Was IT-Security-Experten den Schlaf raubt

So einfach lassen sich US-Waffensysteme hacken

Uhr | Aktualisiert
von Coen Kaat

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Crypto-Minern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security.

(Source: Coen Kaat)
(Source: Coen Kaat)

Ticker

11.10.2018 - 17:20 Uhr

So einfach lassen sich US-Waffensysteme hacken

Das Verteidigungsministerium der Vereinigten Staaten (DoD – engl. Department of Defense) investiert derzeit 1,66 Billionen US-Dollar in neue Waffensysteme. Grund genug, einmal genauer hinzuschauen. Das dachte sich wohl das Government Accountability Office – kurz GAO. Das Untersuchungsorgan wollte prüfen, wie sicher die Waffensysteme der USA vor Hackerangriffen sind. Das Resultat ist erschreckend.

Die Test-Hacker des GAO hatten enorm leichtes Spiel, wie aus dem Abschlussbericht (als PDF downloaden) hervorgeht. So konnten sie schon mit banalen Tools und Methoden die Kontrolle über ihre Ziele übernehmen oder diese abschalten. Dabei verwendeten sie Tools, die zum Teil kostenlos erhältlich sind für jeden, der Zugang zum Internet hat. 

Einem Team gelang es etwa, innert neun Sekunden das Admin-Passwort zu erraten. Vermutlich, weil der zuständige IT-Verantwortliche noch immer das Standardpasswort nutzte. Ein anderes Team legte ein System lahm, indem es das System lediglich scannte. Wieder ein anderes Team entwendete nebenbei rasch 100 Gigabyte an Daten.

Den IT-Verantwortlichen der angegriffenen Waffensysteme fiel das nicht mal auf – nicht mal, wenn die Angreifer bewusst auffällig agierten. Oft sei dies auf menschliches Versagen zurückzuführen. Ganze 41 Mal gaben Verantwortliche an, sie hätten keinen Grund gehabt, eine Cyberattacke zu vermuten. Denn Systemabstürze seien vollkommen normal für das System. 

11.10.2018 - 16:39 Uhr

Fast 1 Milliarde US-Dollar in Kryptowährungen gestohlen

Der Bitcoin-Kurs mag zwar weit unter seinem Rekordpreis liegen. Doch in einem bestimmten Kreis ist der Hype um Kryptowährungen ungebrochen: bei den Cyberkriminellen. Allein in den ersten neun Monaten des laufenden Jahres erbeuteten sie Kryptowährungen im Wert von insgesamt 927 Millionen US-Dollar, wie Reuters berichtet. Die Nachrichtenagentur beruft sich dabei auf eine Studie der US-amerikanischen IT-Security-Firma Ciphertrace.  

Eine dramatische Steigerung: Im Vergleich zum Vorjahr steigerte sich dieser Wert um fast 250 Prozent. Im Vorjahr raubten Cyberkriminelle gerademal 266 Millionen Dollar, indem sie Tauschbörsen hackten. Wie aus der Studie hervorgeht, nahmen vor allem auch kleine Diebstähle zu, bei denen es um Beträge von 20 bis 60 Dollar geht. 

Gemäss den Studienautoren dürfte es aber noch eine sehr grosse Dunkelziffer geben. Ciphertrace schätzt, dass sie nur rund zwei Drittel der kriminellen Transaktionen in ihrer Studie erfassten. So wisse das Unternehmen etwa von einem Raub, bei dem Unbekannte 60 Millionen Dollar stahlen. Dieser Diebstahl wurde jedoch nie gemeldet. 

In Ländern mit laschen Gesetzen gegen Geldwäscherei würden die populären Tauschbörsen im grossen Stil dafür genutzt. Laut der Studie wurden seit 2009 bereits 2,5 Milliarden Dollar über Bitcoin-Tauschbörsen gewaschen. 
 

11.10.2018 - 15:19 Uhr

Zum Nachschlagen: Das Who's who der Malware

Die Namen von Schadprogrammen decken ein breites Spektrum ab - von einschüchternd (wie etwa Olympic Destroyer) über kryptisch (Necurs) bis hin zu nerdy (Kirk). Das Who’s who der Malware gibt einen schnellen Überblick darüber,  was hinter diesen Namen steckt.

(Source: Coen Kaat)

Mehr auf www.it-markt.ch/MalwareABC

28.09.2018 - 18:10 Uhr

UEFI-Malware verhakt sich in den Eingeweiden von PCs

Ein Schädling auf dem Rechner zu haben, kann sehr mühsam sein. Doch in der Regel gibt es einiges, das man dagegen tun kann. Manchmal hilft schon eine Anti-Virus-Lösung, um das Schadprogramm zu beseitigen. Wenn es heftiger wird, muss man auch mal das Betriebssystem neu aufsetzen oder eine Festplatte ersetzen. 

Doch es gibt eine Gruppe von Schädlingen, die noch tiefer im System stecken und daher keine dieser Massnahmen fürchten. Diese Bedrohungen sitzen in der zentralen Schnittstelle zwischen der Firmware und dem Betriebssystem. 

BIOS-Rootkits sind nichts Neues. Dabei handelt es sich um Sammlungen von Softwaretools, die dem Angreifer unbemerkt Kontrolle über einen Rechner ermöglichen. Rootkits für den BIOS-Nachfolger UEFI (vor allem in 64-Bit-Systemen Standard) gab es bislang nur in Form von Machbarkeitsnachweisen. 

Die Sicherheitsforscher von Eset haben nun jedoch beobachtet, wie Cyberkriminelle just solche Tools einsetzen. Dabei handelt es sich um die berüchtigte Sednit-Gruppe. Die Gruppe ist gemäss Eset bereits seit 2004 aktiv und für einige hochkarätige Angriffe verantwortlich – darunter der Hack des Democratic National Committee kurz vor der Präsidentschaftswahl in den Vereinigten Staaten 2016. 

Eset nannte das Rootkit Lojax. Eine reale und ernstzunehmende Gefahr. Schliesslich seien derartige Bedrohungen sehr schwierig zu erkennen und noch schwieriger zu beseitigen. Den vollständigen Bericht zu Lojax können Interessierte hier einsehen (PDF-Download).

Der Baarer Dienstleister Infoguard reagierte jedoch sogleich mit einem eigenen Blogeintrag. Spätestens nach der Aktivierung verhalte sich Lojax wie Malware. Altbewährte Techniken, um nach Schadprogrammen zu jagen, würden also auch hier funktionieren. 

 

28.09.2018 - 17:44 Uhr

Pentagon sucht nach Jedi – aber auf die altmodische Art

Das Pentagon, der Hauptsitz des US-amerikanischen Verteidigungsministeriums, ist auf der Suche nach JEDI. Kapuzen tragende Lichtschwertschwinger, die über tausend Generationen lang in der Alten Republik die Hüter des Friedens und der Gerechtigkeit waren, bevor es dunkel wurde in der Welt - bevor das Imperium aufkam? Nein, das sind nicht die Jedi, die das Pentagon sucht.

JEDI ist keine Anspielung auf die Star-Wars-Filmreihe, sondern die Abkürzung für Joint Enterprise Defense Infrastructure. Eine Cloud-Plattform, die das Pentagon derzeit aufbauen will. Sie soll das Verteidigungsministerium der Vereinigten Staaten modernisieren. 

Der Auftraggeber, das Pentagon, passte nun die Ausschreibungsunterlagen an, wie The Register berichtet. Unternehmen, die ihr Konzept für das hochmoderne und hochsichere Cloud-System einreichen wollen, müssen dafür auf ein altmodisches Medium zurückgreifen: DVDs.

"An Stelle von elektronischen Einreichungen müssen Bieter ihre komplette Offerte auf eine DVD speichern und persönlich überbringen", heisst es in den Richtlinien. Andere Einreichungen werden nicht akzeptiert. 

Es ist jedoch höchst fraglich, ob ein paar DVDs ausreichen. Schliesslich geht es hier um ein Projekt von 10 Milliarden US-Dollar, das den Auftragnehmer noch eine Dekade beschäftigen wird und den grössten Teil der IT-Prozesse des US- Verteidigungsministeriums übernehmen soll. Wer auch immer die Einreichungen prüft, wird sich wohl durch ganze Berge von DVDs wühlen müssen.

28.09.2018 - 17:16 Uhr

Riesiges IoT-Botnetz entdeckt – Zweck ungewiss

Sicherheitsforscher von Avast haben ein neues Botnetz entdeckt, das sich in den vernetzten Geräten des Internets der Dinge (Internet of Things -IoT) ausbreitet. Das Netz ist vergleichbar mit Mirai, doch spiele es in einer ganz anderen Liga, berichtet Bleepingcomputer. Der Name dieser neuen Bedrohung ist Torii.

Das Schadprogramm, das Geräte infiziert und sie an das Botnetz bindet, hat es in sich. Gemäss dem Bericht wurde es für möglichst heimliche und langanhaltende Operationen entwickelt. Zudem könne es eine sehr breite Palette an IoT-Geräten infizierten. Torii soll gemäss einem Blog-Eintrag von Avast mehr Geräte befallen können als irgendeine andere Botnetz-Malware zuvor. 

Die verschlüsselte Verbindung zum Command-and-Control-Server läuft über das Tor-Netzwerk. Die Attacke selbst kommt jedoch über den Port 23 – den Telnet-Port. Geräte, die diesen Port offenlassen oder nur schwach schützen, sind für Torii gefundenes Fressen.

IoT-Botnetze werden in der Regel für massive DDoS-Attacken genutzt. Die Angriffbandbreiten der Mirai-Attacken brachen damals sämtliche Rekorde (Lesen Sie mehr zu den DDoS-Rekorden hier). Torii mache jedoch keine Anstalten in diese Richtung. Jedenfalls noch nicht. 

Dem Angreifer stehen jedoch viele Möglichkeiten offen. Das Schadprogramm kann auf den infizierten Geräten nämlich beliebigen Code ausführen. Denkbar wäre etwa auch, dass die Cyberkriminellen die Rechenleistung nutzen wollen, um nach Kryptowährungen zu schürfen. 
 

28.09.2018 - 16:40 Uhr

Steigende Krankenkassenprämien – steigende Spam-Aktivität

Die Melde- und Analysestelle Informationssicherung (Melani) hat schon wieder eine Warnung vor dem E-Banking-Trojaner Retefe veröffentlicht. Das Schadprogramm wird durch grossangelegte Spam-Kampagnen verbreitet. Um möglichst viele Opfer zu infizieren, ändern die Cyberkriminellen regelmässig das Aussehen dieser Spam-Mails. 

Die aktuelle Kampagne kopiert das Design der Helsana. Wie es auf Twitter heisst, versuchen die Cyberkriminellen die aktuelle Diskussion um steigende Krankenkassenprämien für ihre Zwecke auszunutzen.  

 

 

Der Anhang der E-Mail enthalte angeblich nähere Informationen zu den geänderten Sparbeiträgen. Die angehängte .doc-Datei ist jedoch nur eine Täuschung, um die Malware Retefe auf den Rechner des Opfers zu bringen. Melani empfiehlt, diese E-Mails sofort zu löschen und sie gar nicht erst zu öffnen.

Retefe wird in jüngster Vergangenheit wieder sehr aggressiv verbreitet. So ist dies nur eine von vielen Warnungen, die Melani diesbezüglich ausgesprochen hat:

  • Am 4. September warnte Melani vor gefälschten WEF-Mails.
  • Am 28. August warnte Melani vor gefälschten Zurich-Mails.
  • Am 21. August warnte Melani vor gefälschten Post-Mails.
  • Am 7. Juni warnte Melani vor gefälschten SBB-Mails.
  • Am 6. Juni warnte Melani vor gefälschten Mails der Eidgenössischen Steuerverwaltung.

21.09.2018 - 16:00 Uhr

Akamai: Botnetze verstopfen Log-in-Formulare – auch in der Schweiz

Botnetze werden in der Regel mit DDoS-Attacken assoziiert. Derartige Attacken können Websites regelrecht vom Netz fegen. Botnetze können aber auch anders, wie Akamai in seinem aktuellen State of the Internet Security Report zeigt. Die aktuelle Ausgabe der IT-Security-Studie widmet sich nämlich dem Thema Credential Stuffing Attacks. 

Genau wie eine DDOS-Attacke nutzt auch Credential Stuffing die schiere Masse eines Botnetzes zu ihrem Vorteil aus. Während eine DDoS-Attacke versucht, mit möglichst vielen gleichzeitigen Seitenaufrufen die Infrastruktur des Betreibers zu überlasten, hat Credential Stuffing es auf Zugangsdaten abgesehen. 

Manchmal laut, manchmal heimlich

Mit einer Credential-Stuffing-Attacke versuchen Cyberkriminelle herauszufinden, wer die gleichen Passwörter für verschiedene Onlinedienste nutzt. Dazu füttern sie Botnetze mit Datenbanken voller gestohlenen Zugangsdaten. Die Botnetze klappern anschliessend das Internet ab und versuchen, sich mit den Passwörtern und Benutzernamen irgendwo einzuloggen. Ziel solcher Attacken sind vor allem E-Banking- und Onlineshopping-Seiten. 

Manchmal seien die Attacken laut und dreist und zielen mehr auf Volumen ab. In anderen Fällen würden die Kriminellen sich zurückhalten und klammheimlich langsame und leise Angriffe ausführen. Viele Botnetze würden versuchen, so lange wie möglich unter dem Radar zu fliegen. So können sie möglichst lange versuchen, ausnutzbare Zugangsdaten zu finden.

8,3 Milliarden Attacken in 8 Monaten

Wie Akamai in seinem Bericht schreibt, nehmen Credential-Stuffing-Attacken stark zu. Von Januar bis April 2018 registrierte das Unternehmen rund 3,2 Milliarden solcher betrügerischen Log-in-Versuche. In den Monaten Mai und Juni allein stieg die Anzahl bereits auf über 8,3 Milliarden. Der monatliche Durchschnittswert stieg gemäss Akamai um 30 Prozent.

Insgesamt gab es laut dem Bericht zwischen November 2017 und Juni 2018 mehr als 30 Milliarden Log-ins, die auf Credential Stuffing zurückzuführen sind. Wie Akamai in einer anderen Studie schrieb ((Ponemon Report, Oktober 2017), können durch solche Attacken Kosten von bis zu mehreren zehn Millionen US-Dollar pro Jahr entstehen für die betroffenen Unternehmen. 

"Unsere Nachforschungen zeigen, dass die Drahtzieher solcher Credential-Stuffing-Attacken ihre Methoden und ihr Arsenal konstant weiterentwickeln", sagt Martin McKeay, Senior Security Advocate bei Akamai und Hauptautor des State of the Internet Security Report.

Die meisten Attacken – mit einem signifikanten Abstand – waren auf Ziele in den USA gerichtet. Die Studienautoren führen dies auf drei Gründe zurück:

  • die hohe Anzahl an Unternehmen, deren Log-in-Seiten von US-amerikanischen Unternehmen betrieben werden,
  • Akamais Kundenstamm (Das Unternehmen hat seinen Hauptsitz in Massachusetts, USA),
  • und dass Datenabflüsse bis vor Kurzem noch primär US-amerikanische Unternehmen betrafen. 

Abwehr auf Kosten der Benutzerfreundlichkeit

Die Basis jeder Credential-Stuffing-Attacke sind die gestohlenen Datensätze mit den Zugangsinformationen. Zwar wird der Diebstahl von Log-in-Daten zunehmend zu einem weltweiten Problem. Aber sogar noch im Jahr 2016 hatten 9 von 10 Hackerangriffe mit der Absicht, Zugangsdaten zu stehlen, Firmen in den USA im Visier, wie Akamai aus einer Symantec-Studie zitiert. 

Akamai sieht noch eine weitere Auffälligkeit bei der geographischen Verteilung. Sie unterscheidet sich sehr stark von den anderen Angriffsmethoden. So sei es etwa unüblich, dass Länder wie die Schweiz, Kanada oder Schweden in den Top 10 auftauchen. Bei Credential Stuffing sei dies aber der Fall. 

Es gibt zwar Wege, sich gegen derartige Attacken zu schützen. Wie Akamai schreibt, gingen solche Attacken allerdings auf Kosten der Benutzerfreundlichkeit.

19.09.2018 - 17:18 Uhr

CEO-Betrüger versetzt Aargauer in Schrecken

Der Kantonspolizei Aargau sind mehrere Fälle von E-Mail-Betrugsversuchen zu Ohren gekommen. Es handelt sich dabei um einen CEO Scam, wie der Mitteilung zu entnehmen ist. Der Kriminelle gibt sich dabei in den E-Mails als Vorgesetzter des Opfers aus.

In den aktuellen Fällen forderte der Betrüger seine Opfer auf, Geldbeträge ins Ausland zu überweisen. Die Betrugs-Mails gingen an diverse Adressaten in verschiedenen Regionen der Schweiz - mehrheitlich an Vereine, wie die Kapo Aargau schreibt.

In wie vielen Fällen die Opfer tatsächlich gezahlt hätten, sei noch nicht bekannt. Wer eine Zahlung ausgeführt hat, soll umgehend Anzeige erstatten. Die Polizei mahnt zur Vorsicht: In solchen Fällen sei es ratsam, den Vorgesetzten direkt zu kontaktieren.

19.09.2018 - 17:16 Uhr

Zürcher Steuer-App Steuern59 teilt sensible Kundendaten mit der ganzen Welt

Jeder hat sein Smartphone fast immer zur Hand. Daher ist es naheliegend, dass immer mehr Dienste über das Handy erledigt werden. Lichter einschalten, Ofen vorwärmen oder auch die Steuererklärung ausfüllen.

Mobile Security steckt jedoch noch in den Kinderschuhen oder wird zuweilen ganz vergessen. Deutlich macht dies das jüngste Beispiel der Schweizer Steuerberatungsfirma Zürich Financial Solutions (Zufiso), wie Heise berichtet.

Zufiso bietet eine App an, mit der Nutzer für 59 Franken ihre Steuererklärung ausfüllen können. Diese nennt sich Steuern59 und ist für Android und iOS erhältlich. Wie der Sicherheitsforscher Secuninja entdeckte, speichert die App sensible Nutzerdaten in der AWS-Cloud. Jeder, der ein kostenloses AWS-Konto besitzt, konnte auf die Daten zugreifen. Alternativ kann man auch kostenlose Tools verwenden, welche die Amazon Cloud nach derartigen verwundbaren AWS-Buckets durchsucht.

Was genau fand der Sicherheitsforscher? Sämtliche in der App erhobenen Daten und alle mit dem Handy fotografierten Dokumente. Also die Steuererklärungen, die Steuerbescheide, Belege wie Lohnabrechnungen, Versicherungsnachweise sowie Geburts- und Heiratsurkunden.

Passwörter und Fotos der Entwickler in der Cloud

Der Forscher fand zudem Chat-Verläufe der Kunden mit ihren Beratern und jede Menge Passwörter; die der Kundendaten im Klartext und die der Administratoren - diese waren immerhin als Hashwerte gespeichert (bcrypt).

Heise will auch wissen, dass die App von einem externen Dienstleister in Indien entwickelt wurde. Woher das Portal dies weiss? Der Sicherheitsforscher fand gemäss Bericht noch mehr im AWS-Cloud-Ordner von Zufiso: haufenweise abfotografierte App-Entwürfe, Zeichnungen und Fotos der Entwickler in ihrem Studio im Norden Indiens.

Wie Zufiso gegenüber Heise sagt, ist die Sicherheitslücke in der App bereits behoben. Die Dateien seien nicht länger öffentlich einsehbar. Allerdings machte der Steuerberater offenbar keine Anstalten, seine Kunden über das Datenleck zu informieren.

14.09.2018 - 14:11 Uhr

Ein herrenloser Computerwurm meldet sich zurück

Bereits 2010 haben Cyberkriminelle den Computerwurm Ramnit auf die IT-Welt losgelassen. Sie verbreiteten den Wurm äusserst aggressiv. Den US-amerikanischen Strafverfolgungsbehörden war dies ein Dorn im Auge. Februar 2015 gingen sie deswegen im grossen Stil gegen die Drahtzieher vor – in Kooperation mit Symantec

Seitdem ist nicht mehr klar, ob überhaupt noch jemand die Zügel von Ramnit in den Händen hält. Dennoch taucht der Wurm immer wieder auf – zuweilen auch an ungewöhnlichen Stellen. So tauchte der PC-Wurm auch schon auf Smartphones auf. Vermutlich, weil App-Entwickler mit infizierten Geräten arbeiteten. Lesen Sie hier mehr dazu: Symantec findet uralten Wurm an ungewöhnlichen Stellen.

Auch in der Schweiz lässt Ramnit immer wieder von sich hören. So ist der Wurm etwa in der aktuellen "Most Wanted Malware"-Liste des israelischen Sicherheitsanbieters Check Point aufgetaucht. Demnach waren im Monat August 2,15 Prozent der Schweizer Unternehmen mit dem Wurm infiziert. Dies reichte für den sechsten Platz.

Die Top Malware in der Schweiz im August:

  1. Coinhive  (Crypto Miner – 11.74 Prozent der Schweizer Firmen)
  2. Emotet (Trojaner – 5,45 Prozent der Schweizer Firmen)
  3. Jsecoin (Crypto Miner – 3,14 Prozent der Schweizer Firmen)
  4. Nivdort (Trojaner – 2,48 Prozent der Schweizer Firmen)
  5. Roughted (Malvertising – 2,31 Prozent der Schweizer Firmen)
  6. Ramnit (Wurm – 2,15 Prozent der Schweizer Firmen)
  7. Scar (Trojaner – 1,49 Prozent der Schweizer Firmen)
  8. Virut (Bot – 1,16 Prozent der Schweizer Firmen)
  9. Andromeda  (Bot – 1,16 Prozent der Schweizer Firmen)
  10. Cryptoloot  (Crypto Miner – 1,16 Prozent der Schweizer Firmen)
  11. Dorkbot (Wurm – 1,16 Prozent der Schweizer Firmen)
  12. Fireball (Adware – 1,16 Prozent der Schweizer Firmen)

Ein Blick auf die Liste zeigt ferner, dass im vergangenen Monat vermehrt Unternehmen von Trojaner befallen wurden. Im Juli hatten die Trojaner Nivdort, Emotet und Scar noch gemeinsam rund 3,33 Prozent der Schweizer Unternehmen infiltriert. Im August kam Emotet im Alleingang schon auf 5,45 Prozent. Auch Nivdort legte deutlich zu.

Die Bedrohung Nummer 1 bleibt aber weiterhin Coinhive. Der Cryptominer stiehlt heimlich die Rechenleistung seiner Opfer, um nach Kryptowährungen zu schürfen. Im August baute das Schadprogramm seine Opferzahl sogar leicht aus: von 9,65 auf 11,74 Prozent. 

Die globale "Most Wanted Malware"-Liste findet sich im Blogeintrag von Check Point.

Trojaner, Ransomware und DDoS? Was war schon wieder was? Das kleine IT-Security-Glossar verschafft einen schnellen Überblick über die gängigsten Begriffe rund um Cybercrime und IT-Security - ohne Anspruch auf Vollständigkeit.

Das kleine IT-Security-Glossar
 

14.09.2018 - 14:04 Uhr

Weshalb auch Harddisk-Verschlüsselung vor dem Schlafmodus nicht schützt

Cold-Boot-Attacken, auch Kaltstarterangriffe genannt, sind in den vergangenen 10 Jahren leicht aus der Mode geraten. Bei dieser Methode muss sich ein Hacker physischen Zugang zu einem Rechner verschaffen mit der Absicht, den Arbeitsspeicher auszulesen.

Für die Attacke wird der Rechner kalt neugestartet – das heisst der Rechner war zuvor ohne Strom. Dabei verwendet der Angreifer ein minimales Betriebssystem, damit möglichst viel des Arbeitsspeichers unberührt bleibt.

Die Informationen im Arbeitsspeicher verflüchtigen sich erst ein paar Minuten. Mit einem Kältespray können die Angreifer wertvolle Zeit gewinnen. Das Flüssiggas in den Sprühdosen kann Speichermodule auf -25 bis -55 Grad abkühlen. So bleiben die Inhalte länger in den Speichermodulen erhalten.

Die Branche reagierte mit MORLock (Memory Overwrite Request Control) auf das Problem. Sobald das Sytem gestartet wird, löscht diese Firmware-Einstellung automatisch alle Inhalte im RAM-Speicher. Cold Boot Attacken gerieten danach langsam in Vergessenheit.

Bis jetzt. Die Sicherheitsforscher Olle Segerdahl und Pasi Saarinen von F-Secure zeigten eine neue Variante dieser Attacke. Diese soll gemäss dem Blogeintrag der Sicherheitsfirma mit fast allen modernen Laptops funktionieren – etwa mit den Notebooks von Apple, Dell und Lenovo. 

Die Methode zeigt, wie gefährlich der Schlafmodus dieser Geräte ist, sogar wenn man eine vollständige Harddisk-Verschlüsselung nutzt. Wenn der Laptop im Schlafmodus war, konnten die Forscher auch durch MORLock geschützte Geräte hacken. Zu diesem Zweck manipulierten die Sicherheitsforscher die Firmwareeinstellungen der Geräte im Schlafmodus.

"Es ist nicht gerade einfach", lässt sich Segerdahl in dem Blogeintrag zitieren, "aber es ist auch nicht so schwierig, dass wir die Möglichkeit ignorieren können, dass einige Hacker diesen Trick ebenfalls bereits entdeckt haben."

Derartige Angriffe würden wohl kaum bei Gelegenheitshacks zum Einsatz kommen. Aber vielleicht bei zielgerichteten Attacken. Wenn ein Banker oder CEO seinen Laptop etwa in einem Taxi vergisst, hätten die Angreifer auch genügend Zeit, um so eine Attacke durchzuführen. 

Die Experten raten IT-Verantwortlichen daher, Unternehmenslaptops so zu konfigurieren, dass sie nicht in den Schlafmodus wechseln, sondern sich abschalten. Zudem sollten sie sich bei jedem Neustart zunächst authentifizieren müssen. 

Das würde Cold-Boot-Attacken nicht verhindern. Wenn die Maschine herunterfährt, speichert sie aber die Entschlüsselungscodes nicht im Arbeitsspeicher. Die Hacker könnten also keine wertvollen Daten auslesen. 

Mehr dazu im Blogeintrag von F-Secure.

11.09.2018 - 18:14 Uhr

British Airways wollte IT-Security an IBM outsourcen – und wurde zuvor prompt gehackt

Böses Timing! Ende August haben Unbekannte die Fluggesellschaft British Airways gehackt. Die Hacker erbeuteten Kundendaten von rund 380'000 Personen – inklusive Zahlungs- und Kreditkarteninformationen. Und zur gleichen Zeit hatte die Fluggesellschaft versucht, ihre IT-Security an IBM auszulagern. 

Dies geht aus einem internen Memo hervor, das The Register vorliegt. Demzufolge wolle die Airline fast alle IT-Security-Prozesse abgeben. Nur der Bereich Security Operation Services sollte im Haus bleiben. Das Direktorium hatte dem Schritt Anfang August bereits zugestimmt. Nun sollten aber noch die Arbeitskräfte und Gewerkschaften ihr Einverständnis geben.

Doch daraus wurde nichts. Gerade mal fünf Wochen später wusste die Welt schon, dass British Airways ihre Kundendaten nicht schützen kann. Die Kriminellen hatten vom 21. August bis zum 5. September wohl mehr oder weniger freie Hand im Firmennetzwerk der Fluggesellschaft.

Die Ursache für die Sicherheitslücke dürften wohl kostensenkende Massnahmen sein, vermutet The Register. Aufgrund von Einsparungen wurden vermutlich Updates nicht getestet, bevor sie aufgeschaltet wurden, was das System unsicher machte. Vielleicht wurden die Server aber aus demselben Grund auch nicht gepatcht. 

British Airways will nach eigenen Angaben die Opfer des Hacks finanziell entschädigen. Die Fluggesellschaft wird nun aufgrund der neuen Datenschutz-Grundverordnung der EU (EU-DSGVO beziehungsweise GDPR) aber wohl noch mit derben Konsequenzen rechnen müssen. Wie es mit dem Outsoucring-Deal mit IBM weitergeht, steht noch in den Sternen.

 

11.09.2018 - 17:44 Uhr

Präsidiale Ransomware mit Heisshunger auf .exe-Dateien

Der ehemalige Präsident der USA, Barack Obama, hat einen neuen Namensvetter. Einen cyberkriminellen Namensvetter. Dabei handelt es sich um ein Schadprogramm mit dem illustren und einprägsamen Namen: Barack Obama’s Everlasting Blue Blackmail Virus.

Obwohl der Name etwas anderes vermuten lässt, handelt es sich dabei um eine Ransomware. Hat diese einen PC infiziert, schaltet sie zunächst diverse Prozesse ab, die mit Anti-Virus-Lösungen in Verbindung stehen. 

In einem nächsten Schritt analysiert das Schadprogramm den Rechner, sucht nach .exe-Dateien und verschlüsselt diese. Sämtliche .exe-Dateien, also auch diejenigen, die sich im Windows-Systemordner befinden. Für gewöhnlich meiden Ransomware diesen Ordner, um keine ungewollten Systemabstürze zu verursachen, wie Bleepingcomputer.com berichtet.

Die Ransomware ändert zudem die Icons und Registrierungsschlüssel der verschlüsselten Dateien, so dass stattdessen die Ransomware ausgeführt wird, wenn der Nutzer darauf klickt. Wer seine Dateien wieder zurück haben will, müsse sich an die angegebene E-Mail-Adresse wenden und ein Lösegeld zahlen.

 
 
 
 
 
 
 
 
 
 
 
 
 
 

Ein Beitrag geteilt von IT Security Blog (@itsecurityblog) am

Ob der Angreifer bei Bezahlung tatsächlich den Entzifferungsschlüssel herausrückt, ist gemäss dem Bericht noch unklar. Ebenfalls unklar ist, wie die Ransomware verbreitet wird. Übrigens hatte auch Donald Trump die fragwürdige Ehre, als unfreiwilliger Namensgeber für eine Ransomware herhalten zu müssen. Die Donald Trump Ransomware kursierte 2016 im Vorfeld der US-amerikanischen Präsidentschaftswahlen.

11.09.2018 - 17:18 Uhr

Melani warnt vor Wolf im WEF-Pelz

Der E-Banking-Trojaner Retefe kann es einfach nicht lassen. Das Schadprogramm geistert zwar schon seit Jahren in der Schweizer IT-Landschaft herum. Die ersten Opfer fand Retefe bereits 2013. In den vergangenen Wochen scheint die Malware jedoch besonders aktiv zu sein. 

Jede Woche erscheint eine neue Warnung der Melde- und Analysestelle Informationssicherung (Melani) über eine neue Spam-Kampagne. Die Drahtzieher hinter dem Banking-Trojaner wollen mit täuschend echt wirkenden E-Mails ihre Opfer dazu bringen, die Makros im angehängten Word-Dokument zu öffnen. Hierzu verwenden die Cyberkriminellen die Logos bekannter Firmen und Organisationen. Die aktuelle Kampagne nutzt etwa den Auftritt des Wirtschaftsforums WEF. 

 

 

Wer die Makros im Anhang aktiviert, öffnet bloss Retefe das Tor zum eigenen Rechner. Melani empfiehlt daher, die E-Mails zu löschen und den Anhang nicht zu öffnen. Die falsche WEF-Kampagne grassiert gemäss Melani in der Romandie. 

28.08.2018 - 11:27 Uhr

Melani warnt schon wieder – falsche Zurich-Mails im Umlauf

Kaum eine Woche ist vergangen, seitdem die Melde- und Analysestelle Informationssicherung (Melani) vor betrügerischen E-Mails gewarnt hat, die angeblich von der Schweizerischen Post kommen (Siehe Blogeintrag vom 22. August). Nun folgt bereits der nächste Alarm.

Diese neue Spam-Welle versucht dem Empfänger vorzutäuschen, dass das Schreiben von Zurich Versicherung kommt. Tatsächlich wollen die Betrüger mit den E-Mails jedoch den E-Banking-Trojaner Retefe verbreiten, wie Melani über den Twitter-Account des Government Computer Emergency Response Team (GovCERT) mitteilt. 

Der Trojaner versteckt sich im Anhang – eine .doc-Datei, die wohl mit schädlichen Makros vollbeladen ist. Betroffene sollen gemäss der Warnung den Anhang nicht öffnen und das E-Mail löschen.

Retefe gehört zum alten Eisen im Cybercrime und ist schon seit Anfang November 2013 in der Schweiz aktiv. Der E-Banking-Trojaner ist einer der aggressivsten Schadprogramme hierzulande – aber auch fast nur in der Schweiz. Die Malware ist in nur wenigen Ländern aktiv: Neben der Schweiz sind dies lediglich noch Österreich, Schweden und Japan. 

Einmal im Rechner drin, leitet Retefe den Browser seiner Opfer um. Wenn diese bestimmte E-Banking-Portale nutzen, erhalten sie stattdessen die Aufforderung, eine App herunterzuladen – angeblich um die Sicherheit zu erhöhen. Tatsächlich handelt es sich dabei aber um ein Android-Schadprogramm. Dieses fängt sämtliche SMS von der Bank für die 2-Faktor-Authentifizierung von der Bank ab und leitet sie an die Hacker weiter.

28.08.2018 - 11:20 Uhr

Warum eine smarte Beleuchtung auch sehr dumm sein kann

Viele Wege führen nach Rom – und noch mehr führen aus einem Unternehmen hinaus. Sicherheitsforscher finden immer neue Methoden, Daten unbemerkt aus einem Unternehmen zu exfiltrieren. Unlängst ging einem Forschungsteam von der University of Texas at San Antonio wohl ein Lichtlein auf. Denn sie kamen auf die Idee, gestohlene Daten von Smartphones über smarte Glühbirnen aus einem Unternehmen heraus zu schmuggeln.

Die Angriffsmethode ist sehr theoretisch – aber eben: theoretisch möglich. Das Opfer muss dafür smarte Glühbirnen im Büro oder bei sich daheim installiert haben, die Infrarot-Licht unterstützen. Zudem dürfen sie keine Autorisierung verlangen, wenn eine Applikation die Glühbirne über das Netzwerk anzusteuern versucht. Die letzte Zutat: eine Malware auf dem Smartphone des Opfers. Das Schadprogramm wandelt Daten in Lichtsignale um und sendet diese an die Glühbirne. Im Test nutzten die Forscher Glühbirnen der Marke LIFX.

Zu diesem Zweck spielt die Malware mit der Amplitude und der Länge der Lichtwellen – sowohl im sichtbaren als im nichtsichtbaren Bereich. In dem Testversuch kodierte das Forschungsteam ein Bild in Lichtsignalen. Diese fingen sie auf verschiedenen Distanzen mit einem Teleskop ab.

Auf einer Distanz von 5 Metern zur Lichtquelle war das Bild nur unwesentlich verfälscht. Mit zunehmender Distanz nahm auch das Bildrauschen zu. Allerdings war das Bild auch bei einer Distanz von 50 Metern zwischen Glühbirne und Empfänger noch klar immer erkennbar. 

Wie man sich dagegen schützen kann? Ein paar Vorhänge könnten schon reichen, schreibt das Team in der Forschungsarbeit (Link zum PDF). Es müssten aber möglichst opak sein – je weniger Licht sie durchlassen, desto schwieriger wird es, dass dieses Licht Daten hinaus trägt. 

28.08.2018 - 11:05 Uhr

Swisscom sucht einen Cybersecurity-Experten

Das Computer Security Incident Response Team von Swisscom (CSIRT) sucht Nachwuchs. Wie der Telko auf seiner Website schreibt, sucht das Security-Team einen Senior Security Incident Responder in Zürich oder Bern-Worblaufen. Das Pensum beträgt gemäss dem Stelleninserat 80 bis 100 Prozent.

Bewerber müssen einen Uni-Abschluss in Informatik oder einen gleichwertigen technischen Abschluss mitbringen und über ein breites Fachwissen in verschiedenen Technologien verfügen (etwa Unix, Windows, Mac, Netzwerke, Middleware, Mobile). Wichtig sei zudem auch ein strategisches, analytisches sowie vorausschauendes und vernetztes Denken. 

Mehr Informationen gibt es hier.

 

22.08.2018 - 13:29 Uhr

Melani schlägt Alarm wegen falschen Post-E-Mails

Der E-Banking-Trojaner Retefe schlägt zurück – schon wieder. Die Melde- und Analysestelle Informationssicherung (Melani) warnt auf Twitter vor E-Mails, die angeblich von der Post kommen. Wie dem Screenshot zu entnehmen ist, wirken die E-Mails täuschend echt. Die Betrüger geben darin vor, es sei ein Paket unterwegs und geben Sendungsnummer, Art der Zustellung, Absender und mehr an.

Ein irritierter Nutzer mag wohl auf den Anhang klicken, um mehr herauszufinden. Zusammen mit der E-Mail kommt nämlich auch eine angehängte Doc-Datei. Von dieser soll man jedoch lieber die Finger lassen. 

Wer das Dokument öffnet, sieht zunächst einmal gar nichts. Die installierte Version von Microsoft Word sei nicht kompatibel mit dem Dokument. Der Nutzer solle doch auf "Bearbeitung aktivieren" und anschliessend auf "Inhalt aktivieren" klicken.

 

 

Folgt ein Nutzer dieser Anweisung, aktiviert er die Makros in Word. Und so gibt er der gefährlichen Nutzlast freien Zugang auf den Rechner. Die Mails dienen nämlich dazu, den E-Banking-Trojaner Retefe zu verbreiten. Die Betrüger versuchen so an die Zahlungsinformationen ihrer Opfer heranzukommen.

Dass die E-Mail nicht von der Post kommt, erkennt man an den Details. So ist das Anschreiben etwa generisch und nicht persönlich. Der Name des Empfängers fehlt. Auch ist der Absender nicht mit der Domain Post.ch verbunden – der Absender im Screenshot ist noch nicht mal eine Schweizer Adresse. 

Die Malware ist schon seit Jahren in der Schweiz aktiv. So warnte Melani etwa bereits vergangenen Oktober vor einer Spam-Kampagne, die ebenfalls versuchte, Retefe zu verbreiten. Lesen Sie mehr zu Retefe im aktuellen Halbjahresbericht von Melani.

 

 

17.08.2018 - 19:52 Uhr

Crypto-Miner-Plage befällt Schweizer Unternehmen

Sie sind quasi die Mücken des Cybercrime: Crypto Miner. Kleine, unscheinbare Parasiten, die sich fast überall verstecken können. Im Februar dieses Jahres tauchten derartige Schädlinge sogar in Youtube-Werbeanzeigen auf. Die Malware zapft die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen und so Geld für die Cyberkriminellen zu generieren. 

Auch Schweizer Firmen kämpfen schon seit einiger Zeit mit dieser Plage. Im vergangenen Monat intensivierte sich das Problem jedoch etwas, wie die Most Wanted Malware Liste von Check Point für den Monat Juli zeigt. Der israelische Sicherheitsanbieter aktualisiert die Liste jeden Monat.

Dass die Liste vom Crypto Miner Coinhive angeführt wird, ist nichts Neues – im Juli waren gemäss Check Point fast 10 Prozent aller Schweizer Unternehmen davon betroffen. Im Vergleich zum Vormonat hat es sogar einen Crypto Miner weniger auf der Liste. XMRig blieb auf der Strecke. 

Aber dafür kletterten die beiden schürfenden Parasiten Cryptoloot und Jsecoin weit hinauf auf der Liste. Im Juni lag Cryptoloot noch auf dem 4. und Jsecoin auf dem 9. Platz. In der aktuellen Liste schaffte es Cryptoloot auf den 2. Platz. Jsecoin machte vier Plätze gut und landete auf dem 5. Rang. 

Die Top Malware in der Schweiz im Juli:

  1. Coinhive (Crypto Miner – 9,65 Prozent der Schweizer Firmen)
  2. Cryptoloot (Crypto Miner – 3,53 Prozent der Schweizer Firmen)
  3. Roughted ((Malvertising – 3,53 Prozent der Schweizer Firmen)
  4. Andromeda (Bot – 1,86 Prozent der Schweizer Firmen)
  5. Jsecoin (Crypto Miner – 1,86 Prozent der Schweizer Firmen)
  6. Dorkbot (Wurm – 1,67 Prozent der Schweizer Firmen)
  7. Virut (Botnet – 1,30 Prozent der Schweizer Firmen)
  8. Nivdort (Trojan – 1,11 Prozent der Schweizer Firmen)
  9. Emotet (Trojaner – 1,11 Prozent der Schweizer Firmen)
  10. Scar (Trojaner – 1,11 Prozent der Schweizer Firmen)

Die globale "Most Wanted Malware"-Liste findet sich im Blogeintrag von Check Point.
 

17.08.2018 - 19:46 Uhr

Fake Bugs sollen vor echten Bugs schützen

Um Benutzer vor Schadprogrammen zu schützen, kommen Sicherheitsforscher manchmal auf ungewöhnliche Ideen. Die folgende Technik eines Teams der New York University gehört definitiv in die Kategorie «So unorthodox, dass es vielleicht funktionieren könnte». Sie wollen selbst Programme mit Bugs verseuchen. Mit möglichst vielen Bugs.

Ein voreiliger Hacker könnte jetzt schon ein «Danke!» auf den Lippen haben. Schliesslich leben sie davon, solche Sicherheitslücken zu finden und auszunutzen. Exploits für Bugs lassen sich etwa verkaufen. Seriöse Sicherheitslücken erlauben dem Cyberkriminellen vielleicht sogar Zugriff auf Firmennetzwerke und Unternehmensdaten.

Die absichtlich eingebauten Bugs – die Forscher nennen sie "Chaff Bugs" - sollen aber als Ablenkung dienen. Die vermeintlichen Schwachstellen sollen natürlich nicht ausnutzbar sein, sondern auf Cyberkriminelle nur so wirken. Der Hacker, so die Idee hinter der Taktik, vergeudet seine Zeit damit, Exploits für nicht ausnutzbare Schwachstellen zu entwickeln. 

Ganz ohne Probleme ist die Idee jedoch nicht. Gemäss den Forschern könnten auch falsche Bugs zu echten Systemabstürzen führen. Auch können die Forscher nicht garantieren, dass Cyberkriminelle irgendwann einen Weg herausfinden, Chaff Bugs von echten Bugs zu unterscheiden. Auch sei diese Methode nicht möglich in Open-Source-Lösungen. 

Die Idee bleibt jedoch interessant.

In ihrer Forschungsarbeit “Chaff Bugs: Deterring Attackers by Making Software Buggier” (PDF) beschreiben die Sicherheitsforscher ausführlich, wie ihre Taktik funktionieren soll. 

17.08.2018 - 19:28 Uhr

Science-Fiction lügt - wieder mal

Die Stimme als biometrischen Passwortersatz zu verwenden gehört zu den grundlegenden Stereotypen des Science-Fiction-Genres. Von Captain Jean-Luc Picard bis Detektiv John Miller – alle können ihre Rechner und Dateien mit gesprochenen Befehlen ver- und entschlüsseln. 

Science-Fiction-Filme und -Serien stellen Stimm-Passwörter als naheliegende Zukunftsvision dar, in welcher der Nutzer vom unnötigen Tippen befreit worden ist. Die Realität könnte jedoch einen grossen Bogen um solche Technologien machen wollen. 

Die Sicherheitsexperten John Seymour und Azeem Aqil zeigten an der Hackerkonferenz Def Con nämlich, wie leicht sich Stimmerkennungsverfahren täuschen lassen. Mit synthetisch erzeugten Stimmen konnten sie Apples Siri und auch Azure Speaker Recognition von Microsoft austricksen, wie Heise berichtet

Die Stimmen erzeugten sie mit dem Text-to-Speech-Verfahren (TTS). Hierbei werden grosse Mengen an Sprachaufzeichnungen genutzt und neu zusammengesetzt, um neue Sprachausgaben zu generieren. In der Regel sind hierfür Sprachproben von mehreren Stunden nötig. 

Die Forscher brauchten jedoch nur 10 Minuten. Diese zerstückelten sie in zehn Sekunden lange Fetzen und verlängerten sie künstlich. Mit diesen Fetzen trainierten sie ein neuronales Netzwerk, das gemäss dem Bericht anschliessend täuschend echte Sprachproben produzieren konnte.
 

17.08.2018 - 18:29 Uhr

Swisscom warnt vor Phising-Attacke via Linkedin

Das Computer Security Incident Response Team der Swisscom (CSIRT) hat auf Twitter vor Betrügern gewarnt. Die Betrüger versuchen mit einer Phishing-Attacke an die Zugangsdaten ihrer Opfer zu kommen, wie Swisscom mitteilt. 

Hierfür verwenden sie kompromittierte Benutzerkonten auf der Social-Media-Plattform Linkedin. Die Phishing-Attacken erfolgen über Direktnachrichten. Wenn Opfer auf den darin enthaltenen Link klicken, werden sie auf eine Website mit schädlichem Inhalt geleitet. 

 

 

17.08.2018 - 18:17 Uhr

DOS-Wurm taucht auch nach 36 Jahren noch auf

Die BBC hat sich mit den Zombies des Internets beschäftigt. Uralte Codezeilen, die noch immer herumgeistern und gelegentlich frische Opfer finden. Viren, aber vor allem Würmer, leben oft viel länger als die Kampagnen, in denen sie verbreitet werden.

"Die meisten dieser Würmer verbreiten sich selbstständig weiter", zitiert die BBC Candid Wüest, Senior Threat Researcher bei Symantec. Sobald diese Würmer einen Rechner infiziert haben, verfügen sie über alle Mittel, die sie brauchen, um sich auf weiteren PCs einzunisten. Daher rührt auch ihre Langlebigkeit. 

Zu den aktivsten Zombie-Würmern gehört Conficker. Dieser befällt schon seit 2008 IT-Systeme. Symantec findet aber auch regelmässig noch ältere Zombies: Darunter etwa das SillyFDC-Virus von 2007, Virut von 2006 und ein Schadprogramm namens Sality, das erstmals 2003 auftauchte. 

Zu den alten Eisen gehört auch Ramnit – ein Wurm, der schon seit sieben Jahren sein Unwesen treibt. Symantec hatte Ende 2017 darauf hingewiesen. Lesen Sie mehr dazu hier

"Von Zeit zu Zeit sehen wir sogar DOS-Viren", sagt Wüest gegenüber der BBC. Das DOS-Betriebssystem ist mittlerweile über 36 Jahre alt und geht auf die Anfangszeit des PCs zurück. Wüest vermutet, dass es sich dabei wohl um Forscher handelt, die eine alte Disk fanden und einsteckten. 

Mehr zu Malware-Antiquitäten auf der Seite von BBC.


 

08.08.2018 - 13:50 Uhr

Was passiert, wenn man Ransomware-Autoren erzürnt?

Die Ransomware Gandcrab hat in diesem Jahr eine Vielzahl Systeme befallen - bis ein südkoreanischer IT-Security-Anbieter ihr am 19. Juli die Zähne zog. Ahnlab, so der Name des südkoreanischen Unternehmens, veröffentlichte ein Tool, das die Ransomware daran hindert, Dateien zu verschlüsseln, wie Bleepingcomputer berichtet.

Nach einer erfolgreichen Infektion kreiert Gandcrab eine bestimmte Datei mit der Endung .lock. Der Name der Datei ist ein hexadezimaler Code, welcher auf Informationen zum Festplattenlaufwerk basiert. So weiss die Ransomware, ob ein Rechner bereits verschlüsselt ist oder nicht. Das Tool von Ahnlab kreiert just so eine Datei, wenn es eine Infektion durch Gandcrab erkennt und stoppt die Ransomware, bevor sie loslegen kann.

Der Autor der Gandcrab-Ransomware war über diese Entwicklung – verständlicherweise – nicht sonderlich erfreut. Der Cyberkriminelle kontaktierte Bleepingcomputer und kündigte neue Ausführungen seiner Ransomware an. Diese würden angeblich eine Zero-Day-Lücke in der Anti-Virus-Lösung von Ahnlab ausnützen. Die Rache für das Tool sollte den Ruf der Südkoreaner über Jahre hinweg schädigen.

Anfang August entdeckte der IT-Security-Analyst Marcelo Rivero von Malwarebytes die neue Version. Sie war bereits im Umlauf – inklusive des Ahnlab-Exploits. Das südkoreanische Unternehmen blieb jedoch unbesorgt. 

Der Exploit funktioniert zwar. Der Gandcrab-Autor erweiterte seine Ransomware mit einem Denial-of-Service-Bug, welcher die Anti-Virus-Lösung, einzelne Komponenten der Lösung oder auch den ganzen Rechner zum Absturz bringen könnte. 

Allerdings wird dieser Angriffscode erst aktiviert, nachdem Gandcrab die Dateien auf dem Rechner verschlüsselt hat, wie Han Chang-kyu, Director von Ahnlab, gegenüber Bleepingcomputer erklärt. Ihr Tool stoppt Gandcrab jedoch, bevor es überhaupt so weit kommt. 

Das Unternehmen nehme sich daher nun die nötige Zeit, ihre Lösung ordentlich zu patchen. 

12.07.2018 - 17:05 Uhr

Die Folgen von Cybercrime in der physischen Welt

11.07.2018 - 18:25 Uhr

Wurminfektion frisst sich durch Schweizer IT

Der Monat Juni hat der Schweiz nicht nur den Sommer gebracht – sondern auch Computerwürmer. Dies zeigt eine Übersicht von Check Point. Der israelische Sicherheitsanbieter analysiert jeden Monat die Top-Malware in der Schweiz. 

Im Mai war lediglich ein einzelner Wurm auf der Liste: Dorkbot, ganz am unteren Ende der Liste. Dabei handelt es sich laut Check Point um einen Internet-Relay-Chat-Wurm. Also ein schadhaftes Programm, das sich via IRC-Message-Foren verbreitet. Im Juni kletterte der Wurm auf Platz 6 der Top-Liste hinauf.

Diesen Monat gesellte sich noch ein weiterer Wurm dazu. Ein alter Bekannter. Ein sehr alter Bekannter! Der uralte Wurm Ramnit ist neu auf Rang 7. Der Wurm treibt sich schon seit über sieben Jahren auf PCs herum – und wurde im November auch auf Android-Geräten entdeckt. Lesen Sie mehr dazu hier

 

 

Beide Würmer können als Backdoor genutzt werden. Das heisst, dass Angreifer auf den infizierten Rechnern weitere Schadprogramme installieren können. In der Regel sollen so etwa Zugangsdaten oder E-Banking-Informationen gestohlen werden. Dorkbot vernetzt seine Opfer zusätzlich noch zu einem Botnetz, um etwa DDoS-Attacken zu lancieren. 

Obwohl der Crypto Miner Coinhive weiterhin die Liste anführt, war der vergangene Juni kein guter Monat für diese Form von Malware. Cryptoloot, Jsecoin und XMRig purzelten alle hinunter. Diese Schädlinge zapfen die Rechenleistung ihrer Opfer an, um nach Kryptowährungen zu schürfen.

Die Top Malware in der Schweiz im Juni:

  1. Coinhive (Crypto Miner)
  2. Emotet (Trojaner)
  3. Roughted ((Malvertising)
  4. Cryptoloot (Crypto Miner)
  5. Nivdort (Trojan)
  6. Dorkbot (Wurm)
  7. Ramnit (Wurm)
  8. Scar (Trojaner)
  9. Jsecoin (Crypto Miner)
  10. XMRig (Crypto Minter)

Die globale "Most Wanted"-Liste findet sich im Blogeintrag von Check Point.

11.07.2018 - 18:05 Uhr

Fussball-App belauscht israelische Soldaten

Fussball bringe die Menschen zusammen, sagt man. So auch Hacker und Opfer, wie das Beispiel einer falschen App zur aktuellen Fussball-Weltmeisterschaft namens Golden Cup zeigt. Dahinter stecke die islamistische Terrororganisation Hamas, teilt der israelische Sicherheitsanbieter Check Point mit. 

Auf diese Weise soll die Hamas versucht haben, die Smartphones von israelischen Soldaten zu infizieren. Bei rund 100 Soldaten sei dies auch geglückt. Check Point beschreibt die Apps als hochgradig invasiv. Die Malware könne etwa 

  • Telefonate aufnehmen
  • heimlich Fotos machen, wenn das Opfer angerufen wird
  • SMS-Nachrichten stehlen
  • alle Dateien, Bilder und Videos auf dem Gerät stehlen
  • die GPS-Informationen ablesen
  • Tonaufnahmen machen

Neben der WM-App hatte sich die Malware auch in Dating-Applikationen eingenistet. Die boshaften Apps waren gemäss Check Point im offiziellen Google Play Store erhältlich. Weil sich die Malware in legitim scheinenden Apps mit Bezug zu aktuellen Grossereignissen versteckt hatte, konnte sie Googles Schutzmechanismen umgehen. 

Die Masche ist nicht neu, wie Check Point schreibt. 2017 versuchte die Spyware Viperat israelische Soldaten im Gazastreifen zu bespitzeln. Im März 2016 sollen pakistanische Akteure mit der Messaging-App Smeshapp versucht haben, Angehörige des indischen Militärs zu belauschen. 

Mehr zu Golden Cup gibt es auf der Website von Check Point.

06.07.2018 - 16:59 Uhr

Melani warnt Schweizer Firmen vor falschen Bankern

Die Melde- und Analysestelle Informationssicherung (Melani) warnt Schweizer Firmen vor Betrugsversuchen. In den letzten Tagen sind vermehrt Vorfälle gemeldet worden, wie Melani mitteilt. 

Die Masche ist bekannt: Unbekannte rufen bei potenziellen Opferfirmen an und geben sich als Mitarbeiter ihrer Bank aus. Sie versuchen ihre Opfer zu überzeugen, eine Fernzugriffssoftware wie etwa Teamviewer zu installieren – alles unter dem Vorwand, ein Update beim E-Banking durchführen zu müssen.

Anschliessend gaukeln die Angreifer ihren Opfern vor, sie müssten das Update nun testen. Dafür müssten die Opfer die Zugangsdaten des Unternehmens eintippen. Sollten Zahlungen durch ein Kollektiv geschützt sein, versuchen die Angreifer alle Unterschriftsberechtigten zusammentrommeln zu lassen. 

Zwei Varianten der Masche

Verschiedentlich versuchen die Angreifer auch mit einer anderen Taktik ihre Opfer hinters Licht zu führen. Der Vorwand ist wieder ein Update beim E-Banking. Doch in dieser Variante geben die Angreifer vor, das Unternehmen müsse aufgrund eines Updates während einiger Tage auf das E-Banking verzichten. Bei dringenden Transaktionen solle die Firma sich telefonisch melden -  auf eine Rufnummer, welche die Betrüger angeben. 

Sollte ein Unternehmen tatsächlich eine dringende Zahlung tätigen wollen und die Rufnummer wählen, tritt die zweite Phase des Angriffs in Kraft. Die Angreifer fragen nach Benutzername, Passwort und Einmalpasswort. So holen sich die Betrüger sämtliche Zugangsdaten, die sie brauchen, um selbständig Zahlungen durchzuführen. 

Derartige Social-Engineering-Attacken sind nicht neu. Dass sie wieder vermehrt vorkommen, zeigt, wie wichtig es für Firmen ist, ihre Mitarbeiter in Sachen Cybersecurity zu sensibilisieren. Online listet Melani mehrere Punkte auf, die Mitarbeiter beachten sollten
 

06.07.2018 - 16:46 Uhr

Wenn die eigene Körperwärme das Passwort verrät 

Alles, was wir berühren, trägt die Spuren dieser Berührung. Mit einer Normaltemperatur von rund 37 Grad Celsius ist der menschliche Körper in der Regel deutlich wärmer als sein Umfeld. Was wir anfassen, wird dadurch leicht wärmer, als es vorher war. Auch dann, wenn wir in den Buchstabensalat einer Tastatur hauen: Mit jedem Anschlag wird die gedrückte Taste wärmer und wärmer.  

Wie ein Team aus Sicherheitsexperten der University of California, Irvine (UCI) herausfand, könnte man diesen Umstand nutzen, um Passwörter zu stehlen. Thermanator nennen die Forscher ihr hypothetisches Angriffsszenario. 

Thermanator UCI 2018

Das Passwort "passw0rd" ungefähr 0 Sekunden (oben links), 15 Sekunden (oben rechts), 30 Sekunden (unten links) und 45 Sekunden (unten rechts) nach dem Eintippen auf der Tastatur. (Source: UCI / Screenshot aus der wissenschaftlichen Arbeit)

Alles, was man dafür brauche, sei eine Wärmebildkamera mittlerer Reichweite. Diese könnte die gedrückten Tasten noch bis zu einer Minute nach dem Eintippen identifizieren. In ihren Laborversuchen zeigten die Forscher, dass auch Nicht-Experten aufgrund der Wärmebildaufnahmen Passwörter und PIN-Codes korrekt eruieren können.

Das mag zwar noch nach einer Szene aus einem Mission-Impossible-Film klingen. Doch derartige Wärmebildkameras werden immer mehr zur Commodity. Unlängst gab etwa die Bullit-Gruppe den Verkaufsstart des neusten Cat-Smartphones S61 mit verbesserter Wärmebildkamera bekannt. Die Forschergruppe der UCI plädiert daher dafür, nicht mehr auf Passwörter zu setzen, sondern alternative Security-Massnahmen zu nutzen. 

Den vollständigen wissenschaftlichen Bericht können Interessierte an dieser Stelle lesen. 
 

29.06.2018 - 17:42 Uhr

Datenklau bei Adidas und Ticketmaster 

Diese Woche haben gleich zwei globale Firmen über einen potenziellen Verlust von Kundendaten informiert: Adidas und Ticketmaster.

Unbekannte sollen gemäss dem Schuhhersteller Adidas Kontaktdaten, Benutzernamen und verschlüsselte Passwörter der Kunden erbeutet haben, wie Bloomberg berichtet. Adidas habe aber keinen Grund anzunehmen, dass auch Kreditkartendaten entwendet wurden. 

Betroffen waren angeblich nur die Benutzer der US-amerikanischen Website des Schuhherstellers. Insgesamt soll sich die Anzahl Opfer auf rund «einige wenige Millionen» belaufen. Der Vorfall werde noch untersucht.
Der Ticketmaster-Zwischenfall liegt ein paar Tage mehr zurück. Vergangenen Samstag will das Unternehmen Malware in ihrer Kundensupport-Chat-Applikation entdeckt haben – ein Produkt von Inbenta Technologies.  

Der Ticketdienst kappte anschliessend nach eigenen Angaben sofort die Verbindung zu dem Drittanbieter. Dennoch seien rund 5 Prozent der weltweiten Kunden betroffen von diesem Zwischenfall – und auch ihre Zahlungsinformationen. 

Das Unternehmen hat die betroffenen Kunden bereits informiert, wie es mitteilt. Ticketmaster bietet den Opfern einen kostenlosen Identity-Monitoring-Service an. Wer diesen in Anspruch nehmen will, erfährt hier mehr

29.06.2018 - 17:27 Uhr

Was VoIP für Hacker interessant macht

Am 26. Juni hat der Schweizer IT-Security-Dienstleister ins Theater Casino Zug geladen. Auf der Bühne stellte der Schweizer IT-Security-Dienstleister unter anderem sein Red-Team, die hauseigenen Pentester, ins Rampenlicht. Ihr Job ist es, Schwachstellen und neue Angriffsmethoden zu finden, bevor Cyberkriminelle auf die Idee kommen.

In Zug zeigte das Team, was es drauf hat. Es hatte sich mit der Frage befasst, wie man heute noch versteckt Daten übermitteln kann aus Unternehmen heraus. Ihre Antwort war VoIP. Genauer gesagt: mittels Skype for Business. Ihre Lösung nannten sie Skynet.

"VoIP bietet für Angreifer einige sehr interessante Features", sagte Luca Cappiello, Head of Penetration Testing & Research bei Infoguard. So geniesse VoIP im Netzwerk etwa eine Priorisierung bei der Bandbreite.

Theater Casino Zug

Der Vortrag von Luca Cappiello fand im Rahmen der Infoguard Security Lounge im Theater Casino Zug statt. (Source: Netzmedien)

Zudem würden nur wenige Systeme prüfen, was für Daten effektiv über die Verbindung flössen. Derartige Attacken auf der Netzwerkebene zu erkennen sei "zwar nicht unmöglich", sagte der Anführer des Red-Teams, "aber extrem schwierig". Skype for Business bietet auch noch ein paar weitere Vorteile: der Anmeldeprozess ist klar definiert über Windows Credentials und die Lösung ist vorinstalliert.

Da es zu auffällig wäre, die Client-Schnittstelle zu nutzen und die Server-Schnittstelle zu leicht zu blockieren sei, entschieden Cappiello und sein Team sich für einen anderen Weg: Sie bauten den Sykpe-for-Business-Protocol-Stack selbst nach. Nach eigenen Angaben eine enorm aufwändige Arbeit, die einige Nachtschichten erforderte.

Skynet wird zum Leben erweckt

Auf der Zielgeraden kam es dann doch noch zu einer leichten Verzögerung, wie Cappiello sagte. Skynet, "obwohl es keine nennenswerten Abweichungen zum regulären Datenverkehr gab", funktionierte nicht. Es folgten drei Wochen Debugging und die Realisation, dass der Code korrekt war. Es hatte sich lediglich ein Tippfehler eingeschlichen, den das Team schnell wieder behoben hatte: Canditate statt Candidate.

So konnte das Red-Team in Zug ein funktionsfähiges Skynet demonstrieren. Da die Lösung auf Skype basiert, konnte Cappiello telefonisch ein Update erhalten, wie viele Opfer Skynet infiziert hat und welche Payload auf den betroffen Maschinen geladen werden soll.

In der Live-Demo beschränkte sich Skynet darauf, auf dem infizierten Rechner die Nachricht "You have been pwned, miner is running. Best regards from the IG Red-Team" anzuzeigen. Die Möglichkeiten seien jedoch fast unbegrenzt, sagte Cappiello. So könnten Angreifer über VoIP etwa auch grosse Mengen an Daten abziehen.

Den vollständigen Eventbericht zur Infoguard Security Lounge können Sie an dieser Stelle lesen.

29.06.2018 - 17:14 Uhr

5G wird noch vor dem Start zum Sicherheitsrisiko

Die Sicherheitsexperten Horst-Görtz-Institut der Ruhr Universität Bochum haben eine Schwachstelle im Mobilfunkstandard LTE entdeckt. Davon seien alle Geräte betroffen, die den Mobilfunkstandard 4G nutzen, wie die Uni in einem Blogeintrag schreibt.

Die Daten werden zwar verschlüsselt übertragen. Sie werden aber nicht auf ihre Integrität geprüft. „Ein Angreifer kann den verschlüsselten Datenstrom verändern und dafür sorgen, dass die Nachrichten an einen eigenen Server umgeleitet werden, ohne dass das dem Nutzer auffällt“, zitiert der Eintrag David Rupprecht, einer der Sicherheitsexperten.

Was die Lücke besonders problematisch macht: Sie lässt sich gemäss der Mitteilung nicht schliessen. Ausserdem soll sie auch im noch bevorstehenden Mobilfunkstandard 5G enthalten sein. Die 5G-Frequenzen müssen noch versteigert werden. 

Mehr zur Sicherheitslücke im Blogeintrag der Universität

29.06.2018 - 17:05 Uhr

Eine Ratte macht Handys zu Wanzen

Der Endpoint-Security-Anbieter Eset warnt vor einer neuen Mobile-Bedrohung. Die Malware heisst HeroRat und nutzt das Protokoll der Messenger-App Telegram, wie das slowakische Unternehmen mitteilt. 

Wie der Name schon vermuten lässt, gehört die Malware zur Gruppe der RAT-Schädlinge – Remote Access Trojan. Die Malware versucht ihre Opfer mit Schein-Apps zu verführen. Diese werden in den App Stores von Drittanbietern oder über Social Media und Messaging Apps verbreitet. Das Schadprogramm sei jedoch nicht im offiziellen Google Play Store zu finden.

Nach der Installation erscheint eine Fehlermeldung. Die App könne auf dem Gerät nicht ausgeführt werden und deinstalliere sich selbst wieder. Das Symbol auf der Benutzeroberfläche verschwindet. Aber der Angreifer hat nun die volle Kontrolle über das Gerät. 

Die Malware verfügt über eine breite Palette von Spionage- und Datei-Filterfunktionen, wie Eset schreibt. Sie kann Textnachrichten abfangen, selbst Nachrichten verschicken, anrufen, die Geräteeinstellungen verändern sowie Audio- und Bildschirmaufnahmen machen.

Über das Telegram-Protokoll sendet die Malware Daten zurück an den Angreifer. So verhindert HeroRat, dass sie entdeckt wird, weil sie Datenverbindungen zu bekannten von Cyberkriminellen genutzten Upload-Servern nutzt. Die Malware ist je nach Konfiguration in drei Preismodellen auf dem Schwarzmarkt erhältlich und kommt mit einem eigenen Video-Support.

Mehr zu HeroRat auf der Website von Eset.

15.06.2018 - 18:34 Uhr

Cyberkriminelle springen auf Container-Hype auf

Sogenannte Container gehören aktuell zu den grössten Trends in der IT. Die Technologie soll etwa die Bereitstellung von Anwendungen vereinfachen und beschleunigen. Zu diesem Zweck werden mehrere Instanzen eines Betriebssystems isoliert voneinander betrieben. In den letzten Jahren trug vor allem die Open-Source-Software Docker zur Bekanntheit von Containern bei.

Nun sind auch Cyberkriminelle auf den Zug aufgesprungen. Unbekannte luden diverse Docker-Images in das offizielle Repository der gleichnamigen Container-Verwaltungssoftware, wie Heise berichtet. Die Images, um die es hier geht, waren mit versteckten Backdoors versehen.

Auf diese Weise übernahmen die Angreifer die Kontrolle über die Container. Einmal im System drin, installierten sie Crypto Miner, um heimlich nach der Kryptowährung Monero zu schürfen und Geld für die Angreifer zu generieren.

Das Docker-Team entfernte bereits 17 derartige Images – alle wurden von einem Nutzer namens Docker123321 hochgeladen. Die Images waren ganze 10 Monate online. In der Zeit wurden sie 5 Millionen mal heruntergeladen. Davon ausgehend schätzt Heise, dass die Kriminellen rund 58000 Euro ergaunerten. Da der Wechselkurs stetig fällt seit Januar, verliere die Beute aber jeden Tag an Wert.

15.06.2018 - 18:14 Uhr

Hacker treffen sich in Zürich

Wer gerade in Zürich ist, sollte vielleicht mal im Xtra-Club vorbeischauen. Noch bis morgen, 16. Juni 2018, findet dort nämlich die IT-Security-Konferenz Area 41 statt. Das Programm besteht aus Vorträgen und Workshops zu den verschiedensten Themen im Bereich Cybersecurity.

Eröffnet wurde der Anlass etwa mit einem Referat von Costin Raiu, dem Direktor von Kasperskys Global Research and Analysis Team (GREAT). Neben interessanten Inputs bietet der Anlass aber wohl auch die besten Konferenz-Badges. Mehr Infos auf der Website von Area 41.

Der Konferenz-Badge für die diesjährige Area 41.

Der Konferenz-Badge für die diesjährige Area 41. (Source: Netzmedien)

15.06.2018 - 18:04 Uhr

Crypto Miner drängen in die Schweiz

Der israelische Sicherheitsanbieter Check Point hat die jüngste Ausgabe seiner Top-Malware-Liste für die Schweiz veröffentlicht. Die Liste wird jeden Monat aktualisiert. An der Top 3 änderte sich nichts. Die Liste wird weiterhin vom Crypto Miner Coinhive angeführt. Derartige Schädlinge zapfen die Rechenleistung ihrer Opfer an, um nach Kryptowährungen zu schürfen und die Angreifer zu bereichern. 

Crypto Miner prägen die Liste schon seit Monaten. Im Mai ist nun ein weiterer Miner dazugekommen: XMRig. Der vierte Miner in der Top-9-Liste. XMRig ist gemäss Check Point eine quelloffene CPU-Mining-Software. Diese schürfe spezifisch nach der Kryptowährung Monero.

Im Gegensatz zu Bitcoin setzt Monero stark auf Privatsphäre. Die Kryptowährung bietet etwa die Möglichkeit, Geld anonym zu senden. Der Name der Währung kommt aus der kreierten Sprache Esperanto und bedeutet Währung oder Münze.  

Die Top Malware in der Schweiz im Mai:

  1. Coinhive (Crypto Miner)
  2. Roughted ((Malvertising)
  3. Cryptoloot (Crypto Miner)
  4. Emotet (Trojaner)
  5. Jsecoin (Crypto Miner)
  6. Necurs (Botnet)
  7. XMRig (Crypto Minter)
  8. Dorkbot (IRC-Wurm)
  9. Scar (Trojaner)

15.06.2018 - 17:59 Uhr

Oracle zeichnet eine Karte voller Bedrohungen

Der Datenbankriese Oracle hat ein neues Tool veröffentlicht: seine erste eigene Bedrohungskarte. Oracle nennt sie die Internet Intelligence Map. Sie greift auf die internen Analyse-Kapazitäten Oracles zu, wie das Unternehmen mitteilt. Die Ergebnisse werden online auf einer Weltkarte dargestellt. 

Oracle Internet Threat Map

Die neue Bedrohungskarte von Oracle. (Source: Oracle)

Oracle gesellt sich damit zu Kaspersky Lab, Norse Corp und vielen anderen, die bereits vergleichbare Threat Maps online gestellt haben. Eine Sammlung der Redaktion der schönsten Echtzeit-Bedrohungskarten im Netz gibt es an dieser Stelle
 

12.06.2018 - 18:08 Uhr

Alle reden in der Schweiz von Cybersecurity – nur investieren will keiner

Dass Cybersecurity-Vorfälle gravierende negative Konsequenzen haben, bestreitet heute niemand mehr. Naja, quasi niemand mehr, wie der Risk:Value-Report von NTT Security zeigt. Ganze 4 Prozent der befragten Schweizer Führungskräfte waren noch immer anderer Meinung. 

Wer das Risiko Cybercrime erkennt, fürchtet laut der Studie vor allem dreierlei: das Vertrauen seiner Kunden zu verlieren (52 Prozent der Befragten), einen Reputationsschaden (ebenfalls 52 Prozent) oder direkte finanzielle Einbussen (45 Prozent). Im Schnitt sollen durch einen Sicherheitsvorfall Kosten von über 1,1 Millionen Franken entstehen – rund 7 Prozent des durchschnittlichen Umsatzes. 

Aber die Zahlen trügen. Ein echtes Risikobewusstsein scheint zu fehlen, wie die Studie ferner zeigt. Gerade mal 15 Prozent des Budgets fliesst in der Schweiz in die Informationssicherheit. Unternehmen stecken ihr Geld lieber in Betrieb, Marketing, Vertrieb, Rechnungswesen, Entwicklung und Personalwesen. 

Lieber Lösegeld zahlen, als Geld für Security ausgeben

Fast ein Viertel der Befragten (23 Prozent) gaben sogar an, sie würden lieber ein Lösegeld zahlen, wenn eine Ransomware ihre Daten verschlüsselt, als stärker in IT-Security zu investieren. Das sei die kostengünstigere Alternative. In diesem Punkt liegt die Schweiz jedoch vor dem globalen Durchschnitt von 33 Prozent. 

Die Konsequenz? Die Studie zeigt, dass gerade mal 40 Prozent der befragten Entscheidungsträger das Gefühl haben, alle unternehmenskritischen Daten seien komplett sicher. Dass nur ebenso viele der Befragten einen Plan zur Hand hat, wie im Ernstfall zu reagieren ist, dürfte wohl kein Zufall sein. Dieser Wert liegt in der aktuellen Studie bei 42 Prozent der Schweizer Firmen.

Interessanterweise lag der Anteil auch schon im Vorjahr bei 42 Prozent. Obwohl damals 21 Prozent angaben, bereits einen Incident-Response-Plan zu implementieren und weitere 21 Prozent planten, in naher Zukunft entsprechende Massnahmen umzusetzen.

"Das Ergebnis zeigt leider, dass es vielfach bei reinen Absichtserklärungen geblieben ist und der Ernst der Lage immer noch unzureichend erkannt wird, auch wenn zahlreiche Sicherheitsvorfälle der letzten Zeit eigentlich gezeigt haben, dass an einem gelebten Incident-Response-Plan kein Weg mehr vorbeiführt", sagt Kai Grunwitz, Senior Vice President EMEA bei NTT Security.

Den vollständigen Report von NTT Security können Interessierte auf der Website des Unternehmens anfordern

07.06.2018 - 16:56 Uhr

Melani warnt auch vor den SBB

Das Government Computer Emergency Response Team (GovCERT) hat noch eine Warnung herausgelassen. Einen Tag nachdem die Bundesstelle vor gefälschten E-Mails der Eidgenössischen Steuerverwaltung (ESTV) gewarnt hat, schlägt sie erneut Alarm. Diesmal geht es um die SBB. Das GovCERT ist eine Tochterorganisation der Melde- und Analysestelle Informationssicherung (Melani). 

Nicht näher identifizierte Betrüger würden laut der Twitter-Warnung den Firmenauftritt der SBB nutzen, um ihre Opfer zu täuschen. In den Phishing-E-Mails versuchen Sie den Empfängern weiszumachen, dass im Namen der SBB Tickets reserviert wurden. Die bestellten Tickets seien im E-Mail-Anhang.

 

 

Diesen Anhang sollten die Empfänger jedoch besser nicht öffnen. Statt Tickets enthält die mitgeschickte .doc-Datei nämlich wieder den alten, aber deswegen nicht weniger gefährlichen Banking-Trojaner Retefe. Dieser wurde bereits beim ESTV-Phishing-Versuch mitgeschickt und treibt schon seit Jahren in der Schweiz sein Unwesen. 

Mehr zur Warnung bezüglich dem ESTV finden Sie im Blogeintrag vom 06.06.2018 - 16:59 Uhr ("Melani warnt vor der Steuerverwaltung").
 

06.06.2018 - 16:59 Uhr

Melani warnt vor der Steuerverwaltung

Das Government Computer Emergency Response Team (kurz: GovCERT) hat auf Twitter eine Warnung veröffentlicht. Wer eine E-Mail der Eidgenössischen Steuerverwaltung (ESTV) erhalte, solle aufpassen. Die Mails seien gefälscht, verkündet GovCERT auf Twitter. 

 

 

Die Mails geben vor, es sei nötig, die Steuerangaben zu vergleichen. Der Empfänger solle die in einer .doc-Datei angehängten Daten zu seiner Firma überprüfen und antworten. Sollte er auf den Anhang klicken, erwartet ihn jedoch eine böse Überraschung. Keine Daten, die er überprüfen kann, sondern einen alten Bekannten: den Banking-Trojaner Retefe. 

Die Malware treibt bereits seit drei Jahren ihr Unwesen. Im aktuellen Halbjahresbericht widmete sich die GovCERTs Mutterorganisation, die Melde- und Analysestelle Informationssicherung (Melani) ebenfalls dem alten Eisen im Cybercrime. Lesen Sie mehr dazu hier.

31.05.2018 - 18:40 Uhr

Auch der Bundesnachrichtendienst liest mit – ganz legal

Der Internetknoten De-Cix in Frankfurt ist wohl einer der grössten der Welt. Vergangenen Dezember verkündete der Betreiber einen Weltrekord: einen Datendurchsatz von mehr als sechs Terabit pro Sekunde. Nach Angaben des Unternehmens nutzen etwa 700 Internetdienstanbieter aus 60 Ländern den Knoten. Er ist also quasi das Tor zum Internet für einen Grossteil Europas. 

Das macht einige wohl neugierig, was so für Daten so durch diesen Knoten fliessen. Dazu gehört auch der Bundesnachrichtendienst (BND), der Auslandnachrichtendienst der Bundesrepublik Deutschland. Dieser zapft seit Jahren im grossen Stil Daten ab, wie der Spiegel berichtet. Nicht nur in Verdachtsfällen, sondern auch im Rahmen einer strategischen Fernmeldeüberwachung. 

Dem Betreiber war dies ein Dorn im Auge. Er war überzeugt, dass der BND gesetzeswidrig auch inländische Daten erhebe. Das Bundesverwaltungsgericht in Leipzig hat eine Klage der Betreiber nun jedoch abgewiesen. Der BND sei berechtigt, internationale Telekommunikation zu überwachen und aufzuzeichnen. Der Betreiber wurde zudem verpflichtet, bei der strategischen Fernmeldeüberwachung mitzuwirken. 

01.06.2018 - 18:37 Uhr

Schweizer Firmen könnten von etwas mehr Paranoia profitieren

Kein Unternehmen dieser Welt ist 100 Prozent gegen sämtliche Bedrohungen aus dem Cyberspace gewappnet. Dafür entwickeln Cyberkriminelle ihre Methoden und Werkzeuge zu schnell und zu stark weiter. Die Anzahl betroffener Unternehmen nimmt daher stetig zu. Zwar sind sich immer mehr Firmen dessen bewusst und investieren entsprechend in ihre IT-Security. Doch ein bisschen mehr Paranoia wäre wünschenswert. 

Cyberkriminelle wissen längst, wie Firmen untereinander zusammenarbeiten und vor allem, wo das schwächste Glied in der Liefer- und Vertriebskette zu finden ist. Die Firmen selbst aber wohl nicht, wie eine aktuelle Studie der Beratungsfirma KPMG zeigt. Über die Zulieferer können die Kriminellen anschliessend auch die Netzwerke der Zielfirma kompromittieren – eine sogenannte Supply-Chain-Attacke.

Demnach hat fast die Hälfte der befragten Schweizer Unternehmen die Cyberrisiken, die von Drittunternehmen ausgehen, nicht auf dem Radar. Das Bewusstsein für dieses Problem ist trotz der medialen Präsenz von Cyberrisiken sogar gesunken im Vergleich zum Vorjahr. Lediglich 56 Prozent der Befragten hätten Instrumente implementiert, um ihre Zulieferer zu überprüfen. Im Vorjahr waren es noch 68 Prozent. 

Prominentes Beispiel der jüngeren Vergangenheit

Auch in den Verträgen zwischen Firmen und ihren Partnern findet das Thema Cybersecurity immer weniger Platz. In 59 Prozent der Verträge sei etwa kein Recht auf eine Überprüfung des Partners formuliert (40 Prozent im Vorjahr). In 38 Prozent werden auch keine rechtsverbindlichen Verpflichtungen bezüglich cyberkriminellen Vorfällen festgelegt. 2017 waren es lediglich 30 Prozent. 

Das solche Supply-Chain-Attacken verheerend sein können, zeigte das Tool CCleaner vergangenen September. Unbekannte hatten in dem offiziellen und legitimen PC-Optimierungstool ein Schadprogramm eingeschleust. 

Über das Tool hatten die Kriminellen anschliessend Zugriff auf alle Unternehmen, welche die infizierte Version von CCleaner auf ihren Rechnern nutzten. Auch CCleaner selbst wurde wohl über einen Zulieferer angegriffen. Lesen Sie hier mehr zur Supply-Chain-Attacke via CCleaner

Den vollständigen "Clarity on Cyber Security"-Bericht von KPMG – inklusive aktuellen Hype-Themen wie Blockchain und künstliche Intelligenz – gibt es an dieser Stelle als PDF

31.05.2018 - 18:35 Uhr

DSGVO beweist Wandlungsfähigkeit von Scammern

Seit Freitag, dem 25. Mai 2018 gilt die neue Datenschutzgrundverordnung der EU (EU-DSGVO beziehungsweise GDPR auf Englisch). Am Samstag, 26. Mai nutzten bereits die ersten Cyber-Betrüger das Thema für ihre Zwecke.

Die Polizei Niedersachsen schreibt in ihrem Ratgeber Internetkriminalität etwa über einen Fall, der einen lokalen Anwalt betrifft. Dieser erhielt eine E-Mail, das ihn aufforderte seinen Branchenbucheintrag aufgrund der EU-DSGVO zu überprüfen und zurück zu senden. 

Tatsächlich handelte es sich bei dem Schreiben um ein Angebot für einen noch nicht bestehenden Vertrag, wie die Polizei schreibt. Wer ohne zu denken seine Angaben schickt, stimmt dem Vertrag wohl schon zu. 

Fake-Amazon jagt Daten

Die Verbraucherzentrale Nordrhein-Westfalen warnt derweil vor anderen Betrügern. Diese versuchten Amazon-Kunden mit Phishing-Mails zu täuschen. Die E-Mails wollen angeblich über "Wichtige Änderungen des Europäischen Datenschutzgesetzes" informieren.

Der Empfänger solle seine Zugangsdaten abgleichen. Die E-Mails stammen laut der Mitteilung jedoch nicht von Amazon. Die Betrüger versuchten so lediglich an neue Daten zu kommen. 

Bei E-Mails, die sich um die EU-DSGVO drehen, ist also Vorsicht geboten – auch bei denen, die nicht von Betrügern stammen. Oder um es mit den Worten des US-amerikanischen Germanisten zu sagen:

 

25.05.2018 - 19:35 Uhr

Noch einmal zum Nachschlagen

Was war schon wieder Creepware? Wofür steht DDoS? Und was bedeutet eigentlich Malvertising? Spätestens seit Wannacry und Mirai sind Cyberbedrohungen in aller Munde. Das kleine IT-Security-ABC soll einen schnellen Überblick ohne Anspruch auf Vollständigkeit über die gängigsten Begriffe verschaffen. Die Liste wird laufend aktualisiert und ist unter www.it-markt.ch/securityabc zu finden.

25.05.2018 - 19:32 Uhr

Malware jagt zunehmend hinter Bitcoin & Co. her

Die Sicherheitsexperten von Fortinet haben die Ergebnisse des aktuellen Global Threat Landscape Reports für das erste Quartal 2018 veröffentlicht. Ransomware mache zwar weiterhin den Unternehmen dieser Welt zu schaffen – Wannacry lässt grüssen. 

Der Trend zeigt jedoch eindeutig in eine andere Richtung, wie das Unternehmen mitteilt. Cyberkriminelle ziehen es vor, Systeme zu kapern um nach Kryptowährungen zu schürfen, statt Lösegelder aus Unternehmen herauszupressen. Hierfür nutzen sie sogenannte Cryptominer oder Cryptojacker, die sich in etwa in Web-Broswer einschleusen lassen.

(Source: Fortinet)

(Source: Fortinet)

Zu diesem Zweck nutzen sie immer komplexere Malware und neu entdeckte Zero-Day-Schwachstellen. So könnten sie schnell im grossen Massstab angreifen, schreibt das Unternehmen. Im ersten Quartal waren bereits 28 Prozent der untersuchten Unternehmen davon betroffen – mehr als doppelt so viele als im Vorquartal. 

Auffällig sei die Vielfalt der hierfür genutzten Schadprogramme. Was funktioniert, wird weiterentwickelt. So entstehend rasch neue, besser getarnte oder auch dateilose Malware, um infizierten Code in die Browser einzuschleusen. 

Mehr zum Thema Blockchain und Kryptowährungen finden Sie im Krypto-Blog auf Netzwoche.ch

25.05.2018 - 19:05 Uhr

Britisches Militär hat Angst vor zockender Malware

Das Verteidigungsministerium des Vereinigten Königreichs warnt in einer Studie vor einer neuen Gefahr: eine künstliche Intelligenz (KI) mit einer Vorliebe für Videospiele. 

Gemeint sind etwa KIs wie Alphago oder Alphazero des Unternehmens Deepmind. Deren Entwickler nutzen Games, um ihren KIs beizubringen, selbständig komplexe Probleme zu lösen. In der Studie wird etwa explizit das Strategiespiel Starcraft II von Blizzard erwähnt. 

Gameplay-Trailer zu Starcraft II. (Source: Youtube)

Blizzard und Deepmind haben August 2017 sogar eine Reihe von Entwickler-Tools für Starcraft II veröffentlicht, genannt SC2LE. Teil des Sets sind etwa eine Machine-Learning-Programmierschnittstelle von Blizzard, ein Datensatz anonymisierter Spielaufzeichnungen sowie eine Open-Source-Version des Deepmind-Toolsets Psysc2. 

Dass diese KIs, Alphago und Alphazero, etwas auf dem Kasten haben, zeigten sie bereits Ende 2017. Die KI schlug das Schach-Trainingsprogramm Stockfish mit einer erstaunlichen Deutlichkeit. Mehr dazu im Beitrag auf der Netzwoche

Derartige KI-Systeme könnten aber auch genutzt werden, um Angriffe zu planen und zu koordinieren. KI werde die Vielfalt und die Geschwindigkeit mit denen Cyberattacken auftreten, erhöhen. Zugleich senke sie die Kosten für derartige Angriffe. 

Die Autoren der Studie gehen davon aus, dass dies schon ab 2020 oder bald danach zu einem seriösen Problem wird. Jeder mit den nötigen Ressourcen, um eine KI zu erwerben oder zu stehlen, hätte dann Zugriff auf ein immenses offensives Cyber-Arsenal. Ein Arsenal, das sich wohl nur schwierig aufhalten liesse. 

22.05.2018 - 15:37 Uhr

Trojaner und schädliche Werbung sind auf dem Vormarsch in der Schweiz

Check Point hat seine Liste der Top-Malware in der Schweiz aktualisiert. Die Spitze der Liste wird zwar noch immer von Crypto Minern dominiert – Skripte, die ohne das Mitwissen der Opfer ihre Rechenleistung anzapfen, um nach Kryptowährungen zu schürfen. So führt etwa Coinhive die Liste an – wie bereits im Vormonat (siehe Eintrag vom 27.04.2018 – Die grössten Malware-Bedrohungen in der Schweiz im März).

Anderswo ist die Liste aber stark in Bewegung. Im Vergleich zum März fällt etwa auf, dass schädliche Werbung und Trojaner wieder an Boden gewinnen in der Schweiz. Im Vormonat war kein einziger Trojaner in der Liste. Im April gleich zwei: Scar und Nivdort. Beide haben es auf die Benutzer- und Login-Daten ihrer Opfer abegsehen.

Die Top Malware in der Schweiz im April:

  1. Coinhive (Crypto Miner)
  2. Roughted ((Malvertising)
  3. Cryptoloot (Crypto Miner)
  4. Jsecoin (Crypto Miner)
  5. Necurs (Botnet)
  6. Scar (Trojaner)
  7. Nivdort (Trojaner)
  8. Fireball (Adware)
  9. Pirrit (Adware)

Roughted war bereits im März in der Liste, sprang nun aber von Platz 4 auf 2. Roughted nutzt Werbung und bösartige Websites, um die Rechner seiner Opfer mit weitere Malware zu infizieren – wie etwa Ransomware oder Adware – eine weitere Form schädlicher Werbung. Diese ist ebenfalls auf dem Vormarsch. 

Mit Pirrit hat die April-Liste einen zweiten Vertreter aus dem Bereich Adware erhalten. Derartige Malware wird genutzt, um den Broswer der Opfer auf bestimmte Werbeanzeigen umzulenken. Oft lässt sich über Adware aber auch noch viel mehr Schaden anrichten. 

Die andere Adware, Fireball, rutschte derweil einen Platz hinab. Was im Vergleich zum Vormonat ebenfalls auffällt, ist die geringe Anzahl an Botnetzen in der Top-Malware-Liste von Check Point. Im März listete Check Point noch drei Botnetze – im April nur noch eines. 

22.05.2018 - 15:24 Uhr

Intel stopft ein paar der neuen Spectre-Lücken

Anfang Mai waren neue Spectre-Lücken aufgetaucht (siehe Eintrag vom 04.05.2018 – Intel kommt nicht zur Ruhe). Nun hat Chip-Hersteller Intel, dessen Prozessoren von den Schwachstellen betroffen sind, erste Update veröffentlicht. Diese sollen die Bedrohung, die durch Spectre verursacht wird, abschwächen.

Der Chiphersteller veröffentlichte jedoch nur Updates für zwei der acht neuen Sicherheitslücken, wie Heise berichtet. Die restlichen 6 erwähnt Intel in seinem Blogeintrag zu den Updates nicht. Mehr Informationen zu den gepatchten Lücken finden sich hier für die Variante 3a (CVE-2018-3640) und Variante 4 (CVE-2018-3639).

22.05.2018 - 13:18 Uhr

Jetzt auch auf Instagram

Der IT-Security-Blog hat einen kleinen Abstecher gemacht. Neu ist der Blog auch auf Instagram vertreten. Dort sind die Illustrationen zu finden, die jeweils in der Printversion des IT-Security-Blogs erscheinen. 

11.05.2018 - 17:58 Uhr

Kryptobetrüger geben ihren Opfern die Schuld

Was machen die Drahtzieher einer betrügerischen Krypto-Malware, wenn sie aufliegen? Sie ziehen einen Exit-Scam ab! Und zeigen dabei sogar noch mit dem Finger auf das Unternehmen, das sie für ihren Betrug imitiert hatten. 

Die Geschichte beginnt mit einer Warnung von Electrum. Das Unternehmen bietet eine gleichnamige Bitcoin-Wallet-App. Auf seiner Website warnt es vor einem Nachahmer: Electrum Pro. Dabei handle es sich nicht etwa um eine Pro-Version von Electrum, sondern um Malware. 

Die bösartige App stiehlt die Seed-Keys ihrer Opfer und schickt sie an die Malware-Entwickler, wie Bleepingcomputer berichtet. Mit diesen kryptographischen Schlüsseln haben die Betrüger Zugriff auf alle Bitcoin-Gelder, die in dem Wallet gespeichert sind. 

Die Betrüger haben ihre Website unterdessen deaktiviert und machten sich vom Acker. Besucher der Website sehen lediglich eine Botschaft von «Lucas Lofgren und dem Electrum-Pro-Team». Sie werfen Electrum vor, das Unternehmen hätte ihren Ruf zerstört. Das Team hätte sich infolgedessen nun aufgelöst. Ein Exit-Scam also.

Wie viel und ob sie überhaupt etwas ergaunern konnten, ist jedoch fraglich. Die Warnungen auf der Electrum-Seite und in den Medien gingen heraus, bevor die Falle zuschnappen konnte. Gemäss Bleepingcomputer war es den Cyberkriminellen bis zum 10. Mai – ein Tag bevor die Website offline ging – noch nicht gelungen, Bitcoins zu stehlen. 

Mehr zum Thema Blockchain und Kryptowährungen finden Sie im Krypto-Blog auf Netzwoche.ch

11.05.2018 - 17:47 Uhr

Poetische Ransomware macht die Welt zu ihrem Garten

Nicht jeder, der Ransomware entwickelt, will sich damit die Taschen füllen. Wie auch im Falle der Erpressersoftware Whiterose. Wie andere Schadprogramme dieser Art, verschlüsselt Whiterose nach der Infektion Dokumente sowie Bild- und Videodateien diverser Formate. Sie gibt diesen die Dateiendung ".whiterose". 

Wie die Ransomware auf den infizierten Rechnern landet, ist unklar. Möglicherweise wird sie manuell installiert, wenn das Opfer einen Remote-Desktop-Dienst nutzt. Die Verschlüsselung wurde jedoch bereits geknackt und lässt sich auch ohne Lösegeldzahlung wieder beheben. 

Also: kein Grund zur Panik und stattdessen viel Zeit, sich den Erpresserbrief einmal genauer anzusehen, wie Bleepingcomputer dies tat. Der Erpresserbrief wirkt nämlich viel mehr wie eine literarische Erzählung – stellenweise sogar fast wie ein Gedicht. 

Es geht um einen einsamen Hacker, der nichts hat, ausser einem leeren Haus und einem Garten voller weisser Rosen. Also entschied er sich, allen Menschen auf der Welt ein Geschenk zu machen: eine weisse Rose, die in den Systemen der Beschenkten wächst. Genau wie in seinem Garten. 

White Rose (Source: Netzmedien)

(Source: Netzmedien)

11.05.2018 - 17:44 Uhr

Was Nutzer wohl von starken Passwörtern halten

Die deutschen Comic-Autoren Elizabeth Pich and Jonathan Kunz von War and Peas haben sich mit starken Passwörtern befasst und was sie wohl davon halten graphisch umgesetzt. Mehr Comics des Duos gibt’s an dieser Stelle
Weak Passwords von War and Peas.(Source: Warandpeas.com)

11.05.2018 - 17:41 Uhr

Tarnspezialisten schleichen sich erneut in Googles Play Store

Die Sicherheitsexperten von Symantec haben sieben Wiederholungstäter im Google Play Store entdeckt. Dabei handelt es sich um sieben bösartige Apps, die schon einmal aus dem Play Store entfernt wurden, wie das Unternehmen mitteilt

Für die neue Welle haben die dafür verantwortlichen Cyberkriminellen lediglich den Namen der App sowie des angeblichen Herausgebers leicht angepasst. Der Code der App sei jedoch noch derselbe. Bei den Apps handle es sich um sehr unterschiedliche Applikationen - darunter eine Emoji-Tastatur, ein Taschenrechner, eine Verschlüsselungs-App sowie Tools, um Anrufe aufzunehmen oder Speicherplatz freizugeben.

Die Apps würden jedoch nicht wie angepriesen funktionieren, schreibt Symantec. Stattdessen übt sich die Malware in Geduld. Sie lauert, damit das Opfer die App und eventuelle verdächtige Aktivitäten des Smartphones nicht in Zusammenhang bringe.

Nach vier Stunden versteckt sich die Malware nicht länger und wechselt von defensiver zu aggressiver Mimikry: Sie bittet um Admin-Rechte und nutzt dabei Google-Embleme, damit das Opfer die Anfrage für legitim hält. Anschliessend ändert die Malware auch ihr Icon zu einem Google-Symbol, wie etwa das von Google Maps oder von Google Play.

In der aktuellen Version leitet die Malware den Browser um. So landet der irregeführte Nutzer auf Scam-Seiten, die ihm weismachen sollen, er habe bei einem Wettbewerb gewonnen. Das Ziel dahinter: persönliche Daten sammeln und verkaufen. 

11.05.2018 - 17:35 Uhr

POS-Malware wird Open Source

Die Point-of-Sale-Malware Treasurehunter ist bereits seit 2014 im Visier von IT-Sicherheitsexperten. Die Malware befällt Kassensysteme am Verkaufsort (auf Englisch: Point of Sale – POS) und stiehlt Kreditkarteninformationen. Bald könnten derartige Schadprogramme noch viel zahlreicher werden.

Der Quellcode von Treasurehunter wurde unlängst in einem russischsprachigen Forum veröffentlicht, wie IT-Security-Anbieter Flashpoint mitteilt. Der Quellcode für die graphische Benutzeroberfläche sowie für das Admin-Dashboard sind ebenfalls online aufgetaucht. 

Dies senke die Einstiegshürde für Cyberkriminelle, schreibt Flashpoint. Mit den bereitgestellten Source-Codes könnten sie ihre eigenen Varianten der Treasurehunter-Malware entwickeln. Zugleich gibt die Veröffentlichung des Quellcodes jedoch auch Security-Experten eine Chance, ihre Abwehrmassnahmen zu verbessern. 

04.05.2018 - 18:53 Uhr

G Data warnt vor der dunklen Seite … im Umgang mit Datenpannen

(Source: G Data)

(Source: G Data)

Der deutsche Sicherheitsanbieter G Data hat für einen Tag einen neuen Slogan neben seinem Logo: "Trust in Imperial Sicherheit". Nein, es handelt sich dabei nicht um eine neue Marketing-Kampagne. Der Sicherheitsanbieter feiert stattdessen den 4. Mai.

Der 4. Mai ist nämlich Star Wars Day. Nicht, weil der erste Film der Science-Fiction-Reihe ursprünglich an diesem Tag ins Kino kam - das war nämlich am 25. Mai 1977. Sondern weil das Datum auf Englisch ("May the Forth") ähnlich klingt wie der bekannte Wahlspruch aus den Filmen ("May the Force be with you").

G Data nutzt den Star-Wars-Tag, um Tipps für einen besseren Umgang mit Datenpannen zu geben. Denn, wie der Sicherheitsanbieter schreibt, das Imperium weiss nicht, wie Datensicherheit funktioniert.

So sei es etwa nicht sinnvoll, sich ein Beispiel an Darth Vader zu nehmen und die Mitarbeiter zu töten, die schlechte Neuigkeiten überbringen. Viel besser mache es da Kylo Ren, der zerstöre lediglich seinen Computer. 

Mehr Tipps finden sich hier

04.05.2018 - 18:14 Uhr

Intel kommt nicht zur Ruhe

2018 dürfte als das wohl dunkelste Jahr in Intels bisheriger Firmengeschichte eingehen. Anfang des Jahres wurden zwei massive Sicherheitslücken bekannt: Spectre und Meltdown. Die Lücken steckten in der grundlegenden Prozessorarchitektur fast aller modernen Chips. Patches folgten, die Wogen glätteten sich.

Der PR- und vor allem IT-Security-Albtraum ist aber noch nicht vorbei. Sicherheitsforscher entdeckten acht neue Sicherheitslücken in Intel-CPUs, wie das Technikmagazin C’T schreibt. Im Kern seien diese auf dasselbe Design-Problem zurückzuführen. Das Magazin spricht in dem Zusammenhang von Spectre Next Generation – solange sie noch keine eigenen Namen erhalten haben. 

Jede der acht Lücken habe einen eigenen CVE-Eintrag im Verzeichnis aller Sicherheitslücken erhalten und jede erfordere einen eigenen Patch. Vier wurden als "hohes Risiko" eingestuft, das Risiko der restlichen vier als "mittel". Das Bedrohungspotenzial einer dieser Lücken sei jedoch grösser als bei Spectre und könnte auch für Cloud-Hoster zur Gefahr werden.

Das Magazin bestätigte die Lücken in Intels Chips. Einzelne ARM-Prozessoren seien jedoch ebenfalls anfällig. Ob die eng verwandte ARM-Architektur auch betroffen ist, konnte C’T noch nicht ermitteln. Die neuen Lücken zeigen jedoch, dass Spectre und Meltdown keine einmaligen Probleme waren. Prozessorarchitekturen seien eher mit Schweizer Käse zu vergleichen, aufgrund all der Sicherheitslücken.

04.05.2018 - 17:40 Uhr

Twitter speicherte Passwörter in Klartext

Der Mikroblogging-Dienst Twitter musste diese Woche ein kleines Malheur eingestehen. Eigentlich speichere das Unternehmen keine Passwörter von Nutzern in Klartext. Zu diesem Zweck nutzt Twitter eine Hashing-Funktion (bcrypt). Dieser ersetzt die Passwörter mit einer Kombination aus Zahlen und Buchstaben.

Eigentlich. Denn ein Bug hatte sich in diesen Prozess hineingeschlichen, wie Twitters CTO Parag Agrawal in einem Blogeintrag schreibt. Dieser führte dazu, dass die Passwörter in einer internen Log-Datei gespeichert wurden, bevor sie den Hash-Prozess abgeschlossen haben.

Twitter habe das Problem selber entdeckt und auch bereits wieder behoben. Ihre eigenen Untersuchungen seien zu dem Schluss gekommen, dass keine Passwörter entwendet wurden. Dennoch empfiehlt das Unternehmen seinen Nutzern, ihre Passwörter zu ändern und künftig auf eine Zwei-Faktor-Authentifizierung zu setzen. 

04.05.2018 - 17:09 Uhr

Länder werden zur Ransomware-Dateiendung

Die Sicherheitsexperten vom Malware Hunter Team warnen auf Twitter vor einer neuen Ransomware. Es handelt sich dabei um eine neue Ausführung der Xiaoba genannten Erpressersoftware.

Hat die Ransomware einmal einen Rechner infiziert, verschlüsselt sie Dateien und verpasst ihnen die Dateiendung ".china". Laut dem Malware Hunter Team ist das wohl die erste Ransomware, die einen Ländernamen als Dateiendung nutzt. 

Mehr Infos gibt's in der Malware-Datenbank Virustotal.

02.05.2018 - 17:45 Uhr

Check Point findet Code von Trend Micro in nordkoreanischer AV-Lösung

Das Ganze klingt ein wenig wie der Anfang eines Thrillers. Der israelische Sicherheitsanbieter Check Point machte einen interessanten Fang – und fand darin etwas noch Interessanteres.

Das Unternehmen erhielt eine seltene Kostprobe der nordkoreanischen Anti-Virus-Lösung (AV) Silivaccine, wie Check Point in einem Blogeintrag schreibt. Die Kostprobe kam vom freien Journalisten Martyn Williams. Williams seinerseits erhielt die Software als Zip-Datei via Dropbox – den Link dazu bekam er per E-Mail von einem gewissen Kang Yong-hak.

Der Absender – der sich trotz des koreanischen Namens als japanischer Ingenieur ausgab – ist unterdessen nicht mehr erreichbar. Seine Mailbox wurde deaktiviert. Die Zip-Datei beinhaltete neben der AV-Software auch eine Readme-Datei auf Koreanisch sowie einen angeblichen Update-Patch. Dabei handelte es sich jedoch um die Malware Jaku, die genutzt wird, um Botnetze zu erschaffen.

Vertrauter Code in fremder Lösung

Als sich der Sicherheitsanbieter in den Code der AV-Lösung vertiefte, kam ihm einiges bekannt vor. Die Entwickler von Silivaccine kopierten laut dem Bericht ganze Code-Blöcke von Trend Micro, einem japanischen Konkurrenten von Check Point.

Trend Micro bestätigt in einem Statement gegenüber Check Point, dass die Softwareprobe eine über zehn Jahre alte Version seiner Scan-Engine nutzt. Diese sei weit verbreitet und werde in vielen Produkten genutzt – auch von Drittanbietern.

Trend Micro betont, dass das Unternehmen in oder mit Nordkorea keine Geschäfte mache und dass ihre Technologie illegal genutzt werde. Rechtlich gegen Silivaccine vorgehen will das Unternehmen dennoch nicht – das sei nicht produktiv.

Die Entwickler von Silivaccine nahmen jedoch eine bewusste Änderung an Trend Micros Code vor. Silivaccines Version des Scan-Moduls ignoriert eine bestimmte Signatur, die sie normalerweise blockieren würde. Worum es sich dabei handelt, kann Check Point zwar nicht sagen. Doch es sei klar, dass das nordkoreanische Regime nicht wolle, dass seine Bürger darüber Bescheid wüssten.

27.04.2018 - 20:03 Uhr

Europol nimmt grössten Anbieter von DDoS-as-a-Service vom Netz

Bis vor kurzem konnte man auf Webstresser.org noch DDoS-Attacken ab 15 Euro pro Monat kaufen. Die Abkürzung steht für Distributed Denial of Service. Dabei wird ein Webdienst mit derart vielen Anfragen überhäuft, dass er den Dienst quittieren muss. In den letzten Jahren nahm die Stärke der Attacken drastisch zu. Mittlerweile erreichen sie Bandbreiten von bis zu 1,7 Terabit pro Sekunde - genug um eine Website regelrecht vom Netz zu fegen. Waren früher noch gewisse IT-Fähigkeiten notwendig für derartige Attacken, können Böswillige mit tiefen Taschen sie heutzutage auch auf diversen Marktplätzen einfach kaufen. 

Webstresser.org gehörte zu den grössten Marktplätzen dieser Art, wie Europol mitteilt. Die Plattform zählte mehr als 136'000 registrierte Benutzer. 4 Millionen DDoS-Attacken sollen hier ausgehandelt worden sein. Diese richteten sich gemäss Mitteilung gegen kritische Online-Dienste, Finanzinstitute, Regierungseinrichtungen, Polizeikräfte und gegen Ziele in der Gaming-Industrie.

In einer koordinierten internationalen Aktion von Europol und verschiedenen lokalen Polizeieinheiten wurde den Drahtziehern hinter dem Marktplatz nun der Stecker gezogen. Die Infrastruktur wurde beschlagnahmt. Die Administratoren lebten im Vereinigten Königreich, Kroatien, Kanada und Serbien. Zugleich gingen die Strafverfolgungsbehörden in mehreren Ländern aber auch gegen die grössten Kunden der DDoS-Plattform vor: darunter die Niederlande, Italien und Spanien.

Wer DDoS-Attacken ausführt, ermöglicht oder als Dienst verkauft, muss gemäss Mitteilung mit Geld- und Haftstrafen rechnen. 

 

27.04.2018 - 18:50 Uhr

老大哥 is watching you

Der Roman 1984 von George Orwell beschreibt eine dystopische Zukunft, in der ein Staat jeden einzelnen Schritt seiner Bürger überwacht. Die mittlerweile ubiquitäre Phrase "Big Brother is watching you" hatte ihren Ursprung in dem Roman. Orwell schrieb das Buch vor rund 70 Jahren. Die Geschichte gewinnt aber immer mehr an Relevanz. Jüngstes Beispiel: China. Während die EU mit der EU-DSGVO (beziehungsweise GDPR) gerade den Datenschutz verschärft, testet die chinesische Regierung in Shanghai und Chongqing die totale Überwachung. 

Die Regierung überwacht etwa Kreuzungen mit Videokameras, damit keiner ungesehen bei rot über die Strasse wandert, wie die SRF Rundschau berichtet. Die Regierung habe aber auch auf die Daten privater Firmen Zugriff - darunter der Internetgigant Alibaba und dessen mobile Bezahllösung Alipay. So kann die Regierung also auch verfolgen, wofür ihre Bürger ihr Geld ausgeben. 

Das offizielle Ziel: bessere Bürger schaffen. Gutes Verhalten soll belohnt werden, schlechtes geahndet. Die Bürger erhalten laut dem SRF-Beitrag sogenannte "Sesame Credits". Diese sind öffentlich einsehbar und reichen von 300 bis 900. Mehr Punkte, mehr Vorteile. Personen mit einem tiefen Kredit sollen in ihrer Bewegungsfreiheit eingeschränkt werden. Sie dürfen etwa nicht mehr mit dem Zug fahren oder Flüge buchen.

Wie der Bericht zeigt, büssen die Bürger ihre Credits aber auch ein, wenn sie nicht der politischen Linie der Kommunistischen Partei Chinas folgen. 1984, das Buch von Orwell sei unterdessen verboten worden in China. 

27.04.2018 - 17:52 Uhr

Die grössten Malware-Bedrohungen in der Schweiz im März

Die Sicherheitsexperten des israelischen IT-Security-Anbieters Check Point haben eine Liste zusammengestellt mit der am stärksten verbreiteten Malware in der Schweiz. Die Liste zeigt die Top-Malware des Monats März. Gleich drei Crypto Miner haben es unter die Top 10 geschafft.

Dabei handelt es sich um Javaskripte, die sich in Websites und Applikationen verbergen lassen. Ohne Mitwissen der Opfer zapfen sie die Rechenleistung der infizierten Geräte an, um nach Kryptowährungen zu schürfen. Das Opfer zahlt die Stromkosten für einen Rechner, den es eventuell gar nicht nutzen kann und der Hacker verdient sich eine goldene Nase.

Die Top 10 gemäss Check Point:

  1. Coinhive (Crypto Miner)
  2. Rig EK (Exploit Kit)
  3. Cryptoloot (Crypto Miner)
  4. Roughted (Malvertising)
  5. Jsecoin (Crypto Miner)
  6. Necurs (Botnet)
  7. Fireball Adware)
  8. Virut (Botnet)
  9. Andromeda (Botnet/Backdoor)
  10. Conficker (Computerwurm)

Die Nummer 10, der Computerwurm Conficker (auch bekannt als Downadup), ist erstaunlicherweise bereits seit 10 Jahren aktiv. Obwohl der Wurm eine Schwachstelle nutzt, die bereits ebenso lange gepatcht ist. In ihrem jüngsten Halbjahresbericht widmete sich die Melde- und Analysestelle Informationssicherung ebenfalls dem Computerwurm Conficker.

 

 

Webcode
SecurityBlog

Kommentare

« Mehr