Angeblich geänderte Corona-Arbeitsschutzregeln als E-Mail des Bundesgesundheitsministeriums getarnt

[datensicherheit.de, 17.09.2020] Laut eines aktuellen „G DATA Security Alert“ verschicken Kriminelle derzeit ein Dokument mit angeblich geänderten „Corona“-Arbeitsschutzregeln. Diese E-Mail sei als Information des Bundesgesundheitsministeriums getarnt.

Foto: G Data

Tim Berghoff: Schadsoftware für uns keine Unbekannte

Warnung vor Dateianhang Bund-Arbeitsschutzregel-Corona-September.zip

Eine angeblich vom Bundesgesundheitsministerium stammende E-Mail enthält demnach einen Downloader für eine Schadsoftware: Der Dateianhang mit dem Namen „Bund-Arbeitsschutzregel-Corona-September.zip“ enthalte vorgeblich ein Dokument mit aktualisierten und ab sofort verbindlichen Regeln für den Infektionsschutz am Arbeitsplatz.
Der Text dieser E-Mail lasse den Schluss zu, dass in erster Linie Unternehmen zur Zielgruppe gehörten. Aus diesem Grund sei momentan für Unternehmen besondere Vorsicht geboten, wenn vermeintliche E-Mails von Behörden im Postfach landen. Ihnen seien Berichte über derzeit aktive Infektionen bekannt.

Corona-Pandemie sorgt noch immer für viel Unsicherheit

„Die ,Corona-Pandemie‘ sorgt noch immer für viel Unsicherheit – und die Mischung aus viel Home-Office und Hygieneregeln am Arbeitsplatz stellt Arbeitgeber tatsächlich vor große Herausforderungen“, so Tim Berghoff, „Security Evangelist“ bei G DATA CyberDefense.
Gerade deshalb sollten die Verantwortlichen aber sehr genau hinschauen und nur offiziellen Quellen vertrauen. Denn eine Infektion mit Schadsoftware könnten Unternehmen im Moment noch weniger gebrauchen, als ohnehin schon.

Angebliches Treffen der EU-Gesundheitsminister zu Corona

Der Text dieser E-Mail weise auf ein Treffen zwischen den Gesundheitsministern der EU hin, bei dem die Vorschriften überarbeitet worden seien. „Dass es solch ein Treffen gegeben hat, mag vielleicht sogar stimmen – allerdings werden solche Informationen in der Regel nicht per Mail von den Ministerien versendet, sondern auf einem eigenen Portal veröffentlicht.“ Es finde kein proaktiver Versand per E-Mail statt.
Des Weiteren nehme der E-Mail-Text Bezug auf ein Treffen, welches „heute“ stattgefunden habe. „Es befinden sich auch einige Zeichenfehler in der Mail, vor allem den Buchstaben U, W, C und D sowie bei Umlauten.“ Die E-Mail enthalte auch eine falsche Absender-Adresse, die auf „bundesministerium-gesundheit.com“ verweise – diese Domain gehöre jedoch nicht zum Gesundheitsministerium. Die im E-Mail-Text erwähnte Adresse „poststelle [at] bmg [dot] bund [dot] de“ sei jedoch tatsächlich korrekt.

Alle aktuellen Informationen zu Corona auf der Website des Bundesministeriums für Gesundheit

Um sich vor einer Schadsoftware-Infektion aus einer solchen E-Mail zu schützen, sollten Unternehmen und Privatpersonen alle Informationen rund um die „COVID19-Pandemie“ und entsprechende Schutzmaßnahmen ausschließlich aus offiziellen Quellen beziehen. „Alle aktuellen Informationen rund um ,Corona‘ und ,COVID19‘ sind auf der Internetseite des Bundesministeriums für Gesundheit (BmG) gesammelt.“
Dass Kriminelle die „Pandemie“ als Hebel für ihre Aktivitäten nutzten, sei nicht neu: „Bereits zu Beginn der ,Pandemie‘ haben Betrüger dafür gesorgt, dass die Auszahlung von Finanzhilfen für gefährdete Unternehmen kurzzeitig ausgesetzt wurde.“

Corona-E-Mail mit gefährlichem Anhang: JScript-Loader Buer

Nach bisherigen Erkenntnissen enthalte der E-Mail-Anhang einen „JScript“-Loader namens „Buer“ – dieser wiederum lade aus dem Internet eine weitere Schadsoftware nach. Bei dieser handele es sich um „NuclearBot“ – ein Banking-Trojaner, der es unter anderem auf die Passwörter von Bankkonten abgesehen habe. Berghoff: „Diese Schadsoftware ist für uns keine Unbekannte – wir hatten vor einiger Zeit bereits mit ihr Berührung und haben darüber ebenfalls einen Blog-Artikel geschrieben.“
Eine weitere E-Mail mit identischer Schadfunktion sei übrigens derzeit in Form eines gefälschten Bewerbungsschreibens unterwegs – einer der verwendeten Namen für die vermeintliche Bewerbung laute „Claudia Alick“.

Weitere Informationen zum Thema:

Bundesministerium für Gesundheit
Informationen zum Coronavirus

G DATA, Tim Berghoff, 17.09.2020
Warnung vor aktiver Spam-Kampagne: Angebliche Corona-Arbeitsschutzregeln enthalten Schadsoftware

datensicherheit.de, 06.09.2019
Experten diskutieren bei G DATA über das Lagebild der IT-Sicherheit

Mangelhafte Kommunikatiion im Unternehmen problematisch

Von unserem Gastautor Jürgen Venhorst, Country Manager DACH von Netwrix

[datensicherheit.de, 13.01.2020] Das Internet ist nach der Erfindung des Rads der wohl größte logistische Meilenstein in der Geschichte der Menschheit. Eine unvorstellbare Menge an Daten zirkuliert jeden Tag über die globalen Datenhighways. Doch die digitalen Adern unserer Gesellschaft befördern auch gefährliche Schädlinge, die es auf die finanzielle Gesundheit von Unternehmen und Privatpersonen gleichermaßen abgesehen haben. Hat sich erstmal ein Virus im Firmennetzwerk eingenistet, kann man sich nur noch um Schadensbegrenzung bemühen.

Wenn sich der privat genutzte Rechner zu Hause eine Schadsoftware einfängt, sind alle Daten und Zugänge potenziell in Gefahr. Das ist sehr schmerzhaft für den Betroffenen – private Dokumente sind verschlüsselt oder gelöscht, das Passwort für den E-Mail-Account oder den Online-Banking-Account wurden entwendet und womöglich geändert.

Was im privaten Kontext bereits heftige Symptome hervorruft, kann für eine Firma lebensbedrohliche Ausmaße annehmen. Hat sich ein Virus erstmal im Firmennetzwerk eingenistet, kann er dort (oft unbemerkt) seine Zerstörungskraft auf fast alle Organe des Unternehmens entfalten. Im schlimmsten Fall kommt der Betrieb gänzlich zum Erliegen.

Bild: Netwrix

Jürgen Venhorst, „Country Manager DACH“ bei Netwrix

Angriffe auf Kritische Infrastrukturen mehren sich

2016 wurde das Lukaskrankenhaus in Neuss Zufallsopfer einer damals grassierenden Schadsoftware. Zum Schutz der Patientendaten musste der Betrieb für einige Zeit vollständig auf Papier und Bleistift verlagert werden. Die erdrückende Mehrheit solcher Angriffe werden niemals aufgeklärt; auch im Fall der Lukasklinik konnten die Täter bis zur Einstellung des Verfahrens nicht ermittelt werden. Der finanzielle Schaden belief sich auf knapp eine Million Euro und hätte noch weitaus höher ausfallen können, wenn sensible Patientendaten entwendet worden wären.

2014 wurde ein Krankenhaus in Boston Ziel einer Hackerkampagne, die sich als Reaktion auf einen Sorgerechtsstreit formierte. Das Krankenhaus wurde von Hackern regelrecht in die Zange genommen. Die Angreifer nahmen nicht nur die Haupt-Webseite aufs Korn, sondern auch Unterseiten. Etwa die, auf der Patienten ihre medizinischen Daten einsehen können. Nur mit Hilfe einer Cybersicherheitsfirma konnte das Schlimmste verhindert werden.

Dieses Jahr wurde in Rheinland Pfalz der laut BSI erste Angriff seiner Art auf einen Krankenhausverbund von 20 Krankenhäusern gefahren. Ein Trojaner hatte sich in das Netzwerk eingenistet und die Datenbanken verschlüsselt. Wie im Falle des Lukaskrankenhauses wurde auch hier der Betrieb vorübergehend mit Papier und Bleistift bestritten. Über eine Woche lang war der digitale Betrieb im Krankenhausverbund beeinträchtigt oder kam in manchen Bereichen vollständig zum Erliegen.

Existenzielles Risiko für Krankenhäuser durch doppelte Bedrohung: Unterbrechung des Betriebs plus Strafzahlungen

Diese drei Beispiele veranschaulichen den Trend, dass Einrichtungen der Gesundheitsindustrie einer steigenden Anzahl von Angriffen ausgesetzt sind. Der Grund hierfür ist, dass Krankenhäuser in der Hackerszene als leichte Beute angesehen werden, da ihre IT Infrastruktur schwerer zu schützen ist, speziell wenn niedergelassene Ärzte per Remote, oder auch verschiedene Fachabteilungen, Zugang auf sensible Daten erhalten müssen. Auf den ersten Blick winken hier zwar keine lukrativen Industriegeheimnisse. Doch auf den zweiten Blick erkennt der findige Kriminelle das Erpressungspotenzial in Geiselhaft genommener Patientendaten.

Diese sind nämlich nicht nur von erheblicher Bedeutung für das medizinische Tagesgeschäft der jeweiligen Klinik – spätestens seit dem Inkrafttreten der DSGVO im Mai 2018 drohen empfindliche Strafen für Betriebe, denen personenbezogene Daten ihrer Kunden oder Patienten abhandenkommen.

Zwei Jahre vor der DSGVO trat bereits das IT-Sicherheitsgesetz des BSI in Kraft, welches die kritischen Infrastrukturen (KRITIS) wie Krankenhäuser, Finanzinstitute, Energie- und Wasserversorger sowie Betriebe im Lebensmittelsektor einer besonderen Sorgfaltspflicht unterwirft. So gilt in diesen Unternehmen beispielsweise eine Meldepflicht für Datenlecks.

Wie kann es also sein, dass Betriebe der KRITIS bis heute einen IT-Sicherheitsrückstand aufzuholen haben?

Kinderkrankheit mangelnde interne Kommunikation

Einer der ausschlaggebenden Gründe für diesen Missstand ist eine unzureichende oder gar fehlende Kommunikation der Chefetage mit ihrer IT-Abteilung. Dies führt oft zu einem mangelhaften Verständnis der Bedrohungslage und der damit einhergehenden Konsequenzen für das Unternehmen. Um die notwendigen personellen und finanziellen Mittel zu erhalten, müssen die meisten Anträge der IT-Sicherheit von der Chefetage bewilligt werden. Dafür ist ein Grundverständnis der Materie unumgänglich. Es kann also nur jedem Krankenhausleiter nahegelegt werden, sich in regelmäßigen Abständen von seinen IT-Experten auf den neuesten Stand bringen zu lassen, um die aktuelle Gefahrenlage besser einschätzen zu können und notwendige Investitionen nicht zu verschlafen.

Vertrauen ist gut, Kontrolle ist besser

Ab einer gewissen Betriebsgröße ist es der IT-Abteilung nicht mehr möglich, jede einzelne Aktivität im System zu überwachen. Die traditionelle Lösung, um seinen Mitarbeitern den geregelten Zugang zu firmeninternen Daten zu gewährleisten, ist ein System aus Nutzername und Passwort. Die dadurch errichtete Zugangsbarriere liefert jedoch nur ein Mindestmaß an Datensicherheit. Ein versierter Angreifer hat vielfältige Möglichkeiten, diese Schranke zu überwinden. Im Gegensatz zum Verlust eines Hausschlüssels, wird der Verlust eines Passworts nicht immer sofort bemerkt. Somit bietet sich dem Hacker ein Einfallstor, über welches er möglicherweise monatelang Zugriff auf kritische Informationen des Unternehmens erhalten kann. Das böse Erwachen kommt oft viel zu spät, um den Schaden noch unter Kontrolle halten zu können. Niemand möchte aus den Nachrichten erfahren, dass ein riesiger Datensatz der eigenen Patienten im Darknet feilgeboten wird. Ein solcher Skandal kann die Existenzgrundlage eines Krankenhauses von einem Tag auf den anderen zerstören. Das Vertrauen der Patienten ist verloren und die Strafzahlungen können den Betrieb ruinieren.

Um jederzeit die Kontrolle über die Zugriffe in der Betriebseigenen IT-Infrastruktur zu behalten kann man Dienste in Anspruch nehmen, die sich auf Identitäts-Management spezialisiert haben. Netwrix bietet beispielsweise einen zweistufigen Ansatz: Im ersten Schritt werden alle Daten im Firmennetz aufgrund vorher festgelegter Regeln analysiert und klassifiziert. Zugang erhalten nur die Mitarbeiter, die das jeweilige Dokument für ihre Arbeit auch benötigen. Überflüssige und zu weit gedehnte Zugriffsrechte sind nämlich einer der Hauptrisikofaktoren für die Datensicherheit eines Unternehmens.

Im zweiten Schritt werden Risiken in Echtzeit überwacht; auffällige Nutzungsmuster werden von der Software erkannt und der IT-Abteilung gemeldet. Der Koch benötigt den Zugriff auf den Speiseplan, nicht jedoch Adminrechte, mit denen er die Röntgenaufnahmen von Frau Müller einsehen kann. Sollte ein funktionsfremder Account versuchen, sich Zugriff auf große Mengen sensibler Patientendaten zu verschaffen, wird dies vom Sicherheitsprogramm auf einer zentralen Plattform als Risiko mit hoher Priorität dargestellt, das eliminiert werden sollte.

Fazit

Viele Unternehmen der KRITIS sind bis heute unzureichend gegen Angriffe aus dem Internet geschützt. Die Entscheidungsträger dieser Einrichtungen stehen in der Pflicht sich von den Experten im eigenen Unternehmen beraten und aufklären zu lassen, um mit Sachverstand die notwendigen Sicherheitsvorkehrungen treffen zu können.

Dedizierte Spezialisten können dabei helfen, immer raffinierter werdenden Bedrohungen mit dem nötigen Rüstzeug zu begegnen.

Weitere Informationen zum Thema:

datensicherheit.de, 05.08.2019
GermanWiper: In Bewerbungen versteckte Ransomware

[datensicherheit.de, 19.06.2019] Die Urheber massenhafter Cyber-Angriffe nutzen meist weit verbreitete Software-Produkte, um mit einfachen Mitteln möglichst viele Computer-Systeme mit Schadsoftware zu infizieren. Aufgrund ihrer großen Verbreitung stehen die Softwareprodukte der Microsoft-Office-Familie daher automatisch im Fokus von Cyber-Kriminellen, um Schwachstellen oder unsichere Konfigurationen von Standardfunktionen der Büro-Software möglichst breit ausnutzen zu können. Beliebte Angriffswege sind dabei die Makro-Funktion in Word-Dokumenten oder aktive HTML-Anzeigen in E-Mail-Programmen. Angriffe mit Ransomware oder mit Schadsoftware-Varianten wie Emotet haben über diese Angriffswege in den letzten Monaten auch in Deutschland zahlreiche Unternehmen getroffen und großen Schaden verursacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher Empfehlungen für eine sichere Konfiguration von Word, Excel, Outlook und Co. entwickelt und nun veröffentlicht. Damit können Organisationen die Angriffsfläche signifikant reduzieren: Die Deaktivierung von HTML in E-Mails sowie der sichere Umgang mit Makros in Dokumenten und anderen Dateien sind dabei nur zwei von zahlreichen Empfehlungen.

„Wir bieten Unternehmen und Organisationen mit diesen Umsetzungsempfehlungen eine konkrete Hilfestellung, um das IT-Sicherheitsniveau ihrer Netzwerke schnell und effizient zu erhöhen. Diese IT-Sicherheitsmaßnahmen sollten idealerweise Teil einer strukturierten Vorgehensweise zur Absicherung der Unternehmensnetzwerke sein, wie sie etwa der IT-Grundschutz des BSI empfiehlt. Die Allianz für Cyber-Sicherheit ist die richtige Anlaufstelle für Unternehmen und Organisationen jeder Größe, um sich über IT-Sicherheit zu informieren, sich mit Gleichgesinnten über Best-Practice-Beispiele auszutauschen und um von der Expertise des BSI zu profitiere“, so BSI-Präsident Arne Schönbohm.

Sieben Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office

Das BSI hat für den Einsatz auf dem Betriebssystem Microsoft Windows sieben Cyber-Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office 2013/2016/2019 erstellt. Diese behandeln zum einen übergreifende Richtlinien für Microsoft Office, zum anderen Richtlinien für sechs häufig genutzte Microsoft Office-Anwendungen:

• Microsoft Access 2013/2016/2019
• Microsoft Excel 2013/2016/2019
• Microsoft Outlook 2013/2016/2019
• Microsoft PowerPoint 2013/2016/2019
• Microsoft Visio 2013/2016/2019
• Microsoft Word 2013/2016/2019

Die Empfehlungen richten sich an mittelgroße bis große Organisationen, in denen die Endsysteme mit Gruppenrichtlinien in einer Active Directory-Umgebung verwaltet werden. Die dahinterliegenden Sicherheitsprinzipien gelten gleichermaßen für kleine Organisationen und Privatanwender. Die dargestellten Empfehlungen können ohne die Beschaffung zusätzlicher Produkte durchgeführt werden und sind mit vergleichsweise wenig Aufwand durchführbar.

Weitere Informationen zum Thema:

datensicherheit.de, 08.06.2019]
Smartphones: BSI warnt erneut vor vorinstallierter Schadsoftware

datensicherheit.de, 03.08.2018
Internet der Dinge: Aufbau sicherer Systeme

datensicherheit.de, 15.05.2019
Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

[datensicherheit.de, 08.06.2019] Erneut hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf mehreren Smartphones vorinstallierte Schadsoftware nachgewiesen. Die Geräte wurden auf unterschiedlichen Online-Marktplätzen gekauft und auf eine bereits im Februar nachgewiesene Schadsoftware-Variante überprüft. Das BSI warnt daher auf Grundlage von §7 des BSI-Gesetzes vor dem Einsatz der Geräte Doogee BL7000 und M Horse Pure 1 und rät allen Anwenderinnen und Anwendern zu besonderer Vorsicht.

Auch andere Geräte mit vorinstallierter Schadsoftware

Auch auf dem Gerät Keecoo P11 wurde die Schadsoftware in der Firmware-Version V3.02 (V362HH.SHWY.HB.HJ.P3.1130.V3.02) nachgewiesen. Für dieses Gerät steht eine Firmware V3.04 (V362HH.SHWY.HB.HJ.P3.0315.V3.04) ohne diese Schadsoftware über die Updatefunktion „Wireless Update“ des Herstellers zur Verfügung. Daneben hat das BSI auf dem Gerät VKworld Mix Plus die gleiche Schadsoftware nachweisen können, diese wurde allerdings nicht aktiv. Auch in diesen Fällen ist für Verbraucher besondere Vorsicht geboten.

„Unsere Untersuchungen zeigen ganz deutlich, dass IT-Geräte mit vorinstallierter Schadsoftware offensichtlich keine Einzelfälle sind. Sie gefährden die Verbraucherinnen und Verbraucher, die diese günstigen Smartphones kaufen und letztlich womöglich mit ihren Daten draufzahlen. Eine besondere Gefährdung entsteht zudem, wenn das infizierte Smartphone genutzt wird, um das smarte Zuhause inklusive Fenstersicherung oder Alarmanlage zu steuern. Um solche Angriffsszenarien zu verhindern, brauchen wir eine gemeinsame Anstrengung insbesondere seitens der Hersteller und der Händler, damit künftig derartig unsichere Geräte gar nicht erst verkauft werden können“, so BSI-Präsident Arne Schönbohm.

Betroffene Geräte wurden von einzelnen Handelsplattformen aus dem Sortiment genommen

Einzelne Handelsplattformen haben die von der BSI-Warnung betroffenen Geräte bereits bis auf Weiteres aus dem Sortiment genommen. Hilfen für Verbraucher sind folgend zusammengefasst: Beim Kauf von IT-Geräten geht die Sicherheit vor

Hintergründe zur Schadsoftware

Dem BSI liegen sogenannte Sinkhole-Daten vor, die pro Tag Verbindungsversuche zu über 20.000 unterschiedlichen deutschen IP-Adressen mit einem maliziösen C&C-Server nachweisen. Es muss daher von einer größeren Verbreitung von Geräten mit dieserSchadsoftware-Variante in Deutschland ausgegangen werden.
Das BSI hat deutsche Netzbetreiber bereits mittels CERT-Bund Reports über infizierte Geräte in deren jeweiligen Netzen informiert. Die Provider wurden gebeten, ihre betroffenen Kunden entsprechend zu benachrichtigen. Die von der IT-Sicherheitsfirma Sophos als „Andr/Xgen2-CY“ bezeichnete Schadsoftware übermittelt ad hoc verschiedene kennzeichnende Daten des Geräts an einen C&C-Server und verfügt daneben auch über eine Nachladefunktion. Darüber könnten weitere Schadprogramme wie etwa Banking-Trojaner auf den jeweiligen Geräten platziert und ausgeführt werden. Eine manuelle Entfernung der Schadsoftware ist aufgrund der Verankerung im internen Bereich der Firmware nicht möglich. Nutzer haben daher keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben, solange kein entsprechendes Firmwareupdate zur Verfügung steht.

Weitere Informationen zum Thema:

datensicherheit.de, 25.02.2019
Fake-Apps häufigste Ursache für gehackte Smartphones

datensicherheit.de, 09.07.2018
Smartphones: Hacker können Touchscreen-Benutzerinteraktionen analysieren

datensicherheit.de, 20.06.2018
HeroRat: Android-Smartphones als digitale Wanzen

datensicherheit.de, 14.03.2018
Smart Devices: Herkömmliche Modelle viel zu einfach zu hacken

[datensicherheit.de, 15.05.2019] Für das Microsoft-Betriebssystem Windows besteht eine kritische Schwachstelle im Remote-Desktop-Protocol-Dienst (RDP). Die Schwachstelle ist aus der Ferne und ohne Zutun des Nutzers ausnutzbar und ermöglicht daher einen Angriff mit Schadsoftware, die sich wurmartig selbstständig weiterverbreitet.

Sicherheits-Patches umgehend einspielen

Sicherheitsupdates für unterschiedliche Windows-Versionen stehen bereits zur Verfügung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät Anwendern, den jeweiligen Patch möglichst umgehend einzuspielen. Betroffen sind alle Windows- und Windows-Server-Versionen bis einschließlich Windows 7 und Windows-Server 2008. Microsoft hat auch für Windows-Versionen, die grundsätzlich nicht mehr unterstützt werden, Patches zur Verfügung gestellt, so etwa für Windows XP. Windows 10 ist Microsoft zufolge nicht betroffen. Das BSI hat eine Cyber-Sicherheitswarnung mit detaillierten Handlungsempfehlungen an Betreiber Kritischer Infrastrukturen und die Teilnehmer der Allianz für Cyber-Sicherheit ausgesprochen.

„Diese kritische Schwachstelle kann zu ähnlich verheerenden Angriffen führen, wie wir sie 2017 mit WannaCry erleben mussten. Windows-Anwender sollten daher die vorhandenen Updates umgehend installieren, bevor es zu größeren Schäden kommt. Das BSI stellt derzeit eine Vielzahl an kritischen Schwachstellen fest, nicht zuletzt in aktueller Chip-Hardware. Es zeigt sich erneut, wie wichtig Software-Qualität ist und welche Bedeutung security-by-design und security-by-default einnehmen müssen. Durch die zunehmende Digitalisierung wird sich unsere Welt immer stärker vernetzen und damit werden auch die digitalen Abhängigkeiten zunehmen. Ein wurmartiger Angriff kann daher weltweit zu massiven wirtschaftlichen Schäden führen. Umso wichtiger ist es, IT-Sicherheit strukturell in Unternehmen und Organisationen umzusetzen. Die Allianz für Cyber-Sicherheit des BSI ist für Unternehmen und Organisationen jeder Größe daher die richtige Anlaufstelle“, so BSI-Präsident Arne Schönbohm.

BSI stuft Schwachstelle als kritisch ein

Die Schwachstelle ist als kritisch anzusehen. Zwar ist der RDP-Dienst in der Regel nicht als aktiv voreingestellt, für eine hohe Anzahl von Servern wird der Dienst aber für die Fernwartung verwendet – und dies teilweise über das Internet. Dadurch ist ein Szenario denkbar, das der Ausbreitung von Wannacry gleicht, bei dem sich eine entsprechend zugeschnittene Schadsoftware automatisiert über das Internet verbreiten kann. Eine aktive Ausnutzung der Schwachstelle konnte das BSI bislang nicht feststellen. Mit der Veröffentlichung der Schwachstelle ist aber nun davon auszugehen, dass Angreifer sehr schnell entsprechende Schadsoftware entwickeln.

BSI-Empfehlungen

• Die von Microsoft zur Verfügung gestellten Updates sollten unverzüglich eingespielt werden. In Produktivnetzen von Unternehmen sollten ggfs. zunächst entsprechende Tests durchgeführt werden.
• Falls entgegen der Empfehlung, Betriebssysteme nicht mehr zu nutzen, die herstellerseitig nicht mehr unterstützt werden,aus individuellen Gründen noch Windows-Versionen wie XP und Server 2003 eingesetzt werden, sollten die Updates manuell heruntergeladen und installiert werden.
• Wenn kein Bedarf besteht, den RDP-Dienst zu nutzen, dann sollte dieser deaktiviert sein. Wenn RDP eingesetzt wird, sollten Verbindungen von außen auf bestimmte Netzbereiche oder Adressen eingeschränkt werden. Zudem bietet sich an, RDP-Anmeldungen zu protokollieren und regelmäßig auf sicherheitsrelevante Auffälligkeiten zu prüfen.
• Unabhängig von der konkreten Schwachstelle benachrichtigt das CERT-Bund des BSI seit einigen Wochen Betreiber von offen aus dem Internet erreichbaren RDP-Diensten. Empfänger dieser Benachrichtigungen sollten kritisch prüfen, ob der RDP-Dienst tatsächlich von beliebigen Adressen aus dem Internet erreichbar sein sollte.

Weitere Informationen zum Thema:

MSRC
Prevent a worm by updating Remote Desktop Services (CVE-2019-0708)

Microsoft Windows Security Support
Customer guidance for CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability: May 14, 2019

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 20.09.2018
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig

[datensicherheit.de, 10.05.2019] Diebstahl von Log-In-Daten ist für Cyberkriminelle nicht nur im Falle von Bankkonten interessant, denn oftmals erscheint der Zugriff auf Informationen in Unternehmen, beispielsweise um geistiges Eigentum zu stehlen, weitaus attraktiver. Nebenbei den Zugriff auf digitale Geldbörsen mit Kryptowährungen, sogenannten Wallets, zu erhalten, ist für die Hacker ein ebenso attraktives Ziel.

Angreifer setzen Stealer ein

Dafür setzen die Angreifer unter anderem sogenannte Stealer (von to steal, englisch für stehlen) ein. Diese durchsuchen die PCs der Opfer, um Kontoinformationen und andere Daten aus Webbrowsern, Instant Messengern, E-Mails, VPN-, RDP- und FTP-Software sowie aus Wallets und PC-Spielen zu extrahieren. Haben die Angreifer erst einmal Zugang zum System, können sie von dort aus oftmals ganz einfach das gesamte Netzwerk eines Unternehmens durchsuchen, Daten manipulieren, Konfigurationen ändern oder gar ganze Systeme zerstören und damit das Unternehmen ruinieren.

KPOT löscht sich selbst

Mit KPOT ist jetzt eine Malware im Umlauf, die sich nach „erfolgreicher“ Mission selbst wieder vom Rechner des Opfers löscht und damit keine Spuren hinterlässt. Kriminelle können KPOT über entsprechende Marktplätze ganz einfach erwerben und senken somit die Einstiegshürden für den organisierten Datendiebstahl.

Ein besonders interessanter Aspekt: KPOT überprüft die Spracheinstellungen des Rechners und wird bei ausgewählten Sprachen nicht aktiv – beispielsweise bei Russisch, Usbekisch, Turkmenisch und einigen anderen Sprachen der ehemaligen Sowjetunion.

Weitere Informationen zum Thema:

Proofpoint
New KPOT v2.0 stealer brings zero persistence and in-memory features to silently steal

datensicherheit.de, 09.05.2019
Ransomware: Deutschlands Unternehmen und Behörden haben ein neues altes Problem

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 15.04.2019
Malware – Das Böse kommt immer öfter per Dokumentenanhang

datensicherheit.de, 12.02.2019
proofpoint: Vierteljährlicher Report zur Bedrohungslage veröffentlicht

[datensicherheit.de, 19.09.2018] Am 18.09.2018 meldete Palo Alto Networks die Entdeckung der neuen Malware Xbash, die sowohl Windows- als auch Linux-Systeme mit einer neuen Strategie angreift. Die Schadsoftware verwendet Eigenschaften von Ransomware, unzulässigem Cryptomining und verbreitet sich zugleich wie ein Wurm.

Als Experte für die Erkennung sowie Bekämpfung von Hackern und Malware auf Basis eines Systems künstlicher Intelligenz und maschinellen Lernens, bewertet Gérard Bauer, VM EMEA bei Vectra die Entdeckung dieses neuen Malwaretyps:

„Oberflächlich betrachtet, mag diese Malware extrem erscheinen, aber sie ist an sich lediglich eine Kombination aus bestehenden Methoden von Cyberangreifern. Sie umfasst den gesamten Lebenszyklus eines Angriffs – von der Infektion bis zur Datenvernichtung. In der typischen Reihenfolge sind diese Verhaltensweisen: Infektion bzw. Eindringen, heimliches Auskundschaften des Netzwerks, laterale Ausbreitung, gefolgt vom Endergebnis in Form von Verschlüsselung, Datenvernichtung oder Crypto-Mining, je nach Absicht der Angreifer.

Diese Malware ist nicht das, was wir normalerweise als fortschrittlich betrachten würden. Sie ist nicht die Art von Malware, die bei einem gezielten Angriff zum Einsatz kommt, wie er von staatlichen Akteuren durchgeführt wird, um Daten zu entwende

Xbash besteht aus einer Reihe von Angriffsmethoden bzw. Verhaltensweisen, die bei jedem Angriff immer auftreten, unabhängig von der Absicht der Hacker. Was wir in den letzten Jahren gesehen haben, ist die kontinuierliche Automatisierung des Angriffslebenszyklus bei opportunistischen Angriffen. Ziel der Angreifer ist es, schneller zu agieren und eine breitere Angriffsfläche zu erreichen, um erfolgreich zu sein. Die Idee ist, dass der Angreifer so viele Systeme wie möglich infizieren muss, um Schaden anzurichten, bevor der Verteidiger den Angriff erkennt und reagieren kann.

Somit ist die Cybersicherheit zu einem Wettrennen zwischen Angreifer und Verteidiger geworden. Die Angriffe erfolgen schnell, daher müssen die Verteidiger noch schneller sein. Schnelligkeit ist mehr denn je das A und O in der Cybersicherheit.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.09.2018
Xbash: Neue Malware nimmt Linux und Windows ins Visier

datensicherheit.de, 10.09.2018
Multi-Exploit-Botnets Mirai und Gafgyt zielen auf IoT- und Linux-Geräte

[datensicherheit.de, 14.09.2018] Forscher des Unternehmens ESET haben entdeckt, dass Drittanbieter Add-ons der beliebten Mediaplayer-Software Kodi für eine Malware-Kampagne missbraucht wurden. Ein kürzlich wegen Urheberrechtsverletzungen abgeschaltetes Repository (XvMBC) hat – wahrscheinlich unwissentlich – seit Dezember 2017 Kryptomining-Schadsoftware verbreitet. Sowohl Windows- als auch Linux-Nutzer sollten dringend ihre Systeme scannen.

Es ist der zweite bekannte Fall, in dem über Add-ons für Kodi im großem Maßstab Malware verbreitet wurde. Die Schadsoftware verfolgt den Zweck, unbemerkt auf fremden Rechnern die Kryptowährung Monero zu schürfen. Dies macht sich vor allem am steigenden Stromverbrauch und der stark abnehmenden Leistung des Rechners bemerkbar. Die Architektur dieses Kryptominers ist allerdings so aufgebaut, dass seine endgültige Nutzlast nur schwer auf das bösartige Add-on zurückgeführt werden kann.

Auch, wenn die ursprünglichen Add-ons nicht mehr funktionsfähig sind, könnten User die Malware trotzdem noch unwissentlich auf dem System haben und betroffen sein. „Wenn Nutzerinnen und Nutzer Kodi und seine Add-ons auf einem Windows- oder Linux-Gerät verwenden, sollten sie auf Nummer Sicher gehen und ihre Systeme auf jeden Fall mit einer zuverlässigen Anti-Malware-Lösung scannen“, sagt Thomas Uhlemann, Security Specialist bei ESET. Windows-Nutzer können dafür zum Beispiel den ESET Online Scanner verwenden, Linux-Anwender können stattdessen mit der kostenlosen Testversion von ESET NOD32 Antivirus für Linux Desktop den Computer auf Kryptominer überprüfen. Diese Produkte helfen, die Bedrohungen zu erkennen, zu blockieren und zu entfernen.

Weitere Informationen zum Thema:

WeLiveSecurity
Kodi-Addons verantwortlich für Crypto-Mining Kampagne

datensicherheit.de, 27.06.2018
Cyber-Kriminelle nutzen Hype um Kryptowährungen

datensicherheit.de, 07.04.2018
Illegales Krypto-Mining: Missbrauch von Fußball- und VPN-Apps als neuer Trend

datensicherheit.de, 12.01.2018
Hackerangriff auf Behörde: Ziel Krypto-Währungen schürfen

[datensicherheit.de, 23.04.2018] Symantec hat am 23. April 2018 einen Forschungsbericht zu einer neuentdeckten Gruppe von Cyber-Kriminellen veröffentlicht, die demnach zielgerichtete Angriffe im Gesundheitswesen sowie in verwandten Branchen in den USA, Europa und Asien durchführt.

Individuelle Hintertür eingerichtet

Die Sicherheitsexperten von Symantec haben nach eigenen Angaben herausgefunden, dass die unter dem Namen „Orangeworm“ bekannte Angreifergruppe bei großen internationalen Organisationen des Gesundheitswesens, darunter medizinischen Dienstleistern, Pharmaunternehmen, Anbietern von branchenspezifischen IT-Lösungen sowie Herstellern von medizinischen Geräten eine „individuelle Hintertür“ eingerichtet hat.

Schadsoftware auf medizinischen Geräten

Besonders alarmierend ist laut Symantec, dass auch Schadsoftware auf medizinischen Geräten wie Röntgengeräten, Kernspintomographen sowie speziellen Geräten gefunden wurde, die Patienten bei der Einverständniserklärungen für notwendige Behandlungen unterstützen.

Weitere Informationen zum Thema:

Symantec.Blogs / Threat Intelligence, 23.04.2018
New Orangeworm attack group targets the healthcare sector in the U.S., Europe, and Asia

datensicherheit.de, 08.04.2018
Rettungswesen: Software-Sicherheitsleck zeigt Brisanz der Datensicherheit

datensicherheit.de, 31.01.2018
Experten fordern neue Cyber-Sicherheitsansätze für bildgebende Medizingeräte

[datensicherheit.de, 07.07.2017] Die Bedrohungslage durch den Cyber-Angriff, der unter dem Namen Petya (auch: NotPetya, ExPetr, DiskCoder.C) bekannt wurde, Ende Juni aktuellen Erkenntnissen zur Folge auch für deutsche Unternehmen größer als bislang angenommen.

Analysen von IT-Sicherheitsforschern legen dabei nahe, dass bereits seit April 2017 in mehreren Wellen unterschiedliche Schadsoftwarevarianten über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M.E.Doc verteilt wurden. Damit können auch Unternehmen von diesem Cyber-Angriff betroffen sein, die M.E.Doc einsetzen, aber augenscheinlich nicht vom öffentlich bekanntgewordenen Verschlüsselungstrojaner Petya betroffen waren. Auch Datensicherungen (Backups), die nach dem 13.04.2017 angelegt wurden, müssen als potentiell kompromittiert betrachtet werden.
Die unterschiedlichen Schadsoftwarevarianten ermöglichen das Ausspähen von Daten aus den betroffenen Firmennetzwerken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet diese Analysen als plausibel.

Schadenspotential mindestens so hoch wie bei WannaCry

Dazu erklärt BSI-Präsident Arne Schönbohm: „Wir beobachten hier, ähnlich wie im Fall WannaCry, dass die Täter über die gleichen Verbreitungswege weitere Schadsoftware verteilt haben, die sich im Gegensatz zu Verschlüsselungstrojanern nicht sofort bemerkbar machen. Ihr Schadenspotential ist dabei allerdings mindestens ebenso hoch. Unternehmen sind daher aufgefordert, Cyber-Sicherheit auch ohne akuten Anlass als Voraussetzung einer erfolgreichen Digitalisierung zu begreifen und IT-Sicherheitsmaßnahmen konsequent umzusetzen.“

Dem Behörde liegen zudem Informationen vor, die deutlich machen, dass die von der Schadsoftware betroffenen Firmen/Organisationen erhebliche Anstrengungen unternehmen müssen, um zum Teil kritische Geschäftsprozesse wiederherstellen zu können.

Schönbohm: „In einigen Unternehmen in Deutschland stehen seit über eine Woche die Produktion oder andere kritische Geschäftsprozesse still. Hier entstehen Schäden in Millionenhöhe und das bei einem IT-Sicherheitsvorfall, bei dem Deutschland im Grunde mit einem blauen Auge davon gekommen ist. Wir müssen die Resilienz gegen Cyber-Angriffe in Deutschland weiter konsequent erhöhen und Informationssicherheit mit höchster Priorität behandeln.“

Vom BSI werden dringend folgende Schutzmaßnahmen empfohlen:

• Auf M.E.Doc Software angewiesene Unternehmen sollten Computersysteme, auf denen diese Software installiert ist, in separierten Netzbereichen kapseln, verstärkt überwachen und sowohl diese als auch von dort erreichbare Systeme auf zusätzliche, möglicherweise bereits stattgefundene Kompromittierungen untersuchen
• Auf infizierten Rechnern sollten alle Passwörter geändert werden
• Infizierte Rechner sollten idealerweise neu aufgesetzt werden
• Umsetzung einer Netzwerksegmentierung
• Erstellen und Vorhalten von Daten-Sicherungen (Backups)
• Überprüfung der Administratorenrechte:
  • Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
  • Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche Passwort haben
  • Idealerweise sollte der lokale Administrator deaktiviert sein-
• Einspielen aktueller Patches für Software und Betriebssysteme, insbesondere des Microsoft-Patches
  MS17-010
• Aktualisierung der eingesetzten Antiviren-Programme

Das BSI empfiehlt zudem, im Zweifel externe IT-Fachkräfte zur Analyse und Bereinigung der Infektionen hinzuzuziehen.

Betroffene Unternehmen können sich unter meldestelle [at] bsi [dot] bund [dot] de an das BSI wenden.

Weitere Informationen zum Thema:

datensicherheit.de, 29.06.2017
Sogenannte Petya-Attacke: Vermutung zu möglichen Beweggründen und Zielen