive angeführt. Derartige Schädlinge zapfen die Rechenleistung ihrer Opfer an, um nach Kryptowährungen zu schürfen und die Angreifer zu bereichern. 

Crypto Miner prägen die Liste schon seit Monaten. Im Mai ist nun ein weiterer Miner dazugekommen: XMRig. Der vierte Miner in der Top-9-Liste. XMRig ist gemäss Check Point eine quelloffene CPU-Mining-Software. Diese schürfe spezifisch nach der Kryptowährung Monero.

Im Gegensatz zu Bitcoin setzt Monero stark auf Privatsphäre. Die Kryptowährung bietet etwa die Möglichkeit, Geld anonym zu senden. Der Name der Währung kommt aus der kreierten Sprache Esperanto und bedeutet Währung oder Münze.  

Die Top Malware in der Schweiz im Mai:

  1. Coinhive (Crypto Miner)
  2. Roughted ((Malvertising)
  3. Cryptoloot (Crypto Miner)
  4. Emotet (Trojaner)
  5. Jsecoin (Crypto Miner)
  6. Necurs (Botnet)
  7. XMRig (Crypto Minter)
  8. Dorkbot (IRC-Wurm)
  9. Scar (Trojaner)

15.06.2018 - 17:59 Uhr

Oracle zeichnet eine Karte voller Bedrohungen

Der Datenbankriese Oracle hat ein neues Tool veröffentlicht: seine erste eigene Bedrohungskarte. Oracle nennt sie die Internet Intelligence Map. Sie greift auf die internen Analyse-Kapazitäten Oracles zu, wie das Unternehmen mitteilt. Die Ergebnisse werden online auf einer Weltkarte dargestellt. 

Oracle Internet Threat Map

Die neue Bedrohungskarte von Oracle. (Source: Oracle)

Oracle gesellt sich damit zu Kaspersky Lab, Norse Corp und vielen anderen, die bereits vergleichbare Threat Maps online gestellt haben. Eine Sammlung der Redaktion der schönsten Echtzeit-Bedrohungskarten im Netz gibt es an dieser Stelle
 

12.06.2018 - 18:08 Uhr

Alle reden in der Schweiz von Cybersecurity – nur investieren will keiner

Dass Cybersecurity-Vorfälle gravierende negative Konsequenzen haben, bestreitet heute niemand mehr. Naja, quasi niemand mehr, wie der Risk:Value-Report von NTT Security zeigt. Ganze 4 Prozent der befragten Schweizer Führungskräfte waren noch immer anderer Meinung. 

Wer das Risiko Cybercrime erkennt, fürchtet laut der Studie vor allem dreierlei: das Vertrauen seiner Kunden zu verlieren (52 Prozent der Befragten), einen Reputationsschaden (ebenfalls 52 Prozent) oder direkte finanzielle Einbussen (45 Prozent). Im Schnitt sollen durch einen Sicherheitsvorfall Kosten von über 1,1 Millionen Franken entstehen – rund 7 Prozent des durchschnittlichen Umsatzes. 

Aber die Zahlen trügen. Ein echtes Risikobewusstsein scheint zu fehlen, wie die Studie ferner zeigt. Gerade mal 15 Prozent des Budgets fliesst in der Schweiz in die Informationssicherheit. Unternehmen stecken ihr Geld lieber in Betrieb, Marketing, Vertrieb, Rechnungswesen, Entwicklung und Personalwesen. 

Lieber Lösegeld zahlen, als Geld für Security ausgeben

Fast ein Viertel der Befragten (23 Prozent) gaben sogar an, sie würden lieber ein Lösegeld zahlen, wenn eine Ransomware ihre Daten verschlüsselt, als stärker in IT-Security zu investieren. Das sei die kostengünstigere Alternative. In diesem Punkt liegt die Schweiz jedoch vor dem globalen Durchschnitt von 33 Prozent. 

Die Konsequenz? Die Studie zeigt, dass gerade mal 40 Prozent der befragten Entscheidungsträger das Gefühl haben, alle unternehmenskritischen Daten seien komplett sicher. Dass nur ebenso viele der Befragten einen Plan zur Hand hat, wie im Ernstfall zu reagieren ist, dürfte wohl kein Zufall sein. Dieser Wert liegt in der aktuellen Studie bei 42 Prozent der Schweizer Firmen.

Interessanterweise lag der Anteil auch schon im Vorjahr bei 42 Prozent. Obwohl damals 21 Prozent angaben, bereits einen Incident-Response-Plan zu implementieren und weitere 21 Prozent planten, in naher Zukunft entsprechende Massnahmen umzusetzen.

"Das Ergebnis zeigt leider, dass es vielfach bei reinen Absichtserklärungen geblieben ist und der Ernst der Lage immer noch unzureichend erkannt wird, auch wenn zahlreiche Sicherheitsvorfälle der letzten Zeit eigentlich gezeigt haben, dass an einem gelebten Incident-Response-Plan kein Weg mehr vorbeiführt", sagt Kai Grunwitz, Senior Vice President EMEA bei NTT Security.

Den vollständigen Report von NTT Security können Interessierte auf der Website des Unternehmens anfordern

07.06.2018 - 16:56 Uhr

Melani warnt auch vor den SBB

Das Government Computer Emergency Response Team (GovCERT) hat noch eine Warnung herausgelassen. Einen Tag nachdem die Bundesstelle vor gefälschten E-Mails der Eidgenössischen Steuerverwaltung (ESTV) gewarnt hat, schlägt sie erneut Alarm. Diesmal geht es um die SBB. Das GovCERT ist eine Tochterorganisation der Melde- und Analysestelle Informationssicherung (Melani). 

Nicht näher identifizierte Betrüger würden laut der Twitter-Warnung den Firmenauftritt der SBB nutzen, um ihre Opfer zu täuschen. In den Phishing-E-Mails versuchen Sie den Empfängern weiszumachen, dass im Namen der SBB Tickets reserviert wurden. Die bestellten Tickets seien im E-Mail-Anhang.

 

 

Diesen Anhang sollten die Empfänger jedoch besser nicht öffnen. Statt Tickets enthält die mitgeschickte .doc-Datei nämlich wieder den alten, aber deswegen nicht weniger gefährlichen Banking-Trojaner Retefe. Dieser wurde bereits beim ESTV-Phishing-Versuch mitgeschickt und treibt schon seit Jahren in der Schweiz sein Unwesen. 

Mehr zur Warnung bezüglich dem ESTV finden Sie im Blogeintrag vom 06.06.2018 - 16:59 Uhr ("Melani warnt vor der Steuerverwaltung").
 

06.06.2018 - 16:59 Uhr

Melani warnt vor der Steuerverwaltung

Das Government Computer Emergency Response Team (kurz: GovCERT) hat auf Twitter eine Warnung veröffentlicht. Wer eine E-Mail der Eidgenössischen Steuerverwaltung (ESTV) erhalte, solle aufpassen. Die Mails seien gefälscht, verkündet GovCERT auf Twitter. 

 

 

Die Mails geben vor, es sei nötig, die Steuerangaben zu vergleichen. Der Empfänger solle die in einer .doc-Datei angehängten Daten zu seiner Firma überprüfen und antworten. Sollte er auf den Anhang klicken, erwartet ihn jedoch eine böse Überraschung. Keine Daten, die er überprüfen kann, sondern einen alten Bekannten: den Banking-Trojaner Retefe. 

Die Malware treibt bereits seit drei Jahren ihr Unwesen. Im aktuellen Halbjahresbericht widmete sich die GovCERTs Mutterorganisation, die Melde- und Analysestelle Informationssicherung (Melani) ebenfalls dem alten Eisen im Cybercrime. Lesen Sie mehr dazu hier.

31.05.2018 - 18:40 Uhr

Auch der Bundesnachrichtendienst liest mit – ganz legal

Der Internetknoten De-Cix in Frankfurt ist wohl einer der grössten der Welt. Vergangenen Dezember verkündete der Betreiber einen Weltrekord: einen Datendurchsatz von mehr als sechs Terabit pro Sekunde. Nach Angaben des Unternehmens nutzen etwa 700 Internetdienstanbieter aus 60 Ländern den Knoten. Er ist also quasi das Tor zum Internet für einen Grossteil Europas. 

Das macht einige wohl neugierig, was so für Daten so durch diesen Knoten fliessen. Dazu gehört auch der Bundesnachrichtendienst (BND), der Auslandnachrichtendienst der Bundesrepublik Deutschland. Dieser zapft seit Jahren im grossen Stil Daten ab, wie der Spiegel berichtet. Nicht nur in Verdachtsfällen, sondern auch im Rahmen einer strategischen Fernmeldeüberwachung. 

Dem Betreiber war dies ein Dorn im Auge. Er war überzeugt, dass der BND gesetzeswidrig auch inländische Daten erhebe. Das Bundesverwaltungsgericht in Leipzig hat eine Klage der Betreiber nun jedoch abgewiesen. Der BND sei berechtigt, internationale Telekommunikation zu überwachen und aufzuzeichnen. Der Betreiber wurde zudem verpflichtet, bei der strategischen Fernmeldeüberwachung mitzuwirken. 

01.06.2018 - 18:37 Uhr

Schweizer Firmen könnten von etwas mehr Paranoia profitieren

Kein Unternehmen dieser Welt ist 100 Prozent gegen sämtliche Bedrohungen aus dem Cyberspace gewappnet. Dafür entwickeln Cyberkriminelle ihre Methoden und Werkzeuge zu schnell und zu stark weiter. Die Anzahl betroffener Unternehmen nimmt daher stetig zu. Zwar sind sich immer mehr Firmen dessen bewusst und investieren entsprechend in ihre IT-Security. Doch ein bisschen mehr Paranoia wäre wünschenswert. 

Cyberkriminelle wissen längst, wie Firmen untereinander zusammenarbeiten und vor allem, wo das schwächste Glied in der Liefer- und Vertriebskette zu finden ist. Die Firmen selbst aber wohl nicht, wie eine aktuelle Studie der Beratungsfirma KPMG zeigt. Über die Zulieferer können die Kriminellen anschliessend auch die Netzwerke der Zielfirma kompromittieren – eine sogenannte Supply-Chain-Attacke.

Demnach hat fast die Hälfte der befragten Schweizer Unternehmen die Cyberrisiken, die von Drittunternehmen ausgehen, nicht auf dem Radar. Das Bewusstsein für dieses Problem ist trotz der medialen Präsenz von Cyberrisiken sogar gesunken im Vergleich zum Vorjahr. Lediglich 56 Prozent der Befragten hätten Instrumente implementiert, um ihre Zulieferer zu überprüfen. Im Vorjahr waren es noch 68 Prozent. 

Prominentes Beispiel der jüngeren Vergangenheit

Auch in den Verträgen zwischen Firmen und ihren Partnern findet das Thema Cybersecurity immer weniger Platz. In 59 Prozent der Verträge sei etwa kein Recht auf eine Überprüfung des Partners formuliert (40 Prozent im Vorjahr). In 38 Prozent werden auch keine rechtsverbindlichen Verpflichtungen bezüglich cyberkriminellen Vorfällen festgelegt. 2017 waren es lediglich 30 Prozent. 

Das solche Supply-Chain-Attacken verheerend sein können, zeigte das Tool CCleaner vergangenen September. Unbekannte hatten in dem offiziellen und legitimen PC-Optimierungstool ein Schadprogramm eingeschleust. 

Über das Tool hatten die Kriminellen anschliessend Zugriff auf alle Unternehmen, welche die infizierte Version von CCleaner auf ihren Rechnern nutzten. Auch CCleaner selbst wurde wohl über einen Zulieferer angegriffen. Lesen Sie hier mehr zur Supply-Chain-Attacke via CCleaner

Den vollständigen "Clarity on Cyber Security"-Bericht von KPMG – inklusive aktuellen Hype-Themen wie Blockchain und künstliche Intelligenz – gibt es an dieser Stelle als PDF

31.05.2018 - 18:35 Uhr

DSGVO beweist Wandlungsfähigkeit von Scammern

Seit Freitag, dem 25. Mai 2018 gilt die neue Datenschutzgrundverordnung der EU (EU-DSGVO beziehungsweise GDPR auf Englisch). Am Samstag, 26. Mai nutzten bereits die ersten Cyber-Betrüger das Thema für ihre Zwecke.

Die Polizei Niedersachsen schreibt in ihrem Ratgeber Internetkriminalität etwa über einen Fall, der einen lokalen Anwalt betrifft. Dieser erhielt eine E-Mail, das ihn aufforderte seinen Branchenbucheintrag aufgrund der EU-DSGVO zu überprüfen und zurück zu senden. 

Tatsächlich handelte es sich bei dem Schreiben um ein Angebot für einen noch nicht bestehenden Vertrag, wie die Polizei schreibt. Wer ohne zu denken seine Angaben schickt, stimmt dem Vertrag wohl schon zu. 

Fake-Amazon jagt Daten

Die Verbraucherzentrale Nordrhein-Westfalen warnt derweil vor anderen Betrügern. Diese versuchten Amazon-Kunden mit Phishing-Mails zu täuschen. Die E-Mails wollen angeblich über "Wichtige Änderungen des Europäischen Datenschutzgesetzes" informieren.

Der Empfänger solle seine Zugangsdaten abgleichen. Die E-Mails stammen laut der Mitteilung jedoch nicht von Amazon. Die Betrüger versuchten so lediglich an neue Daten zu kommen. 

Bei E-Mails, die sich um die EU-DSGVO drehen, ist also Vorsicht geboten – auch bei denen, die nicht von Betrügern stammen. Oder um es mit den Worten des US-amerikanischen Germanisten zu sagen:

 

25.05.2018 - 19:35 Uhr

Noch einmal zum Nachschlagen

Was war schon wieder Creepware? Wofür steht DDoS? Und was bedeutet eigentlich Malvertising? Spätestens seit Wannacry und Mirai sind Cyberbedrohungen in aller Munde. Das kleine IT-Security-ABC soll einen schnellen Überblick ohne Anspruch auf Vollständigkeit über die gängigsten Begriffe verschaffen. Die Liste wird laufend aktualisiert und ist unter www.it-markt.ch/securityabc zu finden.

25.05.2018 - 19:32 Uhr

Malware jagt zunehmend hinter Bitcoin & Co. her

Die Sicherheitsexperten von Fortinet haben die Ergebnisse des aktuellen Global Threat Landscape Reports für das erste Quartal 2018 veröffentlicht. Ransomware mache zwar weiterhin den Unternehmen dieser Welt zu schaffen – Wannacry lässt grüssen. 

Der Trend zeigt jedoch eindeutig in eine andere Richtung, wie das Unternehmen mitteilt. Cyberkriminelle ziehen es vor, Systeme zu kapern um nach Kryptowährungen zu schürfen, statt Lösegelder aus Unternehmen herauszupressen. Hierfür nutzen sie sogenannte Cryptominer oder Cryptojacker, die sich in etwa in Web-Broswer einschleusen lassen.

(Source: Fortinet)

(Source: Fortinet)

Zu diesem Zweck nutzen sie immer komplexere Malware und neu entdeckte Zero-Day-Schwachstellen. So könnten sie schnell im grossen Massstab angreifen, schreibt das Unternehmen. Im ersten Quartal waren bereits 28 Prozent der untersuchten Unternehmen davon betroffen – mehr als doppelt so viele als im Vorquartal. 

Auffällig sei die Vielfalt der hierfür genutzten Schadprogramme. Was funktioniert, wird weiterentwickelt. So entstehend rasch neue, besser getarnte oder auch dateilose Malware, um infizierten Code in die Browser einzuschleusen. 

Mehr zum Thema Blockchain und Kryptowährungen finden Sie im Krypto-Blog auf Netzwoche.ch

25.05.2018 - 19:05 Uhr

Britisches Militär hat Angst vor zockender Malware

Das Verteidigungsministerium des Vereinigten Königreichs warnt in einer Studie vor einer neuen Gefahr: eine künstliche Intelligenz (KI) mit einer Vorliebe für Videospiele. 

Gemeint sind etwa KIs wie Alphago oder Alphazero des Unternehmens Deepmind. Deren Entwickler nutzen Games, um ihren KIs beizubringen, selbständig komplexe Probleme zu lösen. In der Studie wird etwa explizit das Strategiespiel Starcraft II von Blizzard erwähnt. 

Gameplay-Trailer zu Starcraft II. (Source: Youtube)

Blizzard und Deepmind haben August 2017 sogar eine Reihe von Entwickler-Tools für Starcraft II veröffentlicht, genannt SC2LE. Teil des Sets sind etwa eine Machine-Learning-Programmierschnittstelle von Blizzard, ein Datensatz anonymisierter Spielaufzeichnungen sowie eine Open-Source-Version des Deepmind-Toolsets Psysc2. 

Dass diese KIs, Alphago und Alphazero, etwas auf dem Kasten haben, zeigten sie bereits Ende 2017. Die KI schlug das Schach-Trainingsprogramm Stockfish mit einer erstaunlichen Deutlichkeit. Mehr dazu im Beitrag auf der Netzwoche

Derartige KI-Systeme könnten aber auch genutzt werden, um Angriffe zu planen und zu koordinieren. KI werde die Vielfalt und die Geschwindigkeit mit denen Cyberattacken auftreten, erhöhen. Zugleich senke sie die Kosten für derartige Angriffe. 

Die Autoren der Studie gehen davon aus, dass dies schon ab 2020 oder bald danach zu einem seriösen Problem wird. Jeder mit den nötigen Ressourcen, um eine KI zu erwerben oder zu stehlen, hätte dann Zugriff auf ein immenses offensives Cyber-Arsenal. Ein Arsenal, das sich wohl nur schwierig aufhalten liesse. 

22.05.2018 - 15:37 Uhr

Trojaner und schädliche Werbung sind auf dem Vormarsch in der Schweiz

Check Point hat seine Liste der Top-Malware in der Schweiz aktualisiert. Die Spitze der Liste wird zwar noch immer von Crypto Minern dominiert – Skripte, die ohne das Mitwissen der Opfer ihre Rechenleistung anzapfen, um nach Kryptowährungen zu schürfen. So führt etwa Coinhive die Liste an – wie bereits im Vormonat (siehe Eintrag vom 27.04.2018 – Die grössten Malware-Bedrohungen in der Schweiz im März).

Anderswo ist die Liste aber stark in Bewegung. Im Vergleich zum März fällt etwa auf, dass schädliche Werbung und Trojaner wieder an Boden gewinnen in der Schweiz. Im Vormonat war kein einziger Trojaner in der Liste. Im April gleich zwei: Scar und Nivdort. Beide haben es auf die Benutzer- und Login-Daten ihrer Opfer abegsehen.

Die Top Malware in der Schweiz im April:

  1. Coinhive (Crypto Miner)
  2. Roughted ((Malvertising)
  3. Cryptoloot (Crypto Miner)
  4. Jsecoin (Crypto Miner)
  5. Necurs (Botnet)
  6. Scar (Trojaner)
  7. Nivdort (Trojaner)
  8. Fireball (Adware)
  9. Pirrit (Adware)

Roughted war bereits im März in der Liste, sprang nun aber von Platz 4 auf 2. Roughted nutzt Werbung und bösartige Websites, um die Rechner seiner Opfer mit weitere Malware zu infizieren – wie etwa Ransomware oder Adware – eine weitere Form schädlicher Werbung. Diese ist ebenfalls auf dem Vormarsch. 

Mit Pirrit hat die April-Liste einen zweiten Vertreter aus dem Bereich Adware erhalten. Derartige Malware wird genutzt, um den Broswer der Opfer auf bestimmte Werbeanzeigen umzulenken. Oft lässt sich über Adware aber auch noch viel mehr Schaden anrichten. 

Die andere Adware, Fireball, rutschte derweil einen Platz hinab. Was im Vergleich zum Vormonat ebenfalls auffällt, ist die geringe Anzahl an Botnetzen in der Top-Malware-Liste von Check Point. Im März listete Check Point noch drei Botnetze – im April nur noch eines. 

22.05.2018 - 15:24 Uhr

Intel stopft ein paar der neuen Spectre-Lücken

Anfang Mai waren neue Spectre-Lücken aufgetaucht (siehe Eintrag vom 04.05.2018 – Intel kommt nicht zur Ruhe). Nun hat Chip-Hersteller Intel, dessen Prozessoren von den Schwachstellen betroffen sind, erste Update veröffentlicht. Diese sollen die Bedrohung, die durch Spectre verursacht wird, abschwächen.

Der Chiphersteller veröffentlichte jedoch nur Updates für zwei der acht neuen Sicherheitslücken, wie Heise berichtet. Die restlichen 6 erwähnt Intel in seinem Blogeintrag zu den Updates nicht. Mehr Informationen zu den gepatchten Lücken finden sich hier für die Variante 3a (CVE-2018-3640) und Variante 4 (CVE-2018-3639).

22.05.2018 - 13:18 Uhr

Jetzt auch auf Instagram

Der IT-Security-Blog hat einen kleinen Abstecher gemacht. Neu ist der Blog auch auf Instagram vertreten. Dort sind die Illustrationen zu finden, die jeweils in der Printversion des IT-Security-Blogs erscheinen. 

11.05.2018 - 17:58 Uhr

Kryptobetrüger geben ihren Opfern die Schuld

Was machen die Drahtzieher einer betrügerischen Krypto-Malware, wenn sie aufliegen? Sie ziehen einen Exit-Scam ab! Und zeigen dabei sogar noch mit dem Finger auf das Unternehmen, das sie für ihren Betrug imitiert hatten. 

Die Geschichte beginnt mit einer Warnung von Electrum. Das Unternehmen bietet eine gleichnamige Bitcoin-Wallet-App. Auf seiner Website warnt es vor einem Nachahmer: Electrum Pro. Dabei handle es sich nicht etwa um eine Pro-Version von Electrum, sondern um Malware. 

Die bösartige App stiehlt die Seed-Keys ihrer Opfer und schickt sie an die Malware-Entwickler, wie Bleepingcomputer berichtet. Mit diesen kryptographischen Schlüsseln haben die Betrüger Zugriff auf alle Bitcoin-Gelder, die in dem Wallet gespeichert sind. 

Die Betrüger haben ihre Website unterdessen deaktiviert und machten sich vom Acker. Besucher der Website sehen lediglich eine Botschaft von «Lucas Lofgren und dem Electrum-Pro-Team». Sie werfen Electrum vor, das Unternehmen hätte ihren Ruf zerstört. Das Team hätte sich infolgedessen nun aufgelöst. Ein Exit-Scam also.

Wie viel und ob sie überhaupt etwas ergaunern konnten, ist jedoch fraglich. Die Warnungen auf der Electrum-Seite und in den Medien gingen heraus, bevor die Falle zuschnappen konnte. Gemäss Bleepingcomputer war es den Cyberkriminellen bis zum 10. Mai – ein Tag bevor die Website offline ging – noch nicht gelungen, Bitcoins zu stehlen. 

Mehr zum Thema Blockchain und Kryptowährungen finden Sie im Krypto-Blog auf Netzwoche.ch

11.05.2018 - 17:47 Uhr

Poetische Ransomware macht die Welt zu ihrem Garten

Nicht jeder, der Ransomware entwickelt, will sich damit die Taschen füllen. Wie auch im Falle der Erpressersoftware Whiterose. Wie andere Schadprogramme dieser Art, verschlüsselt Whiterose nach der Infektion Dokumente sowie Bild- und Videodateien diverser Formate. Sie gibt diesen die Dateiendung ".whiterose". 

Wie die Ransomware auf den infizierten Rechnern landet, ist unklar. Möglicherweise wird sie manuell installiert, wenn das Opfer einen Remote-Desktop-Dienst nutzt. Die Verschlüsselung wurde jedoch bereits geknackt und lässt sich auch ohne Lösegeldzahlung wieder beheben. 

Also: kein Grund zur Panik und stattdessen viel Zeit, sich den Erpresserbrief einmal genauer anzusehen, wie Bleepingcomputer dies tat. Der Erpresserbrief ist nämlich höchst ungewöhnlich und wirkt viel mehr wie eine literarische Erzählung – stellenweise sogar fast wie ein Gedicht. 

Es geht um einen einsamen Hacker, der nichts hat, ausser einem leeren Haus und einem Garten voller weisser Rosen. Also entschied er sich, allen Menschen auf der Welt ein Geschenk zu machen: eine weisse Rose, die in den Systemen der Beschenkten wächst. Genau wie in seinem Garten. 

White Rose (Source: Netzmedien)

(Source: Netzmedien)

11.05.2018 - 17:44 Uhr

Was Nutzer wohl von starken Passwörtern halten

Die deutschen Comic-Autoren Elizabeth Pich and Jonathan Kunz von War and Peas haben sich mit starken Passwörtern befasst und was sie wohl davon halten graphisch umgesetzt. Mehr Comics des Duos gibt’s an dieser Stelle
Weak Passwords von War and Peas.(Source: Warandpeas.com)

11.05.2018 - 17:41 Uhr

Tarnspezialisten schleichen sich erneut in Googles Play Store

Die Sicherheitsexperten von Symantec haben sieben Wiederholungstäter im Google Play Store entdeckt. Dabei handelt es sich um sieben bösartige Apps, die schon einmal aus dem Play Store entfernt wurden, wie das Unternehmen mitteilt

Für die neue Welle haben die dafür verantwortlichen Cyberkriminellen lediglich den Namen der App sowie des angeblichen Herausgebers leicht angepasst. Der Code der App sei jedoch noch derselbe. Bei den Apps handle es sich um sehr unterschiedliche Applikationen - darunter eine Emoji-Tastatur, ein Taschenrechner, eine Verschlüsselungs-App sowie Tools, um Anrufe aufzunehmen oder Speicherplatz freizugeben.

Die Apps würden jedoch nicht wie angepriesen funktionieren, schreibt Symantec. Stattdessen übt sich die Malware in Geduld. Sie lauert, damit das Opfer die App und eventuelle verdächtige Aktivitäten des Smartphones nicht in Zusammenhang bringe.

Nach vier Stunden versteckt sich die Malware nicht länger und wechselt von defensiver zu aggressiver Mimikry: Sie bittet um Admin-Rechte und nutzt dabei Google-Embleme, damit das Opfer die Anfrage für legitim hält. Anschliessend ändert die Malware auch ihr Icon zu einem Google-Symbol, wie etwa das von Google Maps oder von Google Play.

In der aktuellen Version leitet die Malware den Browser um. So landet der irregeführte Nutzer auf Scam-Seiten, die ihm weismachen sollen, er habe bei einem Wettbewerb gewonnen. Das Ziel dahinter: persönliche Daten sammeln und verkaufen. 

11.05.2018 - 17:35 Uhr

POS-Malware wird Open Source

Die Point-of-Sale-Malware Treasurehunter ist bereits seit 2014 im Visier von IT-Sicherheitsexperten. Die Malware befällt Kassensysteme am Verkaufsort (auf Englisch: Point of Sale – POS) und stiehlt Kreditkarteninformationen. Bald könnten derartige Schadprogramme noch viel zahlreicher werden.

Der Quellcode von Treasurehunter wurde unlängst in einem russischsprachigen Forum veröffentlicht, wie IT-Security-Anbieter Flashpoint mitteilt. Der Quellcode für die graphische Benutzeroberfläche sowie für das Admin-Dashboard sind ebenfalls online aufgetaucht. 

Dies senke die Einstiegshürde für Cyberkriminelle, schreibt Flashpoint. Mit den bereitgestellten Source-Codes könnten sie ihre eigenen Varianten der Treasurehunter-Malware entwickeln. Zugleich gibt die Veröffentlichung des Quellcodes jedoch auch Security-Experten eine Chance, ihre Abwehrmassnahmen zu verbessern. 

04.05.2018 - 18:53 Uhr

G Data warnt vor der dunklen Seite … im Umgang mit Datenpannen

(Source: G Data)

(Source: G Data)

Der deutsche Sicherheitsanbieter G Data hat für einen Tag einen neuen Slogan neben seinem Logo: "Trust in Imperial Sicherheit". Nein, es handelt sich dabei nicht um eine neue Marketing-Kampagne. Der Sicherheitsanbieter feiert stattdessen den 4. Mai.

Der 4. Mai ist nämlich Star Wars Day. Nicht, weil der erste Film der Science-Fiction-Reihe ursprünglich an diesem Tag ins Kino kam - das war nämlich am 25. Mai 1977. Sondern weil das Datum auf Englisch ("May the Forth") ähnlich klingt wie der bekannte Wahlspruch aus den Filmen ("May the Force be with you").

G Data nutzt den Star-Wars-Tag, um Tipps für einen besseren Umgang mit Datenpannen zu geben. Denn, wie der Sicherheitsanbieter schreibt, das Imperium weiss nicht, wie Datensicherheit funktioniert.

So sei es etwa nicht sinnvoll, sich ein Beispiel an Darth Vader zu nehmen und die Mitarbeiter zu töten, die schlechte Neuigkeiten überbringen. Viel besser mache es da Kylo Ren, der zerstöre lediglich seinen Computer. 

Mehr Tipps finden sich hier

04.05.2018 - 18:14 Uhr

Intel kommt nicht zur Ruhe

2018 dürfte als das wohl dunkelste Jahr in Intels bisheriger Firmengeschichte eingehen. Anfang des Jahres wurden zwei massive Sicherheitslücken bekannt: Spectre und Meltdown. Die Lücken steckten in der grundlegenden Prozessorarchitektur fast aller modernen Chips. Patches folgten, die Wogen glätteten sich.

Der PR- und vor allem IT-Security-Albtraum ist aber noch nicht vorbei. Sicherheitsforscher entdeckten acht neue Sicherheitslücken in Intel-CPUs, wie das Technikmagazin C’T schreibt. Im Kern seien diese auf dasselbe Design-Problem zurückzuführen. Das Magazin spricht in dem Zusammenhang von Spectre Next Generation – solange sie noch keine eigenen Namen erhalten haben. 

Jede der acht Lücken habe einen eigenen CVE-Eintrag im Verzeichnis aller Sicherheitslücken erhalten und jede erfordere einen eigenen Patch. Vier wurden als "hohes Risiko" eingestuft, das Risiko der restlichen vier als "mittel". Das Bedrohungspotenzial einer dieser Lücken sei jedoch grösser als bei Spectre und könnte auch für Cloud-Hoster zur Gefahr werden.

Das Magazin bestätigte die Lücken in Intels Chips. Einzelne ARM-Prozessoren seien jedoch ebenfalls anfällig. Ob die eng verwandte ARM-Architektur auch betroffen ist, konnte C’T noch nicht ermitteln. Die neuen Lücken zeigen jedoch, dass Spectre und Meltdown keine einmaligen Probleme waren. Prozessorarchitekturen seien eher mit Schweizer Käse zu vergleichen, aufgrund all der Sicherheitslücken.

04.05.2018 - 17:40 Uhr

Twitter speicherte Passwörter in Klartext

Der Mikroblogging-Dienst Twitter musste diese Woche ein kleines Malheur eingestehen. Eigentlich speichere das Unternehmen keine Passwörter von Nutzern in Klartext. Zu diesem Zweck nutzt Twitter eine Hashing-Funktion (bcrypt). Dieser ersetzt die Passwörter mit einer Kombination aus Zahlen und Buchstaben.

Eigentlich. Denn ein Bug hatte sich in diesen Prozess hineingeschlichen, wie Twitters CTO Parag Agrawal in einem Blogeintrag schreibt. Dieser führte dazu, dass die Passwörter in einer internen Log-Datei gespeichert wurden, bevor sie den Hash-Prozess abgeschlossen haben.

Twitter habe das Problem selber entdeckt und auch bereits wieder behoben. Ihre eigenen Untersuchungen seien zu dem Schluss gekommen, dass keine Passwörter entwendet wurden. Dennoch empfiehlt das Unternehmen seinen Nutzern, ihre Passwörter zu ändern und künftig auf eine Zwei-Faktor-Authentifizierung zu setzen. 

04.05.2018 - 17:09 Uhr

Länder werden zur Ransomware-Dateiendung

Die Sicherheitsexperten vom Malware Hunter Team warnen auf Twitter vor einer neuen Ransomware. Es handelt sich dabei um eine neue Ausführung der Xiaoba genannten Erpressersoftware.

Hat die Ransomware einmal einen Rechner infiziert, verschlüsselt sie Dateien und verpasst ihnen die Dateiendung ".china". Laut dem Malware Hunter Team ist das wohl die erste Ransomware, die einen Ländernamen als Dateiendung nutzt. 

Mehr Infos gibt's in der Malware-Datenbank Virustotal.

02.05.2018 - 17:45 Uhr

Check Point findet Code von Trend Micro in nordkoreanischer AV-Lösung

Das Ganze klingt ein wenig wie der Anfang eines Thrillers. Der israelische Sicherheitsanbieter Check Point machte einen interessanten Fang – und fand darin etwas noch Interessanteres.

Das Unternehmen erhielt eine seltene Kostprobe der nordkoreanischen Anti-Virus-Lösung (AV) Silivaccine, wie Check Point in einem Blogeintrag schreibt. Die Kostprobe kam vom freien Journalisten Martyn Williams. Williams seinerseits erhielt die Software als Zip-Datei via Dropbox – den Link dazu bekam er per E-Mail von einem gewissen Kang Yong-hak.

Der Absender – der sich trotz des koreanischen Namens als japanischer Ingenieur ausgab – ist unterdessen nicht mehr erreichbar. Seine Mailbox wurde deaktiviert. Die Zip-Datei beinhaltete neben der AV-Software auch eine Readme-Datei auf Koreanisch sowie einen angeblichen Update-Patch. Dabei handelte es sich jedoch um die Malware Jaku, die genutzt wird, um Botnetze zu erschaffen.

Vertrauter Code in fremder Lösung

Als sich der Sicherheitsanbieter in den Code der AV-Lösung vertiefte, kam ihm einiges bekannt vor. Die Entwickler von Silivaccine kopierten laut dem Bericht ganze Code-Blöcke von Trend Micro, einem japanischen Konkurrenten von Check Point.

Trend Micro bestätigt in einem Statement gegenüber Check Point, dass die Softwareprobe eine über zehn Jahre alte Version seiner Scan-Engine nutzt. Diese sei weit verbreitet und werde in vielen Produkten genutzt – auch von Drittanbietern.

Trend Micro betont, dass das Unternehmen in oder mit Nordkorea keine Geschäfte mache und dass ihre Technologie illegal genutzt werde. Rechtlich gegen Silivaccine vorgehen will das Unternehmen dennoch nicht – das sei nicht produktiv.

Die Entwickler von Silivaccine nahmen jedoch eine bewusste Änderung an Trend Micros Code vor. Silivaccines Version des Scan-Moduls ignoriert eine bestimmte Signatur, die sie normalerweise blockieren würde. Worum es sich dabei handelt, kann Check Point zwar nicht sagen. Doch es sei klar, dass das nordkoreanische Regime nicht wolle, dass seine Bürger darüber Bescheid wüssten.

27.04.2018 - 20:03 Uhr

Europol nimmt grössten Anbieter von DDoS-as-a-Service vom Netz

Bis vor kurzem konnte man auf Webstresser.org noch DDoS-Attacken ab 15 Euro pro Monat kaufen. Die Abkürzung steht für Distributed Denial of Service. Dabei wird ein Webdienst mit derart vielen Anfragen überhäuft, dass er den Dienst quittieren muss. In den letzten Jahren nahm die Stärke der Attacken drastisch zu. Mittlerweile erreichen sie Bandbreiten von bis zu 1,7 Terabit pro Sekunde - genug um eine Website regelrecht vom Netz zu fegen. Waren früher noch gewisse IT-Fähigkeiten notwendig für derartige Attacken, können Böswillige mit tiefen Taschen sie heutzutage auch auf diversen Marktplätzen einfach kaufen. 

Webstresser.org gehörte zu den grössten Marktplätzen dieser Art, wie Europol mitteilt. Die Plattform zählte mehr als 136'000 registrierte Benutzer. 4 Millionen DDoS-Attacken sollen hier ausgehandelt worden sein. Diese richteten sich gemäss Mitteilung gegen kritische Online-Dienste, Finanzinstitute, Regierungseinrichtungen, Polizeikräfte und gegen Ziele in der Gaming-Industrie.

In einer koordinierten internationalen Aktion von Europol und verschiedenen lokalen Polizeieinheiten wurde den Drahtziehern hinter dem Marktplatz nun der Stecker gezogen. Die Infrastruktur wurde beschlagnahmt. Die Administratoren lebten im Vereinigten Königreich, Kroatien, Kanada und Serbien. Zugleich gingen die Strafverfolgungsbehörden in mehreren Ländern aber auch gegen die grössten Kunden der DDoS-Plattform vor: darunter die Niederlande, Italien und Spanien.

Wer DDoS-Attacken ausführt, ermöglicht oder als Dienst verkauft, muss gemäss Mitteilung mit Geld- und Haftstrafen rechnen. 

 

27.04.2018 - 18:50 Uhr

老大哥 is watching you

Der Roman 1984 von George Orwell beschreibt eine dystopische Zukunft, in der ein Staat jeden einzelnen Schritt seiner Bürger überwacht. Die mittlerweile ubiquitäre Phrase "Big Brother is watching you" hatte ihren Ursprung in dem Roman. Orwell schrieb das Buch vor rund 70 Jahren. Die Geschichte gewinnt aber immer mehr an Relevanz. Jüngstes Beispiel: China. Während die EU mit der EU-DSGVO (beziehungsweise GDPR) gerade den Datenschutz verschärft, testet die chinesische Regierung in Shanghai und Chongqing die totale Überwachung. 

Die Regierung überwacht etwa Kreuzungen mit Videokameras, damit keiner ungesehen bei rot über die Strasse wandert, wie die SRF Rundschau berichtet. Die Regierung habe aber auch auf die Daten privater Firmen Zugriff - darunter der Internetgigant Alibaba und dessen mobile Bezahllösung Alipay. So kann die Regierung also auch verfolgen, wofür ihre Bürger ihr Geld ausgeben. 

Das offizielle Ziel: bessere Bürger schaffen. Gutes Verhalten soll belohnt werden, schlechtes geahndet. Die Bürger erhalten laut dem SRF-Beitrag sogenannte "Sesame Credits". Diese sind öffentlich einsehbar und reichen von 300 bis 900. Mehr Punkte, mehr Vorteile. Personen mit einem tiefen Kredit sollen in ihrer Bewegungsfreiheit eingeschränkt werden. Sie dürfen etwa nicht mehr mit dem Zug fahren oder Flüge buchen.

Wie der Bericht zeigt, büssen die Bürger ihre Credits aber auch ein, wenn sie nicht der politischen Linie der Kommunistischen Partei Chinas folgen. 1984, das Buch von Orwell sei unterdessen verboten worden in China. 

27.04.2018 - 17:52 Uhr

Die grössten Malware-Bedrohungen in der Schweiz im März

Die Sicherheitsexperten des israelischen IT-Security-Anbieters Check Point haben eine Liste zusammengestellt mit der am stärksten verbreiteten Malware in der Schweiz. Die Liste zeigt die Top-Malware des Monats März. Gleich drei Crypto Miner haben es unter die Top 10 geschafft.

Dabei handelt es sich um Javaskripte, die sich in Websites und Applikationen verbergen lassen. Ohne Mitwissen der Opfer zapfen sie die Rechenleistung der infizierten Geräte an, um nach Kryptowährungen zu schürfen. Das Opfer zahlt die Stromkosten für einen Rechner, den es eventuell gar nicht nutzen kann und der Hacker verdient sich eine goldene Nase.

Die Top 10 gemäss Check Point:

  1. Coinhive (Crypto Miner)
  2. Rig EK (Exploit Kit)
  3. Cryptoloot (Crypto Miner)
  4. Roughted (Malvertising)
  5. Jsecoin (Crypto Miner)
  6. Necurs (Botnet)
  7. Fireball Adware)
  8. Virut (Botnet)
  9. Andromeda (Botnet/Backdoor)
  10. Conficker (Computerwurm)

Die Nummer 10, der Computerwurm Conficker (auch bekannt als Downadup), ist erstaunlicherweise bereits seit 10 Jahren aktiv. Obwohl der Wurm eine Schwachstelle nutzt, die bereits ebenso lange gepatcht ist. In ihrem jüngsten Halbjahresbericht widmete sich die Melde- und Analysestelle Informationssicherung ebenfalls dem Computerwurm Conficker.

 

 

Webcode
SecurityBlog

Kommentare

« Mehr