[datensicherheit.de, 02.04.2020] Guardicore hat ein neues Botnetz entdeckt, das Windows-Computer durch Brute-Force-Angriffe auf den MS-SQL-Dienst gefährdet. Nach erfolgreicher Infektion nutzen die Angreifer sowohl RAT-Module (Remote Administration Tools, RAT) als auch Krypto-Miner.

Der komplizierte Angriffsmechanismus besteht aus mehrstufigen Skripten und verschiedenen Binärdateien, die nacheinander heruntergeladen und ausgeführt werden Seit Mai 2018  ist das weltweite Botnet bereits aktiv, das Guardicore Labs als „Vollgar“ bezeichnet, weil es die Kryptowährung VOLLAR schürft und sich dabei vulgärer, aggressiver Angriffsmethoden bedient. Aktuell werden täglich 2.000 bis 3.000 Rechner aus dem Industriesektor, Gesundheits- und Bildungswesen sowie der IT-, Luftfahrt- und Telekommunikationsbranche neu infiziert — besonders betroffene Regionen sind die USA, China, Indien, Südkorea und Türkei.

Hauptangriff der Vollgar-Attacke lief über einen CNC-Server in China

Der Hauptangriff der Vollgar-Attacke lief über einen CNC-Server in China, auf dem eine MS-SQL-Datenbank und ein Tomcat-Webserver betrieben wurden. Gleich mehrere Hackergruppen hatten den Server kompromittiert und nutzten ihn für eigene Angriffskampagnen. Insgesamt fanden die Sicherheitsforscher des Unternehmensfast zehn Hintertüren für den Zugriff auf den Server, die es erlaubten, Inhalte des Dateisystems auszulesen, Registrierungsdaten zu ändern, Dateien herunter- oder hochzuladen und Befehle auszuführen. Trotzdem befand sich der Server weiterhin im regulären Betrieb, um beispielsweise den Datenbankdienst sowie harmlose Hintergrundprozesse auszuführen. Die eigentlichen Betreiber des Servers erkannten nicht, dass verdächtige Aktivitäten von mehreren Nutzern mit erhöhten Zugriffsrechten durchgeführt wurden.

Kampf um MS-SQL-Ressourcen

Guardicore Labs hat die Anzeichen für eine potentielle Kompromittierung (IOC=Indicator of Compromise) auf seiner Webseite aufgelistet. Hier stellen die Sicherheitsexperten auch ein Powershell-Erkennungsskript zur Verfügung, um Spuren einer Vollgar-Infektion auf betroffenen Computern aufzuspüren. In diesem Fall empfehlen sie, alle Zugangsdaten des MS-SQL-Benutzerkontos auf neue und komplexe Passwörter umzustellen.

Datenbankserver mit großen gespeicherten Datenmengen

Es gibt eine Vielzahl von Angriffen auf MS-SQL-Server, aber weltweit nur etwa eine halbe Million Rechner, auf denen dieser Datenbankdienst überhaupt ausgeführt wird. Die relativ geringe Zahl potentieller Angriffsziele löst einen hackergruppenübergreifenden Kampf um die Kontrolle dieser IT-Ressourcen aus. Die Datenbankserver speichern große Datenmengen, was sie neben der reinen CPU-Leistung für Angreifer besonders attraktiv macht. Die Server speichern zudem häufig persönliche Informationen wie Benutzernamen, Passwörter oder Kreditkartennummern, die somit schnell in den Besitz der Angreifer fallen können.

Weitere Informationen zum Thema:

Guardicore Labs
The Vollgar Campaign: MS-SQL Servers Under Attack

datensicherheit.de, 04.12.2019
Vermehrt Angriffe auf biometrische Daten

datensicherheit.de, 04.12.2019
Vectra meldet Erfolg: Ermittlern gelang Schlag gegen RAT-Betreiber

datensicherheit.de, 16.08.2016
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen

[datensicherheit.de, 25.09.2018] Dass Schadprogramme zwischen nicht vernetzten Computern über den USB-Anschluss mittels infizierten Geräten übertragen werden können, ist bekannt. Laut einer aktuellen Kaspersky-Analyse zu Cybergefahren durch USB-Geräte und andere Wechseldatenträger für das Jahr 2018 [1], nutzen Cyberkriminelle den USB-Anschluss derzeit vor allem zur Verbreitung von Krypto-Mining-Malware. So war im bisherigen Jahresverlauf etwa jede zehnte Infektion (9,22 Prozent) durch ein USB-Speichermedium eine solche Malware.

Mangelnde Sicherheit von USB-Speichermedien seit rund 20 Jahren bekannt

Obwohl die mangelnde Sicherheit von USB-Speichermedien seit rund 20 Jahren bekannt ist, werden sie im Geschäftsumfeld noch immer gerne eingesetzt, zum Beispiel auf Messen. Kein Wunder, dass kompromittierte USB-Sticks als Türöffner in ein Unternehmensnetzwerk missbraucht werden.

Laut der Analyse wird die Top-10 der Bedrohungen für externe Datenträger von Windows-LNK-Malware angeführt. Dazu gehören auch nach wie vor der Stuxnet-Exploit ,CVE-2018-2568‘ aus dem Jahr 2010 und in zunehmendem Maße Krypto-Mining-Programme.

Dabei zählt der seit dem Jahr 2014 bekannte Schädling ,Trojan.Win32.Miner.ays‘ beziehungsweise ,Trojan.Win64.Miner.all‘ zu den gängigen Krypto-Minern, die über USB-Sticks und Co. verbreitet werden. Der Trojaner platziert die Mining-Anwendung auf dem PC, installiert und startet diese dort heimlich und lädt sich die nötigen Hilfsmittel nach, um die Ergebnisse dann an einen externen Server zu schicken, der von den Angreifern kontrolliert wird. Die Daten von Kaspersky Lab zeigen, dass die erst jetzt entdeckten Infektionen bereits Jahre zurückliegen müssen. Das heißt, auf den Geräten der Opfer wurde wohl über lange Zeit hinweg die Rechenleistung radikal eingeschränkt. Die Anzahl von Erkennungen der 64-Bit-Version des Krypto-Miners steigt jährlich an: im Jahr 2017 erhöhte sie sich gegenüber dem Vorjahr um 18,42 Prozent. Für dieses Jahr wird ein erneuter Zuwachs um 16,42 Prozent erwartet. Diese Ergebnisse legen nahe, dass die Verbreitung der Schädlinge über externe Datenträger weiterhin gut funktioniert.

„Die Verbreitung von Infektionen durch USB-Geräte ist zwar nicht mehr so effektiv wie in der Vergangenheit, denn inzwischen gelten sie als unsicher und werden im Geschäftsleben weniger häufig eingesetzt. Dennoch zeigt unsere Untersuchung, dass USB-Sticks weiterhin ein nicht zu unterschätzendes Risiko sind“, warnt Denis Parinov, Anti-Malware Researcher bei Kaspersky Lab. „Für Angreifer ist dieses Speichermedium weiterhin von Interesse und wird für Attacken verwendet. Einige Infektionen bleiben über Jahre hinweg unentdeckt. Glücklicherweise können sich Privatnutzer und Unternehmen mit sehr einfachen Mitteln davor schützen.“

Kaspersky-Empfehlungen für eine sichere USB-Verwendung

Für alle privaten USB-Nutzer gilt:

• Wenn man ein externes Gerät an einen Rechner anschließt, sollte man Vorsicht walten lassen und sich die Frage stellen, woher das Gerät stammt.
• Nur verschlüsselte USB-Speicher vertrauenswürdiger Herkunft verwenden.
• Alle auf dem USB-Medium gespeicherten Daten verschlüsseln.
• Auf dem Rechner sollte eine Sicherheitslösung installiert sein, die alle temporär angeschlossenen Geräte auf Malware überprüft, bevor sie in das Netz eingebunden werden. Denn auch vertrauenswürdige Marken können Opfer ihrer Lieferkette werden.

Unternehmen wird ergänzend empfohlen:

• dass sie interne Richtlinien einführen, von wem und für welchen Zweck USB-Geräte verwendet werden dürfen.
• Mitarbeiter im sicheren Umgang mit externen Geräten zu schulen. Das gilt besonders dann, wenn die Geräte zum Austausch von Daten zwischen den Rechnern am Arbeitsplatz und zu Hause verwendet werden.
• Mitarbeiter zu sensibilisieren, Speichermedien sicher zu verwahren und nicht offen herumliegen zu lassen.

[1] https://securelist.com/usb_threats_from_malware_to_miners/87989/
Die Analyse basiert auf Zahlen des Kaspersky Security Network (KSN). Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern.

Weitere Informationen zum Thema:

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner

datensicherheit.de, 20.09.2018
Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen

datensicherheit.de, 14.09.2018
Kryptomining-Malware in Add-ons des Mediaplayers Kodi enttarnt