[datensicherheit.de, 16.09.2025] Wer z.B. die Suchmaschine „Google“ nutzt, erhofft sich bestimmt seriöse Ergebnisse. Doch laut einer Warnung von ESET macht sich eine neue Hacker-Gruppe diese Suchmaschine zunutze, „um manipulierte Websites nach oben zu bringen“. ESET-Forscher haben demnach diese cyberkriminelle Kampagne aufgedeckt und den Angreifern den Namen „GhostRedirector“ gegeben. Diese Gruppe infiziere „Windows“-Server weltweit, missbrauche sie für SEO-Betrug und sei dabei monatelang unentdeckt geblieben.

Abbildung: ESET

ESET-Aufdeckung: In diesen Ländern wurden Opfer von „GhostRedirector“ identifiziert

Infiltration von „Windows“-Servern und „Googl“-Suchmaschinenbetrug

Die Masche dieser Gruppe: „Infiltration von ,Windows’-Servern und Suchmaschinenbetrug. Sie ist vor allem in Brasilien, Thailand, Vietnam und den USA aktiv.“

• Die Hacker hätten zwei bislang undokumentierte Eigenentwicklungen eingesetzt: „Rungan“ und „Gamshen“ – mit diesen Werkzeugen manipulierten sie Suchergebnisse, um zwielichtige Websites im „Google“-Ranking nach oben zu treiben. „ESET ordnet GhostRedirector als china-nah ein.“

„,GhostRedirector’ kombiniert ausgefeilte Techniken mit bekannten ,Exploits’. Das zeigt: Die Gruppe hat Ressourcen und Know-how“, kommentiert der ESET-Forscher Fernando Tavella als Entdecker dieser Masche. Er warnt zudem: „Die betroffenen Unternehmen bemerken zunächst oft nichts. Doch sobald ihr Server für solchen SEO-Betrug missbraucht wird, leidet ihre eigene Reichweite – und damit letztendlich ihr Umsatz.“

Als Trittbrettfahrer zum besseren „Google“-Ranking

Die Angriffe folgten einem klaren Ablauf. Der Erstzugriff erfolge wahrscheinlich über eine Schwachstelle, mutmaßlich per SQL-Injection. Dabei handele es sich um eine beliebte Hacking-Technik, um Sicherheitslücken in SQL-Datenbanken auszunutzen. „Danach laden die Täter weitere Komponenten nach.“

Für die Rechteausweitung nutzten die bekannten Schadprogramme „EfsPotato“ und „BadPotato“, legten Administratorkonten an und sicherten sich zusätzlichen Fernzugriff. So bleibe der Zugang erhalten – „selbst falls einzelne Werkzeuge entfernt werden“. Für den eigentlichen Angriff nutzten die Hacker zudem diese beiden selbstentwickelten Werkzeuge:

• „Rungan“ ist eine unauffällige Hintertür für „Windows“-Server
  Sie lausche auf eine feste, versteckte Webadresse und nehme darüber einfache HTTP-Befehle entgegen, um diese direkt auf dem System auszuführen – vom Anlegen neuer Administrator-Konten bis zur Ausführung beliebiger Kommandos.
  Die Schnittstelle registriere sich am Betriebssystem vorbei am IIS-Webserver, so dass sie in gängigen Logs leicht übersehen werde. Die Steuerung laufe im Klartext.
• „Gamshen“ ist ein schadhaftes Internet-InformationServices-Modul
  Diese IIS – eine Erweiterung für Server – manipuliere gezielt die „Google“-Suche, indem es bei einer Abfrage des „Google“-Bot die Antwort des Servers beeinflusse, um das Ranking anderer Websites zu verbessern. „Hierdurch erscheinen diese Websites zu Lasten der betroffenen Seiten weiter oben in den Suchergebnissen.“
  (Der „Google“-Bot ist ein automatisches Programm, welches Websites besucht und deren Inhalte für die Suchmaschine indexiert, so dass „Google“ seine Trefferlisten aktuell halten kann.)

„Gamshen“ manipuliert ausschließlich „Google“-Bot-Anfragen

Tavella führt weiter aus: „,Gamshen’ manipuliert ausschließlich Anfragen des ,Google’-Bot, um Suchergebnisse zugunsten bestimmter Seiten positiv zu beeinflussen, z.B. von Glücksspielangeboten. Reguläre Besucher sehen die normale Website, eine direkte Gefahr besteht für sie also nicht.“ Mit dieser Hacking-Technik schadeten die Cyberkriminellen in erster Linie den Betreibern der Websites.

• ESET habe die beschriebenen Aktivitäten von Dezember 2024 bis April 2025 in der Telemetrie beobachtet. Eine internetweite Suche im Juni 2025 habe weitere Opfer aufgedeckt. „Viele US-Server scheinen angemietet und Firmen in den Hauptbetroffenenländern zugeordnet zu sein.“ Ein Fokus auf einzelne Branchen sei nicht erkennbar – betroffen seien unter anderem Bildung, Gesundheit, Versicherung, Transport, Technologie und Handel. ESET habe identifizierte Betreiber informiert.

„,GhostRedirector’ ist eine äußerst ausdauernde Hacker-Gruppe und beweist hohe Widerstandsfähigkeit. Durch den Einsatz verschiedener Fernzugriffstools und gefälschter Benutzerkonten verschafft sich die Gruppe langfristig Zugriff auf die kompromittierte Infrastruktur“, gibt Tavella abschließend zu bedenken.

Weitere Informationen zum Thema:

welivesecurity by eseT
Über uns

welivesecurity by eseT, Guest Author, 04.09.2025
Neue Hacker-Gruppe GhostRedirector vergiftet Windows-Server / ESET Forscher haben eine neue Hackergruppe identifiziert, die Windows-Server mit einer passiven C++-Backdoor und einem bösartigen IIS-Modul angreift. Ihr Ziel: die Manipulation von Google-Suchergebnissen

welivesecurity by eseT, Editor, 03.09.2021
Was macht eigentlich ein Malware-Forscher? / Im Interview erzählen drei ESET Malware-Forscher von ihrem Arbeitsalltag, den Fähigkeiten, auf die es dabei ankommt und darüber, wie man eine erfolgreiche Karriere in der IT-Sicherheitsforschung beginnt.

datensicherheit.de, 27.07.2025
Google Forms: Kaspersky warnt vor Missbrauch für Krypto-Scam / Kaspersky-Experten haben eine neue Betrugsmasche identifiziert, bei der Cyberkriminelle „Google Forms“ verwenden, um „Krypto“-Nutzer anzugreifen

datensicherheit.de, 30.06.2025
DeepSeek: Berliner Datenschutzbeauftragte meldet KI-App bei Apple und Google als rechtswidrig / Die beiden Unternehmen müssen diese Meldung nun zeitnah prüfen und über eine „DeepSeek“-Sperrung entscheiden

datensicherheit.de, 18.05.2025
Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten / Es liegt ein Verstoß bei der Google-Konto-Registrierung vor: Verbraucher wurden im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten

datensicherheit.de, 07.05.2025
Phishing-Attacken mittels Missbrauch legitimer Web-Plattformen wie Google / Eine neue cyber-kriminelle Methode macht aktuell dem Weltkonzern Google zu schaffen

datensicherheit.de, 26.04.2025
Phishing-Angriffe: Cyber-Kriminelle missbrauchen zunehmend Google Drive / KnowBe4-Forscher „Threat Labs“ haben einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt

[datensicherheit.de, 02.07.2025] Der eco – Verband der Internetwirtschaft e.V. lädt zu einer Nachbetrachtung der Bundestagswahl 2025 und Erörterung des damit verbundenen Neustarts für die Digitalpolitik ein: „Vor welchen Herausforderungen steht der Digitalstandort Deutschland? Welche Chancen und Risiken bringen digitale Technologien und Dienste mit sich und wo sollte eine smarte Regulierung ansetzen, um Deutschland auch in geopolitisch herausfordernden Zeiten Wettbewerbsfähig und gleichzeitig resilient zu machen?“ Der eco in Kooperation mit Google Deutschland lädt hierzu neue und erfahrene Digitalpolitiker sowie Interessierte Vertreter aus Ministerien, Behörden, Wissenschaft und Zivilgesellschaft zur „eco Digital-Werkstatt – Netz mit Verantwortung – Für ein Digitales Deutschland 2030“ ein.

Abbildung: eco

Einladung zur eco-Google-Veranstaltung „WAHL/DIGITAL 25 & eco Digital-Werkstatt“

Regulatorische Fragestellungen und Digital-Wahl-Check im Programm

Der Nachmittag startet demnach mit drei „Breakout Sessions“, welche – von anerkannten Digital-Experten moderiert – aktuelle regulatorische Fragestellungen thematisieren sollen. Am Abend dann macht der eco den „Wahl/Digital 25 Digital-Check“ mit der neuen Bundesregierung:

• „Wie plant die Koalition die Digitale Transformation in Deutschland voranzutreiben?
• Wie ist Digitalpolitik organisatorisch in der neuen Bundesregierung aufgehängt?
• Welche netzpolitischen Vorhaben finden sich im Koalitionsvertrag und wie bewertet die Opposition diese Pläne?“

Koalitionsvertrag der neuen Bundesregierung vs. eigene netzpolitische Forderungen der Internetwirtschaft

Der eco beabsichtigt, den Koalitionsvertrag der neuen Bundesregierung mit den eigenen netzpolitischen Forderungen der Internetwirtschaft zu spiegeln. Das Prinzip dabei: „Digitalpolitik auf den Punkt gebracht: In 5 Fragerunden mit je Ein-Minuten-Statements pro Sprecher konzentrieren wir uns auf das Wesentliche!“

Ergänzt werde dieser Programmteil durch „Facts & Figures“, Stimmen aus der Internetwirtschaft und spannenden Momentaufnahmen aus dem digitalen Deutschland. Der eco erwartet namhafte Vertreter aus Politik und Wirtschaft.

„WAHL/DIGITAL 25 & eco Digital-Werkstatt“

Mittwoch, 9. Juli 2025, 13.30 bis 19.00 Uhr

• „Breakout Sessions“ 14 Uhr (Registrierung ab 13.30 Uhr)
• „eco Wahl/ Digital“ 17 Uhr (Registrierung ab 16:30 Uhr)

Google, Tucholskystraße 2, 10117 Berlin
Teilnahme kostenfrei, Online-Anmeldung erforderlich.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT (Agenda und Anmeldung)
WAHL/DIGITAL 25 & eco Digital-Werkstatt @ Google Deutschland

datensicherheit.de, 01.03.2025
Bitkom-Forderung nach der Bundestagswahl 2025: Deutschland braucht jetzt ein Digitalministerium / Digitalpolitik muss in der kommenden Legislaturperiode zum Schwerpunkt werden

datensicherheit.de, 22.02.2025
Bundestagswahl 2025: 42 Prozent der Wahlberechtigten finden Digitalpolitik wichtig für Wahlentscheidung / Neue Bundesregierung muss digitalen Rückstand Deutschlands endlich aufholen und die Digitale Transformation strategisch sowie entschlossen angehen

datensicherheit.de, 20.02.2025
Bundestagswahl 2025: eco fordert digitalpolitischen Neustart / eco vermisst bisher klare Digitalstrategie und Rechtssicherheit

[datensicherheit.de, 30.06.2025] Die Apps der KI-Anwendung „DeepSeek“ bei Google und Apple in Deutschland sind von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) als „rechtswidriger Inhalt“ gemeldet worden. Die beiden Unternehmen müssen demnach diese Meldung nun zeitnah prüfen und über eine Sperrung entscheiden. Hintergrund sei eine rechtswidrige Übermittlung von personenbezogenen Nutzerdaten der App nach China.

„DeepSeek“ unterliegt Vorschriften der europäischen Datenschutz-Grundverordnung

Die Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit Sitz in Beijing (Peking), China, betreibt den Dienst „DeepSeek“ – einen KI-gestützten multifunktionalen Chatbot. „Es besteht keine Niederlassung des Unternehmens in der Europäischen Union (EU).“ Der Dienst werde Nutzern in Deutschland unter anderem über Apps im „Google Play Store“ und im „Apple App Store“ mit deutschsprachiger Beschreibung angeboten und könne in deutscher Sprache verwendet werden. „Damit unterliegt der Dienst den Vorschriften der europäischen Datenschutz-Grundverordnung (DSGVO)!“

Laut eigener Angaben verarbeitet dieser Dienst umfangreiche personenbezogene Nutzerdaten – darunter alle Texteingaben, Chat-Verläufe und hochgeladenen Dateien sowie Informationen zum Standort, den benutzten Geräten und Netzwerken. Die gesammelten personenbezogenen Daten der Nutzer übermittele dieser Dienst an chinesische Auftragsverarbeiter und speichere diese auf Servern in China.

Für China hat die EU keinen „Angemessenheitsbeschluss“ erlassen

Die DSGVO verlange, dass die hohen EU-Datenschutzstandards auch bei der Übermittlung personenbezogener Daten in andere Länder gewahrt bleiben. Dafür brauche es entweder einen „Angemessenheitsbeschluss“ der EU oder weitere Schutzmaßnahmen, sogenannte geeignete Garantien. Für China habe die EU keinen „Angemessenheitsbeschluss“ erlassen.

Meike Kamp, die BlnBDI, kommentiert: „Die Übermittlung von Nutzerdaten durch ,DeepSeek’ nach China ist rechtswidrig!“ „DeepSeek“ habe gegenüber ihrer Behörde nicht überzeugend nachweisen können, dass Daten deutscher Nutzer in China auf einem der EU gleichwertigen Niveau geschützt sind. Sie führt aus: „Chinesische Behörden haben weitreichende Zugriffsrechte auf personenbezogene Daten im Einflussbereich chinesischer Unternehmen.“

„DeepSeek“-Nutzern stehen in China keine durchsetzbaren Rechte zur Verfügung

Zudem stünden den Nutzern von „DeepSeek“ in China keine durchsetzbaren Rechte und wirksamen Rechtsbehelfe zur Verfügung, wie sie in der EU garantiert seien. „Ich habe daher Google und Apple als Betreiber der größten App-Plattformen über die Verstöße informiert und erwarte eine zeitnahe Prüfung einer Sperrung.“

Konkret verstoße die Hangzhou DeepSeek Artificial Intelligence Co., Ltd. mit ihrem Dienst „DeepSeek“ gegen Art. 46 Abs. 1 DSGVO. Die BlnBDI hatte daher das Unternehmen am 6. Mai 2025 aufgefordert, seine Apps selbständig aus den App-Stores für Deutschland zu entfernen, die rechtswidrige Datenübermittlung nach China einzustellen oder die gesetzlichen Voraussetzungen für eine rechtmäßige Drittstaatenübermittlung zu erfüllen.

Chinesischer Anbieter hat Aufforderung der BlnBDI bisher ignoriert

Da das Unternehmen dem nicht nachgekommen sei, habe die BlnBDI von der Möglichkeit nach Art. 16 „Digital Services Act“ (DSA) Gebrauch gemacht, rechtswidrige Inhalte auf Plattformen den jeweiligen Betreiber zu melden.

• Eine entsprechende Meldung sei am 27. Juni 2025 an die Apple Distribution International Ltd. als Betreiber des „Apple App Store“ und an die Google Ireland Ltd. als Betreiber des „Google Play-Store“ ergangen. Die beiden Unternehmen müssten ihre Meldung nun zeitnah prüfen und über die Umsetzung entscheiden.

Diese Maßnahme sei in enger Abstimmung mit den Landesdatenschutzbeauftragten von Baden-Württemberg, Rheinland-Pfalz und der Freien Hansestadt Bremen sowie nach Information der „Koordinierungsstelle für digitale Dienste“ in der Bundesnetzagentur (in Deutschland für die DSA-Durchsetzung zuständig) erfolgt.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

datensicherheit.de, 18.05.2025
Datenschutz-Urteil gegen Google: Unzulässig vereinfachter Zugriff auf Nutzerdaten / Es liegt ein Verstoß bei der Google-Konto-Registrierung vor: Verbraucher wurden im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten

datensicherheit.de, 08.02.2024
Digital Services Act: EU-weites Inkrafttreten soll Menschen im Digitalen Raum stärken / Neue EU-Regeln für Online-Plattformen müssen sich in der Praxis bewähren

[datensicherheit.de, 18.05.2025] Laut einer Meldung des Verbraucherzentrale Bundesverbands (vzbv) vom 16. Mai 2025 hat Google den Zugriff auf Nutzerdaten „unzulässig vereinfacht“. Es liegt demnach ein Verstoß bei der Google-Konto-Registrierung vor: Google habe Verbraucher bei der Registrierung im Unklaren gelassen, für welche der mehr als 70 Google-Dienste Nutzerdaten verarbeitet werden sollten. Zudem hätten weder die Express-Personalisierung noch die manuelle Personalisierung gesetzlichen Vorgaben entsprochen. Das Landgericht (LG) Berlin hat der vzbv-Klage gegen die Google Ireland Ltd. stattgegeben und festgestellt, dass die mangelhafte Einwilligungserklärung gegen die Datenschutzgrundverordnung (DSGVO) verstoßen habe.

Mit einer einzigen Registrierung sollte es Google erlaubt werden, Nutzerdaten auf 70 Diensten zu verarbeiten

Mit einer einzigen Registrierung hätten Verbraucher Google erlauben sollen, ihre Daten auf 70 Diensten zu verarbeiten. Eine vermeintliche Einwilligungserklärung bei der Registrierung für ein Google-Konto habe gegen die Datenschutzgrundverordnung verstoßen und sei unwirksam gewesen – dies hat das LG Berlin nach einer vzbv-Klage entschieden. Diese Einwilligung beruhe nicht auf einer freiwilligen und informierten Entscheidung der Nutzer.

Verbraucher müssten wissen, wofür Google ihre Daten verarbeitet, und über die Verarbeitung ihrer Daten frei entscheiden können – Heiko Dünkel, Leiter „Team Rechtsdurchsetzung“ im vzbv, betont: „Datenschutz ist auch Verbraucherschutz. Umso wichtiger ist, dass wir Verstöße gegen die DSGVO gerichtlich stoppen lassen können!“

Google bietet mehr als 70 Dienste an – unter anderem die Suchmaschine und „YouTube“

Google bietet mehr als 70 Dienste an – unter anderem die „Google“-Suche und „YouTube“. Im Rahmen der Konto-Registrierung habe sich Google für alle Dienste die Einwilligung einholen wollen, unter anderem sogenannte „Web- & App-Aktivitäten“ zu speichern. Dies habe alle Nutzeraktivitäten umfasst:

• auf Google-Websites,
• in Google-Apps,
• in Google-Diensten,
• bei den Suchanfragen,
• bei der Interaktion mit Google-Partnern,
• zum eigenen Standort,
• bei der Sprache.

Zudem sollte auch die Speicherung der auf „YouTube“ angesehenen Videos sowie das Einverständnis zur personalisierten Werbung von der Einwilligung umfasst sein.

Von Google 2022 eingeholte Einwilligung zur Datenverarbeitung genügte nicht der DSGVO

Diese von Google im Jahr 2022 eingeholte Einwilligung zur Datenverarbeitung entsprach nach Ansicht des vzbv jedoch nicht der DSGVO. „Das betraf die Express-Personalisierung genauso wie die manuelle Personalisierung.“ Bei der Express-Personalisierung hätten Nutzer entweder sämtlichen Datennutzungen zustimmen oder den Vorgang abbrechen müssen. „Bei der manuellen Personalisierung waren einzelne Datennutzungen ablehnbar. Dies galt jedoch nicht für die Nutzung des Standorts in Deutschland.“

Das LG Berlin schloss sich der Auffassung des vzbv an, dass diese Einwilligungserklärung unwirksam war und gegen die DSGVO verstieß. Danach müsse die Einwilligung in die Nutzung personenbezogener Daten freiwillig sein. An der Freiwilligkeit fehle es jedenfalls, weil die Datenverarbeitung personenbezogener Daten nicht komplett abgelehnt werden könne.

Reichweite der Einwilligung für Google den Betroffenen völlig unbekannt

Das LG Berlin beanstandete außerdem die mangelhaften Informationen zur vorgesehenen Datenverarbeitung. Es fehle schon deshalb an Transparenz, weil Google weder über die einzelnen Google-Dienste noch Google Apps, Google-Websites oder Google-Partner aufkläre, für welche die Daten verwendet werden sollen.

Die Reichweite der Einwilligung sei den Betroffenen daher völlig unbekannt. Dass die Angabe der einzelnen Dienste aufgrund ihrer Fülle zu einer unübersichtlichen Darstellung führen würde, deute „eindrücklich darauf hin, dass die Beklagte den Umfang der Einwilligung in erheblichem Maße überspannt hat“.

Google hat gegen das Urteil Berufung eingelegt

Das LG Berlin verurteilte Google außerdem dazu, es zu unterlassen, Nutzer in den Voreinstellungen nicht auch eine Speicherfrist der Daten von drei Monaten anzubieten. Ein Löschen der Daten nach drei Monaten habe von den Nutzern nur nachträglich eingestellt werden können.

Das Gericht sah darin einen Verstoß gegen Artikel 25 Absatz 2 Satz 1 DSGVO (sog. „privacy by default“). Diese Vorschrift verlange, dass Nutzer keine Änderungen an den Einstellungen vornehmen müssten, um eine möglichst „datensparsame“ Verarbeitung zu erreichen. Das vorliegende Urteil des LG Berlin II vom 25. März 2025 (Az. 15 O 472/22) ist bisher nicht rechtskräftig – Google hat gegen dieses Urteil Berufung eingelegt (Kammergericht Berlin, Aktenzeichen: 5 U 45/24).

Vorgehen gegen Google als Teil einer europäischen Verbraucherschutz-Aktion

Im Sommer 2022 nahm der vzbv an einer gemeinsamen Aktion von zehn europäischen Verbraucherverbänden teil, welche unter dem Dach der europäischen Verbraucherorganisation BEUC mit verschiedenen Mitteln gegen Google vorgingen. Die vzbv-Klage gegen Google ist Teil dieser Aktion.

Das nun erstrittene Urteil zeige einmal mehr die Bedeutung der DSGVO und dass sich auch marktmächtige Unternehmen an die in der EU geltenden Datenschutzvorschriften halten müssten.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 25.03.2025
Landgericht Berlin II / Az.: 150 472/22

BEUC, The European Consumer Organisation, 30.06.2022
Letter to Wojciech Wiewiórowski, EDPS: coordinated GDPR enforcement action against Google

WIKIPEDIA
Europäischer Verbraucherverband

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt

[datensicherheit.de, 07.05.2025] In der heutigen digitalen Welt verlassen sich viele Nutzer offenbar auf große Web-Plattformen wie z.B. „Google“, wenn es um Sicherheit und Vertrauenswürdigkeit geht. „Doch genau dieses Vertrauen machen sich Cyber-Kriminelle zunehmend zunutze!“, warnt Melissa Bischoping, „Head of Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme. Eine neue Methode mache nämlich aktuell dem Weltkonzern Google zu schaffen: „Täuschend echte E-Mails, die angeblich von ,no-reply [at] google [dot] com’ stammen und eine offizielle Vorladung oder dringende Benachrichtigung vortäuschen.“

Foto: Tanium

Melissa Bischoping rät zu robuster Multi-Faktor-Authentifizierung (MFA)

Cyber-kriminelle Nutzung legitim wirkender „Google“-Funktionen

Was auf den ersten Blick legitim wirkt, entpuppt sich bei genauerem Hinsehen demnach „als raffinierte Phishing-Falle“ – mit gravierenden Folgen für die Nutzer. Bischoping führt hierzu aus: „Bei diesen Angriffen werden legitim wirkende ,Google’-Funktionen genutzt, um manipulierte E-Mails zu versenden, die einige herkömmliche Überprüfungen umgehen. Außerdem werden Google-Sites verwendet, um gefälschte Seiten zu hosten und Anmeldedaten zu sammeln.“

Solche E-Mails nutzten eine „OAuth“-Anwendung in Kombination mit einer kreativen „DKIM“-Umgehungslösung, um genau die Sicherheitsvorkehrungen auszuschalten, die vor dieser Art von Phishing-Versuchen schützen sollten. Was diese Taktik laut Bischoping besonders gefährlich macht, ist nicht nur die technische Raffinesse, sondern auch die gezielte Nutzung vertrauenswürdiger Dienste, um sowohl Nutzer als auch Erkennungswerkzeuge zu umgehen.

Einige Komponenten solcher Angriffe mittlerweile von Google behoben

Einige Komponenten dieses Angriffs seien zwar neu – und mittlerweile von Google behoben worden – doch Angriffe, die vertrauenswürdige Unternehmensdienste ausnutzen, sind keine Einzelfälle. Immer mehr Angreifer entschieden sich bewusst dafür, Web-Dienste mit legitimen Anwendungsfälle in Unternehmen zu missbrauchen. „Dies unterstreicht den Trend, dass Angreifer mit zunehmender Leistungsfähigkeit der Erkennungstools nach Möglichkeiten suchen, diese vollständig zu umgehen, anstatt sie mit teuren ,Exploits’ zu überlisten.“

Sie konzentrierten sich auf die „Tools“, Websites und Funktionen, welche Unternehmen in ihrer täglichen Arbeit verwenden. Indem sie sich in den normalen Datenverkehr einfügten und davon ausgingen, dass ein typischer Empfänger eine vertrauenswürdige Domain wie etwa „google.com“ nicht genauer unter die Lupe nehme, erzielten Angreifer eine hohe Erfolgsquote, ohne nennenswerte Investitionen in neue TTPs (Trusted Third Parties) tätigen zu müssen.

„Google“-Beispiel sollte Unternehmen zu mehrschichtigen Abwehrmaßnahmen inkl. Schulung der Benutzer motivieren

„Wie können Unternehmen also in Zukunft damit umgehen? Mehrschichtige Abwehrmaßnahmen und die Schulung der Benutzer sollten immer priorisiert werden!“ Schulungen zur Sensibilisierung sollten mit der Bedrohungslage Schritt halten und sowohl neue als auch weiterhin wirksame Techniken behandeln.

Bischoping rät abschließend: „Gleichzeitig sind technische Schutzmaßnahmen wie ,Link-Sandboxing’ und die Erkennung von Anomalien in heruntergeladenen Inhalten zur Suche nach Ausreißern und potenziellen Indikatoren für die frühzeitige Erkennung und Vertiefung der Verteidigungsebenen von entscheidender Bedeutung.“ Wie immer sei eine robuste Multi-Faktor-Authentifizierung (MFA) unerlässlich, da der Diebstahl und Missbrauch von Anmeldedaten auch weiterhin ein attraktives Ziel bleiben werde.

Weitere Informationen zum Thema:

datensicherheit.de, 26.04.2025
Phishing-Angriffe: Cyber-Kriminelle missbrauchen zunehmend Google Drive / KnowBe4-Forscher „Threat Labs“ haben einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 22.01.2021
Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020 / Berichte der Sicherheitsforscher des Unternehmens zeigen, dass Cyber-Kriminelle aktuell für Phishing am häufigsten den Tech-Riesen Microsoft und die Spedition DHL imitieren / Geschuldet ist dies der Zunahme von Fernzugriffen im Homeoffice und Online-Shopping.

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10

[datensicherheit.de, 11.03.2025] Im vergangenen Jahr verbrachten Internetnutzer weltweit durchschnittlich sechs Stunden und 38 Minuten pro Tag im Internet, also fast ein Drittel ihrer wachen Zeit. 95 % des gesamten Internetverkehrs entfielen auf Smartphones, während nur zwei Websites, YouTube und Google, ein erstaunliches Fünftel aller Besuche auf sich vereinten.

YouTube und Google dominierende Kräfte des Internets

Nach Angaben von Techgaged.com kontrollierten YouTube und Google im Jahr 2024 rund 25 % des weltweiten Internetverkehrs und festigten damit ihren Status als dominierende Kräfte im Internet.

Googles Datenverkehr übertrifft alle führenden Websites zusammen; YouTube übertrifft andere Social-Media-Giganten um 40 %

Trotz der starken Konkurrenz durch TikTok, Instagram, Reddit und ChatGPT bleiben Google und YouTube die meistbesuchten Websites der Welt und beweisen damit, dass sie immer noch die größten Akteure im digitalen Raum sind. Ihre Dominanz ist sogar noch beeindruckender, wenn man bedenkt, wie viel Zeit die Menschen auf anderen Plattformen verbringen. Im Jahr 2024 verbrachten Android-Nutzer im Durchschnitt 310 monatliche Sitzungen auf TikTok und damit fast 32 Stunden mit dem Anschauen von Videos, drei Stunden mehr als auf YouTube und doppelt so viel wie auf Facebook oder Instagram.

Doch trotz der Popularität der sozialen Medien bleibt YouTube die erste Adresse für Videoinhalte, während Google die wichtigste Suchmaschine im Internet bleibt. Der Bericht Digital 2025; Global Overview Report beweist dies.

Im Jahr 2024 generierten Google und YouTube rund 25 % des weltweiten Internetverkehrs, was bedeutet, dass jeder vierte Website-Besuch auf diese beiden Plattformen entfiel. Auf Google allein entfielen 18,73 % des gesamten Internetverkehrs, fast dreimal so viel wie auf das zweitplatzierte YouTube und mehr als auf die anderen 14 führenden Websites zusammen.

Die Zahlen für den Webverkehr von YouTube waren ebenfalls beeindruckend. Während TikTok und Instagram bei der Nutzungsdauer an der Spitze liegen, blieb YouTube das Online-Videoprodukt mit einem Anteil von 6,44 % am gesamten Internetverkehr, also fast 40 % mehr als Facebook, TikTok, Instagram, X, Reddit und WhatsApp zusammen.

Die Statistik zeigt, dass Facebook die am dritthäufigsten besuchte Website war und 2,76 % des gesamten Datenverkehrs ausmachte, 2,5 Mal weniger als YouTube und 6,5 Mal weniger als Google. Instagram und WhatsApp vervollständigen die fünf meistbesuchten Websites mit einem Anteil von 1,33 % bzw. 1,03 % am gesamten Internetverkehr.

Soziale Medien fallen zurück – ChatGPT steig auft

Der Rest der Liste zeigt einige interessante Trends bei den Internetnutzern. Obwohl X (ehemals Twitter) aufgrund von kontroversen Plattformwechseln, Führungsentscheidungen und politischen Veränderungen mit einem anhaltenden Rückgang der Nutzer, des Datenverkehrs und der Werbetreibenden konfrontiert ist, war es im letzten Jahr mit einem Anteil von 1 % am gesamten Internetverkehr immer noch die sechstmeistbesuchte Website.

Wikipedia, das mit einem Anteil von 0,89 % den siebten Platz belegte, sah sich einer wachsenden Konkurrenz durch ChatGPT gegenüber, das mit 0,8 % nicht weit dahinter lag. Damit lag die KI-gestützte Plattform vor großen Internetnamen wie Reddit (0,79 %), Yahoo (0,78 %) und Amazon (0,61 %).

Außerdem zeigen die Statistiken, dass die 15 wichtigsten Websites 37,5 % des gesamten Webverkehrs unter den 10.000 wichtigsten Websites ausmachten, was beweist, dass eine kleine Anzahl von Plattformen das Internet weiterhin dominiert.

Weitere Informationen zum Thema:

techgaged.com
The full story with graphs and statistics

datensicherheit.de, 18.03.2020
Covid-19: DE-CIX sieht starke Veränderung beim Internet-Nutzerverhalten

[datensicherheit.de, 21.02.2024] Google und Yahoo! werden laut Medienberichten neue E-Mail-Authentifizierungsanforderungen einführen. Rob Holmes, „Group Vice President“ und „General Manager, Sender Security and Authentication“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass die E-Mail offensichtlich eines der meistgenutzten Kommunikationsmittel in Unternehmen und der bevorzugte Kommunikationskanal für Verbraucher ist. Er warnt daher: „Deshalb nutzen Kriminelle dieses Medium für Phishing, ,Business Email Compromise’ (BEC), Spam und andere Betrugsmethoden.“ Google und Yahoo! kämpften jetzt mit neuen Anforderungen an die E-Mail-Authentifizierung gegen diesen Missbrauch von E-Mails. „Eine gute Nachricht für Verbraucher“, meint Holmes, allerdings hätten Unternehmen nicht mehr viel Zeit, um sich darauf vorzubereiten: „Sowohl Google als auch Yahoo! werden ihre neuen Anforderungen im Laufe des zweiten Quartals 2024 in Kraft setzen!“

Foto: Proofpoint

Rob Holmes: Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene…

Google und Yahoo! legen Finger in die Wunde der Unternehmen

E-Mail-Authentifizierung sei seit vielen Jahren bewährte Praxis. Holmes erläutert: „Das offene Protokoll DMARC (Domain-based Message Authentication Reporting and Conformance) beispielsweise gibt es schon seit zehn Jahren. Es ist der ,Goldstandard’ gegen die Nachahmung einer E-Mail-Absender-Domain, einer Schlüsseltechnik für BEC- und Phishing-Angriffe.“ Aber viele Unternehmen hätten es noch nicht implementiert und liefen durch die neuen Anforderungen Gefahr, „dass ihre E-Mails nicht mehr an ,Gmail’- und ,Yahoo’-Adressen zugestellt werden“. Die DMARC-Implementierung könne sich als schwierig erweisen, da sie eine Reihe von technischen Schritten und kontinuierliche Wartung erfordere. Nicht alle Unternehmen verfügten intern über die Ressourcen oder das Wissen, um die Anforderungen rechtzeitig zu erfüllen.

Phishing und BEC stellten eine enorme Bedrohung für Unternehmen aller Branchen dar. Proofpoints aktueller „State of the Phish“-Report zeigt demnach, dass 87 Prozent der deutschen Unternehmen im Jahr 2022 mit Phishing-Angriffen konfrontiert waren. Das FBI habe BEC aufgrund der enormen finanziellen Verluste der Opfer als „26-Milliarden-Dollar-Betrug“ bezeichnet. „Die E-Mail-Authentifizierung bietet Schutz vor diesen Bedrohungen, indem sie die Angriffskette bei E-Mail-basierten Angriffen unterbricht“, so Holmes.

Zeit als größte Herausforderung für Nutzer der E-Mail-Angebote von Google oder Yahoo!

DMARC und die damit verbundenen Authentifizierungsmechanismen – die Protokolle SPF (Sender Policy Framework) und DKIM (Domain Key Identified Mail) – arbeiteten zusammen, um E-Mails zu sichern und Techniken wie E-Mail-Spoofing zu verhindern. Holmes führt aus: „SPF ermöglicht es beispielsweise dem empfangenden E-Mail-Server zu überprüfen, ob die eingehende E-Mail von einer autorisierten IP-Adresse des Unternehmens stammt.“ Diese Überprüfung verhindere, „dass ein Angreifer die E-Mail-Identität eines Unternehmens annimmt“, und biete sowohl den Mitarbeitern als auch den Kunden ein gewisses Maß an Schutz.

Holmes unterstreicht: „Wenn Unternehmen mit ihren Kunden über ,Gmail’ und ,Yahoo’ kommunizieren und noch keine E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC implementiert haben, ist Zeit die größte Herausforderung.“ Die Einrichtung erfordere für jedes Protokoll mehrere Schritte und könne sich als schwierig erweisen, „insbesondere wenn der Absender mehrere Domains verwendet“. Sobald die Protokolle eingerichtet sind, stehen Organisationen laut Holmes vor weiteren Herausforderungen, da sie ihre DMARC-, SPF- und DKIM-Einträge weiterhin pflegen müssten.

Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden

Eine Möglichkeit diesen Prozess zu vereinfachen seien „Tools“, „die sich in bestehende Arbeitsabläufe integrieren lassen und die Implementierung rationalisieren“. Durch die Zusammenarbeit mit einem Sicherheitspartner könnten Unternehmen außerdem auf sehr erfahrene Ressourcen zurückgreifen, „die sie möglicherweise nicht im eigenen Haus haben“.

Die neuen Anforderungen unterschieden sich geringfügig zwischen Google und Yahoo!: „Google hat zusätzliche Anforderungen für Unternehmen, die Massen-E-Mails versenden (5.000 oder mehr pro Tag). Es empfiehlt sich, ,Best Practices’ für die E-Mail-Authentifizierung zu implementieren, die über die Anforderungen dieser E-Mail-Anbieter hinausgehen.“ Die Einführung von „Best Practices“ erhöhe die Sicherheit und helfe, Risiken im E-Mail-Verkehr zu minimieren.

Maßnahmen von Google und Yahoo setzen manche Unternehmen unter Druck – geben aber den längst nötigen Anschub

Durch die Maßnahmen von Google und Yahoo mögen manche Unternehmen sich unter Druck gesetzt fühlen. Letztlich würden sie ihnen helfen, ihre Mitarbeiter, Teams und Stakeholder besser zu schützen. Google und Yahoo wollten ihre Nutzer schützen.

Für Unternehmen sei die E-Mail-Authentifizierung allerdings von noch größerem Nutzen, weil betrügerische E-Mails nicht nur Kunden beeinträchtigen. Daher sollten Unternehmen diese neuen Anforderungen als Katalysator betrachten, um ihren allgemeinen Schutz vor E-Mail-Bedrohungen zu verstärken und zu verbessern.

Mit Sicherheitspartner zusammenzuarbeiten, um neuen Anforderungen von Google und Yahoo! zu genügen

Holmes legt nahe: „Es empfiehlt sich, mit einem vertrauenswürdigen Sicherheitspartner zusammenzuarbeiten, der über E-Mail-Authentifizierungsexperten verfügt, die sie durch den Implementierungsprozess führen und diesen vereinfachen.“ Unternehmen könnten auch Proofpoint-Ressourcen wie die technische Kurzbeschreibung „DMARC Creation Wizard“ und das E-Mail-Authentifizierungskit nutzen, um den Einstieg zu erleichtern.

Es gebe auch „Tools“, mit denen die DMARC- und SPF-Einträge einer Domain überprüft und ein DMARC-Eintrag für die Domain erstellt werden könne. Solche sollten Teil einer umfassenden „Email Fraud Defense“-Lösung sein, „die gehostete SPF-, gehostete DKIM- und gehostete DMARC-Funktionen bietet, um die Bereitstellung und Wartung zu vereinfachen und die Sicherheit zu erhöhen“.

Neue E-Mail-Anforderungen von Google und Yahoo! sollten Unternehmen als Chance begreifen

Holmes’ Fazit: „Der Mensch ist nach wie vor das schwächste Glied in der Kette digitaler Angriffe, und menschliches Versagen ist die Hauptursache für Cyber-Vorfälle.“ Während die Sensibilisierung und Schulung der Nutzer eine wichtige Rolle bei der Stärkung der menschlichen Komponente spiele, seien technische Kontrollen wie DMARC von entscheidender Bedeutung, um Unternehmen vor E-Mail-basierten Angriffen und Betrug zu schützen.

Aber er gibt ausch abschließend zu bedenken: „Wie jedes Sicherheitstool ist DMARC kein Allheilmittel, aber es ergänzt eine weitere Schutzebene, um die Sicherheit insgesamt zu verbessern.“ Die neuen E-Mail-Anforderungen von Google und Yahoo! böten Unternehmen nun eine große Chance, die Lücken in ihrer E-Mail-Sicherheit zu schließen. Unternehmen müssten diesen Weg indes nicht alleine beschreiten: „Es gibt Experten und Ressourcen, die ihnen dabei helfen können, E-Mail-Betrug ganzheitlich anzugehen“.

Weitere Informationen zum Thema:

proofpoint
DMARC Creation Wizard / Create your DMARC record now

proofpoint
Awareness Material / Email Authentication Kit

datensicherheit.de, 20.02.2024
Mangelnde Cyber-Sicherheit im Gesundheitswesen: Deutsche Krankenhäuser bringen sich untereinander in Gefahr / Proofpoint warnt: DMARC-Implementierung in deutschen Krankenhäusern noch alarmierend gering

[datensicherheit.de, 14.08.2023] Moderne Rechenzentren gelten als „Dreh- und Angelpunkt der Digitalisierung“. Damit geraten diese zunehmend in den Fokus Cyber-Krimineller: „Von kleinen Server-Häusern bei Unternehmen bis hin zu riesigen Co-Location-Rechenzentren, die von Amazon, Google, Microsoft oder einem anderen großen Unternehmen betrieben werden, sind die heutigen Data Center ein kritischer Angriffsvektor für Cyber-Kriminelle“, warnt Trellix in einer aktuellen Stellungnahme. Denn diese könnten Malware verbreiten, Lösegeld von Unternehmen erpressen, Unternehmens- oder Auslandsspionage betreiben oder auch große Teile des Internets lahmlegen.

„CyberThreat Report“ des Trellix-ARC beschreibt Bedrohung für Rechenzentren und das gesamte digitalen Ökosystem

Das „Trellix Advanced Research Center“ (ARC) identifiziert demnach regelmäßig kritische Schwachstellen, „um Angriffsflächen aufzudecken und zu eliminieren“. Die Anzahl der Angriffe auf Cloud-Infrastrukturen sei in den letzten Monaten stark gestiegen – dies habe nicht zuletzt die Juni-Ausgabe 2023 des „CyberThreat Report“ des ARC ergeben.

Aufgrund der zunehmenden Digitalisierung und hybriden Arbeitsmodelle erweiterten immer mehr Unternehmen ihre IT-Infrastruktur und setzten dabei auf Anbieter wie Amazon, Microsoft oder Google. „Durch diese Veränderung wächst auch ihre Angriffsfläche!“

In Übereinstimmung mit der kürzlich angekündigten „2023 National Cybersecurity Strategy“ habe das ARC-Team nun verschiedene Software-Plattformen und Hardware-Technologien untersucht, um den Schutz Kritischer Infrastrukturen (Kritis) und die Sicherheit im gesamten „digitalen Ökosystem“ zu erhöhen.

Verbreitung von Malware über miteinander verbundene Rechenzentren und Unternehmenssysteme möglich

Bei der Untersuchung identifizierte das ARC-Team nach eigenen Angaben „vier Schwachstellen in der DCIM-Plattform (Data Center Infrastructure Management) von CyberPower und fünf Schwachstellen in der ,iBoot Power Distribution Unit’ (PDU) von Dataprobe“.

Ein Angreifer könnte diese Sicherheitslücken miteinander verknüpfen, um einen vollständigen Zugriff auf die Systeme zu erhalten. Dies würde es ihm ermöglichen, die Stromversorgung für die Hardware zu manipulieren (was diese physisch beschädigen könnte) und die kompromittierten Geräte als Ausgangspunkt für die Verbreitung von Malware in einem breiteren Netzwerk miteinander verbundener Rechenzentren und Unternehmenssysteme zu nutzen.

„Mit der Stromversorgungssteuerung könnte ein krimineller Akteur durch einfaches Umlegen eines Schalters in kompromittierten Systemen tagelang erhebliche Unterbrechungen verursachen.“ Websites, Geschäftsanwendungen, Verbrauchertechnologien und Kritis seien alle auf die Verfügbarkeit dieser Rechenzentren angewiesen – ein Stromausfall würde Kosten in Millionenhöhe verursachen. Mit einer Reihe kompromittierter Geräten innerhalb des Rechenzentrums könnte ein Bedrohungsakteur sogenannte Spyware für Ransomware oder Spionagezwecke einrichten. Darüber hinaus könnte er die Hardware selbst nutzen, um weit verbreitete DDoS- oder Bot-Angriffe ähnlich wie „StuxNet“ oder „Mirai“ zu wiederholen.

Sicherheitslücken und Gefährdung behoben – vorerst

„Die größte Sorge besteht darin, dass diese Schwachstellen Angreifern Zugang zu hochentwickelter Hardware in großem Maßstab verschaffen.“ Es drohe eine Vielzahl von äußerst wirkungsvollen und schädlichen Cyber-Angriffen.

Nach den Entdeckungen des ARC-Teams von Trellix hätten sowohl Dataprobe als auch CyberPower reagiert: „Mit der Verfügbarkeit von CyberPower DCIM Version 2.6.9 ihrer PowerPanel Enterprise-Software und der neuesten Version 1.44.08042023 der Dataprobe iBoot PDU-Firmware, können die Sicherheitslücken behoben werden.“

Trellix empfiehlt abschließend betroffenen Unternehmen außerdem, die Passwörter aller Benutzerkonten zu ändern und damit alle sensiblen Daten, die auf den beiden „Appliances“ gespeichert sind und möglicherweise nach außen gelangt sein könnten, zu löschen.

Weitere Informationen zum Thema:

Trellix, Sam Quinn & Jesse Chick & Philippe Laulhere, 12.08.2023
The Threat Lurking in Data Centers – Hack Power Management Systems, Take All the Power

Trellix, Juni 2023
CYBERTHREAT REPORT / Insights Gleaned from a Global Network of Experts, Sensors, Telemetry, and Intelligence

THE WHITE HOUSE, März 2023
NATIONAL CYBERSECURITY STRATEGY

[datensicherheit.de, 03.08.2023] Sicherheitsforscher von Check Point und Avanan haben in einer aktuellen Warnung auf eine weitere Missbrauchsmöglichkeit von „Google Tools“ aufmerksam gemacht:

Abbildung: Check Point

Missbrauch einer bekannten Web-Anwendung – hier Google Ads

Phishing-E-Mail nutzt Google Ads im Hintergrund

Check Point Research (CPR), die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd., ist nach eigenen Angaben einer Google betreffenden weiteren Hacker-Kampagne auf die Spur gekommen:

Hacker bauen demnach „betrügerische Links“ in die Google-Werbeanzeigen ein, um die Nutzer auf gefährliche Internet-Seiten zu locken. Dabei brauchten die Nutzer nicht einmal auf die Werbeanzeigen an sich zu klicken, „sondern erhalten eine Phishing-E-Mail, die ,Google Ads’ im Hintergrund nutzt“. Google sei dabei besonders interessant, weil diese Firma der größte Anbieter von Werbeanzeigen im Internet sei.

Legitime Google-Ads-Adresse hinter dem Link täuscht Nutzer

„Eine Phishing-E-Mail, die behauptet, der Empfänger habe eine Microsoft-Sprachnachricht verpasst, geht im Postfach ein. Der Link jedoch leitet nicht zu Microsoft, sondern zu einer ,Google Ad’, die wiederum weiterleitet zur betrügerischen Website.“

Der Empfänger, falls er sich wundert, dass die Nachricht nicht zu einer Microsoft-Webseite führt, könnte wieder Vertrauen fassen, weil eine legitime „Google Ads“-Adresse hinter dem Link stehe: „Drückt der Nutzer also auf den Link, wird er schnell und im Hintergrund über ,Google Ads’ weitergeleitet an die Hacker-Seite.“

Bekannter Markenname einer Firma – erneut Google – missbraucht

Wieder einmal werde auf diese Weise der bekannte Markenname einer Firma, erneut Google, missbraucht, um die Empfänger der Phishing-E-Mail in Sicherheit zu wiegen. Diese fortschrittliche Phishing-Idee werde von den Sicherheitsforschern als „Business E-Mail Compromise 3.0“ (BEC 3.0) bezeichnet.

Hierbei würden legitime Seiten und Dienste benutzt, statt Fälschungen. Die Sicherheitsforscher von Check Point erwarten, „dass dergleichen Attacken im Laufe des Jahres an Beliebtheit und Hackern gewinnen werden“.

Google durch Check Point in Kenntnis gesetzt

Google sei von Check Point am 5. Juli 2023 in Kenntnis gesetzt worden. Die Sicherheitsforscher raten Unternehmen und Privat-Anwendern „größte Vorsicht“ walten zu lassen.

Außerdem empfehlen sie, „KI-gestützte IT-Sicherheitslösungen zu implementieren“, die nach verschiedenen Indikatoren Ausschau halten könnten, eine E-Mail-Sicherheitslösung einzuführen, um Dokumente und Dateien zu prüfen, sowie eine URL-Sicherheitslösung, „die Websites prüft und emuliert“.

[datensicherheit.de, 15.07.2022] „HavanaCrypt“ ist nach aktuellen Erkenntnissen der „Arctic Wolf Labs“ eine neue Ransomware. Diese sei schwer zu erkennen, denn sie tarne sich als Google-Update und nutze Microsoft-Funktionen im Rahmen der Attacken. Daniel Thanos, VP der „Arctic Wolf Labs“ bei Arctic Wolf®, geht in seiner Stellungnahme auf diese neue Malware ein und gibt Unternehmen Tipps zum richtigen Verhalten.

Ransomware-Angreifer missbrauchen bei Attacken häufig das Vertrauen der Nutzer

Thanos erläutert: „Angreifer missbrauchen bei ihren Attacken häufig das Vertrauen von Nutzern, um die Schutzmaßnahmen von Unternehmen zu umgehen. Die Verwendung von vertrauenswürdigen Adressräumen und Hosts, die von den meisten Unternehmen als seriös und sicher eingestuft werden und auf der ,Whitelist‘ stehen, ist also nicht neu.“
Cyber-Kriminelle nutzten zum Beispiel AWS-Hosting oder kaperten andere „saubere“ Hosts bzw. Adressräume. Doch es seien nicht nur vertrauenswürdige Adressen, welche für Ransomware-Angriffe missbraucht würden, sondern auch allgemein als vertrauenswürdig eingestufte, in vielen Unternehmen zum Einsatz kommende „Tools“ und Anwendungen.

Herkömmliche Detection- und Defense-Maßnahmen gegen Ransomware versagen

„Entsprechend haben herkömmliche Detection- und Defense-Maßnahmen, die auf statischen Indikatoren und Signaturen beruhen oder bestimmte Adressräume, Anwendungen, Nutzer oder Prozesse als vertrauenswürdig einstufen, schon vor langer Zeit versagt“, führt Thanos aus und rät: „Stattdessen sollte die Cyber-Abwehr von Unternehmen auf der Erkennung von Verhaltensmustern basieren, die auf den tatsächlichen TTPs (Tactics, Techniques, Procedures) der Angreifer beruhen.“
Man sollte sich indes nicht auf ein einziges „Sicherheitstool“ verlassen oder auf einen Ansatz, der bestimmte Systemelemente automatisch als „vertrauenswürdig“ oder „nicht vertrauenswürdig“ einstuft. Die Bedrohungsabwehr müsse genau auf die tatsächlichen Vorgehensweisen der Angreifer abgestimmt werden. Das erfordere kontinuierliche Forschung und Weiterentwicklung, da sich diese bei der Vielzahl möglicher Angriffe fast täglich änderten. „All das muss bei Sicherheitsmaßnahmen bedacht werden“, stellt Thanos klar.

Vermutlich möchte Autor der HavanaCrypt-Ransomware über Tor-Browser kommunizieren

„Es ist sehr wahrscheinlich, dass der Autor der ,HavanaCrypt‘-Ransomware plant, über den ,Tor‘-Browser zu kommunizieren, da ,Tor‘ zu den Verzeichnissen gehört, in denen er die Verschlüsselung von Dateien verhindert.“ Aktuell hinterlasse „HavanaCrypt“ keine Lösegeldforderung, was ein Hinweis darauf sein könnte, „dass sie sich noch in der Entwicklungsphase befindet“, vermutet Thanos.
Sein Tipp: „Wenn sie sich tatsächlich noch in der Beta-Phase befindet, sollten Unternehmen die Chance nutzen, sich darauf vorzubereiten.“ Für den Fall, dass „Tor“ verwendet wird, sollte der Browser blockiert werden – in den meisten Unternehmen werde „Tor“ ohnehin nicht gebraucht.

Aktuelle Erkenntnisse der Arctic Wolf Labs über HavanaCrypt-Ransomware:

1. Tarnt sich als Google-Software-Update-Anwendung.
2. Verwendet Microsoft-Webhosting als Command-and-Control-Server, um die „Detection“ zu umgehen.
3. Nutzt die „QueueUserWorkItem“-Funktion, eine Methode des „.NET System.Threading Namespace“. Außerdem verwendet die Ransomware die Module von „KeePass Password Safe“, einem Open-Source-Passwortmanager, während der Dateiverschlüsselung.
4. Ist eine „.NET“-kompilierte Anwendung und wird durch „Obfuscar“ geschützt, einen „Open-Source-.NET-Obfuscator“, der den Code in einer „.NET-Assembly“ schützt.
5. Verfügt über mehrere Anti-Virtualisierungstechniken, um eine dynamische Analyse zu vermeiden, wenn sie in einer virtuellen Maschine ausgeführt wird.
6. Nachdem „HavanaCrypt“ sich vergewissert hat, dass der Computer des Opfers nicht in einer virtuellen Maschine ausgeführt wird, lädt sie eine Datei mit dem Namen „2.txt“ von 20[.]227[.]128[.]33, einer IP-Adresse eines Microsoft-Webhosting-Dienstes, herunter und speichert sie als Batch-Datei (.bat) mit einem Dateinamen, der 20 bis 25 zufällige Zeichen enthält.
7. Verwendet während seiner Verschlüsselungsroutine Module von „KeePass Password Safe“. Insbesondere nutzt sie die Funktion „CryptoRandom“, um Zufallsschlüssel zu erzeugen, die für die Verschlüsselung benötigt werden.
8. Verschlüsselt Dateien und fügt „.Havana“ als Dateinamenerweiterung hinzu.

Weitere Informationen zum Thema:

ARCTIC WOLF, 10.05.2022
Arctic Wolf Launches Arctic Wolf Labs to Advance Security Operations Research and Intelligence Reporting