Was IT-Security-Experten den Schlaf raubt

Crypto-Miner-Plage befällt Schweizer Unternehmen

Uhr | Aktualisiert
von Coen Kaat

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Crypto-Minern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Ticker

17.08.2018 - 19:52 Uhr

Crypto-Miner-Plage befällt Schweizer Unternehmen

Sie sind quasi die Mücken des Cybercrime: Crypto Miner. Kleine, unscheinbare Parasiten, die sich fast überall verstecken können. Im Februar dieses Jahres tauchten derartige Schädlinge sogar in Youtube-Werbeanzeigen auf. Die Malware zapft die Rechenleistung ihrer Opfer an, um damit nach Kryptowährungen zu schürfen und so Geld für die Cyberkriminellen zu generieren. 

Auch Schweizer Firmen kämpfen schon seit einiger Zeit mit dieser Plage. Im vergangenen Monat intensivierte sich das Problem jedoch etwas, wie die Most Wanted Malware Liste von Check Point für den Monat Juli zeigt. Der israelische Sicherheitsanbieter aktualisiert die Liste jeden Monat. 

Das die Liste vom Crypto Miner Coinhive angeführt wird, ist nichts Neues – im Juli waren gemäss Check Point fast 10 Prozent aller Schweizer Unternehmen davon betroffen. Im Vergleich zum Vormonat hat es sogar einen Crypto Miner weniger auf der Liste. XMRig blieb auf der Strecke. 

Aber dafür kletterten die beiden schürfenden Parasiten Cryptoloot und Jsecoin weit hinauf auf der Liste. Im Juni lag Cryptoloot noch auf dem 4. und Jsecoin auf dem 9. Platz. In der aktuellen Liste schaffte es Cryptoloot auf den 2. Platz. Jsecoin machte vier Plätze gut und landete auf dem 5. Rang. 

Die Top Malware in der Schweiz im Juni:

  1. Coinhive (Crypto Miner – 9,65 Prozent der Schweizer Firmen)
  2. Cryptoloot (Crypto Miner – 3,53 Prozent der Schweizer Firmen)
  3. Roughted ((Malvertising – 3,53 Prozent der Schweizer Firmen)
  4. Andromeda (Bot – 1,86 Prozent der Schweizer Firmen)
  5. Jsecoin (Crypto Miner – 1,86 Prozent der Schweizer Firmen)
  6. Dorkbot (Wurm – 1,67 Prozent der Schweizer Firmen)
  7. Virut (Botnet – 1,30 Prozent der Schweizer Firmen)
  8. Nivdort (Trojan – 1,11 Prozent der Schweizer Firmen)
  9. Emotet (Trojaner – 1,11 Prozent der Schweizer Firmen)
  10. Scar (Trojaner – 1,11 Prozent der Schweizer Firmen)

Die globale "Most Wanted Malware"-Liste findet sich im Blogeintrag von Check Point.
 

17.08.2018 - 19:46 Uhr

Fake Bugs sollen vor echten Bugs schützen

Um Benutzer vor Schadprogrammen zu schützen, kommen Sicherheitsforscher manchmal auf ungewöhnliche Ideen. Die folgende Technik eines Teams der New York University gehört definitiv in die Kategorie «So unorthodox, dass es vielleicht funktionieren könnte». Sie wollen selbst Programme mit Bugs verseuchen. Mit möglichst vielen Bugs.

Ein voreiliger Hacker könnte jetzt schon ein «Danke!» auf den Lippen haben. Schliesslich leben sie davon, solche Sicherheitslücken zu finden und auszunutzen. Exploits für Bugs lassen sich etwa verkaufen. Seriöse Sicherheitslücken erlauben dem Cyberkriminellen vielleicht sogar Zugriff auf Firmennetzwerke und den Unternehmensdaten.

Die absichtlich eingebauten Bugs – die Forscher nennen sie "Chaff Bugs" - sollen aber als Ablenkung dienen. Die vermeintlichen Schwachstellen sollen natürlich nicht ausnutzbar sein, sondern auf Cyberkriminelle nur so wirken. Der Hacker, so die Idee hinter der Taktik, vergeudet seine Zeit damit, Exploits für nicht ausnutzbare Schwachstellen zu entwickeln. 

Ganz ohne Probleme ist die Idee jedoch nicht. Gemäss den Forschern könnten die falschen Bugs auch zu Systemabstürzen führen. Auch können die Forscher nicht garantieren, dass Cyberkriminelle irgendwann einen Weg herausfinden, Chaff Bugs von echten Bugs zu unterscheiden. Auch sei diese Methode nicht möglich in Open-Source-Lösungen. 

Die Idee bleibt jedoch interessant.

In ihrer Forschungsarbeit “Chaff Bugs: Deterring Attackers by Making Software Buggier” (PDF) beschreiben die Sicherheitsforscher ausführlich, wie ihre Taktik funktionieren soll. 

17.08.2018 - 19:28 Uhr

Science-Fiction lügt - wiedermal

Die Stimme als biometrischen Passwortersatz zu verwenden gehört zu den grundlegenden Stereotypen des Science-Fiction Genres. Von Captain Jean-Luc Picard bis Detektiv John Miller – alle können ihre Rechner und Dateien mit gesprochenen Befehlen ver- und entschlüsseln. 

Science-Fiction-Filme und -Serien stellen Stimm-Passwörter als naheliegende Zukunftsvision dar, in welcher der Nutzer vom unnötigen Typen befreit worden ist. Die Realität könnte jedoch einen grossen Bogen um solche Technologien machen wollen. 

Die Sicherheitsexperten John Seymour und Azeem Aqil zeigten an der Hackerkonferenz Def Con nämlich, wie leicht sich Stimmerkennungsverfahren täuschen lassen. Mit synthetisch erzeugten Stimmen konnten sie Apples Siri und auch Azure Speaker Recognition von Microsoft austricksen, wie Heise berichtet

Die Stimmen erzeugten sie das Text-to-Speech-Verfahren (TTS). Hierbei werden grosse Mengen an Sprachaufzeichnungen genutzt und neu zusammengesetzt, um neue Sprachausgaben zu generieren. In der Regel sind hierfür Sprachproben von mehreren Stunden nötig. 

Die Forscher brauchten jedoch nur 10 Minuten. Diese zerstückelten sie in zehn Sekunden lange Fetzen und verlängerten sie künstlich. Mit diesen Fetzen trainierten sie ein neuronales Netzwerk, das gemäss dem Bericht anschliessend täuschen echte Sprachproben produzieren konnte.
 

17.08.2018 - 18:29 Uhr

Swisscom warnt vor Phising-Attacke via Linkedin

Das Computer Security Incident Response Team der Swisscom (CSIRT) hat auf Twitter vor Betrügern gewarnt. Die Betrüger versuchen mit einer Phishing-Attacke an die Zugangsdaten ihrer Opfer zu kommen, wie Swisscom mitteilt. 

Hierfür verwenden Sie kompromittierte Benutzerkonten auf der Social-Media-Plattform Linkedin. Die Phishing-Attacken erfolgen über Direktnachrichten. Wenn Opfer auf den darin enthaltenen Link klicken, werden sie auf eine Website mit schädlichem Inhalt geleitet. 

17.08.2018 - 18:17 Uhr

DOS-Wurm taucht auch nach 36 Jahren noch auf

Die BBC hat sich mit den Zombies des Internets beschäftigt. Uralte Codezeilen, die noch immer herumgeistern und gelegentlich frische Opfer finden. Viren, aber vor allem Würmer, leben oft viel länger als die Kampagnen, in denen sie verbreitet werden.

"Die meisten dieser Würmer verbreiten sich selbstständig weiter", zitiert die BBC Candid Wüest, Senior Threat Researcher bei Symantec. Sobald diese Würmer einen Rechner infiziert haben, verfügen Sie über alle Mittel, die sie brauchen, um auf weiteren PCs einzunisten. Daher rührt auch ihre Langlebigkeit. 

Zu den aktivsten Zombie-Würmern gehört Conficker. Dieser befällt schon seit 2008 IT-Systeme. Symantec findet aber auch regelmässig noch ältere Zombies: Darunter etwa das SillyFDC-Virus von 2007, Virut von 2006 und ein Schadprogramm namens Sality, das erstmals 2003 auftauchte. 

Zu den alten Eisen gehört auch Ramnit – ein Wurm, der schon seit sieben Jahren sein Unwesen treibt. Symantec hatte Ende 2017 darauf hingewiesen. Lesen Sie mehr dazu hier

"Von Zeit zu Zeit sehen wir sogar DOS-Viren", sagt Wüest gegenüber der BBC. Das DOS-Betriebssystem ist mittlerweile über 36 Jahre alt und geht auf die Anfangszeit des PCs zurück. Wüest vermutet, dass es sich dabei wohl um Forscher handelt, die eine alte Disk fanden und einsteckten. 

Mehr zu Malware-Antiquitäten auf der Seite von BBC.


 

08.08.2018 - 13:50 Uhr

Was passiert, wenn man Ransomware-Autoren erzürnt?

Die Ransomware Gandcrab hat in diesem Jahr eine Vielzahl Systeme befallen - bis ein südkoreanischer IT-Security-Anbieter ihr am 19. Juli die Zähne zog. Ahnlab, so der Name des südkoreanischen Unternehmens, veröffentlichte ein Tool, das die Ransomware daran hindert, Dateien zu verschlüsseln, wie Bleepingcomputer berichtet.

Nach einer erfolgreichen Infektion kreiert Gandcrab eine bestimmte Datei mit der Endung .lock. Der Name der Datei ist ein hexadezimaler Code, welcher auf Informationen zum Festplattenlaufwerk basiert. So weiss die Ransomware, ob ein Rechner bereits verschlüsselt ist oder nicht. Das Tool von Ahnlab kreiert just so eine Datei, wenn es eine Infektion durch Gandcrab erkennt und stoppt die Ransomware, bevor sie loslegen kann.

Der Autor der Gandcrab-Ransomware war über diese Entwicklung – verständlicherweise – nicht sonderlich erfreut. Der Cyberkriminelle kontaktierte Bleepingcomputer und kündigte neue Ausführungen seiner Ransomware an. Diese würden angeblich eine Zero-Day-Lücke in der Anti-Virus-Lösung von Ahnlab ausnützen. Die Rache für das Tool sollte den Ruf der Südkoreaner über Jahre hinweg schädigen.

Anfang August entdeckte der IT-Security-Analyst Marcelo Rivero von Malwarebytes die neue Version. Sie war bereits im Umlauf – inklusive des Ahnlab-Exploits. Das südkoreanische Unternehmen blieb jedoch unbesorgt. 

Der Exploit funktioniert zwar. Der Gandcrab-Autor erweiterte seine Ransomware mit einem Denial-of-Service-Bug, welcher die Anti-Virus-Lösung, einzelne Komponenten der Lösung oder auch den ganzen Rechner zum Absturz bringen könnte. 

Allerdings wird dieser Angriffscode erst aktiviert, nachdem Gandcrab die Dateien auf dem Rechner verschlüsselt hat, wie Han Chang-kyu, Director von Ahnlab, gegenüber Bleepingcomputer erklärt. Ihr Tool stoppt Gandcrab jedoch, bevor es überhaupt so weit kommt. 

Das Unternehmen nehme sich daher nun die nötige Zeit, ihre Lösung ordentlich zu patchen. 

12.07.2018 - 17:05 Uhr

Die Folgen von Cybercrime in der physischen Welt

11.07.2018 - 18:25 Uhr

Wurminfektion frisst sich durch Schweizer IT

Der Monat Juni hat der Schweiz nicht nur den Sommer gebracht – sondern auch Computerwürmer. Dies zeigt eine Übersicht von Check Point. Der israelische Sicherheitsanbieter analysiert jeden Monat die Top-Malware in der Schweiz. 

Im Mai war lediglich ein einzelner Wurm auf der Liste: Dorkbot, ganz am unteren Ende der Liste. Dabei handelt es sich laut Check Point um einen Internet-Relay-Chat-Wurm. Also ein schadhaftes Programm, das sich via IRC-Message-Foren verbreitet. Im Juni kletterte der Wurm auf Platz 6 der Top-Liste hinauf.

Diesen Monat gesellte sich noch ein weiterer Wurm dazu. Ein alter Bekannter. Ein sehr alter Bekannter! Der uralte Wurm Ramnit ist neu auf Rang 7. Der Wurm treibt sich schon seit über sieben Jahren auf PCs herum – und wurde im November auch auf Android-Geräten entdeckt. Lesen Sie mehr dazu hier

 

 

Beide Würmer können als Backdoor genutzt werden. Das heisst, dass Angreifer auf den infizierten Rechnern weitere Schadprogramme installieren können. In der Regel sollen so etwa Zugangsdaten oder E-Banking-Informationen gestohlen werden. Dorkbot vernetzt seine Opfer zusätzlich noch zu einem Botnetz, um etwa DDoS-Attacken zu lancieren. 

Obwohl der Crypto Miner Coinhive weiterhin die Liste anführt, war der vergangene Juni kein guter Monat für diese Form von Malware. Cryptoloot, Jsecoin und XMRig purzelten alle hinunter. Diese Schädlinge zapfen die Rechenleistung ihrer Opfer an, um nach Kryptowährungen zu schürfen.

Die Top Malware in der Schweiz im Juni:

  1. Coinhive (Crypto Miner)
  2. Emotet (Trojaner)
  3. Roughted ((Malvertising)
  4. Cryptoloot (Crypto Miner)
  5. Nivdort (Trojan)
  6. Dorkbot (Wurm)
  7. Ramnit (Wurm)
  8. Scar (Trojaner)
  9. Jsecoin (Crypto Miner)
  10. XMRig (Crypto Minter)

Die globale "Most Wanted"-Liste findet sich im Blogeintrag von Check Point.

11.07.2018 - 18:05 Uhr

Fussball-App belauscht israelische Soldaten

Fussball bringe die Menschen zusammen, sagt man. So auch Hacker und Opfer, wie das Beispiel einer falschen App zur aktuellen Fussball-Weltmeisterschaft namens Golden Cup zeigt. Dahinter stecke die islamistische Terrororganisation Hamas, teilt der israelische Sicherheitsanbieter Check Point mit. 

Auf diese Weise soll die Hamas versucht haben, die Smartphones von israelischen Soldaten zu infizieren. Bei rund 100 Soldaten sei dies auch geglückt. Check Point beschreibt die Apps als hochgradig invasiv. Die Malware könne etwa 

  • Telefonate aufnehmen
  • heimlich Fotos machen, wenn das Opfer angerufen wird
  • SMS-Nachrichten stehlen
  • alle Dateien, Bilder und Videos auf dem Gerät stehlen
  • die GPS-Informationen ablesen
  • Tonaufnahmen machen

Neben der WM-App hatte sich die Malware auch in Dating-Applikationen eingenistet. Die boshaften Apps waren gemäss Check Point im offiziellen Google Play Store erhältlich. Weil sich die Malware in legitim scheinenden Apps mit Bezug zu aktuellen Grossereignissen versteckt hatte, konnte sie Googles Schutzmechanismen umgehen. 

Die Masche ist nicht neu, wie Check Point schreibt. 2017 versuchte die Spyware Viperat israelische Soldaten im Gazastreifen zu bespitzeln. Im März 2016 sollen pakistanische Akteure mit der Messaging-App Smeshapp versucht haben, Angehörige des indischen Militärs zu belauschen. 

Mehr zu Golden Cup gibt es auf der Website von Check Point.

06.07.2018 - 16:59 Uhr

Melani warnt Schweizer Firmen vor falschen Bankern

Die Melde- und Analysestelle Informationssicherung (Melani) warnt Schweizer Firmen vor Betrugsversuchen. In den letzten Tagen sind vermehrt Vorfälle gemeldet worden, wie Melani mitteilt. 

Die Masche ist bekannt: Unbekannte rufen bei potenziellen Opferfirmen an und geben sich als Mitarbeiter ihrer Bank aus. Sie versuchen ihre Opfer zu überzeugen, eine Fernzugriffssoftware wie etwa Teamviewer zu installieren – alles unter dem Vorwand, ein Update beim E-Banking durchführen zu müssen.

Anschliessend gaukeln die Angreifer ihren Opfern vor, sie müssten das Update nun testen. Dafür müssten die Opfer die Zugangsdaten des Unternehmens eintippen. Sollten Zahlungen durch ein Kollektiv geschützt sein, versuchen die Angreifer alle Unterschriftsberechtigten zusammentrommeln zu lassen. 

Zwei Varianten der Masche

Verschiedentlich versuchen die Angreifer auch mit einer anderen Taktik ihre Opfer hinters Licht zu führen. Der Vorwand ist wieder ein Update beim E-Banking. Doch in dieser Variante geben die Angreifer vor, das Unternehmen müsse aufgrund eines Updates während einiger Tage auf das E-Banking verzichten. Bei dringenden Transaktionen solle die Firma sich telefonisch melden -  auf eine Rufnummer, welche die Betrüger angeben. 

Sollte ein Unternehmen tatsächlich eine dringende Zahlung tätigen wollen und die Rufnummer wählen, tritt die zweite Phase des Angriffs in Kraft. Die Angreifer fragen nach Benutzername, Passwort und Einmalpasswort. So holen sich die Betrüger sämtliche Zugangsdaten, die sie brauchen, um selbständig Zahlungen durchzuführen. 

Derartige Social-Engineering-Attacken sind nicht neu. Dass sie wieder vermehrt vorkommen, zeigt, wie wichtig es für Firmen ist, ihre Mitarbeiter in Sachen Cybersecurity zu sensibilisieren. Online listet Melani mehrere Punkte auf, die Mitarbeiter beachten sollten
 

06.07.2018 - 16:46 Uhr

Wenn die eigene Körperwärme das Passwort verrät 

Alles, was wir berühren, trägt die Spuren dieser Berührung. Mit einer Normaltemperatur von rund 37 Grad Celsius ist der menschliche Körper in der Regel deutlich wärmer als sein Umfeld. Was wir anfassen, wird dadurch leicht wärmer, als es vorher war. Auch dann, wenn wir in den Buchstabensalat einer Tastatur hauen: Mit jedem Anschlag wird die gedrückte Taste wärmer und wärmer.  

Wie ein Team aus Sicherheitsexperten der University of California, Irvine (UCI) herausfand, könnte man diesen Umstand nutzen, um Passwörter zu stehlen. Thermanator nennen die Forscher ihr hypothetisches Angriffsszenario. 

Thermanator UCI 2018

Das Passwort "passw0rd" ungefähr 0 Sekunden (oben links), 15 Sekunden (oben rechts), 30 Sekunden (unten links) und 45 Sekunden (unten rechts) nach dem Eintippen auf der Tastatur. (Source: UCI / Screenshot aus der wissenschaftlichen Arbeit)

Alles, was man dafür brauche, sei eine Wärmebildkamera mittlerer Reichweite. Diese könnte die gedrückten Tasten noch bis zu einer Minute nach dem Eintippen identifizieren. In ihren Laborversuchen zeigten die Forscher, dass auch Nicht-Experten aufgrund der Wärmebildaufnahmen Passwörter und PIN-Codes korrekt eruieren können.

Das mag zwar noch nach einer Szene aus einem Mission-Impossible-Film klingen. Doch derartige Wärmebildkameras werden immer mehr zur Commodity. Unlängst gab etwa die Bullit-Gruppe den Verkaufsstart des neusten Cat-Smartphones S61 mit verbesserter Wärmebildkamera bekannt. Die Forschergruppe der UCI plädiert daher dafür, nicht mehr auf Passwörter zu setzen, sondern alternative Security-Massnahmen zu nutzen. 

Den vollständigen wissenschaftlichen Bericht können Interessierte an dieser Stelle lesen. 
 

29.06.2018 - 17:42 Uhr

Datenklau bei Adidas und Ticketmaster 

Diese Woche haben gleich zwei globale Firmen über einen potenziellen Verlust von Kundendaten informiert: Adidas und Ticketmaster.

Unbekannte sollen gemäss dem Schuhhersteller Adidas Kontaktdaten, Benutzernamen und verschlüsselte Passwörter der Kunden erbeutet haben, wie Bloomberg berichtet. Adidas habe aber keinen Grund anzunehmen, dass auch Kreditkartendaten entwendet wurden. 

Betroffen waren angeblich nur die Benutzer der US-amerikanischen Website des Schuhherstellers. Insgesamt soll sich die Anzahl Opfer auf rund «einige wenige Millionen» belaufen. Der Vorfall werde noch untersucht.
Der Ticketmaster-Zwischenfall liegt ein paar Tage mehr zurück. Vergangenen Samstag will das Unternehmen Malware in ihrer Kundensupport-Chat-Applikation entdeckt haben – ein Produkt von Inbenta Technologies.  

Der Ticketdienst kappte anschliessend nach eigenen Angaben sofort die Verbindung zu dem Drittanbieter. Dennoch seien rund 5 Prozent der weltweiten Kunden betroffen von diesem Zwischenfall – und auch ihre Zahlungsinformationen. 

Das Unternehmen hat die betroffenen Kunden bereits informiert, wie es mitteilt. Ticketmaster bietet den Opfern einen kostenlosen Identity-Monitoring-Service an. Wer diesen in Anspruch nehmen will, erfährt hier mehr

29.06.2018 - 17:27 Uhr

Was VoIP für Hacker interessant macht

Am 26. Juni hat der Schweizer IT-Security-Dienstleister ins Theater Casino Zug geladen. Auf der Bühne stellte der Schweizer IT-Security-Dienstleister unter anderem sein Red-Team, die hauseigenen Pentester, ins Rampenlicht. Ihr Job ist es, Schwachstellen und neue Angriffsmethoden zu finden, bevor Cyberkriminelle auf die Idee kommen.

In Zug zeigte das Team, was es drauf hat. Es hatte sich mit der Frage befasst, wie man heute noch versteckt Daten übermitteln kann aus Unternehmen heraus. Ihre Antwort war VoIP. Genauer gesagt: mittels Skype for Business. Ihre Lösung nannten sie Skynet.

"VoIP bietet für Angreifer einige sehr interessante Features", sagte Luca Cappiello, Head of Penetration Testing & Research bei Infoguard. So geniesse VoIP im Netzwerk etwa eine Priorisierung bei der Bandbreite.

Theater Casino Zug

Der Vortrag von Luca Cappiello fand im Rahmen der Infoguard Security Lounge im Theater Casino Zug statt. (Source: Netzmedien)

Zudem würden nur wenige Systeme prüfen, was für Daten effektiv über die Verbindung flössen. Derartige Attacken auf der Netzwerkebene zu erkennen sei "zwar nicht unmöglich", sagte der Anführer des Red-Teams, "aber extrem schwierig". Skype for Business bietet auch noch ein paar weitere Vorteile: der Anmeldeprozess ist klar definiert über Windows Credentials und die Lösung ist vorinstalliert.

Da es zu auffällig wäre, die Client-Schnittstelle zu nutzen und die Server-Schnittstelle zu leicht zu blockieren sei, entschieden Cappiello und sein Team sich für einen anderen Weg: Sie bauten den Sykpe-for-Business-Protocol-Stack selbst nach. Nach eigenen Angaben eine enorm aufwändige Arbeit, die einige Nachtschichten erforderte.

Skynet wird zum Leben erweckt

Auf der Zielgeraden kam es dann doch noch zu einer leichten Verzögerung, wie Cappiello sagte. Skynet, "obwohl es keine nennenswerten Abweichungen zum regulären Datenverkehr gab", funktionierte nicht. Es folgten drei Wochen Debugging und die Realisation, dass der Code korrekt war. Es hatte sich lediglich ein Tippfehler eingeschlichen, den das Team schnell wieder behoben hatte: Canditate statt Candidate.

So konnte das Red-Team in Zug ein funktionsfähiges Skynet demonstrieren. Da die Lösung auf Skype basiert, konnte Cappiello telefonisch ein Update erhalten, wie viele Opfer Skynet infiziert hat und welche Payload auf den betroffen Maschinen geladen werden soll.

In der Live-Demo beschränkte sich Skynet darauf, auf dem infizierten Rechner die Nachricht "You have been pwned, miner is running. Best regards from the IG Red-Team" anzuzeigen. Die Möglichkeiten seien jedoch fast unbegrenzt, sagte Cappiello. So könnten Angreifer über VoIP etwa auch grosse Mengen an Daten abziehen.

Den vollständigen Eventbericht zur Infoguard Security Lounge können Sie an dieser Stelle lesen.

29.06.2018 - 17:14 Uhr

5G wird noch vor dem Start zum Sicherheitsrisiko

Die Sicherheitsexperten Horst-Görtz-Institut der Ruhr Universität Bochum haben eine Schwachstelle im Mobilfunkstandard LTE entdeckt. Davon seien alle Geräte betroffen, die den Mobilfunkstandard 4G nutzen, wie die Uni in einem Blogeintrag schreibt.

Die Daten werden zwar verschlüsselt übertragen. Sie werden aber nicht auf ihre Integrität geprüft. „Ein Angreifer kann den verschlüsselten Datenstrom verändern und dafür sorgen, dass die Nachrichten an einen eigenen Server umgeleitet werden, ohne dass das dem Nutzer auffällt“, zitiert der Eintrag David Rupprecht, einer der Sicherheitsexperten.

Was die Lücke besonders problematisch macht: Sie lässt sich gemäss der Mitteilung nicht schliessen. Ausserdem soll sie auch im noch bevorstehenden Mobilfunkstandard 5G enthalten sein. Die 5G-Frequenzen müssen noch versteigert werden. 

Mehr zur Sicherheitslücke im Blogeintrag der Universität

29.06.2018 - 17:05 Uhr

Eine Ratte macht Handys zu Wanzen

Der Endpoint-Security-Anbieter Eset warnt vor einer neuen Mobile-Bedrohung. Die Malware heisst HeroRat und nutzt das Protokoll der Messenger-App Telegram, wie das slowakische Unternehmen mitteilt. 

Wie der Name schon vermuten lässt, gehört die Malware zur Gruppe der RAT-Schädlinge – Remote Access Trojan. Die Malware versucht ihre Opfer mit Schein-Apps zu verführen. Diese werden in den App Stores von Drittanbietern oder über Social Media und Messaging Apps verbreitet. Das Schadprogramm sei jedoch nicht im offiziellen Google Play Store zu finden.

Nach der Installation erscheint eine Fehlermeldung. Die App könne auf dem Gerät nicht ausgeführt werden und deinstalliere sich selbst wieder. Das Symbol auf der Benutzeroberfläche verschwindet. Aber der Angreifer hat nun die volle Kontrolle über das Gerät. 

Die Malware verfügt über eine breite Palette von Spionage- und Datei-Filterfunktionen, wie Eset schreibt. Sie kann Textnachrichten abfangen, selbst Nachrichten verschicken, anrufen, die Geräteeinstellungen verändern sowie Audio- und Bildschirmaufnahmen machen. 

Über das Telegram-Protokoll sendet die Malware Daten zurück an den Angreifer. So verhindert HeroRat, dass sie entdeckt wird, weil sie Datenverbindungen zu bekannten von Cyberkriminellen genutzten Upload-Servern nutzt. Die Malware ist je nach Konfiguration in drei Preismodellen auf dem Schwarzmarkt erhältlich und kommt mit einem eigenen Video-Support.

Mehr zu HeroRat auf der Website von Eset.

15.06.2018 - 18:34 Uhr

Cyberkriminelle springen auf Container-Hype auf

Sogenannte Container gehören aktuell zu den grössten Trends in der IT. Die Technologie soll etwa die Bereitstellung von Anwendungen vereinfachen und beschleunigen. Zu diesem Zweck werden mehrere Instanzen eines Betriebssystems isoliert voneinander betrieben. In den letzten Jahren trug vor allem die Open-Source-Software Docker zur Bekanntheit von Containern bei.

Nun sind auch Cyberkriminelle auf den Zug aufgesprungen. Unbekannte luden diverse Docker-Images in das offizielle Repository der gleichnamigen Container-Verwaltungssoftware, wie Heise berichtet. Die Images, um die es hier geht, waren mit versteckten Backdoors versehen.

Auf diese Weise übernahmen die Angreifer die Kontrolle über die Container. Einmal im System drin, installierten sie Crypto Miner, um heimlich nach der Kryptowährung Monero zu schürfen und Geld für die Angreifer zu generieren.

Das Docker-Team entfernte bereits 17 derartige Images – alle wurden von einem Nutzer namens Docker123321 hochgeladen. Die Images waren ganze 10 Monate online. In der Zeit wurden sie 5 Millionen mal heruntergeladen. Davon ausgehend schätzt Heise, dass die Kriminellen rund 58000 Euro ergaunerten. Da der Wechselkurs stetig fällt seit Januar, verliere die Beute aber jeden Tag an Wert.

15.06.2018 - 18:14 Uhr

Hacker treffen sich in Zürich

Wer gerade in Zürich ist, sollte vielleicht mal im Xtra-Club vorbeischauen. Noch bis morgen, 16. Juni 2018, findet dort nämlich die IT-Security-Konferenz Area 41 statt. Das Programm besteht aus Vorträgen und Workshops zu den verschiedensten Themen im Bereich Cybersecurity.

Eröffnet wurde der Anlass etwa mit einem Referat von Costin Raiu, dem Direktor von Kasperskys Global Research and Analysis Team (GREAT). Neben interessanten Inputs bietet der Anlass aber wohl auch die besten Konferenz-Badges. Mehr Infos auf der Website von Area 41.

Der Konferenz-Badge für die diesjährige Area 41.

Der Konferenz-Badge für die diesjährige Area 41. (Source: Netzmedien)

15.06.2018 - 18:04 Uhr

Crypto Miner drängen in die Schweiz

Der israelische Sicherheitsanbieter Check Point hat die jüngste Ausgabe seiner Top-Malware-Liste für die Schweiz veröffentlicht. Die Liste wird jeden Monat aktualisiert. An der Top 3 änderte sich nichts. Die Liste wird weiterhin vom Crypto Miner Coinhive angeführt. Derartige Schädlinge zapfen die Rechenleistung ihrer Opfer an, um nach Kryptowährungen zu schürfen und die Angreifer zu bereichern. 

Crypto Miner prägen die Liste schon seit Monaten. Im Mai ist nun ein weiterer Miner dazugekommen: XMRig. Der vierte Miner in der Top-9-Liste. XMRig ist gemäss Check Point eine quelloffene CPU-Mining-Software. Diese schürfe spezifisch nach der Kryptowährung Monero.

Im Gegensatz zu Bitcoin setzt Monero stark auf Privatsphäre. Die Kryptowährung bietet etwa die Möglichkeit, Geld anonym zu senden. Der Name der Währung kommt aus der kreierten Sprache Esperanto und bedeutet Währung oder Münze.  

Die Top Malware in der Schweiz im Mai:

  1. Coinhive (Crypto Miner)
  2. Roughted ((Malvertising)
  3. Cryptoloot (Crypto Miner)
  4. Emotet (Trojaner)
  5. Jsecoin (Crypto Miner)
  6. Necurs (Botnet)
  7. XMRig (Crypto Minter)
  8. Dorkbot (IRC-Wurm)
  9. Scar (Trojaner)

15.06.2018 - 17:59 Uhr

Oracle zeichnet eine Karte voller Bedrohungen

Der Datenbankriese Oracle hat ein neues Tool veröffentlicht: seine erste eigene Bedrohungskarte. Oracle nennt sie die Internet Intelligence Map. Sie greift auf die internen Analyse-Kapazitäten Oracles zu, wie das Unternehmen mitteilt. Die Ergebnisse werden online auf einer Weltkarte dargestellt. 

Oracle Internet Threat Map

Die neue Bedrohungskarte von Oracle. (Source: Oracle)

Oracle gesellt sich damit zu Kaspersky Lab, Norse Corp und vielen anderen, die bereits vergleichbare Threat Maps online gestellt haben. Eine Sammlung der Redaktion der schönsten Echtzeit-Bedrohungskarten im Netz gibt es an dieser Stelle
 

12.06.2018 - 18:08 Uhr

Alle reden in der Schweiz von Cybersecurity – nur investieren will keiner

Dass Cybersecurity-Vorfälle gravierende negative Konsequenzen haben, bestreitet heute niemand mehr. Naja, quasi niemand mehr, wie der Risk:Value-Report von NTT Security zeigt. Ganze 4 Prozent der befragten Schweizer Führungskräfte waren noch immer anderer Meinung. 

Wer das Risiko Cybercrime erkennt, fürchtet laut der Studie vor allem dreierlei: das Vertrauen seiner Kunden zu verlieren (52 Prozent der Befragten), einen Reputationsschaden (ebenfalls 52 Prozent) oder direkte finanzielle Einbussen (45 Prozent). Im Schnitt sollen durch einen Sicherheitsvorfall Kosten von über 1,1 Millionen Franken entstehen – rund 7 Prozent des durchschnittlichen Umsatzes. 

Aber die Zahlen trügen. Ein echtes Risikobewusstsein scheint zu fehlen, wie die Studie ferner zeigt. Gerade mal 15 Prozent des Budgets fliesst in der Schweiz in die Informationssicherheit. Unternehmen stecken ihr Geld lieber in Betrieb, Marketing, Vertrieb, Rechnungswesen, Entwicklung und Personalwesen. 

Lieber Lösegeld zahlen, als Geld für Security ausgeben

Fast ein Viertel der Befragten (23 Prozent) gaben sogar an, sie würden lieber ein Lösegeld zahlen, wenn eine Ransomware ihre Daten verschlüsselt, als stärker in IT-Security zu investieren. Das sei die kostengünstigere Alternative. In diesem Punkt liegt die Schweiz jedoch vor dem globalen Durchschnitt von 33 Prozent. 

Die Konsequenz? Die Studie zeigt, dass gerade mal 40 Prozent der befragten Entscheidungsträger das Gefühl haben, alle unternehmenskritischen Daten seien komplett sicher. Dass nur ebenso viele der Befragten einen Plan zur Hand hat, wie im Ernstfall zu reagieren ist, dürfte wohl kein Zufall sein. Dieser Wert liegt in der aktuellen Studie bei 42 Prozent der Schweizer Firmen.

Interessanterweise lag der Anteil auch schon im Vorjahr bei 42 Prozent. Obwohl damals 21 Prozent angaben, bereits einen Incident-Response-Plan zu implementieren und weitere 21 Prozent planten, in naher Zukunft entsprechende Massnahmen umzusetzen.

"Das Ergebnis zeigt leider, dass es vielfach bei reinen Absichtserklärungen geblieben ist und der Ernst der Lage immer noch unzureichend erkannt wird, auch wenn zahlreiche Sicherheitsvorfälle der letzten Zeit eigentlich gezeigt haben, dass an einem gelebten Incident-Response-Plan kein Weg mehr vorbeiführt", sagt Kai Grunwitz, Senior Vice President EMEA bei NTT Security.

Den vollständigen Report von NTT Security können Interessierte auf der Website des Unternehmens anfordern

07.06.2018 - 16:56 Uhr

Melani warnt auch vor den SBB

Das Government Computer Emergency Response Team (GovCERT) hat noch eine Warnung herausgelassen. Einen Tag nachdem die Bundesstelle vor gefälschten E-Mails der Eidgenössischen Steuerverwaltung (ESTV) gewarnt hat, schlägt sie erneut Alarm. Diesmal geht es um die SBB. Das GovCERT ist eine Tochterorganisation der Melde- und Analysestelle Informationssicherung (Melani). 

Nicht näher identifizierte Betrüger würden laut der Twitter-Warnung den Firmenauftritt der SBB nutzen, um ihre Opfer zu täuschen. In den Phishing-E-Mails versuchen Sie den Empfängern weiszumachen, dass im Namen der SBB Tickets reserviert wurden. Die bestellten Tickets seien im E-Mail-Anhang.

 

 

Diesen Anhang sollten die Empfänger jedoch besser nicht öffnen. Statt Tickets enthält die mitgeschickte .doc-Datei nämlich wieder den alten, aber deswegen nicht weniger gefährlichen Banking-Trojaner Retefe. Dieser wurde bereits beim ESTV-Phishing-Versuch mitgeschickt und treibt schon seit Jahren in der Schweiz sein Unwesen. 

Mehr zur Warnung bezüglich dem ESTV finden Sie im Blogeintrag vom 06.06.2018 - 16:59 Uhr ("Melani warnt vor der Steuerverwaltung").
 

06.06.2018 - 16:59 Uhr

Melani warnt vor der Steuerverwaltung

Das Government Computer Emergency Response Team (kurz: GovCERT) hat auf Twitter eine Warnung veröffentlicht. Wer eine E-Mail der Eidgenössischen Steuerverwaltung (ESTV) erhalte, solle aufpassen. Die Mails seien gefälscht, verkündet GovCERT auf Twitter. 

 

 

Die Mails geben vor, es sei nötig, die Steuerangaben zu vergleichen. Der Empfänger solle die in einer .doc-Datei angehängten Daten zu seiner Firma überprüfen und antworten. Sollte er auf den Anhang klicken, erwartet ihn jedoch eine böse Überraschung. Keine Daten, die er überprüfen kann, sondern einen alten Bekannten: den Banking-Trojaner Retefe. 

Die Malware treibt bereits seit drei Jahren ihr Unwesen. Im aktuellen Halbjahresbericht widmete sich die GovCERTs Mutterorganisation, die Melde- und Analysestelle Informationssicherung (Melani) ebenfalls dem alten Eisen im Cybercrime. Lesen Sie mehr dazu hier.

31.05.2018 - 18:40 Uhr

Auch der Bundesnachrichtendienst liest mit – ganz legal

Der Internetknoten De-Cix in Frankfurt ist wohl einer der grössten der Welt. Vergangenen Dezember verkündete der Betreiber einen Weltrekord: einen Datendurchsatz von mehr als sechs Terabit pro Sekunde. Nach Angaben des Unternehmens nutzen etwa 700 Internetdienstanbieter aus 60 Ländern den Knoten. Er ist also quasi das Tor zum Internet für einen Grossteil Europas. 

Das macht einige wohl neugierig, was so für Daten so durch diesen Knoten fliessen. Dazu gehört auch der Bundesnachrichtendienst (BND), der Auslandnachrichtendienst der Bundesrepublik Deutschland. Dieser zapft seit Jahren im grossen Stil Daten ab, wie der Spiegel berichtet. Nicht nur in Verdachtsfällen, sondern auch im Rahmen einer strategischen Fernmeldeüberwachung. 

Dem Betreiber war dies ein Dorn im Auge. Er war überzeugt, dass der BND gesetzeswidrig auch inländische Daten erhebe. Das Bundesverwaltungsgericht in Leipzig hat eine Klage der Betreiber nun jedoch abgewiesen. Der BND sei berechtigt, internationale Telekommunikation zu überwachen und aufzuzeichnen. Der Betreiber wurde zudem verpflichtet, bei der strategischen Fernmeldeüberwachung mitzuwirken. 

01.06.2018 - 18:37 Uhr

Schweizer Firmen könnten von etwas mehr Paranoia profitieren

Kein Unternehmen dieser Welt ist 100 Prozent gegen sämtliche Bedrohungen aus dem Cyberspace gewappnet. Dafür entwickeln Cyberkriminelle ihre Methoden und Werkzeuge zu schnell und zu stark weiter. Die Anzahl betroffener Unternehmen nimmt daher stetig zu. Zwar sind sich immer mehr Firmen dessen bewusst und investieren entsprechend in ihre IT-Security. Doch ein bisschen mehr Paranoia wäre wünschenswert. 

Cyberkriminelle wissen längst, wie Firmen untereinander zusammenarbeiten und vor allem, wo das schwächste Glied in der Liefer- und Vertriebskette zu finden ist. Die Firmen selbst aber wohl nicht, wie eine aktuelle Studie der Beratungsfirma KPMG zeigt. Über die Zulieferer können die Kriminellen anschliessend auch die Netzwerke der Zielfirma kompromittieren – eine sogenannte Supply-Chain-Attacke.

Demnach hat fast die Hälfte der befragten Schweizer Unternehmen die Cyberrisiken, die von Drittunternehmen ausgehen, nicht auf dem Radar. Das Bewusstsein für dieses Problem ist trotz der medialen Präsenz von Cyberrisiken sogar gesunken im Vergleich zum Vorjahr. Lediglich 56 Prozent der Befragten hätten Instrumente implementiert, um ihre Zulieferer zu überprüfen. Im Vorjahr waren es noch 68 Prozent. 

Prominentes Beispiel der jüngeren Vergangenheit

Auch in den Verträgen zwischen Firmen und ihren Partnern findet das Thema Cybersecurity immer weniger Platz. In 59 Prozent der Verträge sei etwa kein Recht auf eine Überprüfung des Partners formuliert (40 Prozent im Vorjahr). In 38 Prozent werden auch keine rechtsverbindlichen Verpflichtungen bezüglich cyberkriminellen Vorfällen festgelegt. 2017 waren es lediglich 30 Prozent. 

Das solche Supply-Chain-Attacken verheerend sein können, zeigte das Tool CCleaner vergangenen September. Unbekannte hatten in dem offiziellen und legitimen PC-Optimierungstool ein Schadprogramm eingeschleust. 

Über das Tool hatten die Kriminellen anschliessend Zugriff auf alle Unternehmen, welche die infizierte Version von CCleaner auf ihren Rechnern nutzten. Auch CCleaner selbst wurde wohl über einen Zulieferer angegriffen. Lesen Sie hier mehr zur Supply-Chain-Attacke via CCleaner

Den vollständigen "Clarity on Cyber Security"-Bericht von KPMG – inklusive aktuellen Hype-Themen wie Blockchain und künstliche Intelligenz – gibt es an dieser Stelle als PDF

31.05.2018 - 18:35 Uhr

DSGVO beweist Wandlungsfähigkeit von Scammern

Seit Freitag, dem 25. Mai 2018 gilt die neue Datenschutzgrundverordnung der EU (EU-DSGVO beziehungsweise GDPR auf Englisch). Am Samstag, 26. Mai nutzten bereits die ersten Cyber-Betrüger das Thema für ihre Zwecke.

Die Polizei Niedersachsen schreibt in ihrem Ratgeber Internetkriminalität etwa über einen Fall, der einen lokalen Anwalt betrifft. Dieser erhielt eine E-Mail, das ihn aufforderte seinen Branchenbucheintrag aufgrund der EU-DSGVO zu überprüfen und zurück zu senden. 

Tatsächlich handelte es sich bei dem Schreiben um ein Angebot für einen noch nicht bestehenden Vertrag, wie die Polizei schreibt. Wer ohne zu denken seine Angaben schickt, stimmt dem Vertrag wohl schon zu. 

Fake-Amazon jagt Daten

Die Verbraucherzentrale Nordrhein-Westfalen warnt derweil vor anderen Betrügern. Diese versuchten Amazon-Kunden mit Phishing-Mails zu täuschen. Die E-Mails wollen angeblich über "Wichtige Änderungen des Europäischen Datenschutzgesetzes" informieren.

Der Empfänger solle seine Zugangsdaten abgleichen. Die E-Mails stammen laut der Mitteilung jedoch nicht von Amazon. Die Betrüger versuchten so lediglich an neue Daten zu kommen. 

Bei E-Mails, die sich um die EU-DSGVO drehen, ist also Vorsicht geboten – auch bei denen, die nicht von Betrügern stammen. Oder um es mit den Worten des US-amerikanischen Germanisten zu sagen:

 

25.05.2018 - 19:35 Uhr

Noch einmal zum Nachschlagen

Was war schon wieder Creepware? Wofür steht DDoS? Und was bedeutet eigentlich Malvertising? Spätestens seit Wannacry und Mirai sind Cyberbedrohungen in aller Munde. Das kleine IT-Security-ABC soll einen schnellen Überblick ohne Anspruch auf Vollständigkeit über die gängigsten Begriffe verschaffen. Die Liste wird laufend aktualisiert und ist unter www.it-markt.ch/securityabc zu finden.

25.05.2018 - 19:32 Uhr

Malware jagt zunehmend hinter Bitcoin & Co. her

Die Sicherheitsexperten von Fortinet haben die Ergebnisse des aktuellen Global Threat Landscape Reports für das erste Quartal 2018 veröffentlicht. Ransomware mache zwar weiterhin den Unternehmen dieser Welt zu schaffen – Wannacry lässt grüssen. 

Der Trend zeigt jedoch eindeutig in eine andere Richtung, wie das Unternehmen mitteilt. Cyberkriminelle ziehen es vor, Systeme zu kapern um nach Kryptowährungen zu schürfen, statt Lösegelder aus Unternehmen herauszupressen. Hierfür nutzen sie sogenannte Cryptominer oder Cryptojacker, die sich in etwa in Web-Broswer einschleusen lassen.

(Source: Fortinet)

(Source: Fortinet)

Zu diesem Zweck nutzen sie immer komplexere Malware und neu entdeckte Zero-Day-Schwachstellen. So könnten sie schnell im grossen Massstab angreifen, schreibt das Unternehmen. Im ersten Quartal waren bereits 28 Prozent der untersuchten Unternehmen davon betroffen – mehr als doppelt so viele als im Vorquartal. 

Auffällig sei die Vielfalt der hierfür genutzten Schadprogramme. Was funktioniert, wird weiterentwickelt. So entstehend rasch neue, besser getarnte oder auch dateilose Malware, um infizierten Code in die Browser einzuschleusen. 

Mehr zum Thema Blockchain und Kryptowährungen finden Sie im Krypto-Blog auf Netzwoche.ch

25.05.2018 - 19:05 Uhr

Britisches Militär hat Angst vor zockender Malware

Das Verteidigungsministerium des Vereinigten Königreichs warnt in einer Studie vor einer neuen Gefahr: eine künstliche Intelligenz (KI) mit einer Vorliebe für Videospiele. 

Gemeint sind etwa KIs wie Alphago oder Alphazero des Unternehmens Deepmind. Deren Entwickler nutzen Games, um ihren KIs beizubringen, selbständig komplexe Probleme zu lösen. In der Studie wird etwa explizit das Strategiespiel Starcraft II von Blizzard erwähnt. 

Gameplay-Trailer zu Starcraft II. (Source: Youtube)

Blizzard und Deepmind haben August 2017 sogar eine Reihe von Entwickler-Tools für Starcraft II veröffentlicht, genannt SC2LE. Teil des Sets sind etwa eine Machine-Learning-Programmierschnittstelle von Blizzard, ein Datensatz anonymisierter Spielaufzeichnungen sowie eine Open-Source-Version des Deepmind-Toolsets Psysc2. 

Dass diese KIs, Alphago und Alphazero, etwas auf dem Kasten haben, zeigten sie bereits Ende 2017. Die KI schlug das Schach-Trainingsprogramm Stockfish mit einer erstaunlichen Deutlichkeit. Mehr dazu im Beitrag auf der Netzwoche

Derartige KI-Systeme könnten aber auch genutzt werden, um Angriffe zu planen und zu koordinieren. KI werde die Vielfalt und die Geschwindigkeit mit denen Cyberattacken auftreten, erhöhen. Zugleich senke sie die Kosten für derartige Angriffe. 

Die Autoren der Studie gehen davon aus, dass dies schon ab 2020 oder bald danach zu einem seriösen Problem wird. Jeder mit den nötigen Ressourcen, um eine KI zu erwerben oder zu stehlen, hätte dann Zugriff auf ein immenses offensives Cyber-Arsenal. Ein Arsenal, das sich wohl nur schwierig aufhalten liesse. 

22.05.2018 - 15:37 Uhr

Trojaner und schädliche Werbung sind auf dem Vormarsch in der Schweiz

Check Point hat seine Liste der Top-Malware in der Schweiz aktualisiert. Die Spitze der Liste wird zwar noch immer von Crypto Minern dominiert – Skripte, die ohne das Mitwissen der Opfer ihre Rechenleistung anzapfen, um nach Kryptowährungen zu schürfen. So führt etwa Coinhive die Liste an – wie bereits im Vormonat (siehe Eintrag vom 27.04.2018 – Die grössten Malware-Bedrohungen in der Schweiz im März).

Anderswo ist die Liste aber stark in Bewegung. Im Vergleich zum März fällt etwa auf, dass schädliche Werbung und Trojaner wieder an Boden gewinnen in der Schweiz. Im Vormonat war kein einziger Trojaner in der Liste. Im April gleich zwei: Scar und Nivdort. Beide haben es auf die Benutzer- und Login-Daten ihrer Opfer abegsehen.

Die Top Malware in der Schweiz im April:

  1. Coinhive (Crypto Miner)
  2. Roughted ((Malvertising)
  3. Cryptoloot (Crypto Miner)
  4. Jsecoin (Crypto Miner)
  5. Necurs (Botnet)
  6. Scar (Trojaner)
  7. Nivdort (Trojaner)
  8. Fireball (Adware)
  9. Pirrit (Adware)

Roughted war bereits im März in der Liste, sprang nun aber von Platz 4 auf 2. Roughted nutzt Werbung und bösartige Websites, um die Rechner seiner Opfer mit weitere Malware zu infizieren – wie etwa Ransomware oder Adware – eine weitere Form schädlicher Werbung. Diese ist ebenfalls auf dem Vormarsch. 

Mit Pirrit hat die April-Liste einen zweiten Vertreter aus dem Bereich Adware erhalten. Derartige Malware wird genutzt, um den Broswer der Opfer auf bestimmte Werbeanzeigen umzulenken. Oft lässt sich über Adware aber auch noch viel mehr Schaden anrichten. 

Die andere Adware, Fireball, rutschte derweil einen Platz hinab. Was im Vergleich zum Vormonat ebenfalls auffällt, ist die geringe Anzahl an Botnetzen in der Top-Malware-Liste von Check Point. Im März listete Check Point noch drei Botnetze – im April nur noch eines. 

22.05.2018 - 15:24 Uhr

Intel stopft ein paar der neuen Spectre-Lücken

Anfang Mai waren neue Spectre-Lücken aufgetaucht (siehe Eintrag vom 04.05.2018 – Intel kommt nicht zur Ruhe). Nun hat Chip-Hersteller Intel, dessen Prozessoren von den Schwachstellen betroffen sind, erste Update veröffentlicht. Diese sollen die Bedrohung, die durch Spectre verursacht wird, abschwächen.

Der Chiphersteller veröffentlichte jedoch nur Updates für zwei der acht neuen Sicherheitslücken, wie Heise berichtet. Die restlichen 6 erwähnt Intel in seinem Blogeintrag zu den Updates nicht. Mehr Informationen zu den gepatchten Lücken finden sich hier für die Variante 3a (CVE-2018-3640) und Variante 4 (CVE-2018-3639).

22.05.2018 - 13:18 Uhr

Jetzt auch auf Instagram

Der IT-Security-Blog hat einen kleinen Abstecher gemacht. Neu ist der Blog auch auf Instagram vertreten. Dort sind die Illustrationen zu finden, die jeweils in der Printversion des IT-Security-Blogs erscheinen. 

11.05.2018 - 17:58 Uhr

Kryptobetrüger geben ihren Opfern die Schuld

Was machen die Drahtzieher einer betrügerischen Krypto-Malware, wenn sie aufliegen? Sie ziehen einen Exit-Scam ab! Und zeigen dabei sogar noch mit dem Finger auf das Unternehmen, das sie für ihren Betrug imitiert hatten. 

Die Geschichte beginnt mit einer Warnung von Electrum. Das Unternehmen bietet eine gleichnamige Bitcoin-Wallet-App. Auf seiner Website warnt es vor einem Nachahmer: Electrum Pro. Dabei handle es sich nicht etwa um eine Pro-Version von Electrum, sondern um Malware. 

Die bösartige App stiehlt die Seed-Keys ihrer Opfer und schickt sie an die Malware-Entwickler, wie Bleepingcomputer berichtet. Mit diesen kryptographischen Schlüsseln haben die Betrüger Zugriff auf alle Bitcoin-Gelder, die in dem Wallet gespeichert sind. 

Die Betrüger haben ihre Website unterdessen deaktiviert und machten sich vom Acker. Besucher der Website sehen lediglich eine Botschaft von «Lucas Lofgren und dem Electrum-Pro-Team». Sie werfen Electrum vor, das Unternehmen hätte ihren Ruf zerstört. Das Team hätte sich infolgedessen nun aufgelöst. Ein Exit-Scam also.

Wie viel und ob sie überhaupt etwas ergaunern konnten, ist jedoch fraglich. Die Warnungen auf der Electrum-Seite und in den Medien gingen heraus, bevor die Falle zuschnappen konnte. Gemäss Bleepingcomputer war es den Cyberkriminellen bis zum 10. Mai – ein Tag bevor die Website offline ging – noch nicht gelungen, Bitcoins zu stehlen. 

Mehr zum Thema Blockchain und Kryptowährungen finden Sie im Krypto-Blog auf Netzwoche.ch

11.05.2018 - 17:47 Uhr

Poetische Ransomware macht die Welt zu ihrem Garten

Nicht jeder, der Ransomware entwickelt, will sich damit die Taschen füllen. Wie auch im Falle der Erpressersoftware Whiterose. Wie andere Schadprogramme dieser Art, verschlüsselt Whiterose nach der Infektion Dokumente sowie Bild- und Videodateien diverser Formate. Sie gibt diesen die Dateiendung ".whiterose". 

Wie die Ransomware auf den infizierten Rechnern landet, ist unklar. Möglicherweise wird sie manuell installiert, wenn das Opfer einen Remote-Desktop-Dienst nutzt. Die Verschlüsselung wurde jedoch bereits geknackt und lässt sich auch ohne Lösegeldzahlung wieder beheben. 

Also: kein Grund zur Panik und stattdessen viel Zeit, sich den Erpresserbrief einmal genauer anzusehen, wie Bleepingcomputer dies tat. Der Erpresserbrief wirkt nämlich viel mehr wie eine literarische Erzählung – stellenweise sogar fast wie ein Gedicht. 

Es geht um einen einsamen Hacker, der nichts hat, ausser einem leeren Haus und einem Garten voller weisser Rosen. Also entschied er sich, allen Menschen auf der Welt ein Geschenk zu machen: eine weisse Rose, die in den Systemen der Beschenkten wächst. Genau wie in seinem Garten. 

White Rose (Source: Netzmedien)

(Source: Netzmedien)

11.05.2018 - 17:44 Uhr

Was Nutzer wohl von starken Passwörtern halten

Die deutschen Comic-Autoren Elizabeth Pich and Jonathan Kunz von War and Peas haben sich mit starken Passwörtern befasst und was sie wohl davon halten graphisch umgesetzt. Mehr Comics des Duos gibt’s an dieser Stelle
Weak Passwords von War and Peas.(Source: Warandpeas.com)

11.05.2018 - 17:41 Uhr

Tarnspezialisten schleichen sich erneut in Googles Play Store

Die Sicherheitsexperten von Symantec haben sieben Wiederholungstäter im Google Play Store entdeckt. Dabei handelt es sich um sieben bösartige Apps, die schon einmal aus dem Play Store entfernt wurden, wie das Unternehmen mitteilt

Für die neue Welle haben die dafür verantwortlichen Cyberkriminellen lediglich den Namen der App sowie des angeblichen Herausgebers leicht angepasst. Der Code der App sei jedoch noch derselbe. Bei den Apps handle es sich um sehr unterschiedliche Applikationen - darunter eine Emoji-Tastatur, ein Taschenrechner, eine Verschlüsselungs-App sowie Tools, um Anrufe aufzunehmen oder Speicherplatz freizugeben.

Die Apps würden jedoch nicht wie angepriesen funktionieren, schreibt Symantec. Stattdessen übt sich die Malware in Geduld. Sie lauert, damit das Opfer die App und eventuelle verdächtige Aktivitäten des Smartphones nicht in Zusammenhang bringe.

Nach vier Stunden versteckt sich die Malware nicht länger und wechselt von defensiver zu aggressiver Mimikry: Sie bittet um Admin-Rechte und nutzt dabei Google-Embleme, damit das Opfer die Anfrage für legitim hält. Anschliessend ändert die Malware auch ihr Icon zu einem Google-Symbol, wie etwa das von Google Maps oder von Google Play.

In der aktuellen Version leitet die Malware den Browser um. So landet der irregeführte Nutzer auf Scam-Seiten, die ihm weismachen sollen, er habe bei einem Wettbewerb gewonnen. Das Ziel dahinter: persönliche Daten sammeln und verkaufen. 

11.05.2018 - 17:35 Uhr

POS-Malware wird Open Source

Die Point-of-Sale-Malware Treasurehunter ist bereits seit 2014 im Visier von IT-Sicherheitsexperten. Die Malware befällt Kassensysteme am Verkaufsort (auf Englisch: Point of Sale – POS) und stiehlt Kreditkarteninformationen. Bald könnten derartige Schadprogramme noch viel zahlreicher werden.

Der Quellcode von Treasurehunter wurde unlängst in einem russischsprachigen Forum veröffentlicht, wie IT-Security-Anbieter Flashpoint mitteilt. Der Quellcode für die graphische Benutzeroberfläche sowie für das Admin-Dashboard sind ebenfalls online aufgetaucht. 

Dies senke die Einstiegshürde für Cyberkriminelle, schreibt Flashpoint. Mit den bereitgestellten Source-Codes könnten sie ihre eigenen Varianten der Treasurehunter-Malware entwickeln. Zugleich gibt die Veröffentlichung des Quellcodes jedoch auch Security-Experten eine Chance, ihre Abwehrmassnahmen zu verbessern. 

04.05.2018 - 18:53 Uhr

G Data warnt vor der dunklen Seite … im Umgang mit Datenpannen

(Source: G Data)

(Source: G Data)

Der deutsche Sicherheitsanbieter G Data hat für einen Tag einen neuen Slogan neben seinem Logo: "Trust in Imperial Sicherheit". Nein, es handelt sich dabei nicht um eine neue Marketing-Kampagne. Der Sicherheitsanbieter feiert stattdessen den 4. Mai.

Der 4. Mai ist nämlich Star Wars Day. Nicht, weil der erste Film der Science-Fiction-Reihe ursprünglich an diesem Tag ins Kino kam - das war nämlich am 25. Mai 1977. Sondern weil das Datum auf Englisch ("May the Forth") ähnlich klingt wie der bekannte Wahlspruch aus den Filmen ("May the Force be with you").

G Data nutzt den Star-Wars-Tag, um Tipps für einen besseren Umgang mit Datenpannen zu geben. Denn, wie der Sicherheitsanbieter schreibt, das Imperium weiss nicht, wie Datensicherheit funktioniert.

So sei es etwa nicht sinnvoll, sich ein Beispiel an Darth Vader zu nehmen und die Mitarbeiter zu töten, die schlechte Neuigkeiten überbringen. Viel besser mache es da Kylo Ren, der zerstöre lediglich seinen Computer. 

Mehr Tipps finden sich hier

04.05.2018 - 18:14 Uhr

Intel kommt nicht zur Ruhe

2018 dürfte als das wohl dunkelste Jahr in Intels bisheriger Firmengeschichte eingehen. Anfang des Jahres wurden zwei massive Sicherheitslücken bekannt: Spectre und Meltdown. Die Lücken steckten in der grundlegenden Prozessorarchitektur fast aller modernen Chips. Patches folgten, die Wogen glätteten sich.

Der PR- und vor allem IT-Security-Albtraum ist aber noch nicht vorbei. Sicherheitsforscher entdeckten acht neue Sicherheitslücken in Intel-CPUs, wie das Technikmagazin C’T schreibt. Im Kern seien diese auf dasselbe Design-Problem zurückzuführen. Das Magazin spricht in dem Zusammenhang von Spectre Next Generation – solange sie noch keine eigenen Namen erhalten haben. 

Jede der acht Lücken habe einen eigenen CVE-Eintrag im Verzeichnis aller Sicherheitslücken erhalten und jede erfordere einen eigenen Patch. Vier wurden als "hohes Risiko" eingestuft, das Risiko der restlichen vier als "mittel". Das Bedrohungspotenzial einer dieser Lücken sei jedoch grösser als bei Spectre und könnte auch für Cloud-Hoster zur Gefahr werden.

Das Magazin bestätigte die Lücken in Intels Chips. Einzelne ARM-Prozessoren seien jedoch ebenfalls anfällig. Ob die eng verwandte ARM-Architektur auch betroffen ist, konnte C’T noch nicht ermitteln. Die neuen Lücken zeigen jedoch, dass Spectre und Meltdown keine einmaligen Probleme waren. Prozessorarchitekturen seien eher mit Schweizer Käse zu vergleichen, aufgrund all der Sicherheitslücken.

04.05.2018 - 17:40 Uhr

Twitter speicherte Passwörter in Klartext

Der Mikroblogging-Dienst Twitter musste diese Woche ein kleines Malheur eingestehen. Eigentlich speichere das Unternehmen keine Passwörter von Nutzern in Klartext. Zu diesem Zweck nutzt Twitter eine Hashing-Funktion (bcrypt). Dieser ersetzt die Passwörter mit einer Kombination aus Zahlen und Buchstaben.

Eigentlich. Denn ein Bug hatte sich in diesen Prozess hineingeschlichen, wie Twitters CTO Parag Agrawal in einem Blogeintrag schreibt. Dieser führte dazu, dass die Passwörter in einer internen Log-Datei gespeichert wurden, bevor sie den Hash-Prozess abgeschlossen haben.

Twitter habe das Problem selber entdeckt und auch bereits wieder behoben. Ihre eigenen Untersuchungen seien zu dem Schluss gekommen, dass keine Passwörter entwendet wurden. Dennoch empfiehlt das Unternehmen seinen Nutzern, ihre Passwörter zu ändern und künftig auf eine Zwei-Faktor-Authentifizierung zu setzen. 

04.05.2018 - 17:09 Uhr

Länder werden zur Ransomware-Dateiendung

Die Sicherheitsexperten vom Malware Hunter Team warnen auf Twitter vor einer neuen Ransomware. Es handelt sich dabei um eine neue Ausführung der Xiaoba genannten Erpressersoftware.

Hat die Ransomware einmal einen Rechner infiziert, verschlüsselt sie Dateien und verpasst ihnen die Dateiendung ".china". Laut dem Malware Hunter Team ist das wohl die erste Ransomware, die einen Ländernamen als Dateiendung nutzt. 

Mehr Infos gibt's in der Malware-Datenbank Virustotal.

02.05.2018 - 17:45 Uhr

Check Point findet Code von Trend Micro in nordkoreanischer AV-Lösung

Das Ganze klingt ein wenig wie der Anfang eines Thrillers. Der israelische Sicherheitsanbieter Check Point machte einen interessanten Fang – und fand darin etwas noch Interessanteres.

Das Unternehmen erhielt eine seltene Kostprobe der nordkoreanischen Anti-Virus-Lösung (AV) Silivaccine, wie Check Point in einem Blogeintrag schreibt. Die Kostprobe kam vom freien Journalisten Martyn Williams. Williams seinerseits erhielt die Software als Zip-Datei via Dropbox – den Link dazu bekam er per E-Mail von einem gewissen Kang Yong-hak.

Der Absender – der sich trotz des koreanischen Namens als japanischer Ingenieur ausgab – ist unterdessen nicht mehr erreichbar. Seine Mailbox wurde deaktiviert. Die Zip-Datei beinhaltete neben der AV-Software auch eine Readme-Datei auf Koreanisch sowie einen angeblichen Update-Patch. Dabei handelte es sich jedoch um die Malware Jaku, die genutzt wird, um Botnetze zu erschaffen.

Vertrauter Code in fremder Lösung

Als sich der Sicherheitsanbieter in den Code der AV-Lösung vertiefte, kam ihm einiges bekannt vor. Die Entwickler von Silivaccine kopierten laut dem Bericht ganze Code-Blöcke von Trend Micro, einem japanischen Konkurrenten von Check Point.

Trend Micro bestätigt in einem Statement gegenüber Check Point, dass die Softwareprobe eine über zehn Jahre alte Version seiner Scan-Engine nutzt. Diese sei weit verbreitet und werde in vielen Produkten genutzt – auch von Drittanbietern.

Trend Micro betont, dass das Unternehmen in oder mit Nordkorea keine Geschäfte mache und dass ihre Technologie illegal genutzt werde. Rechtlich gegen Silivaccine vorgehen will das Unternehmen dennoch nicht – das sei nicht produktiv.

Die Entwickler von Silivaccine nahmen jedoch eine bewusste Änderung an Trend Micros Code vor. Silivaccines Version des Scan-Moduls ignoriert eine bestimmte Signatur, die sie normalerweise blockieren würde. Worum es sich dabei handelt, kann Check Point zwar nicht sagen. Doch es sei klar, dass das nordkoreanische Regime nicht wolle, dass seine Bürger darüber Bescheid wüssten.

27.04.2018 - 20:03 Uhr

Europol nimmt grössten Anbieter von DDoS-as-a-Service vom Netz

Bis vor kurzem konnte man auf Webstresser.org noch DDoS-Attacken ab 15 Euro pro Monat kaufen. Die Abkürzung steht für Distributed Denial of Service. Dabei wird ein Webdienst mit derart vielen Anfragen überhäuft, dass er den Dienst quittieren muss. In den letzten Jahren nahm die Stärke der Attacken drastisch zu. Mittlerweile erreichen sie Bandbreiten von bis zu 1,7 Terabit pro Sekunde - genug um eine Website regelrecht vom Netz zu fegen. Waren früher noch gewisse IT-Fähigkeiten notwendig für derartige Attacken, können Böswillige mit tiefen Taschen sie heutzutage auch auf diversen Marktplätzen einfach kaufen. 

Webstresser.org gehörte zu den grössten Marktplätzen dieser Art, wie Europol mitteilt. Die Plattform zählte mehr als 136'000 registrierte Benutzer. 4 Millionen DDoS-Attacken sollen hier ausgehandelt worden sein. Diese richteten sich gemäss Mitteilung gegen kritische Online-Dienste, Finanzinstitute, Regierungseinrichtungen, Polizeikräfte und gegen Ziele in der Gaming-Industrie.

In einer koordinierten internationalen Aktion von Europol und verschiedenen lokalen Polizeieinheiten wurde den Drahtziehern hinter dem Marktplatz nun der Stecker gezogen. Die Infrastruktur wurde beschlagnahmt. Die Administratoren lebten im Vereinigten Königreich, Kroatien, Kanada und Serbien. Zugleich gingen die Strafverfolgungsbehörden in mehreren Ländern aber auch gegen die grössten Kunden der DDoS-Plattform vor: darunter die Niederlande, Italien und Spanien.

Wer DDoS-Attacken ausführt, ermöglicht oder als Dienst verkauft, muss gemäss Mitteilung mit Geld- und Haftstrafen rechnen. 

 

27.04.2018 - 18:50 Uhr

老大哥 is watching you

Der Roman 1984 von George Orwell beschreibt eine dystopische Zukunft, in der ein Staat jeden einzelnen Schritt seiner Bürger überwacht. Die mittlerweile ubiquitäre Phrase "Big Brother is watching you" hatte ihren Ursprung in dem Roman. Orwell schrieb das Buch vor rund 70 Jahren. Die Geschichte gewinnt aber immer mehr an Relevanz. Jüngstes Beispiel: China. Während die EU mit der EU-DSGVO (beziehungsweise GDPR) gerade den Datenschutz verschärft, testet die chinesische Regierung in Shanghai und Chongqing die totale Überwachung. 

Die Regierung überwacht etwa Kreuzungen mit Videokameras, damit keiner ungesehen bei rot über die Strasse wandert, wie die SRF Rundschau berichtet. Die Regierung habe aber auch auf die Daten privater Firmen Zugriff - darunter der Internetgigant Alibaba und dessen mobile Bezahllösung Alipay. So kann die Regierung also auch verfolgen, wofür ihre Bürger ihr Geld ausgeben. 

Das offizielle Ziel: bessere Bürger schaffen. Gutes Verhalten soll belohnt werden, schlechtes geahndet. Die Bürger erhalten laut dem SRF-Beitrag sogenannte "Sesame Credits". Diese sind öffentlich einsehbar und reichen von 300 bis 900. Mehr Punkte, mehr Vorteile. Personen mit einem tiefen Kredit sollen in ihrer Bewegungsfreiheit eingeschränkt werden. Sie dürfen etwa nicht mehr mit dem Zug fahren oder Flüge buchen.

Wie der Bericht zeigt, büssen die Bürger ihre Credits aber auch ein, wenn sie nicht der politischen Linie der Kommunistischen Partei Chinas folgen. 1984, das Buch von Orwell sei unterdessen verboten worden in China. 

27.04.2018 - 17:52 Uhr

Die grössten Malware-Bedrohungen in der Schweiz im März

Die Sicherheitsexperten des israelischen IT-Security-Anbieters Check Point haben eine Liste zusammengestellt mit der am stärksten verbreiteten Malware in der Schweiz. Die Liste zeigt die Top-Malware des Monats März. Gleich drei Crypto Miner haben es unter die Top 10 geschafft.

Dabei handelt es sich um Javaskripte, die sich in Websites und Applikationen verbergen lassen. Ohne Mitwissen der Opfer, zapfen sie die Rechenleistung der infizierten Geräte an, um nach Kryptowährungen zu schürfen. Das Opfer zahlt die Stromkosten für einen Rechner, den eventuell gar nicht nutzen kann und der Hacker verdient sich eine goldene Nase.

Die Top 10 gemäss Check Point:

  1. Coinhive (Crypto Miner)
  2. Rig EK (Exploit Kit)
  3. Cryptoloot (Crypto Miner)
  4. Roughted (Malvertising)
  5. Jsecoin (Crypto Miner)
  6. Necurs (Botnet)
  7. Fireball Adware)
  8. Virut (Botnet)
  9. Andromeda (Botnet/Backdoor)
  10. Conficker (Computerwurm)

Die Nummer 10, der Computerwurm Conficker (auch bekannt als Downadup), ist erstaunlicherweise bereits seit 10 Jahren aktiv. Obwohl der Wurm eine Schwachstelle nutzt, die bereits ebenso lange gepatcht ist. In ihrem jüngsten Halbjahresbericht widmete sich die Melde- und Analysestelle Informationssicherung ebenfalls dem Computerwurm Conficker.

 

 

Webcode
SecurityBlog

Kommentare

« Mehr