[datensicherheit.de, 20.01.2022] Laut einer aktuellen Meldung der Check Point® Software Technologies Ltd. hat es eine schwerwiegende Cyber-Attacke auf das Internationale Komitee vom Roten Kreuz (IKRK) gegeben. Lotem Finkelsteen, „Head of Threat Intelligence and Research“ bei Check Point, ordnet diesen Vorfall in seiner Stellungnahme in den Kontext von Angriffen auf den Gesundheitsbereich ein. Diese Branche sei aufgrund der Sensibilität der Daten besonders attraktiv für Hacker, welche dabei ganz offensichtlich keine Rücksicht auf die Betroffenen nähmen.

Foto: Check Point

Lotem Finkelsteen: Trend von Attacken gegen Gesundheitsorganisationen wird sich 2022 fortsetzen!

Cyber-Kriminelle erbeuteten am 19. Januar 2022 Daten von mehr als einer halben Million Menschen

Demnach haben Cyber-Kriminelle am 19. Januar 2022 die Daten von mehr als einer halben Million Menschen erbeutet, so eine IKRK-Mitteilung. Erbeutet worden seien die Daten von etwa 60 nationalen Dienststellen des Roten Kreuzes und des Roten Halbmondes.

Wer hinter dem Angriff steckt, sei dem IKRK noch nicht bekannt. „Die Attacke richtete sich gegen ein externes Unternehmen in der Schweiz, das vom IKRK mit der Speicherung von Daten beauftragt wurde.“ Bislang seien aber keine Informationen durchgesickert oder öffentlich zugänglich gemacht worden.

Hacker-Gruppen sind sich der Sensibilität der Daten wohlbewusst

„Unseren Daten zufolge ist das Gesundheitswesen eine der Branchen, die am häufigsten ins Visier von Hackern geraten“, berichtet Finkelsteen und warnt: Dieser Sektor werde auch im Jahr 2022 eines der am häufigsten angegriffenen Ziele bleiben.

„Wir sprechen von 830 wöchentlichen Angriffen im Durchschnitt im Jahr 2021, was einen Anstieg von über 71 Prozent in nur einem Jahr darstellt, verglichen mit dem Vorjahr.“ Hacker-Gruppen seien sich der Sensibilität der Daten aus diesem Bereich bewusst und sähen sie genau deshalb als Chance an, schnell an Geld zu kommen.

Auf die sensibelsten Daten der Organisation abgesehen

Krankenhäuser und andere Organisationen des Gesundheitswesens könnten es sich außerdem nicht erlauben, den Betrieb zu Wartungsarbeiten einzustellen, „da es buchstäblich um Leben und Tod gehen könnte“. Die Hacker hätten es dort beim Roten Kreuz übrigens auf die sensibelsten Daten der Organisation abgesehen und versuchten, so viel Druck wie möglich auszuüben.

Nun sei das große Risiko das Durchsickern der Daten, was für die Opfer verheerende Folgen haben könnte. Finkelsteens Befürchtung: „Wir erwarten leider, dass sich der Trend von Attacken gegen Gesundheitsorganisationen 2022 fortsetzen wird.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher / PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt

datensicherheit.de, 28.10.2020
Cyber-Attacken: Gesundheitsorganisationen laut Forescout-Studie weiter anfällig / „Connected Medical Device Security Report“ von Forescout basiert auf Analyse von drei Millionen Geräten

[datensicherheit.de, 08.06.2021] Noch kenne man den Grund für den weitreichenden Ausfall des Cloud-Service-Unternehmens Fastly nicht, doch es sei wichtig, bereits jetzt zu verstehen, „warum die Auswirkungen so umfangreich sind“, so Lotem Finkelsteen, „Head of Threat Intelligence“ bei Check Point Software Technologies, in einer ersten Stellungnahme. Fastly sei ein „Content Delivery Network“ (CDN) – solche CDN‘ erzeugten Replika von Web-Seiten für deren Besitzer, um einen Lastenausgleich zu ermöglichen.

Foto: Check Point

Lotem Finkelsteen fühlt sich an ähnlichen Zwischenfall vom Oktober 2016 mit dem „Mirai“-Bot-Netz erinnert

Cloud-Service-Unternehmens Fastly ermöglicht beschleunigte Verbindungen

Finkelsteen erläutert den Vorteil eines derartigen Lastenausgleichs: „So muss nicht jeder Nutzer dieser Welt auf einen zentralen Server zugreifen, was bei hohen Zugriffszahlen eine Überlastung verursachen kann.“ Stattdessen verteilten sich die Anfragen auf verschiedene Replika, „die auf anderen Servern liegen – sogar in anderen Ländern“:
Zum Beispiel könnte der ursprüngliche Server einer Website in San Francisco stehen, aber es gebe Replika in Paris, Manhattan, Tel Aviv und Hongkong. „Jeder wird zu dem Server geleitet, der seinem Gerät am nächsten liegt, was die Verbindung sehr beschleunigt.“

Wenn der Cloud-Service ausfällt, sind Replika nicht mehr verfügbar

Zu den Folgen des aktuellen Vorfalls führt Finkelsteen aus: „Wenn nun das CDN ausfällt, sind alle Replika nicht mehr verfügbar und niemand ist zudem in der Lage, die Inhalte des ursprünglichen Servers abzurufen.“ Es scheine in diesem Fall daher so, als ob Amazon, Reddit, Twitch, Twitter, Financial Times und all die anderen großen Websites gleichzeitig angegriffen worden seien – doch es handele sich nicht um eine Attacke gegen diese Unternehmen: „Sie erlitten keine Ausfälle.“ Die einzige Störung habe sich bei Fastly, dem CDN, ereignet, welches alle genannten bediene.
„Wir kennen, wie gesagt, den Grund des Ausfalls noch nicht und es gibt viele Möglichkeiten, doch das Ereignis erinnert an einen ähnlichen Zwischenfall vom Oktober 2016, als das ,Mirai‘-Bot-Netz mehrere hochkarätige Ziele mit Distributed-Denial-of-Service-(DDoS)-Attacken lahmlegte“, so Finkelsteen. „Mirai“ sei ein IoT-Bot-Netz gewesen, welches die Kontrolle über Kameras und andere vernetzte Geräte erlangt habe und diese dazu brachte, Anfragen an einen bestimmten Server zu senden, nämlich den des Unternehmens Dyn, um ihn abzuschalten. Dieses sei ein DNS-Unternehmen, welches viele Marken wie Twitter, BBC und Reddit bediene.

Weitere Informationen zum Thema:

METRO, Harrison Jones, 08.06.20214
Huge internet outage as dozens of world’s biggest websites are forced offline

[datensicherheit.de, 12.05.2021] Check Point Research (CPR), die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd., beobachtet nach eigenen Angaben „konstant die Bedrohungslandschaft“ und stellt fest, „dass Angriffe mit Ransomware stark zunehmen“ – über die vergangenen neun Monate hätten deren Sicherheitsexperten einen Anstieg der Angriffe pro Woche in den USA um etwa 300 Prozent verzeichnet. In der 18. Kalenderwoche 2021 wurde nun auch die Treibstoff-Pipeline des Betreibers Colonial im US-Staat Georgia Ziel eines Angriffs.

Foto: Check Point

Lotem Finkelsteen: Die Hacker schreckten vor wenig zurück …

DarkSide arbeitet über Ransomware-as-a-Service-Modell

Diese Pipeline transportiere täglich über 2,5 Millionen Barrel an Brennstoff und versorgte geschätzte 50 Millionen Menschen. Laut Erkenntnissen der US-Ermittlungsbehörde FBI soll die Ransomware „DarkSide“ bei diesem Angriff zum Einsatz gekommen sein. Diese junge Ransomware-Familie sei erstmals im August 2020 auf den Plan getreten – so zu finden auf der Website „ID-Ransomware“, einer Enzyklopädie für entsprechende Malware.
Es handele sich dabei um Ransomware-as-a-Service, also ein Schadprogramm, welches sich auf dem Schwarzmarkt gegen Bezahlung mieten lasse. Die Anbieter und die Anwender der Malware teilten sich dabei das erbeutete Lösegeld – sowohl Anteile als auch Einsatzgebiete seien in einer Art Nutzungsvereinbarung geregelt. Zudem betrieben die Verantwortlichen die berüchtigte Masche der sogenannten Doppelten Erpressung, „weil sie nicht nur die Dateien ihrer Opfer verschlüsseln, sondern mit der Veröffentlichung zuvor gestohlener Teile im Internet drohen“.

Jeder der Partner der DarkSide-Gruppe könnte Urheber sein

„Was wir über die ,DarkSide‘-Ransomware bislang wissen: Sie arbeitet über ein Ransomware-as-a-Service (RaaS)-Modell, worin sie ein Partnerprogramm nutzt, um ihre Angriffe auszuführen,“ berichtet Lotem Finkelsteen, „Head of Threat Intelligence“ bei Check Point. Das bedeutet laut Finkelsteen, „dass wir sehr wenig über den tatsächlichen Bedrohungsakteur hinter dem Angriff gegen Colonial wissen, da es jeder der Partner von ,Darkside‘ sein könnte“. Sie könnten jedoch sagen, dass umfangreichen Operationen wie dieser ein ausgeklügelter und gut konzipierter Cyber-Angriff zugrunde liege.
Der aktuelle Angriff gegen Colonial füge sich damit in eine wachsende Welle von Ransomware-Angriffen ein, besonders gegen Ziele in den Vereinigten Staaten von Amerika. Dabei schreckten die Hacker vor wenig zurück: „Eine von 39 Einrichtungen im Gesundheitswesen wurde bereits das Opfer eines Angriffs, im Bildungswesen war es eine von 48 und im Regierungssektor eine in 61. Versorgungsunternehmen, wie Colonial, wurden zuletzt jede Woche etwa 300-mal attackiert.“ Dies entspreche einem Anstieg von rund 50 Prozent in zwei Monaten – in der ersten März-Woche 2021 seien es noch im Durchschnitt 171 Angriffe gewesen.

Weitere Informationen zum Thema:

Check Point Research
Home

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

datensicherheit.de, 11.05.2021
Ransomware-Angriff: Kraftstoffversorgung über Colonial Pipeline unterbrochen / FBI bestätigt Attacke auf Colonial Pipeline durch Hacker-Gruppe DarkSide

datensicherheit.de, 10.05.2021
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber / Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall

[datensicherheit.de, 29.01.2021] Europol, der Strafverfolgungsbehörde der Europäischen Union (EU) mit Sitz in Den Haag in den Niederlanden, sei gemeinsam mit acht nationalen Ermittlungsbehörden in dieser Woche ein „entscheidender Schlag im Kampf gegen das Botnetz ,Emotet‘ gelungen“, meldet Check Point und betont: „Wie weitreichend die Folgen der gemeinsamen Operation sein werden, ist noch nicht klar abzusehen – dennoch wird es schwer für das kriminelle Netz hinter ,Emotet‘, sich von dieser Niederlage zu erholen.“

Foto: Check Point

Lotem Finkelsteen: Entscheidender Schlag im Kampf gegen das Botnetz Emotet gelungen

Jedes fünfte Unternehmen weltweit war Attacken und Phishing-Versuchen durch Emotet ausgesetzt

Lotem Finkelsteen, „Head of Threat Tntelligence“ bei Check Point Software Technologies, unterstreicht in seinem Kommentar, dass Sicherheitsforscher des Unternehmens regelmäßig vor den von der Malware „Emotet“ ausgehenden Gefahren gewarnt hätten – diese habe sich zu einem der „weitreichendsten Botnetze überhaupt entwickelt“. Im vergangenen Jahr, 2020, habe sich nach Schätzungen jedes fünfte Unternehmen weltweit den Attacken und Phishing-Versuchen durch „Emotet“ ausgesetzt gesehen.
Ziel dieses Schädlings sei es, eine „Hintertür“ für weitere Malware zu öffnen. „Waren die Angriffe erfolgreich, so folgte oftmals das Einschleusen von Ransomware.“ Insgesamt hätten die Experten Phishing-Kampagnen mit mehr als 150.000 verschiedenen Betreff-Zeilen beobachtet: Von „Covid-19“ über angebliche Impfstoffe bis hin zu Bürgerbewegungen, wie „Black Lives Matter“ – keine Masche sei den Kriminellen zu schmutzig gewesen. Damit könnte nun Schluss sein, hofft Finkelsteen.

Koordinierte internationale Operation wurde durchgeführt, um Emotet aufzuhalten

Wie Europol bestätigt habe, sei die Polizeivereinigung in der Lage gewesen, durch die Zusammenarbeit mit nationalen Ermittlungsbehörden, wie dem deutschen Bundeskriminalamt (BKA), eine koordinierte Operation international durchzuführen, um „Emotet“ aufzuhalten.
Das Ergebnis sei die Übernahme von Netzwerken und Infrastruktur. Dadurch hätten das Botnetz und die kriminellen Kräfte dahinter eine „erhebliche Niederlage“ einstecken müssen – „ob sie in der Lage sind, sich von diesem Schlag zu erholen, bleibt abzuwarten“, so Finkelsteen.

Emotet war 2020 mit Abstand erfolgreichste und am weitesten verbreitete Malware

„Emotet“ sei die mit Abstand erfolgreichste und am weitesten verbreitete Malware des Jahres 2020 gewesen. Finkelsteen führt hierzu aus: „Daten aus dem ,ThreatCloud-Intelligence‘-Netzwerk von Check Point haben wiederholt belegt, dass ,Emotet‘ im Laufe des letzten Jahres die Netzwerke von 19 Prozent der globalen Unternehmen beeinträchtigt hat. Die Malware verdiente sich außerdem ihren berüchtigten Ruf nicht nur wegen ihrer dynamischen Natur und einzigartigen technischen Eigenschaften, sondern auch wegen des sehr organisierten kriminellen Geschäftsmodells, welches dahinter steht.“
Anstatt alleine zu handeln, hätten sich die Hacker hinter „Emotet“ entschieden, mit anderen Gruppierungen, wie „Trickbot“ und „Ryuk“-Ransomware, zusammenzuarbeiten – „eine sehr effektive Partnerschaft“. Die nun gute Nachricht, dass die Polizei ebenfalls gemeinsam in der Lage gewesen sei, eine so gezielte und große Operation gegen die Kriminellen durchzuführen, unterstreiche wie wichtig globale Cyber-Task-Forces und gemeinsame Vertretung gemeinsamer Interessen seien. „Es ist der einzige Weg, um die Öffentlichkeit vor Cyber-Bedrohungen zu schützen, die Verluste in Millionenhöhe, wenn nicht mehr, verursacht haben“, unterstreicht Finkelsteen als Fazit.

Weitere Informationen zum Thema:

Check Point Blog
Collaborative global effort disrupts Emotet, World’s most dangerous malware

Check Point, 07.01.2021
December 2020’s Most Wanted Malware: Emotet Returns as Top Malware Threat / Check Point Research reports a new campaign using the Emotet trojan which has targeted over 100,000 users per day

EUROPOL, 27.01.2021
World’s most dangerous malware EMOTET disrupted through global action

datensicherheit.de, 27.01.2021
BKA-Erfolgsmeldung: Emotet-Infrastruktur zerschlagen / Emotet galt noch vor Kurzem als gefährlichste Schadsoftware weltweit

datensicherheit.de, 28.01.2021
Emotet-Takedown eine Verschnaufpause für Unternehmen / Der erfolgreiche Schlag gegen das Emotet-Botnetz kein Grund zum Ausruhen

datensicherheit.de, 29.01.2021
Die Emotet-Nachfolger stehen schon in den Startlöchern / Erfolg im Kampf gegen Cyberkrimininalität wird die Bedrohungslage wahrscheinlich nur kurzzeitig entspannen / Ein Beitrag von unserem Gastautor Sebastian Ganschow, GTM Manager Security bei NTT Ltd

[datensicherheit.de, 08.10.2020] Sicherheitsforscher von Check Point liefern nach eigenen Angaben „erschreckende Zahlen“ zur Entwicklung von Ransomware-Attacken: Allein in Deutschland sind diese in den vergangenen drei Monaten laut Check Point um 145 Prozent angestiegen – es sei eine enorme Zunahme von Lösegeldforderungen in Deutschland entdeckt worden. 

Foto: Check Point Software Technologies GmbH

Lotem Finkelsteen: Vorsichtig sein und über sinnvolle IT-Sicherheitsstrategie nachdenken!

Unternehmen und Behörden: Augen nach Ransomware offen halten!

Nach Erstellung einer Studie durch Sicherheitsforscher von Check Point über das dritte Quartal 2020 schlagen diese Alarm: Es sei eine enorme Zunahme von Lösegeldforderungen in Deutschland um 145 Prozent entdeckt worden. Deutsche Unternehmen und Behörden werden demnach „eindringlich“ aufgefordert, die Augen nach Ransomware offen zu halten, denn in den vergangenen drei Monaten sei die Zahl der Ransomware-Attacken in der Bundesrepublik „in den Himmel“ geschossen.
Die Zahlen liefere einerseits die hauseigene „Threat Cloud“ von Check Point, welche über Millionen von Sensoren weltweit verfüge, auf diese Weise Attacken aller Art sammele und von einer integrierten Künstlichen Intelligenz (KI) auswerten lasse. Andererseits seien exklusive Nachforschungen der Spezialisten von Check Point eingeflossen.

Tägliche Ransomeware-Angriffe nahmen global im Durchschnitt um 50 Prozent zu

Weltweit hätten die täglichen Ransomeware-Angriffe im Durchschnitt um 50 Prozent zugenommen – im Vergleich zum ersten Halbjahr 2020. Attacken gegen das Gesundheitswesen hätten sich beinahe verdoppelt – in den USA rangierten diese mittlerweile auf Platz 1 der am häufigsten attackierten Bereiche.
Global würden folgende Sektoren besonders von Ransomware angegriffen: Kommunikation, Bildung und Forschung, Regierung und Militär, Software-Anbieter, Versorger (wie Gas, Wasser oder Strom). Am meisten hätten die Sicherheitsforscher die Ransomwares „Ryuk“ und „Maze“ am Werk gesehen – „Ryuk“ attackiere mittlerweile 20 Unternehmen je Woche.

Ransomware breitete sich mit Beginn der Conrona-Krise aus

„Ransomware breitete sich mit dem Beginn der ,Conrona‘-Krise aus, um die hektische Umstellung vieler Unternehmen auf Home-Office und damit mangelhaft gesicherte Fernzugriffe auszunutzen. Warum aber besonders die letzten drei Monaten einen derart starken Anstieg der Ransomware-Attacken zu verzeichnen hatten, meine ich an diesen Faktoren festmachen zu können“, berichtet Lotem Finkelsteen, „Head of Threat Intelligence“ bei Check Point Software Technologies:

• Erstens nähmen raffiniertere Angriffe, wie „Double Extortion“, also Doppelte Erpressung, zu. Hierbei würden Hacker sensible Daten vor der Verschlüsselung stehlen und mit deren Veröffentlichung oder Verkauf drohen, falls das Lösegeld nicht bezahlt wird.
• Zweitens passten die Angreifer ihre Geldforderungen in der Höhe den Unternehmen an, so dass diese mehr geneigt seien, das Lösegeld zu bezahlen, um schnell wieder arbeiten zu können. Hierbei komme jenen der wirtschaftliche Druck durch die „Corona“-Maßnahmen zugute.
• Drittens sei das größte und berüchtigste Bot-Netz, „Emotet“, nach fünfmonatiger Abstinenz zurückgekommen und sofort auf Platz 1 ihrer „Top-Malware-Liste“ gesprungen. Dieser Banking-Trojaner sei sehr modular, d.h. vielseitig verwendbar und diene vor allem dazu, Schwachstellen zu finden, auszunutzen, sich einzunisten und andere Malware nachträglich einzuschleußen.

Bedrohung durch Ransomware zum Jahreswechsel dürfte noch größer werden

Finkelsteen ergänzt: „Außerdem verkauften die Akteure einer ,Emotet‘-Kampagne die Informationen über ein erfolgreich infiziertes und somit anfälliges Opfer an andere Cyber-Kriminelle, die Ransomware einsetzen.“ Auf diese Weise vergrößere sich die Zahl der möglichen Ziele ständig.
„Leider vermute ich, dass die Bedrohung durch Ransomware zum Jahreswechsel hin noch größer werden wird, statt abzunehmen. Daher rufe ich alle Unternehmen und Behörden dazu auf, sehr vorsichtig zu sein und über eine sinnvolle IT-Sicherheitsstrategie nachzudenken.“

Weitere Informationen zum Thema:

Check Point Blog
Global Surges in Ransomware Attacks

datensicherheit.de, 02.10.2020
US-Wahlkampf: Malware Emotet nutzt Köder-Wirkung / Tausende mit Emotet infizierte E-Mails an Organisationen in den USA verschickt

datensicherheit.de, 17.08.2020
Wie Phoenix aus der Asche: Schadsoftware Emotet zurück / Der Trojaner wurde modifiziert und kann nun E-Mail-Inhalte von infizieren Rechnern auslesen

datensicherheit.de, 10.08.2020
Emotet nach Comeback auf Platz 1 / Check Point veröffentlicht „Global Threat Index“ für Juli 2020 und sieht Emotet, AgentTesla und Dridex auf Spitzenplätzen

[datensicherheit.de, 26.07.2020] Laut „Check Point Research“ machen sich Cyber-Kriminelle die Funktionen der Plattform „Google Cloud“ zu Nutze, um ihre Phishing-Kampagnen voranzutreiben und Konto-Daten zu erbeuten. Das Research-Team der Check Point® Software Technologies Ltd. hat demnach eine neue Phishing-Kampagne in Zusammenhang mit der „Google Cloud“ aufgedeckt. Cyber-Kriminelle missbrauchten den Namen und die Funktionen dieser Plattform, um an die Login-Daten der Nutzer zu gelangen.

Foto: Check Point Software Technologies GmbH

Lotem Finkelsteen: Hacker konzentrieren sich zunehmend auf Cloud-Storage-Dienste!

Angriff beginnt mit pdf-Dokument, welches auf Google Cloud-Speicherort Google Drive geladen wird

Der Angriff beginne mit einem pdf-Dokument, welches von den Betrügern auf den „Google Cloud“-Speicherort „Google Drive“ geladen werde. Diese PDF-Datei enthalte einen Link zu einer Phishing-Seite, welche sich als angeblicher Internet-Auftritt von „Office 365“ maskiere und mit einem gefälschten Login-Fenster aufwarte.
„Geben die Nutzer dort ihre Zugangsdaten ein, werden sie an den Server der Hacker geschickt. So weit, so das bekannte Vorgehen bei Phishing-Attacken. Das gefährliche hier jedoch: Da der Prozess über die ,Google Cloud‘-Plattform läuft, wird der Anwender nicht durch eindeutige Signale, wie das Fehlen der üblichen Webseiten-Zertifikate oder des grünen Vorhängeschlosses in der Adressleiste, gewarnt.“

Verschleierung mittels Google Cloud Functions

Außerdem werde der Nutzer, nach Eingabe seiner Anmelde-Daten tatsächlich zu einem Bericht einer renommierten Unternehmensberatung in Form eines pdf-Dokuments geleitet. Das täusche ihn also nach dem erfolgreichen Diebstahl seiner Informationen zusätzlich und wiege ihn in Sicherheit.
Um die böswilligen Absichten bei dieser Kampagne zu erkennen, müsste man einen Blick in den Quellcode der Phishing-Seite werfen. Dieser offenbare, „dass die meisten Inhalte von einer externen Adresse geladen werden – die wohl den Kriminellen gehört“. Diese setzten als Werkzeug jedoch „Google Cloud Functions“ ein – einen Dienst von Google zur Ausführung von Code in der „Google Cloud“. Die Verbrecher seien somit in der Lage, den eigentlichen Ursprung dieser externen und betrügerischen Inhalte zu verschleiern.

Nutzer der Google Cloud sollten zweimal über Dateien nachdenken, bevor sie diese öffnen

„Hacker konzentrieren sich zunehmend auf die Cloud-Storage-Dienste, denen wir vertrauen. Das macht es viel schwieriger, einen Phishing-Angriff zu erkennen. Herkömmliche ‚rote Flaggen‘ eines Phishing-Angriffs, wie ähnliche klingende Domäne-Namen oder Webseiten ohne erforderliche Zertifikate, helfen hier kaum“, warnt Lotem Finkelsteen, „Manager of Threat Intelligence“ bei Check Point Software Technologies.
Nutzer der „Google Cloud“-Plattform, sogar „AWS“- und „MS-Azure“-Nutzer, sollten sich vor diesem schnell wachsenden Trend in Acht nehmen und lernen, sich zu schützen. Finkelsteen: „Es beginnt bereits damit, dass die Anwender zweimal über die Dateien nachdenken sollten, die über eine E-Mail erhalten und öffnen möchten.“

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD.
How scammers are hiding their phishing trips in public clouds

datensicherheit.de, 11.02.2020
Check Point: Facebook ist die Top-Adresse für Phishing-Versuche

[datensicherheit.de, 18.06.2020] Laut aktuellen Erkenntnissen von Check Point waren Cyber-Kriminelle in der Lage, „die Server der renommierten Oxford Universität in Großbritannien zu hacken und darüber eine Welle an Phishing-Mails zu versenden“. Als Deckmantel hätten dabei neben der Bildungseinrichtung auch Inhalte und Services der Cyber-Giganten Samsung und Adobe gedient.

Foto: Check Point Software Technologies GmbH

Lotem Finkelsteen warnt vor „Meisterwerk“ einer Pishing-Kampage

Research-Team von Check Point hat große Welle an Phishing-Mails aufgedeckt

Das Research-Team der Check Point® Software Technologies Ltd. hat nach eigenen Angaben „eine große Welle an Phishing-Mails“ aufgedeckt, welche darauf abzielten, sich die Kontoinformationen von „Office 365“-Anwendern zu erschleichen. Versandt worden seien diese E-Mails über die SMTP-Server der Oxford Universität.
Cyber-Kriminelle seien dazu in der Lage, sich Zugang zu den Servern von Oxford zu verschaffen: „Dadurch war es ihnen möglich, ihre Phishing-Mails unter dem Deckmantel der Universität und dazugehörigen Abteilungen zu versenden.“ Somit seien diese nicht so leicht von entsprechenden Filter-Systemen erfasst worden.

Links über Weiterleitungen bekannter Marken und Anbieter verschleiert

Zusätzlich seien dann noch die enthaltenen Links über Weiterleitungen bekannter Marken und Anbieter verschleiert worden. Bereits in der Vergangenheit seien solche „Open redirects“, also nicht validierte und nicht gesicherte Weiterleitungen einer URL auf eine Webseite von Dritten für Phishing-Angriffe genutzt worden.
In der aktuellen Phishing-Nachricht führe der enthaltene Link auf eine Domain auf einem Adobe-Server, mit der Samsung während des „Cyber Monday 2018“ gearbeitet habe. Dadurch, dass diese eigentlich einst legitime Domain als Tarnung für die anschließende Weiterleitung genutzt werde, entziehe sich der Phishing-Angriff der frühzeitigen Erkennung.

Falsches Login-Formular täuscht Opfer

Wer auf den Link klickt, landet demnach dann aber nicht auf dieser von Samsung genutzten Domain, sondern werde entsprechend direkt auf die Webseite der Cyber-Kriminellen weitergeleitet, „wo ein falsches Login-Formular auf die Opfer wartet“.
Lotem Finkelsteen, „Manager of Threat Intelligence“ bei der Check Point Software Technologies GmbH, warnt daher: „Was zunächst wie eine klassische Phishing-Kampagne von ,Office 365‘ aussah, entpuppte sich als Meisterwerk: Die Nutzung bekannter und angesehener Marken, um Sicherheitsprodukten auf dem Weg zu den Opfern auszuweichen.“ Heutzutage sei dies eine „Spitzentechnik, um in einem Unternehmensnetzwerk Fuß zu fassen“.

Via Phishing könnten Hacker unbegrenzten Zugang zu Betriebsabläufen eines Unternehmens erlangen

Der Zugriff auf Firmenpost könne Hackern unbegrenzten Zugang zu den Betriebsabläufen eines Unternehmens ermöglichen – z.B. Transaktionen, Finanzberichte, Versenden von E-Mails innerhalb des Unternehmens aus einer zuverlässigen Quelle, Passwörter und sogar Adressen der Cloud-Assets eines Unternehmens.
„Um den Angriff durchzuführen, musste sich der Hacker Zugang zu den Servern von Samsung und Oxford verschaffen, was bedeutete, dass er Zeit hatte, deren innere Funktionsweise zu verstehen, so dass er unbemerkt bleiben konnte“, berichtet Finkelsteen.

Weitere Informationen zum Thema:

<cp>r, 18.06.2020
Office 365 Phishing Campaign Exploits Samsung, Adobe and Oxford Servers

Check Point / Corporate Blog, 16.06.2018
Protecting Office 365 and G Suite in a Cyber Pandemic World

datensicherheit.de, 13.06.2020
Phishing: Hacker attackieren Corona-Task-Force

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 07.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen