Jelle Wieringa erörtert, ob Fake-Klitschko eine Deepfake- oder doch eher ein Shallowfake-Erscheinung war

[datensicherheit.de, 04.07.2022] Berlins Regierende Bürgermeisterin, Franziska Giffey, soll laut Medienberichten ein Video-Telefonat mit dem Bürgermeister von Kiew, Vitali Klitschko, geführt haben – während des Gesprächs hat sich demnach für Giffey herausgestellt, dass es sich um einen „Fake“-Anruf handelte. Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein. Seiner Ansicht nach handelt es sich beim falschen Klitschko wohl um eine kriminelle Nachahmung – aber möglicherweise eher um ein „Shallowfake“.

Foto: KnowBe4

Jelle Wieringa: In technologischer Hinsicht wohl eher ein weniger anspruchsvoller Shallowfake-Vorfall…

Bürgermeister mehrerer europäischer Hauptstädte im Gespräch mit Fake-Klitschko

Neben den Bürgermeistern mehrerer europäischer Hauptstädte sei auch die Regierende Bürgermeisterin von Berlin, Franziska Giffey, Opfer eines Fake-Anrufs geworden: Hierbei habe sich jemand als Vitali Klitschko, in seiner Eigenschaft als Bürgermeister von Kiew, ausgegeben und erst nach etwa 15 Minuten sei Giffey misstrauisch geworden.

Wieringa berichtet: „Als die Verbindung kurz unterbrochen wurde, kontaktierte das Büro den ukrainischen Botschafter in Deutschland, der über die Behörden in Kiew bestätigte, dass es sich bei der Person in dem Video-Anruf nicht um den echten Klitschko handelte.“

Die Berliner Senatskanzlei selbst habe den ungewöhnlichen Vorgang noch am selben Tag öffentlich gemacht. Auf „Twitter“ sei erklärt worden, dass es sich wohl um einen „Deepfake“-Vorfall gehandelt habe – also um ein mittels Künstlicher Intelligenz (KI) generierte Simulation des Politikers.

Keine Bestätigung für Verwendung einer Deepfake-Manipulation bei Telefonat Giffey-Klitschko zu finden

„Eine Untersuchung des Bildmaterials durch des Politikmagazins ,Kontraste‘ weckt nun jedoch Zweifel daran, dass tatsächlich diese fortschrittliche Technologie zum Einsatz kam“, so Wieringa. Grundsätzlich könne mit einer Software wie beispielsweise „DeepFaceLive“ heute jeder Nutzer, welcher über „adäquate technische Ressourcen“ verfügt, eine überzeugende „Deepfake“-Darstellung erstellen.

„Sie sind als eine echte und ernstzunehmende Bedrohung anzusehen“, betont Wieringa und führt indes weiter aus: „Jedoch ist in diesem Fall nirgends eine Bestätigung für die Verwendung eines ,Deepfake‘ zu finden. Tatsächlich wird auch für ein ,Deepfake‘ eine Vorlage benötigt – am besten viel Video-Material. In Echtzeit erzeugte Ergebnisse waren bislang wenig überzeugend, da früher oder später meist verräterische Bildfehler auftreten.“

Basierend auf existierenden Gesichtsaufnahmen würden Daten gesammelt, anhand derer ein Programm die Mimik und Gestik der Person lernen solle. Schließlich versuche die KI, die Realität selbst zu simulieren und eigene Bilder zu erstellen – passend zu einem neuen Sprechertext. Es handele sich dann nicht um eine einfache Kopie der Vorlage, sondern um eine „anspruchsvolle Neukreation“.

Falscher Klitschko in jedem Fall kriminelle Nachahmung

„Mit dieser zusätzlichen Waffe im Arsenal, können Cyber-Kriminelle nun Privatpersonen, politische Entscheidungsträger und große Organisationen angreifen“, erläutert Wieringa.

Das Erstellen einer guten digitalen Simulation einer Person werde immer unkomplizierter und die Ergebnisse würden von Tag zu Tag besser. In Kombination mit anderen KI-Technologien könnten realistische Gespräche geführt werden, bei denen die meisten Menschen ohne tiefgreifende technische Kenntnisse getäuscht werden könnten. Aus diesen Gründen müssten alle Unternehmen dieses enorme Bedrohungspotenzial in ihren Sicherheitsstrategien berücksichtigen.

Im aktuellen Fall meint Wieringa allerdings: „Bisher konnten keine definitiven Belege gefunden werden, die den Einsatz eines der Klitschko-,Deepfakes‘ ausschließen. Jedoch deutet das vorhandene Bildmaterial darauf hin, dass es sich eher um ein neues Arrangement von alten Interview-Aufnahmen handeln könnte. Es scheint gut möglich, dass die in den ersten Minuten der Anrufe bei Video-Anrufen üblichen Ruckler, kleinere Fehler bei diesem Kopiervorgang kaschiert haben.“ Der falsche Klitschko wäre dann zwar immer noch eine kriminelle Nachahmung – aber ein in technologischer Hinsicht weniger anspruchsvolles „Shallowfake“.

Weitere Informationen zum Thema:

tagesschau, Daniel Laufer (rbb), 28.06.2022
Falscher Klitschko Was gegen ein Deepfake spricht

[datensicherheit.de, 04.07.2022] Der Verbraucherzentrale Hamburg e.V. (vzhh) warnt aus gegebenem Anlass vor einer kriminellen Masche am Telefon: „Die Betrüger geben sich als Mitarbeiterinnen und Mitarbeiter der Hamburger Sparkasse (Haspa) aus und informieren die Angerufenen über eine angeblich auffällige Buchung auf deren Konten.“ Gleichzeitig böten die Betrüger an, die Buchung zu stoppen. Dafür sollten die Angerufenen den Vorgang mit ihrer Push-TAN am Telefon autorisieren. Erst mit der Push-TAN sei es den Betrügern dann möglich, die angeblich auffällige Buchung tatsächlich vom Konto der Angerufenen zu überweisen.

In der Regel keine unaufgeforderten Haspa-Anrufe bei Kunden

„In der Regel ruft die Haspa nicht unaufgefordert bei ihren Kundinnen und Kunden an“, betont Kerstin Föller von der vzhh. Die Angerufenen sollten sich auch nicht von einer scheinbar der Haspa zugehörigen Nummer täuschen lassen. In einem den Verbraucherschützern vorliegenden Fall habe die angerufene Verbraucherin während des Gesprächs die Telefonnummer des Anrufers geprüft – diese habe mit jener der Haspa bis auf die letzte Ziffer übereingestimmt. „Werden Verbraucherinnen und Verbraucher gebeten, Passwörter oder TAN am Telefon durchzugeben, ist das immer ein Hinweis auf Betrug“, warnt Föller.

Angerufene sollten das Gespräch dann umgehend beenden und sich direkt telefonisch mit ihrer Bank in Verbindung setzen. Sind Angerufene jedoch auf die Betrüger hereingefallen und haben ihre Push-TAN oder Passwörter rausgegeben, sei schnelles Handeln erforderlich: „Betroffene sollten ihr Konto und den Online-Zugang telefonisch über die Nummer 116 116 sperren und Anzeige bei der Polizei erstatten.“

Eine von Haspa-Kontoinhabern autorisierten Überweisung kaum rückgängig zu machen

Im Gegensatz zu einer Lastschrift, welche von den Kontoinhabern wieder zurückgebucht werden könne, sei das bei einer von den Kontoinhabern autorisierten Überweisung in der Regel nicht möglich.

„Darum ist in solchen Fällen eine Strafanzeige bei der Polizei sehr wichtig“, betont Föller. Unter Umständen könne die Polizei die Empfänger ermitteln und die Betroffenen könnten dann gegebenenfalls auf Rückzahlung des Geldes klagen.

Satnam Narang kommentiert Auftreten der RansomHouse-Gruppe

[datensicherheit.de, 30.06.2022] Hinter dem im vergangenen Jahr, 2021, auf das Technologieunternehmen AMD gemeldeten massiven Cyber-Angriff, bei dem 450 GB an Daten gestohlen worden sein sollen, steckte nach neuen Erkenntnissen „allem Anschein nach die relativ neue Angreifergruppe ,RansomHouse‘“, so Satnam Narang, leitender Forschungsingenieur bei Tenable, in seiner aktuellen Stellungnahme zum „Newcomer“ unter den Ransomware-Gruppen.

Foto: Tenable

Satnam Narang: RansomHouse verteilt offenbar keine schädliche Software

RansomHouse als reine Erpressergruppe

„Trotz ihres Namens passt die ,RansomHouse‘-Gruppe nicht ganz unter das Label einer Ransomware-Gruppe im herkömmlichen Sinne“, meint Narang. Während die Gruppe im Rahmen ihrer Operationen ein Lösegeld verlange, scheine es, dass sie keine schädliche Software in den Opferorganisationen verteile.

„Sie gelten als reine Erpressergruppe, deren Renaissance wir in den letzten Monaten zu beobachten begonnen haben.“

RansomHouse will sich offenbar besonderes Image geben

„RansomHouse“ selbst habe behauptet, dass sie weder hinter Sicherheitsverletzungen steckten noch Ransomware im Rahmen ihrer Bemühungen entwickelten oder einsetzten. Narangs Kommentar:

„Aber es ist schwer, dem Wort der Gruppe zu vertrauen, die möglicherweise versucht, sich davor zu schützen, in eine Kategorie von Ransomware gesteckt zu werden und durch Strafverfolgungsoperationen zu einem größeren Ziel zu werden.“

Reine Erpressung im Fokus von Gruppen wie RansomHouse und Lapsus$

Selbst mit dem Erfolg der Doppelten Erpressung, bei der Ransomware-Gruppen viele Dateien innerhalb eines Netzwerks verschlüsselten sowie Dateien stehlen und damit drohen würden, diese im sogenannten DarkWeb zu veröffentlichen, scheine „der Erpressungsfaktor zum zentralen Punkt unter Erpressungsgruppen wie ,RansomHouse‘ und ,Lapsus$‘ geworden zu sein“.

Narang berichtet: „Als die ,Conti‘-Ransomware-Gruppe begann, ihre Aktivitäten zusammenzulegen, beinhaltete ein Teil ihrer großen Pläne, sich in mehrere Ransomware-Gruppen aufzuspalten, einschließlich solcher, die auf Erpressung ausgerichtet sind, wie ,BlackByte‘ und ,Karakurt‘.“

Ransomware-Gruppen im Laufe der Jahre weiterentwickelt zum geschäftsähnlichen Ansatz

„Wie wir in unserem jüngsten Bericht über das Ransomware-Ökosystem hervorheben, haben sich Ransomware-Gruppen im Laufe der Jahre weiterentwickelt, einen geschäftsähnlichen Ansatz für ihre Bemühungen angenommen und Geschäftspartnerschaften mit anderen Akteuren des Ökosystems wie verbundenen Unternehmen und Maklern für den Erstzugang geschmiedet.“

Es bleibe abzuwarten, ob dieser Trend zu einem ausschließlichen Fokus auf Erpressung Teil seiner natürlichen Entwicklung werden wird.

Weitere Informationen zum Thema:

datensicherheit.de, 09.03.2022
Datendiebstahl bei Samsung vermutlich durch Hacker-Gruppe Lapsus$ / Einige spezifische Teile des geleakten Codes wichtige Sicherheitskomponenten für Samsung-Geräte

[datensicherheit.de, 30.06.2022] Fast drei von vier Unternehmen (70 Prozent) sollen Schwierigkeiten haben, „mit der Menge an Warnungen, die von ihren Sicherheitsanalysetools generiert werden, Schritt zu halten“. Dies wirke sich in einem Mangel an Ressourcen für wichtige strategische Aufgaben aus und führe dazu, dass sich Organisationen Prozessautomatisierung und Outsourcing zuwendeten – dies zeige die von kaspersky in Auftrag gegeben aktuelle ESG-Studie „SOC Modernization and the Role of XDR“.

In jedem 3. Unternehmen durch Warnungen überlastete Cyber-Sicherheitsteams ohne Ressourcen für Strategie- und Prozessoptimierung

Zusätzlich zu der Menge an Warnmeldungen stelle jedoch auch die Vielfalt derselben für mehr als zwei Drittel (67%) der in einem „Security Operations Center“ (SOC) Beschäftigten eine Herausforderung dar. Beide Faktoren erschwerten es SOC-Analysten, sich auf komplexere und wichtigere Aufgaben zu konzentrieren.

In jedem dritten Unternehmen (34%) hätten durch Warnungen und Notfall-Sicherheitsprobleme überlastete Cyber-Sicherheitsteams nicht genug Zeit, sich mit Strategie- und Prozessoptimierungen zu beschäftigen.

Unternehmen führen Zustand nicht auf Personalmangel zurück

Die Studie zeige zudem, „dass Unternehmen diesen Zustand jedoch nicht auf einen Personalmangel zurückführen“: 83 Prozent seien der Meinung, dass ihr SOC über genügend Mitarbeiter verfüge, um ein Unternehmen ihrer Größe effektiv zu schützen. Allerdings glaubten sie, dass es notwendig wäre, Prozesse zu automatisieren und externe Dienste in Anspruch zu nehmen.

Mehr als die Hälfte der Befragten (55%) sehe den Hauptgrund für die Nutzung von „Managed Services“ darin, ihrem Personal mehr Raum zu geben, „um sich auf strategischere Initiativen zu konzentrieren, anstatt Zeit mit Security-Operation-Aufgaben zu verbringen“.

Unternehmen zu Automatisierungslösungen und externen Experten geraten

„Anstatt proaktiv nach komplexen Bedrohungen und ,Evasive Threats‘ in der Infrastruktur zu suchen, können SOC-Analysten derzeit nur auf Notfälle reagieren“, erläutert Yuliya Andreeva, „Senior Product Manager“ bei kaspersky, und führt weiter aus:

„Die Reduzierung der Anzahl an Warnungen, die Automatisierung ihrer Konsolidierung und Korrelation in Vorfallketten sowie die Verkürzung der Gesamtreaktionszeit sollten für Unternehmen im Mittelpunkt stehen, um die Leistungsfähigkeit ihres SOC zu verbessern.“ Dies könnten sie durch entsprechende Automatisierungslösungen und externe Experten erreichen.

Empfehlungen für Unternehmen zur Optimierung der SOC-Vorgänge:

Organisieren von Arbeitsschichten im SOC, um eine Überlastung des Personals zu vermeiden. „Die Hauptaufgaben wie Überwachung, Untersuchung, IT-Architektur und -Engineering, Verwaltung und SOC-Management auf alle Mitarbeiter verteilen.“

Einen umfassenden Threat-Intelligence-Service nutzen, welcher die Integration maschinenlesbarer „Intelligence“ in vorhandene Sicherheitskontrollen, wie beispielweise ein SIEM-System, ermöglicht. „Dadurch kann der anfängliche Triage-Prozess automatisiert und genügend Kontext generiert werden, um zu entscheiden, ob eine Warnung sofort untersucht werden soll.“

Um das SOC von routinemäßigen Triage-Aufgaben für Warnungen zu befreien, können Unternehmen auf bewährte Managed-Detection-and-Response-Dienste setzen. „Kaspersky Managed Detection and Response“ z.B. kombiniere KI-basierte Erkennungstechnologien mit umfassender Expertise in der Bedrohungssuche und der Vorfallreaktion von professionellen Einheiten, darunter das „Kaspersky Global Research & Analysis Team“ (GReAT).

Weitere Informationen zum Thema:

kaspersky, Juni 2022
ESG Research Report, SOC Modernization and the Role of XDR / Learn what’s driving the latest SOC automation trends and how you can benefit

Vorfall reiht sich in eine Flut von Attacken durch Hacker-Gruppen ein

[datensicherheit.de, 29.06.2022] Der iranische Stahlkonzern Khuzestan Steel Company (KSC) soll laut Medienberichten am 28. Juni 2022 lahmgelegt worden sein. Itay Cohen, „Head of Cyber Research“ bei Check Point Software Technologies, kommentiert diesen Vorfall, welcher sich in eine „Flut von Attacken“ durch Hacker-Gruppen einreihe.

Foto: Check Point

Itay Cohen: Anzahl der Angriffe, ihr Erfolg und ihre Qualität deuten darauf, dass sie von einem oder mehreren fortgeschrittenen Angreifern durchgeführt wurden…

Hacker-Gruppen gäben sich als sogenannte Hacktivisten gegen die Regierung des Iran aus

Diese Hacker-Gruppen gäben sich als „Hacktivisten“ gegen die Regierung des Iran aus. „Die Anzahl der Angriffe, ihr Erfolg und ihre Qualität deuten darauf, dass sie von einem oder mehreren fortgeschrittenen Angreifern durchgeführt wurden – vielleicht von einem Nationalstaat, der ein Interesse daran hat, die Kritische Infrastruktur (KRITIS) des Iran zu sabotieren und Panik unter der iranischen Bevölkerung sowie den Beamten zu verbreiten“, kommentiert Cohen.

Eine Gruppe mit dem Namen „Predatory Sparrow“ hat demnach die Verantwortung für diesen Angriff übernommen und sei dieselbe, „welche den Angriff auf die iranische Eisenbahn, den iranischen Rundfunk und die iranischen Tankstellen durchgeführt hatte“.

Check Point Research hat im Zusammenhang mit den jüngsten Hacker-Angriffen auf das Stahlwerk im Iran Dateien gefunden

Cohen berichtet: „Wir bei Check Point Research haben bereits im vergangenen Jahr einige dieser Angriffe gegen den Iran und seine KRITIS untersucht. Im Februar 2022 dekonstruierten wir die Programme, welche bei einem Cyber-Angriff auf das staatliche iranische Medienunternehmen Rundfunk der Islamischen Republik des Iran verwendet wurden.“

Im August 2021 hätten sie IT-Attacken auf iranische Bahnhöfe zu einer Gruppe zurückverfolgt, welche sich selbst als „Indra“ bezeichnet habe. Check Point Research habe nun Dateien gefunden, „die im Zusammenhang mit den jüngsten Angriffen auf das Stahlwerk im Iran stehen“. Eine erste Analyse der Malware, von den Angreifern als „Chaplin“ bezeichnet, habe ergeben, „dass sie auf einer Wiper-Malware namens ,Meteor‘ basiert, die bereits bei den Angriffen auf das iranische Eisenbahnsystem und auf das Ministerium für Straßen und Stadtentwicklung im vergangenen Jahr verwendet wurde“.

Hacker verhindern korrekten Rechner-Start

„Obwohl ,Chaplin‘ auf diesen Tools aus früheren Angriffen basiert, enthält es nicht deren Löschfunktion – im Englischen als ,Wipe‘ bezeichnet – und beschädigt nicht das Dateisystem des Opfers“, erläutert Cohen und führt aus: „Die Malware verhindert jedoch, dass der Benutzer mit dem Rechner interagieren kann, meldet ihn ab und zeigt auf dem Bildschirm ein Einzelbild-Video an, welches den Cyber-Angriff ankündigt.“ Somit beschädige diese Malware in dem Sinne, dass sie ihn daran hindere, korrekt zu starten.

Das auf dem Computer des Nutzers dann abgespielte Video zeige die Logos der jüngsten Opfer von „Predatory Sparrow“:

• Khouzestan Steel Company (KSC)
• Iranische Offshore-Ölgesellschaft
• Ministerium für Straßenbau und Stadtentwicklung
• Eisenbahngesellschaft der Islamischen Republik Iran

Indra und Predatory Sparrow möglicherweise dieselbe Hacker-Gruppe

Es könnte laut Cohen sein, dass die damals erbeuteten Dateien für den Angriff auf KSC verwendet wurden, da das Unternehmen mittlerweile bestätigte, dass es angegriffen wurde. „Wie bei früheren Angriffen trieb die Gruppe ihren alten Scherz mit den Opfern und leitete sie über die Nummer 64411 an das Büro des Obersten Führers des Iran.“

„Predatory Sparrow“, die Verantwortung für den Angriff auf die iranische Stahlindustrie übernehmend, sei ja auch für die Angriffe auf die iranischen Eisenbahnsysteme und das iranische Ministerium für Straßen und Stadtentwicklung verantwortlich – angesichts der Verwendung derselben Werkzeuge, Methoden und Techniken sei es nicht unwahrscheinlich, „dass es sich bei ,Indra‘ und ,Predatory Sparrow‘ um dieselbe Gruppe handelt“, so Cohen.

Weitere Informationen zum Thema:

Check Point Research auf twitter, 28.06.2022, 14.02
#BREAKING We found files related to the attack against the Steel Industry in Iran

cp<r> CHECK POINT RESEARCH, 18.02.2022
EvilPlayout: Attack Against Iran’s State Broadcaster

cp<r> CHECK POINT RESEARCH, 14.08.2021
Indra — Hackers Behind Recent Attacks on Iran

[datensicherheit.de, 29.06.2022] „Cloud“-Sicherheit bereitet Cybersecurity-Experten laut einer aktuellen Umfrage von Delinea aktuell die größte Sorge. Hierzu seien im Rahmen der „RSA Conference 2022“ in San Francisco mehr als 100 Sicherheitsfachleute zu ihren derzeit größten Problemen sowie ihren Cyber-Hygienepraktiken interviewt worden. Für 37 Prozent der Befragten sei die Absicherung der „Cloud“ demnach Hauptanlass zur Besorgnis, gefolgt von Ransomware (19%) sowie einer verteilt arbeitenden Belegschaft (17%).

Proaktiverer Ansatz für Cyber-Sicherheit

„Der Schutz digitaler Assets in der Cloud wird zur Priorität Nummer 1 und zeigt einen proaktiveren Ansatz für Cyber-Sicherheit“, kommentiert Joseph Carson, „Chief Security Scientist“ und „Advisory CISO“ bei Delinea.

Da Unternehmen bei Infrastruktur, Anwendungsentwicklung und Geschäftsprozess-Automatisierung immer stärker auf die „Cloud“ angewiesen seien, müssten auch die Sicherheitskompetenzen und -lösungen hierzu Schritt halten. Carson betont: „Umso wichtiger ist es, privilegierte Zugriffe auf ,Cloud‘-Infrastrukturen und -Workloads abzusichern, bevor Angreifer diese kompromittieren.“

80% der befragten Unternehmen in den letzten 12 Monaten ohne Cyber-Angriff

Dabei seien viele Unternehmen bereits auf dem richtigen Weg, wie die Umfrageergebnisse zeigten: „Denn 80 Prozent der Befragten konnten vermelden, dass ihr Unternehmen in den letzten zwölf Monaten keinen Cyber-Angriff erlitten hat.“ Zurückzuführen sei diese positive Entwicklung wahrscheinlich auf eine verstärkte Cyber-Hygiene der Mitarbeiter, insbesondere beim Umgang mit Passwörtern, und die Sorgfalt bei der Authentifizierung.

So hätten 59 Prozent der Befragten angegeben, Passwörter nicht konten-übergreifend einzusetzen, und fast zwei Drittel (66%) setzten mittlerweile auf eine sichere Multifaktor-Authentifizierung (MFA), sofern verfügbar.

Cyber-Versicherungen gewinnen an Bedeutung

„Passwörter sollten niemals die einzige Sicherheitskontrolle für den Zugriff auf kritische Systeme, Anwendungen und Berechtigungen sein. Durch die Implementierung von MFA-Kontrollen wird eine zusätzliche Schutzebene hinzugefügt, die Sicherheit garantiert, falls es einem Angreifer gelingen sollte, ein Passwort zu kompromittieren“, unterstreicht Carson. Dabei sollte MFA nicht nur bei der Systemanmeldung, sondern auch bei der horizontalen und vertikalen Berechtigungserweiterung erforderlich sein.

Gefragt nach ihren Incident-Response-Fähigkeiten und dem Umgang mit Cyber-Vorfällen sei deutlich geworden, dass Cyber-Versicherungen eine immer wichtigere Rolle spielten: 41 Prozent der Befragten gaben demnach an, dass ihr Unternehmen bereits eine spezielle Cyber-Versicherung abgeschlossen habe oder in Erwägung ziehe, sich zu versichern.

Weitere Informationen zum Thema:

Delinea
2022 CyberEdge Cyberthreat Defense Report / 40.7% of companies are victimized by six or more attacks

Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

[datensicherheit.de, 28.06.2022] Laut aktueller Medienberichte soll die „LockBit“-Ransomware-Gruppe „LockBit 3.0“ gestartet haben – mit dem das erste Bug-Bounty-Programm für Ransomware einführt werde und neue Erpressungstaktiken sowie „Zcash“-Kryptowährungs-Zahlungsoptionen vorgesehen seien. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert in seiner aktuellen Stellungnahme diese Entwicklung:

Foto: Tenable

Satnam Narang: LockBit aufgrund seines Angriffsvolumens in den letzten Monaten als die führende Ransomware-Gruppe positioniert

LockBits formelle Einladung an Cyber-Kriminelle

„Mit dem Fall der ,Conti‘-Ransomware-Gruppe hat sich ,LockBit‘ aufgrund seines Angriffsvolumens in den letzten Monaten als die führende Ransomware-Gruppe positioniert, die heute tätig ist“, berichtet Narang und führt aus:

„Die Veröffentlichung von ,LockBit 3.0‘ mit der Einführung eines Bug-Bounty-Programms ist eine formelle Einladung an Cyber-Kriminelle, der Gruppe bei ihrem Bestreben zu helfen, an der Spitze zu bleiben.“

Cyber-kriminelle Gruppe will Zcash als Zahlungsoption anbieten

Ein Hauptaugenmerk dieses Bug-Bounty-Programms seien Abwehrmaßnahmen: Sicherheitsforscher und Strafverfolgungsbehörden daran zu hindern, Fehler in seinen Leak-Sites oder Ransomware zu finden, Möglichkeiten zu identifizieren, wie Mitglieder, einschließlich des Chefs des Partnerprogramms, gedoxt werden könnten, sowie Fehler in der Messaging-Software zu finden.

„Die Gefahr, gedoxt oder identifiziert zu werden, signalisiert, dass die Bemühungen der Strafverfolgungsbehörden für Hacker-Gruppen wie ,LockBit‘ eindeutig ein großes Problem darstellen.“ Schließlich plane die Gruppe, „Zcash“ als Zahlungsoption anzubieten, was von Bedeutung sei, da „Zcash“ schwerer nachzuverfolgen sei als „Bitcoin“, was es für Forscher und Strafverfolger schwieriger mache, die Aktivitäten der Gruppe im Auge zu behalten, so Narangs abschließende Warnung.

Weitere Informationen zum Thema:

BLEEPINGCOMPUTER, Lawrence Abrams, 27.06.2022
LockBit 3.0 introduces the first ransomware bug bounty program

[datensicherheit.de, 28.06.2022] Trend Micro hat nach eigenen Angaben im Jahr 2021 über 33,6 Millionen E-Mail-Bedrohungen in cloud-basierten Systemen blockieren können. Insgesamt habe es einen Anstieg von über 100 Prozent zum Vorjahr, 2020, gegeben. Diese starke Zunahme der Angriffe zeige, „dass E-Mails nach wie vor das Haupteinfallstor für Cyber-Attacken sind“. Die Daten seien im Laufe des Jahres 2021 von Security-Produkten gesammelt worden, welche den nativen Schutz in Kollaborations-Plattformen wie „Microsoft 365“ und „Google Workspace“ ergänzten.

Blockierung bestimmter Ransomware-Affiliate-Tools durch Sicherheitslösungen bereits am E-Mail-Gateway

„Dabei ist positiv zu vermerken, dass Ransomware-Erkennungen im Vergleich zum Vorjahr um 43 Prozent zurückgegangen sind. Das könnte daran liegen, dass Angreifer immer gezielter gegen ausgewählte Unternehmen vorgehen und weniger Spam-Nachrichten an große Empfängerzahlen versenden.“

Zudem etablierten Cyber-Kriminelle immer häufiger durch Phishing zunächst einen Zugang zum Unternehmensnetzwerk ihrer Opfer, ohne deren Daten sofort zu verschlüsseln oder zu stehlen. Vielmehr würden diese Zugänge dann als „Access-as-a-Service“-Angebote im digitalen Untergrund verkauft werden. Ebenfalls könne die immer bessere Blockierung von bestimmten Ransomware-Affiliate-Tools durch Sicherheitslösungen bereits am E-Mail-Gateway zur Entwicklung beitragen.

Business E-Mail Compromise: Anzahl identifizierter Bedrohungen um 11% abgenommen

Die Anzahl der identifizierten Bedrohungen über „Business E-Mail Compromise“ (BEC) habe im Vergleich zum Vorjahr ebenfalls um elf Prozent abgenommen. Dahingegen seien BEC-Angriffe, welche „mit der KI-gestützten Schreibstilanalyse von Trend Micro erkannt wurden“, um 83 Prozent angestiegen – „ein Zeichen dafür, dass Betrugsversuche immer ausgefeilter werden“.

Außerdem komme die aktuelle Studie von Trend Micro zu folgenden Ergebnissen:

Mitarbeiter in hybriden Arbeitsmodellen weiterhin beliebte Zielgruppe
16,5 Millionen identifizierte und abgewehrte Phishing-Angriffe stellten einen Anstieg um 138 Prozent dar.

Phishing nach wie vor Hauptangriffsmittel
6,3 Millionen Phishing-Angriffe auf Zugangsdaten (Credential Phishing) zeigten einen Anstieg um 15 Prozent.

Zunahme bekannter wie auch unbekannter Malware
3,3 Millionen entdeckte bösartige Dateien, darunter ein Anstieg um 134 Prozent bei bekannter und um 221 Prozent bei unbekannter Malware.

E-Mail trotz verbesserter Technologie und Mitarbeiterschulungen weiterhin Einfallstor Nummer 1

„Wie sehr sich auch das Verhalten der Angreifer auch sonst ändert, E-Mail bleibt trotz verbesserter Technologie und Mitarbeiterschulungen weiterhin das Einfallstor Nummer 1. Die Angreifer gehen lediglich gezielter vor und werden persönlicher in ihrer Ansprache der Opfer.“, erläutert Richard Werner, „Business Consultant“ bei Trend Micro.

Um dieses Risiko wirksam zu minimieren, sollten Unternehmen einen Plattform-Ansatz wählen, „der Informationen aus verschiedenen Bereichen der IT-Infrastruktur konsolidiert und ein komplettes Paket aus Erkennung, Abwehr und Gegenmaßnahmen bietet“.

Weitere Informationen zum Thema:

TREND MICRO, 21.06.2022
Trend Micro Cloud App Security Threat Report 2021

Hohe Zahlungsbereitschaft der Unternehmen in Deutschland in der Kritik

[datensicherheit.de, 27.06.2022] Laut einer aktuellen Stellungnahme von kaspersky hat eine Gruppe Professoren aus dem Bereich IT-Sicherheit die Bundesregierung am 27. Juni 2022 in einem Offenen Brief dazu aufgefordert, mehr Maßnahmen gegen Verschlüsselungssoftware, sogenannte Ransomware, umzusetzen. Die Professoren bemängeln demnach unter anderem „die hohe Zahlungsbereitschaft von Unternehmen in Deutschland, wenn diese solcher Software zum Opfer gefallen sind“. Dies werde durch eine aktuelle kaspersky-Studie belegt, laut der „88 Prozent der Unternehmen, die bereits Ziel eines Ransomware-Angriffes waren, bei einer erneuten Attacke Lösegeld zahlen würden“.

Foto: kaspersky

Christian Milde: Zahlung von Lösegeld scheint von Führungskräften oft als zuverlässiges Mittel zur Bewältigung des Problems angesehen zu werden…

kaspersky-Experten warnen ebenfalls davor, Cyber-Kriminelle zu bezahlen

„Bei Firmen, die noch nicht von einem Ransomware-Angriff betroffen waren, wären hingegen lediglich 67 Prozent prinzipiell bereit dazu – sie wären jedoch weniger geneigt, dies sofort zu tun“, berichtet Christian Milde, Geschäftsführer „Central Europe“ bei kaspersky. Die Zahlung von Lösegeld scheine von Führungskräften oft als zuverlässiges Mittel zur Bewältigung des Problems angesehen zu werden.

Die Experten von kaspersky untersuchten seit Langem Ransomware-Angriffe und warnten ebenfalls davor, Cyber-Kriminelle zu bezahlen, „da nicht gewährleistet ist, Daten danach auch wirklich komplett zurückzuerhalten“. Zudem würden Cyber-Kriminelle durch erfolgte Zahlungen in ihren Handlungen bestärkt.

Common TTPs of Modern Ransomware: kaspersky-Report veröffentlicht

Um Unternehmen im Kampf gegen Ransomware zu unterstützen, habe kaspersky nun den Report „Common TTPs of Modern Ransomware“ veröffentlicht. Der Leser soll mit den verschiedenen Phasen der Ransomware-Bereitstellung vertraut gemacht werden, „wie Cyber-Kriminelle RATs und andere Tools in den verschiedenen Phasen einsetzen und was sie erreichen wollen“.

Die Analyse biete zudem einen visuellen Leitfaden zur Abwehr zielgerichteter Ransomware-Angriffe, wobei die produktivsten Gruppen als Beispiele verwendet würden, und führe den Leser in die von kaspersky erstellten „SIGMA-Erkennungsregeln“ ein.

Ransomware zur ernsthaften Bedrohung für Unternehmen geworden

„Ransomware ist zu einer ernsthaften Bedrohung für Unternehmen geworden, da regelmäßig neue Muster auftauchen und APT-Gruppen sie für fortgeschrittene Angriffe nutzen“, warnt Milde und führt aus:

„Selbst eine versehentliche Infektion kann für ein Unternehmen zur Herausforderung werden. Da es hierbei oft um die Geschäftskontinuität geht, sehen sich Führungskräfte gezwungen, schwierige Entscheidungen hinsichtlich der Zahlung des Lösegelds zu treffen. Wir empfehlen jedoch grundsätzlich, Cyber-Kriminelle nicht zu bezahlen, da dies keine Garantie dafür bietet, dass die Daten tatsächlich wieder entschlüsselt werden; eine Zahlung ermutigt sie jedoch, ihre Vorgehensweise zu wiederholen.“

Bei kaspersky arbeiteten sie mit zunehmenden Erfolg daran, Unternehmen dabei zu helfen, solche Folgen zu vermeiden. Für Firmen sei es wichtig, grundlegende Sicherheitsprinzipien zu befolgen und sich mit zuverlässigen Sicherheitslösungen zu befassen, um das Risiko eines Ransomware-Vorfalls zu minimieren. „Der ,Anti-Ransomware-Tag‘ bietet sich an, genau an diese wichtigen Praktiken zu erinnern“, betont Milde abschließend.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 23.06.2022
The hateful eight: Kaspersky’s guide to modern ransomware groups’ TTPs

kaspersky, 11.05.2022
Ransomware: 88 Prozent der Firmen, die bereits betroffen waren, würden bei einem erneuten Angriff Lösegeld zahlen / Zwei Drittel der Unternehmen weltweit wurden bereits Opfer von Ransomware

[datensicherheit.de, 27.06.2022] Laut Medienberichten soll es zur Entdeckung eines groß angelegten „facebook Messenger“-Betrugs gekommen sein, von dem möglicherweise Hunderte Millionen „facebook“-Nutzer betroffen sein könnten, was abermals das weltweite Bedrohungspotenzial durch Phishing-Angriffe verdeutlicht. PIXM meldet, dass im Jahr 2021 2,7 Millionen Nutzer eine Phishing-Seiten besucht hätten – und rund 8,5 Millionen bisher im Jahr 2022. Das stellt laut einer aktuellen Stellungnahme von KnowBe4 „ein enormes Wachstum dieser Angriffsmethode im Vergleich zum letzten Jahr dar“.

Links zu Phishing-Seite stammen wohl von facebook selbst

Hierbei nutzten die Bedrohungsakteure kompromittierte „facebook“-Konten, um die Phishing-Seiten über den „facebook Messenger“ zu verbreiten. Die Links stammten dabei wohl von „facebook“ selbst, so die Forscher. „Das heißt, das Konto eines Nutzers wird kompromittiert, und der Bedrohungsakteur loggt sich wahrscheinlich automatisch in dieses Konto ein und schickt den Link über ,facebook Messenger‘ an die ,Freunde‘ des Nutzers.“ Das interne „Threat Intelligence Team“ von Facebook sei in diese Systeme zum Sammeln von Anmeldeinformationen eingeweiht, doch diese Gruppe setze eine Technik ein, um die Blockierung ihrer URLS zu umgehen.

Diese Technik beinhalte die Verwendung legitimer Anwendungsdienste, welche das erste Glied in der Umleitungskette darstellten, sobald der Benutzer auf den Link geklickt hat. Anschließend werde er auf die eigentliche Phishing-Seite umgeleitet. Auf „facebook“ erscheint aber ein Link, „der mit einem legitimen Dienst generiert wurde, den ,facebook‘ nicht ohne weiteres blockieren kann“.

Die Kampagne nutze eine Automatisierung, um verschiedene Phishing-Seiten zu durchlaufen und so die Erkennung durch Sicherheitstechnologien zu vermeiden. „Sobald eine der URLs dennoch entdeckt und blockiert wird, haben es die Bedrohungsakteure recht einfach einen neuen Link mit demselben Dienst und einer neuen eindeutigen ID zu erstellen.“ Diese Beobachtungen zeigten, dass pro Dienst mehrere an einem Tag verwendet worden seien. Die Nutzung dieser Dienste ermögliche es, die Links der Bedrohungsakteure für lange Zeit verborgen zu halten und eine Blockierung durch den „facebook Messenger“ zu vermeiden.

Beliebte Angriffstechniken neben Phishing

Bei einem klassischen Phishing-Angriff werde versucht, sensible Informationen wie Benutzernamen, Kennwörter und Kreditkartendaten zu erlangen. Die Bedrohungsakteure gäben sich hierbei als vertrauenswürdiges Unternehmen aus und verschickten Massen-E-Mails, um Spam-Filter zu umgehen und oftmals sorglose Nutzer zum Anklicken schadhafter Links zu verleiten. Nachfolgend eine kleine KnowBe4-Übersicht weiterer beliebter Techniken, mit denen „täglich weltweit Tausende von Unternehmen und Privatpersonen angegriffen werden“:

Vishing
Vishing stehe für „Voice-Phishing“. Dabei handele es sich um eine Betrugsmasche, bei der die Opfer in Form eines Telefonanrufs oder einer Sprachnachricht – kontaktiert und dann mündlich nach ihren persönlichen Daten befragt würden.

Ransomware
Angreifer nutzten Ransomware, um die Daten der Opfer zu verschlüsseln und ihre Computer oder Systeme zu sperren. Folglich würden die Opfer damit erpresst, ein Lösegeld zu zahlen, um ihre Daten und ihren Zugriff zurückzuerhalten.

Social Engineering
Dies bezeichne den Einsatz psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des „Social Engineering“ könne auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln, um potenzielle Opfer damit zu manipulieren.

Wirksame Verteidigung gegen Phishing-Kampagnen

Schulungen zum Sicherheitsbewusstsein (wie z.B. solche von KnowBe4) könnten Mitarbeitern und Unternehmen helfen, die raffinierten Betrugsmethoden zu durchschauen, welche es schafften, die Sicherheitsfilter der Unternehmen zu umgehen.

Grundsätzlich werde hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings sei es, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen.

Weitere Informationen zum Thema:

PIXM
Phishing tactics: how a threat actor stole 1M credentials in 4 months

datensicherheit.de, 04.04.2022
Fanpages: Facebook-Verstöße gegen Europäisches Datenschutzrecht auch Seitenbetreibern zuzurechnen / Datenschutzkonferenz hat Kurzgutachten zur aktuellen Situation und datenschutzrechtlichen Konformität des Betriebs sogenannter Fanpages erstellt

datensicherheit.de, 06.10.2021
Massiver IT-Ausfall bei facebook: Abhängigkeit von Digitalen Identitäten fordert Unternehmen heraus / Digitale Identitäten für Nutzung von Anwendungen in Unternehmen unverzichtbar

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt