[datensicherheit.de, 26.10.2016] Check Point® Software Technologies Ltd. hat die Ergebnisse seiner monatlichen Gefahrenanalyse für den Monat September 2016 mit einer Überraschung veröffentlicht: Zum ersten Mal befindet sich mit „Locky“ eine Ransomware unter den Top 3 der weltweit am meisten verbreiteten Schadsoftware.

„Conficker“ in Deutschland noch immer auf Platz 1

In Deutschland liege „Locky“ inzwischen nur noch auf Platz 4 (im Vormonat noch unter den Top 3 zu finden) und sei im September von „Cryptowall“ abgelöst worden. Global nähmen Attacken mit Verschlüsselungstrojanern um 13 Prozent zu.
Insgesamt bleibe nach wie vor „Conficker“ auf Platz 1 und werde noch immer für 14 Prozent aller erkannter Angriffe genutzt. Auf Platz 2 folge mit „HackerDefender“ ein Rootkit und auf Platz 3 mit „Cryptowall“ eine neue Ransomware, die „Locky“ ablöse:

1. „Conficker“ ()
   Ein Wurm, der Remote-Zugriffe, Malware-Downloads und den Diebstahl von Legitimationsdaten zulässt, indem die Systemsicherheitsdienste von „Microsoft Windows“ deaktiviert werden.
   Infizierte Geräte werden von einem Botnetz gesteuert. Dabei kommuniziert die Malware mit einem C&C-Server, um Anweisungen zu erhalten.
2. „HackerDefender“ (↑)
   Rootkit für „Windows 2000“ und „Windows XP“, das eventuell auch auf „Windows NT-Systemen“ funktioniert.
   Das Rootkit modifiziert verschiedene „Windows“- und „API“-Funktionen, um sich vor der Entdeckung durch Sicherheitssoftware zu schützen. Das Rootkit ist online verfügbar, weltweit bekannt und leicht zu installieren.
3. „Cryptowall“ (↑)
   Eine Ransomware, die Daten verschlüsselt und den Nutzer auffordert, ein Lösegeld zu bezahlen.
   2014 wurde die Malware zum ersten Mal entdeckt, inzwischen gibt es vier wichtige Versionen, die seit 2015 im Umlauf sind.

„HummingBad“ bleibt die meist genutzte mobile Malware für Angriffe

Mobile Malware-Familien bedrohten weiterhin weltweit mobile Geräte.
Für den sechsten Monat in Folge bleibe „HummingBad“ die zu meist genutzte mobile Malware für Angriffe. Die Top 3 besteht laut der Untersuchung aus den folgenden Schadsoftware-Typen:

1. „HummingBad“ ()
   „Android“-Malware, die auf dem Gerät ein persistentes Rootkit einrichtet, betrügerische Anwendungen installiert und zusätzliche bösartige Aktivitäten ermöglicht. Dazu gehören beispielsweise das Installieren eines „Key Loggers“, der Diebstahl von Legitimationsdaten und die Umgehung der von Unternehmen genutzten verschlüsselten E-Mail-Container. Bislang hat die Malware 85 Millionen Mobilgeräte infiziert.
2. „Triada“ (↑)
   Modulare Backdoor, die Super-User-Rechte verleiht, um Malware herunterzuladen und den Angreifer dabei unterstützt in die Systemprozesse einzudringen.
   „Triada“ wurde darüber hinaus dafür genutzt, im Browser geladene URLs zu spoofen.
3. „Ztorg“ (↓)
   Trojaner, der Root-Privilegien nutzt, um Apps auf mobilen Geräten herunterzuladen und zu installieren, ohne, dass der Nutzer dies mitbekommt.

Fortgeschrittene Abwehrmaßnahmen für Netzwerke, Endpunkte und mobile Geräte

Das kontinuierliche Wachstum der Ransomware-Bedrohungen sei ein Symptom für die Anzahl an Unternehmen, die noch immer Lösegeld für ihre sensiblen Daten bezahlten, erklärt Nathan Shuchami, „Head of Threat Prevention“ bei Check Point. Dies führt dazu, dass Ransomware immer noch ein lukratives Geschäftsmodell und ein attraktiver Angriffsvektor für Cyber-Kriminelle sei.
Um diesen Bedrohungen zu begegnen, bedürfe es „fortgeschrittener Abwehrmaßnahmen für Netzwerke, Endpunkte und mobile Geräte, um die Schadsoftware bereits frühzeitig zu stoppen“.
Bei Check Point habe man wir hierfür die Lösungen „SandBlast Zero-Day Protection“ und „Mobile Threat Prevention“ entwickelt, so Shuchami.

Weltweite Cyber-Angriffe in Echtzeit aufgezeigt

Check Points Bedrohungsindex basiert nach eigenen Angaben auf der „Threat Intelligence“, die der Anbieter aus seiner „ThreatCloud World Cyber Threat Map“ zieht.
Dort werden weltweite Cyber-Angriffe in Echtzeit aufgezeigt. Die „Threat Map“ werde von Check Points „ThreatCloudTM Intelligence“ betrieben, dem größten kollaborativen Netzwerk im Kampf gegen Cyber-Crime.
Die „ThreatCloud“-Datenbank enthält demnach über 250 Millionen auf Bots untersuchte Adressen, über elf Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziere sie täglich Millionen Malware-Typen.

Weitere Informationen zum Thema:

Check Point
Threat Prevention Resources

[datensicherheit.de, 04.07.2016] Forscher von proofpoint haben nach eigenen Angaben eine neue „Ransomware“ namens „Bart“ entdeckt, die von den Tätern hinter „Dridex“ und „Locky“ stammen soll.

Dateienverschlüsselung ohne Verbindung mit C&C-Server

Angreifer nutzen demnach die Malware „RockLoader“, um „Bart“ über HTTPS runterzuladen. „Bart“ verwende einen Bezahlbildschirm wie „Locky“, verschlüssele jedoch Dateien, ohne sich zuvor mit einem Command-and-Control-Server (C&C) zu verbinden.
Nach der Verschlüsselung werde an die Namen der verschlüsselten Dateien die Erweiterung „.bart.zip“ angehängt. Oberflächlich betrachtet seien diese Dateien dann verschlüsselte Zip-Archive.

Lösegeldforderung von rund 1.800 Euro

Bei der Lösegeldforderung werde der Benutzer aufgefordert, ein Bezahlportal zu besuchen und dort drei Bitcoins (beim derzeitigen Wechselkurs etwas weniger als 1.800 Euro) zu bezahlen. Dieses Bezahlportal ähnele demjenigen bei „Locky“ verwendeten; optisch sei nur die Überschrift „Decryptor Bart“ neu, anstelle der vorherigen Überschrift „Locky Decryptor“. Während die Bezahlportale für „Locky“ und „Bart“ optisch identisch seien, unterscheide sich der Ransomware-Code erheblich.

Weitere Informationen zum Thema:

proofpoint
Nein! Neue Ransomware „Bart“ von den Bedrohungsakteuren, die Dridex und Locky verbreiten

[datensicherheit.de, 16.04.2016] Der Krypto-Trojaner „Locky“ besteht im Wesentlichen aus JAVA-Code (JavaScipt, VB-Script, Makros oder direkt als CMD getarnt), der sich meistens in einer Rechnung in einem E-Mail-Anhang verbirgt, dann automatisch ausgeführt wird und die weiteren, zur Ausführung benötigten Code-Elemente aus dem Internet nachlädt. ItWatch hat in einer aktuellen Aussendung umfangreiche Informationen zu „Locky“ zusammengetragen, von denen einige nachfolgend angerissen werden.

Verschlüsselung von bis zu 40.000 Dateien in einer Minute

Neben dem häufigsten Befall durch ein E-Mail-Attachment sollen auch Varianten gesichtet worden sein, die sich über „Drive-by-Downloads“ (Browser), „Water Hole“ (APT über Browser) und USB-Stick verbreiten. Einmal vollständig geladen sei „Locky“ als „Schläfer“ organisiert – er schlage also nicht sofort, sondern zeitversetzt zu, indem alle für den Benutzer mit Schreibrechten zugreifbare Dateien vieler Dateitypen verschlüsselt würden. Nach Angaben von Betroffenen bis zu 40.000 Dateien in einer Minute, ohne dass der Anwender diese Dateien wieder lesen könne.
Ein Erpressungsschreiben wird auf den befallenen Rechner gebracht, wonach gegen die Übermittlung eines Betrages in Höhe von meist ca. 400 Euro die Übermittlung des benötigten Schlüsselmaterials versprochen wird. Nach bisherigen praktischen Erfahrungen wird dieses wohl auch geliefert; die Landeskriminalämter, das BSI und alle anderen öffentlichen Stellen empfehlen aber, nicht zu zahlen, um diesen Geschäftsmodellen prinzipiell die Erfolgschancen zu nehmen.

Entkoppeltes Backup als zentrale Datensicherungsmaßname

Als häufigste Empfehlung werde zu täglichen Backups geraten, um notfalls wieder „sauber“ aufsetzen zu können. Bei „Locky“ werden indes auch Dateien verschlüsselt, die auf „Shares“ im Netz oder lokal z.B. über USB angebundenen Laufwerken liegen. Deshalb sei es für die Prävention zwingend, die Backups zu entkoppeln, also physikalisch zu trennen, bzw. zumindest dem Benutzer (und allen lokal verfügbaren technischen Accounts inklusive der lokalen Administrationsaccounts) Schreibrechte zu entziehen, da eine physikalische Entkopplung meist technisch gar nicht möglich ist.
Organisatorische Anweisungen zur physikalischen Entkopplung haben laut itWatch „statistisch erkennbar geringen Erfolg“, wenn sie nicht durch technische „Awareness“ in Echtzeit unterstützt sind. Nachhaltig sei dieses Verfahren bei einem Schläfer wie „Locky“ aber nur dann, wenn man auf dem gezogenen Backup mit 100-prozentiger Sicherheit verifizieren könne, ob das Backup selbst befallen ist oder nicht. Befallene Backups dürften nicht wieder eingespielt werden, um nicht als Quelle neuer Angriffswellen zu dienen – sie müssten automatisiert sicher vernichtet werden. Je nach der Latenzzeit des „Schlafes“ könne gar das letzte nicht infizierte Backup auch über ein halbes Jahr alt sein.

Das Darknet als Supermarkt auch für IT-Laien

Angriffe würden professionell erstellt und als Toolkit im Darknet verkauft, so dass auch IT-Laien sich ihren eigenen zusammenbauen könnten. Die Abwehr müsse deshalb professionellen Schutz implementieren, also robust gegen Angriffe sein, sonst sei sie das Geld und die Zeit nicht wert, die man zur Umsetzung benötige.
Optimal sei es natürlich, mittels einer einzigen Lösung mit einer prüfbaren und durch Experten im Schutzgrad geprüften Implementierung vor allen Bedrohungen zu schützen und trotzdem das Arbeiten des Anwenders zu unterstützen. Optimaler Schutz bestehe nur über integritätsgeschützte, als Opfersystem ausgelegte, sicher gekapselte Systeme, die keinen Durchgriff auf produktive Systeme hätten und das Ausbrechen aus einer Virtualisierung mit zusätzlichen Mitteln verhinderten.
Mit einem solchen System würden die potenziell kritischen Daten automatisch, für den Anwender nahtlos in eine virtuelle Quarantäne gebracht und dort durch die geeigneten Anwendungen geöffnet, um zu verhindern, dass potenziell enthaltener Schadcode die produktiven Systeme infiziert. In einer „Remote Controlled Session“ könne der Anwender alle aktiven Inhalte nutzen und beliebige Daten einsehen, sowie kritische Aktionen durchführen, ohne die produktive Umgebung zu gefährden.

Gefahrenquellen für die betriebliche IKT

Kritisch sei etwa das Anklicken einer problematischen URL, das Herunterladen von ausführbaren Elementen aus dem Internet, das Anstecken eines fremden, nicht in Echtzeit geprüften Peripheriegerätes, das Installieren einer unbekannten Anwendung von einem fremden Datenträger oder aber eben wie das Beispiel „Locky“ zeige, das Öffnen von E-Mail-Anhängen, welche ausführbaren Code beinhalten.
Die Virtualisierung von potenziell schädlichen Inhalten und unbekanntem Code alleine sei als Lösung jedoch zu kurz gegriffen. Erst wenn die Arbeitsergebnisse aus der virtualisierten Umgebung sicher in die Prozesse der Produktionsumgebung eingebunden würden und die Aktivitäten in der virtualisierten Welt nahtlos und barrierefrei automatisch für den Anwender eingebunden seien, schaffe das effiziente, sichere Arbeitsumgebungen, die gleichzeitig prüfbar und geschützt seien.
Dazu müssten Virtualisierung, Applikations- und Contentkontrolle sowie Verschlüsselung geeignet kombiniert werden und könnten dann die sichere und flexible Alternative zu rigiden Verboten oder physikalisch getrennten Systemen darstellen. Durch ein „Remote-Controlled-Application-System“ (ReCAppS) würden sicherheitskritische Aktionen in der produktiven Umgebung sicher erkannt und dann automatisch in eine virtualisierte Umgebung ausgelagert. Inhalte würden sowohl auf dem ReCAppS als auch auf dem produktiven Client-System des Anwenders nach den zentralen Vorgaben kontrolliert, so dass kein Schadcode ins interne Netz gerate. Wesentlich sei hierbei, dass eine Prüfung auf Schadcode etwa durch Anti-Viren-Programme nicht ausreiche, da jeder potenzielle Code, der fremd und nicht positiv authentisiert sei, erkannt werden müsse und in der virtuellen Schleuse auszuführen sei.

Warnung vor der scheinbar harmlosen E-Mail mit Anhang und vor USB-Sticks

Sogenannte Krypto-Trojaner können sich in einer auf den ersten Blick harmlosen E-Mail-Rechnung verbergen. Wer deren Anhang anklickt, infiziert seinen Rechner mit der Verschlüsselungssoftware und hat damit keinen Zugriff mehr auf seine Daten. Ist der Computer infiziert, werden durch den Trojaner alle Dateien mit vordefinierten Endungen verschlüsselt – und tragen dann zum Beispiel den Namen „*Locky“. Laut itWatch sind mehr als 100 Dateiendungen hinterlegt. Nur eine Datei sei dann noch lesbar: Die mit einer Lösegeldforderung der Erpresser, die auch eine genaue Handlungsanweisung enthalte. In der Internetwährung Bitcoin solle das Lösegeld gezahlt werden – meist ca. 400 Euro. Eine Anweisung zur Eröffnung eines Kontos in der Internetwährung schickten die Kriminellen gleich mit.
Weitere Verbreitungswege seien eben „Drive-by-Attacken, „Watering Hole“ und USB-Datenträger – darauf entweder als infiltrierter Content, der wie E-Mail-Anhänge gestaltet sei, oder – noch perfider – gleich im Controller des USB-Datenträgers verborgen. Deshalb sein in diesem Zusammenhang fremde USB-Sticks bzw. fremde Peripheriegeräte nicht weniger gefährlich, denn auch in einer Maus oder einer Tastatur könne sich ein Trojaner verbergen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Version 2.0 / Remote-Controlled Browsers System (ReCoBS)

[datensicherheit.de, 10.04.2016] Palo Alto Networks hat nach eigenen Angaben ein neues Tool identifiziert, das von der Ransomware-Familie „Locky“ verwendet wird, um nicht entdeckt zu werden und Endpunkte zu infizieren.

Für statische Analyse-Tools verborgen

Mithilfe des Bedrohungserkennungsdienstes „AutoFocus“ von Palo Alto Networks seien beim Korrelieren von globalen Daten leichte Veränderungen an „Locky“ festgestellt worden. Das neu entdeckte Tool zur Umgehung von Sicherheitskontrollen komme offensichtlich sogar bei weiteren Ransomware-Familien zum Einsatz.
Mehrere Malware-Samples seien Palo Alto Networks durch verschleierte API-Aufrufe aufgefallen, die Systemfunktionen manipuliert hätten. Diese Funktionalität bleibe den häufig verwendeten statischen Analyse-Tools verborgen.

Manipulationen an den API-Aufrufen

Die Manipulationen an den API-Aufrufen verhinderten die Klassifizierung anhand von Schlüsselnamen, wodurch die Wahrscheinlichkeit erhöht werde, die Malware nicht zu entdecken.
Dies scheine jedoch nur eine von mehreren Maßnahmen zu sein, um Sicherheitsanalysen in die Irre zu leiten. Bei der Begutachtung aktueller Samples habe sich gezeigt, dass die Importtabellen für die bei der Ausführung geladenen Bibliotheken sich deutlich unterschieden, was eine sinnvolle Erkennung von „Import-Hashing“ verhindere. Zudem scheine es, dass der Verursacher jede Menge sinnlose Anweisungen zu generieren versucht, um die Analyse zu erschweren.

Verschleierungstechnik laut Palo Alto Networks nachweisbar

Neben „Locky“ sei diese Technik auch bei Samples der Malware-Familien„TeslaCrypt“ und „Andromeda“ aufgetaucht.
Palo Alto Networks betont, dass diese Verschleierungstechnik durch dynamische Analyse in Kombination mit der statischen Analyse seines „WildFire“-Diensts nachgewiesen werden könne.

Weitere Informationen zum Thema:

paloalto NETWORKS, 08.04.2016
Ransomware: Locky, TeslaCrypt, Other Malware Families Use New Tool To Evade Detection

[datensicherheit.de, 08.04.2016] Auch in Deutschland sind Unternehmen und Organisationen derzeit das Ziel von Erpressungs- und Verschlüsselungstrojanern („Ransomware“). Die neue und intelligente „Anti-Cryptor-Technologie“ von KASPERSKY lab soll diese nun bei ihrer Cyber-Sicherheitsstrategie gegen „Ransomware“ unterstützen. Nach eigenen Angaben handelt es sich bei „Anti-Cryptor“ um eine der Schlüsselkomponenten der aktualisierten und ab sofort verfügbaren Version von „Kaspersky Security for Windows Server“.

Erhebliches Bedrohungspotenzial

„Ransomware“ sei, wie die Beispiele „Coinvault“, „Teslacrypt“ sowie jüngst auch „Locky“ und „Petya“ zeigten, kein neues Phänomen. Sie breite sich aktuell allerdings „explosionsartig“ aus und bedrohe weltweit Unternehmen und Organisationen – insbesondere auch in Deutschland.
Das Bedrohungspotenzial sei „erheblich“, warnt KASPERSKY lab, denn ein einzeln infizierter Rechner könne die Infektion binnen Minuten im gesamten Unternehmensnetz verbreiten und Schäden anrichten. Seien auch die Sicherheitskopien betroffen, könnten Organisationen verlorenen gegangene Daten oft nicht wiederherstellen, selbst wenn sie bereit wären, die geforderte Lösegeldsumme zu bezahlen.
„Ransomware“ sei für Cyberkriminelle einfach zu entwickeln, diese versprächen sich davon schnelles Geld. Zudem hätten Opfer bei diesem unfairen Spiel keinerlei Garantie, verschlüsselte Daten durch die Zahlung eines Lösegelds jemals zurückzubekommen, erklärt Holger Suhl, „General Manager DACH“ bei KASPERSKY lab.

Schutz vor „Ransomware“ bereits auf Server-Ebene

Der wachsenden Gefährdung durch „Ransomware“ soll nun mit einer neuen, intelligenten und für leistungsfähige Unternehmensserver entwickelten Version der Lösung „Kaspersky Security for Windows Server“ begegnet werden. Diese sei Teil der Unternehmensplattform „Kaspersky Endpoint Security for Businesses“ sowie der Lösungen „Security for File Server“ und „Security for Storage“.
Die präventive Lösung identifiziert und prüft nach Herstellerangaben kritische Bereiche von Unternehmensservern auf Malware. Der Schutz vor „Ransomware“ setze somit bereits auf Server-Ebene an. Beispielsweise könne über den Scan von Autorun-Dateien die Ausführung von Malware beim Systemstart verhindert werden. Außerdem würden verdeckte schädliche Prozesse erkannt.
Für die Entwicklung der „Anti-Cryptor“-Technologie hätten ihre Experten „ihr ganzes Fachwissen unter Beweis gestellt“, so Suhl. Diese neue Technologie sei einzigartig am Markt – ihre patentierten Algorithmen schützten die im Unternehmen gemeinsam genutzten Dateiserver vor „Ransomware“ und verhinderten die Erpressung von Unternehmen mit ihren eigenen Dateien.

Weitere Informationen zum Thema:

Kaspersky Lab Germany auf YouTube, 05.04.2016
Kaspersky Security for Windows Server Anti Cryptor

[datensicherheit.de, 21.03.2016] Angriffsversuche per E-Mail sind nicht erst seit dem Auftauchen der Ransomware „Locky“ in den Fokus der Berichterstattung geraten. Experten gehen davon aus, dass täglich allein in Deutschland über 100 Millionen Spam-Nachrichten versendet werden, wobei es sich nicht nur um Massenangriffe, sondern auch durchaus um gezielte Attacken handeln soll.

Hinweise auf Betrug erkennen

Die E-Mail, die in die Postfächer der potenziellen Opfer gelangt, ist eine angebliche Bestellung mit einem Anhang namens „purchase-order.htm“. Bereits in der E-Mail gibt es laut G DATA Hinweise, die auf einen Betrug hindeuten. Die Firma existiere unter diesem Namen nicht, die Absender-Adresse wirke nicht seriös, auch das Anschreiben enthalte Rechtschreibfehler.

Missbrauch als Spam-Schleuder

Bekommen die Angreifer Zugriff auf ein E-Mail-Konto einer Privatperson oder einer Firma, kann dieses zum weiteren Versand von Spam verwendet werden. Gehen Zugangsdaten im Firmenkontext verloren, können daraus weitreichende Probleme erwachsen, zum Beispiel der unberechtigte Zugriff auf unternehmensinterne Daten und E-Mails.

Tarnung der Phishing-Mail als Bestellung

Die Datei tarne sich als eine Art Microsoft-„Excel“-Onlinedokument. Im Hintergrund sei eine „Excel“-Tabelle zu sehen, allerdings sei diese nur ein Bild, kein Tabellen-Dokument, das man bearbeiten kann. Geladen werde das Bild von einem Server aus Hongkong. Empfänger sollten verleitet werden, ihre Anmeldedaten in ein Formular eingeben, um einen Download zu starten. Die eingegebenen Daten, E-Mail-Adresse und Passwort, würden nach dem Klick auf „Download“ an den gleichen Server in Hongkong versendet, von dem auch die Bilder geladen würden – allerdings an eine andere Domain. Die Vermutung liege nahe, dass der gesamte Server von den Angreifern kontrolliert werde. Nach dem Absenden der Daten werde eine Webseite mit einer Fehlermeldung geöffnet, so G DATA.

Grundsätzliche Tipps von G DATA

Insbesondere Unternehmen werden grundsätzlich aufgerufen, eine umfassende Sicherheitslösung einzusetzen und diese auf dem aktuellen Stand zu halten. Lästige E-Mail sollten mit einem Mail- und Spamschutz abgeblockt werden.
Niemals sollten offensichtliche SPAM-Mails beantwortet werden. Eine Antwort zeige Betrügern nämlich, dass die angeschriebene Adresse tatsächlich existiert und damit werde diese für sie noch wertvoller. Auch sollten keine persönlichen Daten preisgegeben werden – weder per E-Mail, noch in dubiosen Formularen oder auf verdächtigen Webseiten. Speziell im Firmen-Umfeld gelte es, in Verdachtsfällen den hauseigenen IT-Administrator oder auch externe Experten anzusprechen, die als Dienstleister für das Unternehmen tätig sind.

Prüfung von E-Mails auf Plausibilität

Jeder Empfänger derartiger E-Mails sollte sich fragen, ob man selbst bzw. die eigene Firma einen Grund hat, eine Bestellung aus dem Ausland zu erhalten. Zu prüfen sei auch, ob man selbst der Empfänger der E-Mail ist oder dort eine andere Adresse steht und welchen Eindruck die E-Mail generell macht – hinsichtlich der verwendeten Sprache.
E-Mails von unbekannten Absendern sollten generell erst einmal misstrauisch betrachtet werden – erscheint eine E-Mail sehr eigenartig, dann gelte: Ignorieren, löschen, aber auf keinen Fall Anhänge öffnen oder Links anklicken!

Vorsicht bei Attachments und Links

Das Öffnen von Dateianhängen berge Risiken. Sie sollten zunächst mit einer Sicherheitslösung gescannt werden und ggf. ungeöffnet im Papierkorb landen. Wer sich unsicher sei, könne eine solche Datei vor dem Öffnen zur Datei-Analyse an die G DATA SecurityLabs einsenden.
Auch Links in E-Mails sollten keinesfalls unbedacht angeklickt werden. Zunächst sollte man die URL prüfen. Viele E-Mail-Programme erlaubten es, das eigentliche Ziel der Verlinkung zu sehen, wenn man die Maus über den sichtbaren Link bewegt, ohne ihn jedoch anzuklicken – die sogenannte „Mouseover“-Funktion. Wer sich unsicher ist, könne die zweifelhafte URL vor dem Klick zur Analyse an die G DATA SecurityLabs einsenden. E-Mails mit einem Dateianhang im HTM(L)-Format sollten prinzipiell mit großer Skepsis betrachtet werden, denn dieses Dateiformat sei nur für Webseiten gebräuchlich; für den Informationsaustausch zwischen Personen sei es sehr ungewöhnlich. Gleiches gelte für Dateien im Format „.JS“ (JavaScript).

Weitere Informationen zum Thema:

G DATA Security Blog, 17.03.2016
Bestellungs-Mail entpuppt sich als Phishing-Attacke im Excel-Look / Angreifer haben es offenbar auf Log-In Daten von Unternehmensangestellten abgesehen

[datensicherheit.de, 20.03.2016] Als Reaktion auf die jüngst aufgetretenen und viel diskutierten Bedrohungen der Internetnutzer wie durch den Erpresser-Trojaner „Locky“, sogenannte „Drown-Attacken“ und spektakuläre Smartphone-Schwachstellen wie „Stagefright“ hat das Hasso-Plattner-Institut (HPI) zu einer aktuellen Ergänzung seines seit Februar 2016 laufenden kostenlosen Internet-Sicherheitskurses für jedermann bewogen.

Schutz vor sogenannten Erpressungs-Trojanern

Der aktualisierte HPI-Onlinekurs „Sicherheit im Internet“ zeigt nun in einem Zusatzvideo Tipps zum Schutz vor sogenannten Erpressungs-Trojanern. Institutsdirektor Prof. Christoph Meinel thematisiert darin auch die Abwehr von Angriffen über verwundbare Server, die mit einem veralteten Sicherheitsprotokoll arbeiten. Ferner werden Hinweise zu aktuellen Sicherheitsproblemen bei Smartphones gegeben. Der kostenlose Onlinekurs stehe nach wie vor für jeden offen, der sich auf der Bildungsplattform „openHPI“ anmeldet.

Antiviren-Software überfordert

Die Hersteller von Antiviren-Software seien im Februar 2016 angesichts des „plötzlich, massiv und geschickt“ verbreiteten Erpressungs-Trojaners „Locky“ nicht in der Lage gewesen, ihre Datenbanken schnell genug anzupassen, so Professor Meinel. Mit Schadprogrammen wie „Locky“ verschlüsseln Cyberkriminelle auf dem Rechner eines Internetnutzers dessen Daten und versprechen, sie gegen Geldzahlung wieder lesbar zu machen.
Da sich die betroffenen Nutzer des Microsoft-Betriebssystems „Windows“ nicht auf Schutz durch Antiviren-Software hätten verlassen können, habe sich die Schadsoftware in den vergangenen Wochen vor allem über E-Mail-Anhänge verbreitet. Der Potsdamer Informatiker warnt deshalb erneut davor, Anhänge an E-Mails zu öffnen, die unerwartet und aus unbekannter Quelle zugestellt würden. Vor allem Mail-Anhänge mit ausführbaren Dateien seien in diesem Zusammenhang gefährlich – erkennbar seien diese an Datei-Endungen wie „.exe“, „.com“, „.bat“ oder „.js“.

Nach Möglichkeit Erpressern nicht beugen

Einerseits sei von der Zahlung der geforderten Erpressungssummen abzuraten, damit das Geschäftsmodell der Cyberkriminellen nicht noch gefördert werde. Zudem sei nicht garantiert, dass nach Zahlung die Daten tatsächlich wieder zugänglich gemacht werden, warnt Meinel. Andererseits könne es sein, dass der tatsächliche Wert der Daten den erpressten Betrag übersteige. Ein Krankenhaus in Los Angeles habe es deshalb als wirtschaftlich sinnvoll angesehen, 17.000 US-Dollar an Cyberkriminelle zu zahlen und habe verschlüsselte Patientendaten dann wirklich wieder lesbar gemacht bekommen, berichtet der Sicherheitsforscher.

Hinweise zu sogenannten „Drown-Attacken“

Meinel gibt auch Hinweise zu den Anfang März 2016 entdeckten sogenannten „Drown-Attacken“. Diese werden über verwundbare Server ausgeführt, die direkt oder indirekt mit der veralteten Version „v2“ des Sicherheitsprotokolls SSL arbeiten. Laut Meinel handelt es sich um etwa jeden dritten Server im https-Netz. Dies sei ein erstaunlich hoher Anteil, da die entsprechende Schwachstelle doch schon seit mehr als 15 Jahren bekannt sei.

Sicherheitslücken bei Smartphones

Angesichts von Sicherheitslücken bei Smartphones kritisiert Meinel, dass es keine gesetzliche Verpflichtung der Hersteller gebe, die Funktionstüchtigkeit der Geräte für eine bestimmte Mindestnutzungsdauer zu garantieren.
Besonders problematisch wirke sich das bei „Android“-Handys aus, deren Hersteller nicht das Original-Betriebssystem von Google verwenden, sondern ein modifiziertes. Diese Hersteller unterließen es bei Altgeräten mit modifizierten Betriebssystemen dann oft, diese anzugleichen, wenn Google „Android“ aktualisiert. Bekannte Schwachstellen könnten dann aber von Cyberkriminellen nach wie vor ausgenutzt werden.
Im Zusammenhang mit der „spektakulären Android-Schwachstelle Stagefright“, welche bei rund einer Million Handys bis zur Betriebssystemversion 5.1 die Multimedia-Anzeige und -Verarbeitung betrifft, erläutert der Wissenschaftler, dass die Probleme seit etwa einem Dreivierteljahr bekannt und trotzdem noch nicht alle vollständig gelöst seien. Zum Abschluss gibt er vorsorgliche Tipps, die den Schutz erhöhen sollen.

Weitere Informationen zum Thema:

Hasso-Plattner-Institut: OPEN HPI
Sicherheit im Internet / Prof. Dr. Christoph Meinel

[datensicherheit.de, 12.03.2016] Die Verwaltung der unterfränkischen Stadt Dettelbach wurde Opfer eines Ransomware-Angriffs. In ihrer Hilflosigkeit beim Umgang mit dieser Sicherheitsbedrohung sah die Kommunalverwaltung keine andere Möglichkeit, als eine „Fachfirma“ mit der Bezahlung des Lösegelds zu beauftragen – entgegen der Empfehlung der Polizei und des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Attacken auf Daten von Bürgern besonders verheerend

Die sogenannte Ransomware infiziert wahllos Dateien des Opfers und verschlüsselte sie, so dass diese nicht mehr zu öffnen sind. Das Schlüsselpasswort zur Wiederherstellung erhält das Opfer nur durch die Zahlung eines Erpressungsgelds an die Angreifer. Im konkreten Fall sei genau dies in Form der Internetwährung Bitcoin getan worden. Experten raten aber davon ab, da es keine Sicherheiten für eine Freigabe der Dateien gibt und Kriminelle durch Zahlung in ihrer Handhabung unterstützt werden.
Bei der eingesetzten Malware habe es sich um Ransomware mit dem Namen „TeslaCrypt“ gehandelt, so Dirk Arendt, Leitender Beauftragter „Public Affairs & New Technologies“ bei Check Point Software Technologies GmbH. Bei einem ähnlichen Angriff hat eine Malware mit dem Namen „Locky“ kürzlich zeitweise 5.000 Rechner pro Stunde infiziert.
„TeslaCrypt“ sei bereits seit Anfang 2015 bekannt und werde von entsprechender Schutzsoftware erkannt. In Dettelbach hat es aber offensichtlich nur eine unzureichende Vorkehrung gegeben, so dass es zu dem erfolgreichen Angriff kommen konnte. Attacken auf die Daten von Bürgern seien besonders verheerend, da es das Vertrauen in staatliche Infrastruktur und den Zusammenhalt von Staat und Gesellschaft maßgeblich verschlechtern könne, warnt Arendt.

Anwender zunehmend überfordert

Die Schuld bei einzelnen Lokalverwaltungen zu suchen, wäre aber zu kurz gedacht. Die Gefahrenlandschaft habe sich grundlegend gewandelt. Früher habe eine Firewall oder ein Virenscanner gereicht, heute gehe es um umfassendere Sicherheitsarchitekturen.
Selbst das BSI argumentiert in seinem aktuellen Lagebericht zur IT-Sicherheit: „Der Schutz der IT-Systeme durch die Anwender kann mit den oft hoch entwickelten Werkzeugen zur Ausnutzung von Sicherheitslücken nicht immer Schritt halten.“ Besonders die Wandlungsfähigkeit und das rasche Wachstum von Malware seien eine Gefahr, sagt Arendt. Forschungsergebnisse zeigten, dass im Jahr 2014 41 Prozent aller Organisationen mindestens eine unbekannte Malware heruntergeladen hätten. Im Schnitt würden jede Stunde 106 infizierte Dateien herunterladen – 25 Prozent mehr als im Vorjahr.

Dirk Ahrendt, Check Point Software Technologies

Dirk Arendt: Der Bevölkerung das nötige Verantwortungsbewusstsein zeigen!

Klare Strategie auf Bundes- und Länderebene gefordert

„Die Bedrohung ist real und darf nicht mehr länger unterschätzt werden.“ Es braucht laut Arendt eine klare Strategie auf Bundes- und Länderebene, die einheitliche Sicherheitsstandards und entsprechende Richtlinien für öffentliche Einrichtungen definiert. Die Sicherheitsverantwortlichen in den Verwaltungen dürften bei der Umsetzung auf keinen Fall alleine gelassen werden. Es sei wichtig, der Bevölkerung das nötige Verantwortungsbewusstsein zu zeigen. Staatliche Institutionen hätten eine Vorbildfunktion und müssten persönliche Daten der Bürger unter allen Umständen vor Kriminellen beschützen.
Die Digitale Integration betreffe alle Teile der Bevölkerung. Es sollte zugeschnittene Programme für einzelne Gruppen geben, um die Thematik umfassender in alle Bevölkerungsgruppen zu tragen. Sicherheit und damit das Vertrauen seien ein Gemeingut, das den Einsatz, die Involvierung aller Akteure bedürfe. Nur so ließen sich Vorfälle wie in Unterfranken in Zukunft vermeiden, betont Arendt.

Weitere Informationen zum Thema:

golem.de, 04.03.2016
„Die verschlüsselte Stadt, die zahlte“

Bundesamt für Sicherheit in der Informationstechnik
Die Lage der IT-Sicherheit in Deutschland 2015

[datensicherheit.de, 11.03.2016] Nach Angaben von Clavister fege der Krypto-Trojaner „Locky“ fegt mit einer Geschwindigkeit von 5.000 Infektionen pro Stunde durch Deutschland. Ehe sich dienstliche und private Nutzer absichern konnten, hätten die „Locky“-Urheber bereits zusätzliche, neue Maschen entwickelt, um die Schadsoftware freizusetzen. Ein hilfreiches „IT-Sicherheitskonzept nach Schema F“ gebe es indes nicht – aber die Möglichkeit, verschiedene technische Maßnahmen zu kombinieren.

Fraunhofer-Institut in Bayreuth angegriffen

Die Ransomware „Locky“ bestimmt aktuell die Diskussion in Fachkreisen. Auch bei Clavister hat man über die „zugegebenermaßen clevere Vorgehensweise des Schädlings“ debattiert. Dieser drang bereits in die IT-Infrastrukturen mehrerer prominenter Opfer ein, z.B. beim renommierten Fraunhofer-Institut in Bayreuth. Dort soll der Trojaner angeblich über einen der Arbeitsplätze Kontakt zum „Command-and-Control“-Server des Trojaners hergestellt und so im Netzwerk aktiv geworden sein.
Alle dort befindlichen Original-Dateien habe „Locky“ durch verschlüsselte Kopien ersetzt – sogar Cloud-Speicher seien betroffen. Die arglosen Opfer werden vom Erpresser-Trojaner anschließend zur Zahlung eines Lösegelds aufgefordert, um die persönlichen, infizierten Daten zu retten. Bisher ist laut Clavister außer dem Einspielen von Backups kein Weg bekannt, die Daten ohne Begleichen des Lösegelds zurückzuerlangen – und selbst dies funktioniert nur, wenn der Trojaner nicht auch bereits in den Backup-Dateien enthalten ist.

Es gibt nicht „die“ Lösung

Clavister bezweifelt, dass es ultimative Lösungen zur Problemlösung gibt – es gebe „kein Schema F“, um dieser und anderer bösartigen Ransomware Paroli zu bieten.
Beispielsweise hinderten Antivirus-Lösungen „Locky“ nicht an der Ausbreitung, da das System komplex und teilweise über Monate inaktiv sei. Folglich helfe auch der hochgelobte „Sandboxing“-Ansatz nicht weiter. Was wiederum helfen könne, sei der oft unterschätzte „Faktor Mensch“: Mitarbeiter müssten für das Thema „Locky“ sensibilisiert werden – allein aus dem Grund, um nicht mehr auf gefälschte Rechnungen oder Anhänge in E-Mails hereinzufallen.

Kombination mehrerer technischer Maßnahmen

Nichtsdestotrotz verspreche auch eine Kombination mehrerer technischer Maßnahmen ein hohes Schutzniveau gegenüber „Locky“ – angefangen mit einer Antispam-Lösung, die Links in E-Mails prüft, über ein „Antivirus-Gateway“, das ausgelöste Downloads kontrolliert, bis hin zu „Application Control“, um den Trojaner an der Kommunikation mit seinem „C&C-Center“ zu hindern. Zusätzlich sei es Firmen möglich, ihr physikalisches Netzwerk und ihr VLAN zu trennen, um selbst bei einer dennoch erfolgten Infektion zumindest die Verbreitung im internen Netz zu minimieren.
Darüber hinaus sollten auch die Browser und installierten Plug-ins wie „Flash“ stets auf dem aktuellen Patch-Stand sein. „Locky“ versuche nämlich, sich mittels „Exploit“ über diese Systeme zu verbreiten.
Clavister rät abschließend und grundsätzlich, dringend in allen Firmen regelmäßig Backups aller wichtigen Dateien anzulegen, und dies bitte an einem Ort, den ein Trojaner möglichst schwer erreichen kann, z.B. auf externen USB-Festplatten. Jetzt sei die Zeit, nicht nur über Maßnahmen zu sprechen, sondern zu handeln.

[datensicherheit.de, 22.02.2016] Aus aktuellem Anlass weist das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die Bedeutung von Backups (Datensicherungen) hin. Diese Stellungnahme erfolgte vor dem Hintergrund der aktuellen Vorfälle im Zusammenhang mit Verschlüsselungs-Trojanern wie „Locky“ und „TeslaCrypt“.

Ohne regelmäßiges Backup geht es nicht

Das BSI betont, dass regelmäßig angelegte Daten- und System-Backups im Falle einer Infektion durch einen Verschlüsselungs-Trojaner (Ransomware) oft die einzige Möglichkeit darstellten, die betroffenen Dateien und Systeme wiederherzustellen und größeren Schaden zu vermeiden.

Geeignetes Speichermedium wählen

Datensicherungen ließen sich vollständig, stufenweise, sowie manuell oder automatisch mithilfe einer Backup-Software durchführen. Dabei sollte man neben dem PC auch die Daten berücksichtigen, die auf dem Smartphone oder Tablet sowie in einem Cloud-Speicher abgelegt seien. Die gewählte Methode hänge von der Bedeutung, der Menge und der – eventuell gesetzlich vorgeschriebenen – Aufbewahrungsdauer der Daten ab. Dementsprechend sollten hinsichtlich Kapazität, Haltbarkeit und Lebensdauer passende Speichermedien wie externe Festplatten, USB-Sticks, CDs oder DVDs gewählt werden, rät das BSI.

4 BSI-Tipps zum Schutz gegen Ransomware

Das BSI beobachtet nach eigenen Angaben immer wieder Schadsoftware-Wellen zur Verbreitung von „Ransomware“. Betroffen seien
Unternehmen ebenso wie Behörden und Privatanwender. Grundlegende präventive Schutzmaßnahme gegen die Auswirkungen einer „Ransomware“-Infektion sei die regelmäßige Erstellung von Backups, damit verschlüsselte Daten nicht verloren sind. Dabei sollte folgendes beachtet werden:

1. Sichern Sie regelmäßig Ihre Daten auf ein externes Speichermedium, beispielsweise eine USB-Festplatte, einen USB-Speicherstick oder einen vertrauenswürdigen Cloud-Speicher.
2. Viele Verschlüsselungs-Trojaner können auch Daten auf externen Laufwerken und Netzlaufwerken unbrauchbar machen. Verbinden Sie deshalb das Speichermedium für Ihre Datensicherungen nicht dauerhaft mit Ihrem Computer.
3. Bewahren Sie Ihre Datensicherung getrennt von Ihrem Computer an einem geschützten Ort auf. Wenn Sie Cloud-Dienste für die Datensicherung verwenden möchten, informieren Sie sich, welchen Schutz Ihrer Daten (Transportverschlüsselung, verschlüsselte Ablage) der Cloud-Betreiber gewährleistet.
4. Prüfen Sie anhand einiger ausgewählter Dateien, ob sich die gesicherten Daten auch tatsächlich wiederherstellen lassen.

Sensibilisierung und Standardschutzmaßnahmen nicht vergessen!

Neben der regelmäßigen Anlage von Backups sei es wichtig, dafür zu sorgen, dass es gar nicht erst zu einer „Ransomware-Infektion“ komme, so das BSI. Dazu sollten Mitarbeiter und Privatanwender sensibilisiert werden, damit sie das Phänomen „Ransomware“ kennen und somit verdächtigen E-Mails oder Links mit Vorsicht und gesundem Misstrauen begegnen könnten.
Darüber hinaus sollten Standardschutzmaßnahmen getroffen werden, beispielsweise Software wie Betriebssystem, Browser und Browser-Plugins („Java“, „Flash“, „Adobe-Reader“, etc.) aktuell zu halten.

Weitere Informationen zum Thema:

BSI FÜR BÜRGER
Empfehlungen / Datensicherung

BSI FÜR BÜRGER, 09.02.2016
Service / Ransomware: Erpresserische Schadprogramme