[datensicherheit.de, 19.10.2022] Laut einer aktuellen Meldung des Digitalcourage e.V. startet die europäischen Dachorganisation für Digitale Grundrechte EDRi (European Digital Rights) eine Kampagne gegen die Chatkontrolle: Unter dem Motto „Stop Scanning Me!“ (Hört auf, mich zu scannen!) rufen EDRi und 13 Organisationen demnach dazu auf, den Gesetzesentwurf der EU-Kommission abzulehnen. Dazu seien am 19. Oktober 2022 sowohl eine Kampagnen-Website als auch ein umfangreiches Positionspapier veröffentlicht worden, um aufzuzeigen, „warum der Verordnungsvorschlag zur Chatkontrolle weder sein erklärtes Ziel erreichen kann noch mit europäischem Recht vereinbar ist“.

Chatkontrolle – ein Verordnungsvorschlag der EU-Kommission

Bei der sogenannten Chatkontrolle handelt es sich um einen Verordnungsvorschlag der EU-Kommission, welcher weitreichende Überwachungspflichten für Online-Dienste zu sämtlichen Inhalten privater und öffentlicher Kommunikation ihrer Nutzer schaffen würde. Die EU-Kommission begründet den Aufbau dieser Überwachungsinfrastruktur mit dem Kinderschutz.

Indes: „Die Verordnung würde massiv in die Grundrechte der gesamten europäischen Bevölkerung eingreifen und eine dystopische Überwachungsinfrastruktur etablieren.“ Statt tatsächlich den Schutz von Kindern, also Prävention und Opferschutz in den Mittelpunkt ihrer Maßnahmen zu stellen, setze die EU-Kommission auf einen „technokratischen Ansatz“, der „Überwachung in demokratiegefährdendem Umfang“ ermögliche.

Chatkontrolle: Automatisierte Scannen von Nachrichten führt zu vielen Falschmeldungen

Mit dem nun vorliegenden Positionspapier würden exklusiv auch Zahlen einer Studie der irischen EDRi-Partnerorganisation ICCL (Irish Council for Civil Liberties) veröffentlicht. Eine Analyse der irischen Fallzahlen bestätige nicht nur, „dass das automatisierte Scannen von Nachrichten auf Darstellungen sexualisierter Gewalt gegen Kinder, wie sie die Chatkontrolle vorsieht, zu zahlreichen Falschmeldungen legaler Inhalte führt“.

Sie belege auch, dass die von der EU-Kommission verbreiteten Trefferquoten der eingesetzten Technologien nicht der Wahrheit entsprechen könnten. Erst kürzlich sei auch der wissenschaftliche Dienst des Bundestages zu dem Ergebnis gekommen, dass die vorgeschlagene Verordnung nicht mit europäischem Recht vereinbar wäre.

Chatkontrolle STOPPEN! – ein Bündnis gegen Überwachungspaket der EU-Kommission

In Deutschland wendet sich das Bündnis „Chatkontrolle STOPPEN!“, nach eigenen Angaben koordiniert von der Digitalen Gesellschaft, Digitalcourage und dem Chaos Computer Club, gegen das Überwachungspaket der EU-Kommission.

Das Bündnis „Chatkontrolle STOPPEN!“ erklärt: „In der gesamten Europäischen Union manifestiert sich der Protest gegen die Chatkontrolle der EU-Kommission. Die Bundesregierung muss den Überwachungsplänen der Von-der-Leyen-Kommission endlich eine eindeutige Absage erteilen und darf sich nicht länger um eine klare Positionierung winden.“

Weitere Informationen zum Thema:

EDRi, 19.10.2022
A safe internet for all: upholding private and secure communications

Stop Scanning Me
Privacy empowers, surveillance weakens

Chatkontrolle STOPPEN!
Hintergrund / Was ist das Problem und was wollen wir?

datensicherheit.de, 10.10.2022
EU-Pläne zur Chatkontrolle: 20 zivilgesellschaftliche Organisationen üben Kritik in einem gemeinsamen öffentlichen Aufruf / Überwachungsinfrastruktur von erschreckendem Ausmaß könnte in der EU etabliert werden

datensicherheit.de, 18.08.2022
Chat-Kontrolle: Guter Zweck, zweifelhafte Mittel und verhängnisvolle Folgen / IT-Sicherheitsexpertin Patrycja Schrenk warnt vor anlassloser Chat-Massenüberwachung durch Echtzeit-Scans

[datensicherheit.de, 22.09.2022] Cyber-Sicherheitsexperten von Kaspersky haben nach eigenen Angaben eine schädliche Kampagne im „Google Play Store“ mit insgesamt mehr als 4,8 Millionen Downloads infizierter Anwendungen identifiziert. In den vergangenen zwei Jahren haben Cyber-Kriminelle demnach dort mehr als 190 legitime Applikationen imitiert – von Taschenlampen-Apps bis hin zu Minispielen –, um den „Harly“-Trojaner zu verbreiten und Nutzer ohne deren Zustimmung für kostenpflichtige Dienste zu abonnieren.

Kaspersky warnt: Sobald eine entsprechende App gestartet wird, beginnt der Trojaner Informationen zu sammeln

„Sobald ein Anwender eine entsprechende App startet, beginnt der Trojaner, Informationen über das genutzte Gerät und dessen Mobilfunknetz zu sammeln.“ Das Smartphone des Betreffenden wechsele dann zu einem anderen mobilen Netzwerk, „worauf der Trojaner dessen C&C-Server ansteuert, um die Liste der Abonnements zu konfigurieren, für die eine Anmeldung erfolgen muss.“

Anschließend öffne der Trojaner die Adresse des jeweiligen Abonnements in einem unsichtbaren Fenster und gebe die bereits erhaltene Telefonnummer des Nutzers ein, tippe auf die erforderlichen Schaltflächen und füge den Bestätigungscode aus einer Textnachricht ein. Dies führe dazu, „dass der Nutzer Kunde von Bezahl-Abonnements wird, ohne es zu merken“.

Kaspersky-Team hat sich an Google gewandt

Ein weiteres bemerkenswertes Merkmal dieses Trojaners sei, „dass dieser sich nicht nur anmelden kann, wenn der Vorgang durch einen SMS-Code geschützt ist, sondern auch, wenn jener durch einen Anruf gesichert wurde“, denn der Trojaner rufe eine bestimmte Nummer an und bestätige die Registrierung.

Das Kaspersky-Team habe sich aufgrund dieser Erkenntnisse an Google gewandt und vor bösartigen, in „Google Play“ gespeicherten Apps gewarnt. „Auch wenn offizielle App-Stores sorgfältig überwacht werden, können die die dort tätigen Moderatoren diese schädlichen Apps nicht immer vor ihrer Veröffentlichung identifizieren“, erläutert Tatyana Shishkova, Sicherheitsexpertin bei Kaspersky.

Kaspersky empfiehlt Nutzern dringend, zuverlässige Sicherheitslösung zu installieren

Shishkova führt aus: „Bei Applikationen dieser Art ist es noch schwieriger, eine potenzielle Bedrohung zu erkennen, weil sie alles tun, was vorgeschlagen wird. Das Lesen von Nutzerbewertungen kann helfen, wobei dies auch nicht immer eine Garantie für Sicherheit ist.“

Deshalb empfehle Kaspersky Nutzern dringend, eine zuverlässige Sicherheitslösung zu installieren, um den Download gefährlicher Programme zu verhindern.

Kaspersky-Tipps gibt Tipps zum Schutz vor schädlichen Apps:

Mods von verdächtigen Seiten oder raubkopierte Software niemals herunterladen!
Angreifer wüssten, dass Nutzer auf kostenlose Angebote stets sehr positiv reagierten und nutzten dies durch Malware aus, „die in Cracks, Cheats und Mods versteckt ist“.

Auf Mobiltelefonen leistungsstarke Anti-Viren-Lösung installieren!
Das genutzte Anti-Viren-Programm (z.B. „Kaspersky Premium“) sollte beim Spielen nicht ausgeschaltet werden. Der Spielmodus etwa von „Kaspersky Standard“ verhindere zudem, „dass zu viele Systemressourcen während eines Spiels verbraucht werden“.

Neuinstallation des Browsers oder Änderungen der Einstellungen werden Malware nicht beseitigen!
Zunächst müsse der Nutzer die schädliche Anwendung identifizieren. Das Gerät zeige in den Konfigurationen eine vollständige Liste der Apps an (Einstellungen → Apps und Benachrichtigungen → Alle Apps anzeigen). Aus dieser Liste könne die App samt Malware effektiv gelöscht werden.

Apps vorab überprüfen!
Apps sollten vor ihrer Installation stets auf Seriosität und die entsprechenden Vertriebskonten überprüft werden.

Weitere Informationen zum Thema:

kaspersky daily, Tatyana Shishkova, 22.09.2022
Harly: another Trojan subscriber on Google Play / We explain how the Harly Trojan subscriber targets Android users

CHIP, Pascal Thiele, 22.07.2022
Was sind Mods? Einfach erklärt

[datensicherheit.de, 13.09.2022] Eine neue „Instagram“-Phishing-Kampagne treibe derzeit weltweit ihr Unwesen. Bei dieser neuen Betrugsmasche versuchten Cyber-Kriminelle, die Konten von Nutzern der beliebten Social-Media-Plattform zu kompromittieren. Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, erläutert: „Hierbei werden die potenziellen Opfer mit einem Angebot für einen blauen Haken geködert, welche extrem begehrt sind: Sie werden nur an Accounts vergeben, die als authentisch verifiziert wurden und eine öffentliche Person, einen Prominenten oder eine Marke repräsentieren.“

Foto: KnowBe4

Jelle Wieringa: Umfassendes Security Awareness Training für die Mitarbeiter als effektivste Maßnahme zur Vorbeugung solcher Angriffe…

Köder: Instagram hat angeblich Konto überprüft und stellt blaue Plakette in Aussicht

Die sogenannten Spearphishing-E-Mails der kürzlich beobachteten Kampagne informierten die Empfänger darüber, dass „Instagram“ ihre Konten überprüft habe und sie für eine blaue Plakette in Frage kämen. Der Bedrohungsakteur setzt bei dieser Kampagne auf die Sorglosigkeit und den Enthusiasmus von Instagram-Nutzern, wenn sie mit der Möglichkeit konfrontiert werden, den Status ihres sozialen Kontos zu verbessern.

„Der Betrug wurde erstmals Ende Juli entdeckt und nutzt das begehrte Verifizierungsprogramm von ,Instagram’ aus, um die Opfer dazu zu bringen, persönliche Informationen und Kontodaten preiszugeben“, führt Vadesecure im aktuellen Blog-Artikel „Instagram Phishing Campaign: Hackers Exploit Social Verification“ aus. Die Angriffe zielen demnach auf bestimmte Nutzer der Social-Media-Plattform und seien damit raffinierter als andere Phishing-Kampagnen, welche dagegen zumeist wahllos Attacken auf eine Vielzahl von Opfern verübten.

Hintergrund der Phishing-Kampagne mit Instagram als Aufhänger

Die Phishing-E-Mails verwendeten bei dieser raffinierten Angriffsmethode die Betreffzeile „ig bluebadge info“ und den Namen „ig-badges“. Im Text werde anschließend erläutert, dass das „Instagram“-Profil des Opfers überprüft worden sei und für eine Verifizierung in Frage komme.

Die „Instagram“- und „facebook“-Logos in der Kopf- und Fußzeile der E-Mail erweckten dabei den Anschein von Legitimität. Tatsächlich könnten aufmerksame Nutzer trotzdem einige Unstimmigkeiten und Merkmale von Social-Engineering-Techniken in diesen E-Mails erkennen: Diverse Anzeichen deuteten klar auf einen klassischen Fall von Phishing hin: Wieringa benennt beispielhaft „vermehrt grammatikalische Fehler und Tippfehler im Text“ – die üblichen Flüchtigkeitsfehler von Betrügern.

Effektive Sicherheitsmaßnahmen nicht nur bei Social-Engineering mit Instagram

Wieringa führt weiter aus: „Um die eigene Organisation vor derartigen Gefahren zu schützen, empfehlen die Sicherheitsexperten von KnowBe4, Schulungen zum Sicherheitsbewusstsein anzubieten, damit die Nutzer lernen, die typischen Anzeichen von Social-Engineering-Angriffen zu erkennen.“ Die effektivste Maßnahme zur Vorbeugung solcher Angriffe sei, ein umfassendes „Security Awareness Training“ für die Mitarbeiter zu etablieren.

Grundsätzlich werde damit versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings sei es, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. „Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden“, sagt Wieringa abschließend.

Weitere Informationen zum Thema:

vade, Todd Stansfield, 01.09.2022
Instagram Phishing Campaign: Hackers Exploit Social Verification

[datensicherheit.de, 01.09.2022] Bitdefender hat nach eigenen Angaben eine Studie veröffentlicht, welche demnach eine ausgeklügelte Wirtschaftsspionage-Kampagne gegen ein US-amerikanisches Technologieunternehmen beschreibt. Dieser Angriff habe über mehrere Monate stattgefunden und sich auf die Exfiltration von Daten konzentriert. „Für den Angriff wurde ein ausgedehntes Netzwerk von mehreren hundert IP-Adressen (die meisten davon aus China) verwendet.“ Im Rahmen der Studie kommt Bitdefender zu dem Schluss, „dass diese Art von Angriffen wahrscheinlich zunehmen wird und rät Unternehmen in der Industrie, im Energiesektor, im Finanzwesen, in der Verteidigung und in anderen kritischen Sektoren, sich in höchste Alarmbereitschaft zu versetzen“.

Spionagekampagne auf einen Bitdefender-Partner als Ursprung der Studie

Ursprung der Studie sei eine Spionagekampagne auf einen Bitdefender-Partner, einen US-amerikanischen Hardware-Hersteller mit weniger als 200 Mitarbeitern, gewesen. „Der Angriff erstreckte sich über mehrere Monate und umfasste die Ausnutzung bekannter Sicherheitslücken mit ausgefeilten Techniken zur Datenextraktion.“

Solche sogenannten hybriden Angriffe kämen immer häufiger vor. Diese kombinierten opportunistische Taktiken, wie etwa das automatisierte Scannen von Schwachstellen, mit ausgefeilten Techniken, wie etwa die Extraktion wichtiger Unternehmensdaten. Die Kompromittierung erfolge bei solchen Angriffen unter Verwendung automatischer Scanner, deren Ergebnisse dann von einem Menschen geprüft würden, „um festzustellen, ob es sich lohnt, die Daten des Ziels mit komplexen Techniken gezielt anzugreifen und zu extrahieren“.

Bitdefender warnt vor Zugriff über bekannte, häufig genutzte Sicherheitslücke

Der anfängliche Infektionsvektor sei in diesem Fall eine dem Internet zugewandte Instanz des Webservers „ZOHO ManageEngine ADSelfService Plus“, welche über eine bekannte, nicht gepatchte, häufig genutzte Schwachstelle (CVE-2021-40539) ausgenutzt worden sei. „Dies ermöglichte es den Akteuren, die Sicherheitsauthentifizierung zu umgehen und manuell einen beliebigen Code auszuführen.“ Nachdem sich die Kriminellen Zugriff verschafft hatten, setzten sie laut Bitdefender eine Web-Shell in einem Verzeichnis ein, auf das sie über das Internet zugreifen konnten, und nutzten sie, um aus der Ferne auf einen Webserver zuzugreifen.

Für den Angriff sei ein riesiges Netzwerk mit mehreren hundert IP-Adressen (die meisten davon aus China) verwendet worden. Es seien zwar Sicherheitswarnungen generiert worden – der „raffinierte Angriff“ sei jedoch mit manuellen Befehlen erfolgt und daher unentdeckt geblieben.

Sicherheitslücken 2021 verdoppelt: Bitdefender sieht sich fortsetzenden Trend

Der in diesem Fall beschriebene Angriff decke sich mit den Ergebnissen des jüngsten „Data Breach Investigations Report 2022“, wonach sich die Zahl der Sicherheitsverletzungen – durch Ausnutzung von Sicherheitslücken verursacht – im vergangenen Jahr, 2021, verdoppelt habe. Bitdefender geht davon aus, „dass sich dieser Trend fortsetzen wird“. Angreifer konzentrierten sich vermehrt eher auf eine Verletzung der Vertraulichkeit (Datenexfiltration) als auf eine Verletzung der Verfügbarkeit (Einsatz von Ransomware). Unternehmen jeder Größe, „die als wertvolles Ziel oder als Weg zu einem größeren Ziel angesehen werden“, seien somit gefährdet.

„Unternehmen jeder Art und Größe müssen über eine mehrschichtige Sicherheit verfügen, die Funktionen zur Vorbeugung, Erkennung und Reaktion auf Bedrohungen umfasst. In diesem Fall geschah der Angriff über eine bekannte Webserver-Sicherheitslücke und wandte dann ausgeklügelte manuelle Techniken zur Kompromittierung von Endpunkten und zur Datenexfiltration an“, berichtet Bob Botezatu, „Director, Threat Research“ bei Bitdefender. Er führt aus: „Dies ist ein hervorragendes Beispiel dafür, warum die Nutzung von Diensten für ,Managed Detection and Response’ in der heutigen Bedrohungslandschaft unerlässlich ist. Unabhängig davon, wie groß oder klein ein Unternehmen ist.“

Weitere Informationen zum Thema:

Bitdefender
WHITEPAPER / Security Hiding in the Shadows: Investigation of a Corporate Espionage Attack

Verizon
Data Breach Investigations Report 2022

[datensicherheit.de, 25.07.2022] Der Digitalcourage e.V. weist in seiner aktuellen Stellungnahme darauf hin, dass nur noch eine Woche Zeit ist – demnach ist der 31. Juli 2022 der letzte Tag, bis zu dem noch Unterschriften für die „#ReclaimYourFace“-Kampagne gesammelt werden können: „Wir brauchen jetzt Ihre Unterstützung, um ein Verbot automatisierter Gesichtserkennung durchzusetzen. Haben Sie schon unterschrieben und Bekannte dazu aufgefordert, gemeinsam ein Verbot biometrischer Massenüberwachung zu erreichen? Jetzt haben Sie dazu die letzte Chance!“

Biometrische Überwachungstechnologie: Gesichtserkennung u.a. brandaktuelles Thema

Wir stehen laut Digitalcourage am „Scheideweg“: Entweder würden „intelligente“ Videokameras mit Künstlicher Intelligenz (KI) zum Alltag – „was für eine Dystopie!“
Oder wir schafften per Gesetz wirksamen Schutz vor biometrischen Überwachungstechnologien – „für uns und für die Demokratie“.
Der Einsatz biometrischer Überwachung, von sogenanntem Profiling und maschinen-basierten Prognosen über Personen stelle eine „Gefahr für die Rechtsstaatlichkeit und unsere wichtigsten Grundfreiheiten“ dar. Dieses Thema sei „brandaktuell“.

Software zur Gesichtserkennung kann Personen anhand eines Fotos identifizierbar machen

Unternehmen wie z.B. Clearview AI böten Software an, mit welcher jede Person anhand eines Fotos identifizierbar werde, und verkauften diese Information dann an Regierungen und Unternehmen.
In „intelligenten“ Supermärkten von Amazon und Real sei bereits damit experimentiert worden, Gangart und Gesten auf Schritt und Tritt zu erfassen, um Kunden über diese Daten beim Einkaufen zu manipulieren.
Hochschulen hätten bei Prüfungen biometrische Überwachungssysteme (zum Beispiel „Proctorio“) gegen Studenten eingesetzt, um jeden Blick und jede Bewegung auf mögliche Schummel-Versuche zu untersuchen.

Gesichtserkennung könnte von Autokratien und Kriminellen missbraucht werden

KI basiere darauf, „dass Systeme darauf trainiert werden, in großen Datenmengen mit Hilfe von statistischen Modellen Muster zu erkennen und diese für Prognosen zu verwenden“. Selbst wenn solche KI-Systeme mit guter Absicht eingesetzt werden, trügen sie die Voreingenommenheit der Programmierer und der Trainingsdaten in sich.
„Damit werden diskriminierende Muster einer Gesellschaft wie Rassismus und Sexismus reproduziert und verstärkt.“ Im schlimmsten Fall ermöglichten biometrische Daten „lebenslange Kontrolle und die Verfolgung Unschuldiger“.
Ohne ein Verbot biometrischer Massenüberwachung werde der Missbrauch solcher Technologien durch Autokratien und Kriminelle zum Alltag.

Regierungen, Sicherheitsbehörden und Unternehmen werden Gesichtserkennung u.a. sehr gerne einsetzen

Regierungen, Sicherheitsbehörden und Unternehmen könnten und würden Gesichtserkennung und andere biometrische Überwachungssysteme gegen uns einsetzen, „unsere Körper datafizieren und analysieren“.
Darum brauchten wir jetzt ein Gesetz, um uns europaweit zu schützen.
Digitalcourage rät abschließend: „Fordern Sie unseren öffentlichen Raum zurück. Verlangen Sie ein Verbot biometrischer Massenüberwachung!“

Weitere Informationen zum Thema:

digitalcourage
Reclaim Your Face! / Im Bündnis #ReclaimYourFace kämpfen wir für eine Zukunft ohne biometrische Massenüberwachung. Unterschreiben Sie jetzt noch bis zum 31. Juli!

datensicherheit.de, 17.02.2021
Reclaim Your Face: Europaweite Bürgerinitiative gegen Biometrische Massenüberwachung gestartet / Dr. Patrick Breyer, Bürgerrechtler und Europaabgeordneter, ruft zur Unterstützung der europaweiten Bürgerinitiative auf

[datensicherheit.de, 26.06.2021] Im Mai 2021 hat laut NETSCOUT der selbsternannte Bedrohungsakteur „Fancy Lazarus“ eine neue DDoS-Kampagne, d.h. „Distributed-Denial-of-Service“-Erpressungsangriffe, gegen Unternehmen gestartet. Nach dem Start von DDoS-Demonstrationsangriffen habe „Fancy Lazarus“ anschließend per E-Mail mit einem „noch verheerenderen Angriff auf kritische Vermögenswerte gedroht, wenn das Opfer nicht die geforderte Summe in ,Bitcoin‘ zahlt“.

Erpressungsforderung laut NETSCOUT von bereits bekannter Lazarus Bear Armada-Kampagne übernommen

Die Erpressungsforderung sei fast wortwörtlich von der bereits bekannten „Lazarus Bear Armada“-Kampagne übernommen worden, allerdings hätten die Bedrohungsakteure den Namen in „Fancy Lazarus“ geändert und die geforderte Erpressungssumme verringert.
Im Gegensatz zur laufenden „Lazarus Bear Armada“-Kampagne scheine die „Fancy Lazarus“-Kampagne mit einer anderen Angriffsmethode weniger raffiniert zu sein und ziele auf eine geringere Opferzahl ab.

Zusammenfassung der aktuellen NETSCOUT-Erkenntnisse:

1. „Fancy Lazarus“ habe verschiedene Internet-ServiceProvider (ISP) mit Breitbandzugang und Transit in Westeuropa, Großbritannien, Irland und Skandinavien ins Visier genommen.
2. Viele dieser Angriffe seien speziell gegen autoritative DNS-Server gestartet worden. Die Obergrenze der Angriffsbandbreite liege bei etwa 72 Gbit/s und bestehe aus DNS-Reflection/Amplification-Angriffen, DNS-Water-Torture-Angriffen, RST-Floods-Angriffen und TCP-Reflection/Amplification-Angriffen.
3. Das von „Fancy Lazarus“ behauptete Angriffsvolumen von 2 TBps sei bisher nicht erreicht worden. Die Angriffe hätten wenig bis keine Auswirkungen auf Kundennetzwerke gehabt. Es seien keine Folgeangriffe gegen Unternehmen, die den Forderungen nicht nachkommen, beobachtet worden.
4. Die Empfänger für die Erpressungsforderungen seien über deren öffentlich zugänglichen Webseiten und einer Suche in Sozialen Medien ausgewählt worden. „Die im Text der Erpressungsaufforderungen genannten Unternehmen scheinen aus ,WHOIS‘-Einträgen kopiert worden zu sein, die mit CIDR-Blöcken verknüpft sind, die dem Ziel zugewiesen wurden, selbst wenn diese Namen nicht mit dem öffentlichen Branding des Ziels übereinstimmen.“

Weitere Informationen zum Thema:

NETCOUT, Roland Dobbins & Steinthor Bjarnason, 22.06.2021
Fancy Lazarus DDoS Extortion Campaign / ASERT Threat Summary

datensicherheit.de, 23.07.2020
MATA-Framework: Lazarus auch in Deutschland aktiv / APT-Gruppe setzt jetzt auf Multi-Plattform-Malware-Framework

[datensicherheit.de, 17.12.2020] Guardicore hat eine aktuelle Ransomware-Kampagne aufgespürt, die MySQL-Datenbankserver ins Visier nimmt und mindestens seit Januar 2020 aktiv ist. Die Malwareless-Attacke PLEASE_READ_ME verwendet ein vergleichsweise simples Angriffsmuster, um schwache Zugangsdaten von MySQL-Servern mit direkter Internetverbindung auszunutzen. Insgesamt wurden sieben TB Daten aus mehr als 250.000 verschiedenen Datenbanken kompromittiert.

Die Ransomware-Kampagne PLEASE_READ_ME verwendet keinen binären Payload – es handelt sich also um eine neuartige Malwareless-Attacke ohne Lateral Movement. Das Forscherteam von Guardicore Labs spricht von automatisierter „Fabrik-Ransomware“, mit der sich ungezielte Massenangriffe durchführen lassen. Die Lösegeldforderungen pro Opfer sind zwar geringer, aber die Zahl infizierter Rechner umso höher. Die Erpresser haben mittlerweile 250.000 Datenbanken von 83.000 erfolgreich komprimittierten Unternehmen zum Kauf angeboten.

Im Rahmen der Kampagne ist Guardicore Labs auf zwei verschiedene Varianten gestoßen: Von Januar bis November 2020 hinterlegten die Angreifer eine Lösegeldforderung in Höhe von $25.000 mit ihrer Wallet-Adresse (und einer E-Mail-Adresse für technische Unterstützung). In einer zweiten Phase vom 3. Oktober bis zum 30. November 2020 verwiesen die Erpresser ihre Opfer nicht auf das Bitcoin-Wallet oder die E-Mail-Adresse, sondern forderten Unternehmen zu Geldüberweisungen direkt über eine Webseite im TOR-Netzwerk auf.

Kampf gegen Cyberkriminalität

„Die erste Attacke haben wir über unser Guardicore Global Sensors Network (GGSN) bereits am 24. Januar 2020 registriert. Seitdem sind insgesamt 92 Attacken von unseren Sensoren aufgezeichnet worden, deren Anzahl seit Oktober stark zunimmt“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. „Die Angriffe wurden von elf unterschiedlichen IP-Adressen ausgeführt, von denen die Mehrzahl aus Irland und Großbritannien stammen. Wir haben die Attacken zu dem Zeitpunkt genauer unter die Lupe genommen, als die Erpresser neben Lösegeldforderungen mit der Veröffentlichung gestohlener Daten begannen, um zusätzlichen Druck auf die betroffenen Unternehmen auszuüben.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2019
Guardicore Labs: Smominru-Botnetz ist zurück

Guardicore Labs
PLEASE_READ_ME: The Opportunistic Ransomware Devastating MySQL Servers

[datensicherheit.de, 01.03.2020] Nach eigenen Angaben hat Palo Alto Networks und dessen Malware-Forschungsabteilung „Unit 42“ ein schädliches und potenziell gefährliches „Microsoft Word“-Dokument identifiziert, das demnach „als kennwortgeschütztes NortonLifelock-Dokument getarnt war“. Dieses sei in einer Phishing-Kampagne zur Bereitstellung des kommerziell erhältlichen Fernzugriffstools (Remote Access Tool, RAT) „NetSupport Manager“ verwendet worden. Der Einsatz eines fiktiven „NortonLifelock“-Dokuments, um Benutzer zur Aktivierung von Makros zu verleiten, mache diesen speziellen Angriff für die Sicherheitsexperten interessant.

RAT normalerweise für legitime Zwecke verwendet

Dieses RAT werde normalerweise für legitime Zwecke verwendet, um Administratoren den Fernzugriff auf Client-Rechner zu ermöglichen. Kriminelle hätten das RAT jedoch auf den Systemen ihrer Opfer installiert und sich so unbefugten Zugriff verschafft.
Die Verwendung von „NetSupport Manager“ bei Phishing-Kampagnen, um sich unbefugten Zugriff zu verschaffen, werde von Bedrohungsforschern mindestens schon seit 2018 beobachtet.

Aktivität Teil einer größeren Kampagne

Bei einer ersten Überprüfung der aktuellen Erkennung, die zuvor von der „Cortex XDR Engine“ markiert worden sei, hätten die IT-Sicherheitsexperten festgestellt, „dass die Kausalitätskette begann, als ein ,Microsoft Word‘-Dokument aus ,Microsoft Office Outlook‘ heraus geöffnet wurde“.
Obwohl den Forschern die eigentliche E-Mail nicht zur Verfügung stehe, hätten sie den Schluss ziehen können, „dass diese Aktivität Teil einer größeren Kampagne zu sein scheint“.

Cyber-Angreifer setzen Ausweichtechniken ein

Bei dieser Aktivität hätten die Cyber-Angreifer Ausweichtechniken eingesetzt, um sowohl die dynamische als auch die statische Analyse zu umgehen. Zur Installation der bösartigen Dateiaktivität komme das „PowerShell PowerSploit“-Framework zum Einsatz.
Durch zusätzliche Analysen habe das Forschungsteam verwandte Aktivitäten identifiziert, die bis Anfang November 2019 zurückreichten. Im ausführlichen Bericht zu dieser Bedrohung beschreibe „Unit 42“ die anomalen Aktivitäten, die durch die Verhaltenserkennungsfunktionen von „Cortex XDR“ beobachtet worden seien.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, 27.02.2020
Cortex XDR Detects New Phishing Campaign Installing NetSupport Manager RAT

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen

[datensicherheit.de, 21.06.2018] Check Point® Software Technologies Ltd. hat eine Phishing-Kampagne im Rahmen der Fußballweltmeisterschaft in Russland enttarnt. Hier versuchen Cyberkriminelle, ihre potenziellen Opfer dazu zu verleiten, Spiel- und Ergebnispläne herunterzuladen und mit einer Malware zu infizieren.

Öffnen die Opfer den Anhang der E-Mail, wird die Malware DownloaderGuide installiert – ein bekannter Downloader für PUPs (potentially unwanted programs), der sehr häufig als Installationsprogramm für Anwendungen wie Toolbars, Adware oder Systemoptimierer verwendet wird. Check Point-Forscher haben herausgefunden, dass die Malware über neun verschiedene ausführbare Dateien verfügt, die alle per E-Mail mit dem Betreff „World_Cup_2018_Schedule_and_Scoresheet_V1.86_CB-DL-Manager“ versandt wurden. Der Cyberangriff wurde erstmals am 30. Mai 2018 entdeckt und erreichte am 5. Juni den Höhepunkt. Zu Beginn der WM entwickelte die Attacke allerdings eine neue Dynamik.

„Ereignisse, die ein großes öffentliches Interesse erregen, gelten bei Cyberkriminellen als eine einmalige Chance, neue Kampagnen zu starten“, sagte Maya Horowitz, Threat Intelligence Group Manager von Check Point. „Bei so viel Vorfreude und Wirbel um die Weltmeisterschaft setzen Cyberkriminelle darauf, dass Mitarbeiter beim Öffnen unerwünschter E-Mails und Anhänge weniger aufmerksam sind. Es ist daher äußerst wichtig, dass Unternehmen entsprechende Maßnahmen ergreifen und ihre Mitarbeiter an die bewährten Sicherheitsverfahren erinnern. So soll verhindert werden, dass diese Angriffe erfolgreich durchgeführt werden. Darüber hinaus sollten Unternehmen auch Vorkehrungen treffen, damit Phishing-Kampagnen überhaupt nicht in den Posteingang gelangen. Dazu könnte die Einführung einer mehrschichtigen Cybersicherheitsstrategie gehören, die sowohl vor Cyberangriffen etablierter Malware-Familien als auch vor neuen Bedrohungen schützt. Solch eine Strategie verhindert die Verbreitung im Netzwerk, trotz Erfolg des ersten Angriffs.“

Da das Unternehmen während der WM eine Reihe weiterer Online-Betrügereien und Phishing-Angriffe erwartet, wurde folgende Anleitung herausgegeben. Diese soll als Orientierung dienen, wie man sich während der Fußballweltmeisterschaft 2018 vor Cyberbedrohungen schützen kann:

• Halten Sie Ihre Software auf dem neuesten Stand: Sorgen Sie dafür, dass auf Ihrem PC oder mobilen Gerät die aktuellen Versionen des Betriebssystems, der Sicherheitssoftware, der Apps und des Web-Browsers laufen. Dies ist ein wirksamer Schutz vor Malware, Viren und anderen Online-Bedrohungen.
• Vermeiden Sie gefälschte Webseiten: Bei früheren öffentlichen Großereignissen haben Cyberkriminelle gefälschte Webseiten und Domains erstellt – von Merchandising über Nachrichten bis hin zum Live-Streaming. Diese erscheinen im offiziellen Design, werden aber dazu genutzt, beim Besuch Malware zu verbreiten oder sensible Informationen der Opfer zu erlangen.
• Vorsicht vor E-Mails von unbekannten Absendern: Cyberkriminelle werden während des Turniers wahrscheinlich viele Phishing-Emails versenden, in denen sie eine Reihe von kostenlosen Angeboten machen oder die Teilnahme an Verlosungen von Eintrittskarten für Fußballspiele anbieten. Das könnte mithilfe von Hyperlinks oder Anhängen erfolgen, die dann entweder Malware herunterladen oder versuchen, persönlichen Daten zu stehlen. Am besten vermeiden Sie das Öffnen von E-Mails oder Anhängen von unbekannten Absendern.
• Vorsicht vor öffentlichen Wi-Fi-Hotspots: Die WM-Spiele finden über den Tag verteilt statt und nicht jeder hat die Möglichkeit alle live zu verfolgen. Deshalb werden viele Fans in Versuchung kommen, öffentliche Wi-Fi-Hotspots zu nutzen, um die Partien beispielsweise über das Smartphone zu verfolgen. Unsichere Hotspots sind jedoch Ziele, die Hacker leicht kompromittieren und so persönliche Daten wie E-Mails und Passwörter abgreifen oder Malware auf Mobilgeräten einschleusen können.

Weitere Informationen zum Thema;

datensicherheit.de, 12.06.2018
IT-Sicherheitsbranche: Grund für Personalmangel ist häufig die falsche Technologie

datensicherheit.de, 20.04.2018
97 Prozent der Organisationen nicht auf Cyber-Angriffe der Gen V vorbereite

datensicherheit.de, 22.03.2017
Check Point meldet Umbruch bei Malware-Bedrohungen in Deutschland

[datensicherheit.de, 28.03.2012] TREND MICRO beobachtet nach eigenen Angaben aktuell zwei Spam-Attacken, die vor zwei Spam-Angriffen warnen:
Vermeintliche Absender dieser „Metaspam“-Nachrichten seien ein gewisser „Alienvault“ sowie ein prominenter, in New York lebender Tibeter. Während Alienvault die Empfänger auf eine bösartige Kampagne hinweise, die politische Ereignisse in Tibet als Köder verwende, tarnten sich die scheinbar von besagtem Tibeter stammenden Spam-Nachrichten mit einer E-Mail-Kampagne, die angeblich in dessen Namen die Runde mache.
Beide Metaspam-Attacken nutzen laut TREND MICRO Sicherheitslücken aus und führen zu Infektionen mit Trojaner-Schädlingen, die unter anderem persönliche Informationen wie Benutzernamen und Passwörter ausspionieren oder Schadcode auf den infizierten Systemen ausführen könnten.
Die Sicherheitsforscher von TREND MICRO prüfen zurzeit, ob die beiden Angriffe zusammenhängen und von ein und denselben Online-Gangstern gesteuert werden. „Metaangriffe“, also als Warnungen vor Attacken getarnte Angriffe, nähmen offensichtlich zu und erweiterten das ohnehin schon viel zu große Arsenal an sogenannten „Social Engineering“-Tricks.
Die Angriffe nutzten Sicherheitslücken in der „Java“-Laufzeitumgebung und diversen „Micfrosoft Office“-Versionen aus. TREND MICRO rät Anwendern daher dringend, ihre Systeme und Anwendungen auf dem aktuellen Stand zu halten und Sicherheitsaktualisierungen so schnell wie möglich zu installieren. Cyber-Kriminelle, die wie in diesem Fall bekannte Sicherheitslücken ausnutzen, hätten dann praktisch keine Chance. Entsprechende Sicherheitsaktualisierungen von Microsoft und Oracle lägen schon seit Längerem vor.
Ferner sollten Anwender Nachrichten von unbekannten Absendern stets genauestens prüfen und beim geringsten Zweifel sofort löschen. Auf keinen Fall sollten sie auf eingebettete Webadressen klicken, ohne diese vorher zu verifizieren. Zudem sollten Anwender Sicherheitslösungen installieren, die Webadressen, Dateien und E-Mails bewerten und für diese Bewertung miteinander korrelieren. Erst dadurch könnten E-Mail-Nachrichten, die eine Webadresse enthalten und auf eine bösartige Webseite leiten oder bösartige Dateianhänge haben, aussortiert werden, bevor sie den Empfänger erreichen.
Unternehmen, die sich vor Angriffen über Sicherheitslücken schützen wollen, aber aus Aufwands- und Kostengründen ihre Endpunkte nur in größeren zeitlichen Abständen aktualisieren können, sollten die Möglichkeit des virtuellen Patchens in Betracht ziehen. TREND MICRO z.B. bietet seinen Kunden insbesondere zwei Lösungen, mit denen sich Sicherheitslücken schnell und kostengünstig schließen lassen sollen – „Deep Security“sowie „OfficeScan“mit dem „Intrusion Defense Firewall-Plugin“.

Weitere Informationen zum Thema:

blog.trend-micro.de
Bösartige E-Mail-Kampagne wird selbst zum Köder / Originalartikel von Ivan Macalintal, Threat Research Manager