Kategorie: Schadsoftware
18. März 2021
Durch die Ausnutzung von Sicherheitslücken erlangten Hacker Zugriff auf die Microsoft Exchange Server (wir berichteten). Die Lücken wurden inzwischen durch ein Windows-Update behoben.
Inzwischen äußerten sich auch weitere Datenschutzaufsichtsbehörden zu dem Vorfall. Einigkeit besteht hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf personenbezogene Daten stattgefunden hat. In diesem Fall ist die Meldung einer Datenpanne unerlässlich. Bei den Details unterscheiden sich die Meldungen jedoch.
Hier ein landespezifischer Überblick:
Auch Microsoft informiert über die technisch notwendigen Schritte. Darüber hinaus können sich Betroffene mit dem erst kürzlich veröffentlichten Microsoft On-premises Mitigation Tool (EOMT) wohlmöglich noch weiter absichern. Das Tool ersetzt die Sicherheitspatches allerdings nicht. Es kann auf der Github-Website von Microsoft heruntergeladen werden. Sind die Server abgesichert, lädt das Tool den Microsoft Security Scanner herunter. Dieser untersucht dann die Server auf schädliche Elemente.
26. März 2020
Laut IT-Sicherheitsexperten machen sich Kriminelle die momentanen Sorgen und Ängste von Nutzern, hinsichtlich des Coronavirus, zu Nutze.
Demnach würden Kriminelle unter anderem gefälschte E-Mails zu Coronavirus-Themen im Namen der Weltgesundheitsorganisation WHO oder im Namen von Hotelketten, Fluggesellschaften und Fitnessstudios verschicken. Ziel sei es, an die Passwörter der Nutzer zu gelangen. Mit Anklicken der in den E-Mails enthaltenen Links werde der Nutzer auf eine Pishing-Seite weitergeleitet oder es lade sich eine Schadsoftware im Hintergrund.
Aber auch das von vielen Arbeitgebern im Zuge der Corona-Krise angesetzte Homeoffice berge laut den Experten große Risiken. Da viele Arbeitscomputer nun dauerhaft außerhalb der Firmennetzwerke liefen, seien diese auch nicht mehr so gut geschützt. Die Experten empfehlen daher Arbeitgebern, die Ihren Mitarbeitern einen Fernzugriff auf das Firmennetzwerk ermöglichen, den Zugang mit einer Zwei-Faktor-Authentifizierung abzusichern – lesen Sie in diesem Zusammenhang auch gerne unseren Beitrag aus der Themenreihe.
Vor allem aber bestehe für öffentliche Gesundheitseinrichtungen ein hohes Risiko, Opfer von Cyberangriffen zu werden. Insbesondere Krankenhäuser seien ein beliebtes Ziel für Attacken mit sogenannten Erpresserprogrammen, die die IT-Systeme verschlüsseln und anschließend ein Lösegeld fordern. Für einige Kriminelle sei gerade die Corona-Krise ein großer Anreiz um Krankenhäuser anzugreifen.
7. Januar 2020
Nachdem Anfang Dezember 2019 bei der Justus-Liebig-Universität Gießen (JLU) ein Hackerangriff auf die IT-Infrastruktur entdeckt wurde und seitdem alle Server abgeschaltet worden waren, nimmt die Universität nun wieder ihren Normalbetrieb auf. Bei dem Angriff handelte es sich vermutlich um die Malware Emotet. Die Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek gingen oder sollen in Kürze wieder online gehen.
Im Rahmen der Wiederherstellungsarbeiten wurden bereits rund 60 Prozent der Studierenden-Passwörter neu vergeben – insgesamt wurden 38.000 Passwörter zurückgesetzt. Der Zugriff auf interne Windowslaufwerke soll im Februar erfolgen.
Durch das frühzeitige Herunterfahren aller Universitätsserver konnte ein Verlust aller wissenschaftlichen Daten und die Datenbestände verhindert werden, versichert ein Sprecher der Hochschule.
30. September 2019
Im Rahmen des Insolvenzverfahrens des Reiseveranstaltungsunternehmens Thomas Cook versuchen scheinbar unbekannte Personen sensible (personenbezognene) Daten abzugreifen. Dies geschieht ausweislich der Pressemitteilung des Unternehmens mittels “Phishing Mails”. So würden Verbraucher via Email eine als offizielle Benachrichtigung von Thomas Cook deklarierte Erklärung mit dem Betreff: “Wichtig: Erstattung Ihrer Thomas Cook-Reise.” erhalten. Dies würde mit dem Zweck geschehen, sensible Daten, wie beispielsweise Pass- und Kreditkartendaten, unberechtigterweise für einen künftigen Missbrauch abzufragen.
Thomas Cook selbst habe zu keiner Zeit Emails dieser Art an Kunden verschickt. Das Unternehmen empfiehlt diese Mails zu ignorieren und zu löschen.
27. Februar 2019
Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt vor Schadsoftware auf neu gekauften Geräten.
Fachleute des BSI hatten über den Internethändler Amazon drei Billiggeräte bestellt. Getestet wurden das Tablet Eagle 804 von Krüger&Matz, das Smartphone S8 Pro von Ulefone und das Smartphone A10 von Blackview.
Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt.
Das Bundesamt spricht von der Möglichkeit, dass aufgrund der Schadsoftware Banking-Trojaner auf den jeweiligen Geräten Kontodaten ausspionieren können.
Eine manuelle Entfernung der Schadsoftware sei aufgrund der Verankerung im internen Bereich der Firmware nicht möglich.
Nicht nachgewiesen wurde die Schadsoftware bei den Smartphones Ulefone S8 Pro und Blackview A10 in ihrem aktuellen Auslieferungszustand. Allerdings ist die Schadsoftware in früheren Firmware-Versionen enthalten, also im Softwaregerüst des Geräts.
Die Hersteller boten diese auf ihren Webseiten als einzige Variante zum Download an. Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind. Nach Angaben des BSI liegen Daten vor, die zeigen, dass über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen am Tag mit dem Server kommunizieren würden.
Die Hersteller der Geräte wurden über die Erkenntnisse vom BSI informiert.
Reagiert hat darauf der Hersteller Blackview , der am 27.02.2019 ein Firmware-Update für das Smartphone A10 bereitstellte. Das BSI hat das angebotene Update überprüft und seine Unbedenklichkeit bezüglich der Schadsoftware bestätigen können.
Amazon hat gegenüber dem BSI angegeben, die drei genannten Geräte nach der Kontaktaufnahme durch das BSI gegenwärtig aus dem Sortiment genommen zu haben.
7. Dezember 2018
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den letzten Tagen häufig Meldungen von IT-Sicherheitsvorfällen erhalten, die im Zusammenhang mit der Schadsoftware Emotet stehen. Betroffene leiden unter Ausfällen der kompletten IT-Sicherheitsstruktur, die die Geschäftsprozesse erheblich einschränken und Schäden in Millionenhöhe nach sich ziehen.
Das BSI hat aus aktuellem Anlass neue umfassende Sicherheitsmaßnahmen empfohlen. Angepasst an die Zielgruppen Unternehmen und Privatanwender sind diese auf den Webseiten des BSI abrufbar unter https://www.allianz-fuer-cybersicherheit.de/ACS/emotet und https://www.bsi-fuer-buerger.de/BSIFB/emotet.
Mithilfe des sogenannten “Outlook-Harvesting” ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Die Schadsoftware liest Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Weiterhin verfügt Emotet über die Möglichkeit weitere Schadsoftware bei bereits infizierten Systemen nachzuladen. Dadurch haben Angreifer Zugriff auf Zugangsdaten und erhalten einen vollständigen Remotezugriff auf das System.
Insbesondere der Banking-Trojaner “Trickbot” wurde zuletzt nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann.
5. März 2018
Nachdem der Angriff auf das Datennetzwerk des Bundes in der vergangenen Woche an die Öffentlichkeit gelangt ist, werden immer weitere Einzelheiten bekannt.
Die russische Hackergruppe “Snake” soll nach dpa-Informationen, entgegen erster Vermutungen, hinter dem Angriff stecken. Diese sind keine Unbekannten, bereits im Verfassungsschutzbericht 2016 des Bundes wurde die Hackergruppe aufgeführt und soll schon seit 2005 aktiv sein. Ziele der Hackergruppe sind Regierungsstellen und Ziele in der Wirtschaft und Forschung weltweit.
Nach einem Bericht von Spiegel online, waren deutsche Regierungs-Interna das Ziel des Angriffs. Die Hacker gelangten wohl über die Bundesakademie für öffentliche Verwaltung der Fachhochschule des Bundes in das Außenministerium, mit Hilfe einer komplexen und qualitativ hochwertigen Schadsoftware, ein und brachten dort 17 Rechner unter ihre Kontrolle.
Laut Ermittlungen des Bundes in der Sache begann der Angriff wohl schon Ende 2016 mit dem Einschleusen einer Phishing-Mail. Mit einem Steuerbefehl für die hinterlegte Malware, begann im Januar 2017 die Netzwerkanalyse. Die durch die Analyse erlangten Informationen wurden sodann an den Verursacher gesendet. Ab März 2017 waren die Hacker im Besitz von Admin-Rechten. Wie die Hacker an Admin-Rechte gelangten, konnte noch nicht geklärt werden. Ebenso wenig wie genau die Systeme des Auswärtigen Amts kompromittiert werden konnten. Demnach müssen noch einige Untersuchungen durchgeführt werden.
Den Hinweis, dass ein Hackerangriff läuft erhielt der deutsche Geheimdienst von einem ausländischen Partner. Nach diesem Hinweis am 19.Dezember letzten Jahres machte sich das Bundesamt für Sicherheit in der Informationstechnik auf die Suche und wurde Anfang Januar bei der Bundesakademie fündig. Der Angriff lief unter Aufsicht weiter. Ob er inzwischen beendet ist, ist unklar.
Es liegt die Vermutung nahe, dass es sich um einen weltweiten Angriff handelt und noch andere Regierungen betroffen sind.
Inzwischen hat sich auch die Bundesanwaltschaft eingeschaltet und Vorermittlungen wegen geheimdienstlicher Agententätigkeit gegen Unbekannt eingeleitet.
12. Oktober 2017
Im vergangenen Jahr ist fast jeder zweite Deutsche Opfer von Cybercrime geworden. Dies ergab eine Umfrage im Auftrag des Digitalverbands BITKOM. Das häufigste Delikt ist dabei die Infizierung des Computers mit Schadprogrammen wie Viren. 43 Prozent der Internetnutzer wurden Opfer eines solchen Angriffs.
Bei rund jedem Fünften wurden Zugangsdaten zu Online-Diensten wie sozialen Netzwerken oder Online-Shops gestohlen (19 Prozent) oder persönliche Daten illegal genutzt (18 Prozent). Jeder Sechste (16 Prozent) ist beim Online-Shopping oder Online-Banking betrogen worden. Acht Prozent berichten von massiven Beleidigungen, fünf Prozent von sexueller Belästigung im Web. In jedem zweiten Fall von Cybercrime (54 Prozent) ist auch ein finanzieller Schaden entstanden.
“Die zunehmende Vernetzung und die verbreitete Nutzung digitaler Technologien lockt auch Kriminelle an. Internetnutzer sollten sich mit technischen Hilfsmitteln wie aktuellen Virenscannern und Firewalls schützen, zugleich muss aber auch das Wissen der Nutzer über mögliche Angriffe im Netz und Schutzmöglichkeiten verbessert werden”, fordert BITKOM-Präsidiumsmitglied Winfried Holz. Denn
Die Opfer sehen wenig Chancen die Täter zu ergreifen, so haben gut 65 % der Opfer nichts gegen die Cybercrime-Fälle unternommen. Nur 18 % haben überhaupt eine Anzeige bei den Strafverfolgungsbehörden erstattet.Rund jedes zweite Cybercrime-Opfer (45 Prozent), das keine Anzeige erstattet hat, glaubt, dass die Täter ohnehin nicht gefasst werden, jedem Dritten (34 Prozent) ist zudem der Aufwand zu hoch. 13 Prozent sagen, dass Polizei und Staatsanwaltschaft Cybercrime nicht ernst nehmen, zwölf Prozent waren sich nicht sicher, ob ihr Fall überhaupt von den Behörden verfolgt würde und acht Prozent glauben, dass sich die Ermittler mit dem Thema schlicht nicht auskennen.
Dabei sollten sich die Opfer an die Strafverfolgungsbehörden wenden. „Verbrechen in der digitalen Welt sind kein Kavaliersdelikt. Bei allen Landeskriminalämtern gibt es inzwischen eine Zentrale Ansprechstelle Cybercrime, an die sich betroffene Bürger und Unternehmen wenden können“, so Holz. „Die staatlichen Stellen müssen jetzt technologisch und personell besser ausgestattet werden, damit sie solche Vorfälle ebenso verfolgen können wie Verbrechen in der analogen Welt.“
21. Juli 2017
Der Einsatzbereich des Staatstrojaners ist in Deutschland erheblich vergrößert worden. Im Zuge dessen beabsichtigt das Bundeskriminalamt (BKA) noch dieses Jahr die erforderliche Software fertigzustellen, damit der noch mächtigere Staatstrojaner fortan auch Smartphones überwachen kann. Demnach sind nicht mehr nur, wie bisher, Skype und Windows betroffen, sondern auch Messenger auf mobilen Plattformen wie Android, iOS und Blackberry.
Das Parlament hat im Eilverfahren ein Gesetz verarbschiedet, welches die Strafverfolgungsbehörden ermächtigt, in bestimmten Fällen verschlüsselte Internet-Telefonate und Chats über Messenger wie Signal, WhatsApp oder Threema zu überwachen. Erforderlich dafür ist, dass die vom BKA momentan sich in intensiver Entwicklung befindliche Schadsoftware die Geräte der Betroffenen infiziert. Dieses Vorgehen läuft zwar der allgemeinen IT-Sicherheit zuwider. Nach Angaben des BKA hat dieses jedoch alle “Grundrechtsschonenden Alternativen” ohne Erfolg überprüft. Damit kann die Polizei u.a. auch, sofern der Verdacht auf eine besonders schwere Straftat vorliegt, komplette IT-Systeme wie Computer oder Smartphones ausspähen.
28. Juni 2017
Nachdem bereits vor etwas mehr als einem Monat zahlreiche Unternehmen und private Nutzer Opfer des Trojaners WannaCry geworden sind, findet momentan wohl eine neue Cyber-Angriffswelle statt. Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), teilte mit, dass es sich nach ersten Erkenntnissen um eine Angriffswelle mit der Schadsoftware Petya handele die Schwachstellen ausnutze, die bereits die Ransomware WannaCry ausgenutzt hätte.
Bei dieser Art von Cyberattacken werden Dateien auf den betroffenen Computersystemen verschlüsselt und der Nutzer wird zur Zahlung eines Lösegelds aufgefordert, damit die Daten wieder entschlüsselt werden. Die Zahlung des Lösegeldes garantiert jedoch nicht, dass die Daten tatsächlich wieder entschlüsselt werden. Unter anderem deswegen rät das BSI betroffenen Unternehmen auch dazu, nicht auf Lösegeldforderungen einzugehen.
Die ersten Attacken mit der Petya-Ransomware ereigneten sich nach aktuellem Informationsstand in der Ukraine und betrafen dort verschiedene Unternehmen wie beispielsweise die Zentralbank, den internationalen Flughafen Kiew-Borispyl und die U-Bahn. Auch das Kernkraftwerk Tschernobyl wurde von dem Cyberangriff betroffen. Die technischen Systeme des Kraftwerks sollen aber weiterhin normal funktionieren. Lediglich die Kontrolle der Radioaktivität müsse manuell stattfinden. Neben diesen Unternehmen sind auch die Deutsche Post in der Ukraine, das russische Ölunternehmen Rosneft oder die dänische Reederei Maersk von der Attacke betroffen.
Die Verbreitung von WannaCry konnte dadurch wesentlich verlangsamt werden, dass eine in den Code eingebettete Kill-Switch-Funktion entdeckt wurde. Wie sich die aktuelle Petya-Ransomware genau verbreitet und ob auch sie über einen solchen eingebauten Notschalter verfügt ist aktuell noch nicht ersichtlich.
