[datensicherheit.de, 04.12.2019] Vectra meldet, dass als Ergebnis einer internationalen Ermittlung gegen Verkäufer und Benutzer von „Imminent Monitor Remote Access Trojan“ (IM-RAT) das Hosting dieses Hacking-Tools nun abgeschaltet worden sei. Das RAT-Tool habe Cyber-Kriminellen die vollständige Fernsteuerung des Computers eines Opfers ermöglicht.

IM-RAT kann von Käufern nicht mehr verwendet werden

An der von der australischen Bundespolizei (AFP) geleiteten Operation, deren internationale Aktivitäten von Europol und Eurojust demnach koordiniert wurden, waren laut Vectra „zahlreiche Justiz- und Strafverfolgungsbehörden in Europa, Kolumbien und Australien beteiligt“.
Im Zuge der Ermittlungen sei die Verfügbarkeit dieses Instruments beendet worden, „das zuvor bereits in 124 Ländern eingesetzt und an mehr als 14.500 Käufer verkauft worden war“. IM-RAT könne damit von den Käufern nicht mehr verwendet werden.

Netzwerke von 90 Prozent befragter Unternehmen weisen Form bösartigen RDP-Verhaltens auf

„Remote Access Trojaner (RATs) zählen zu einer Reihe von Angriffstools, die in fremde Systeme, Daten und Privatsphären eindringen. Angesichts eines regen legitimen Fernzugriffs über Netzwerke und Hosts hinweg gibt es für RATs viele Möglichkeiten, unentdeckt zu operieren, da sie sich gut verstecken können“, erläutert Andreas Müller, „Director DACH“ bei Vectra.
Es sei zwar erfreulich, dass die Strafverfolgungsbehörden den Verkauf und die Nutzung von RATs durch Kriminelle stoppten, „wobei die Wege und Dienste, die RATs nutzen, für viele Unternehmen offenbleiben und schwer zu überwachen sind“. Es gebe Signaturen für die gängigsten RATs, aber erfahrene Angreifer könnten RATs leicht anpassen oder ihre eigenen RATs mit gängigen Remote-Desktop-Tools wie RDP erstellen. „Dies wurde durch eine kürzlich durchgeführte Analyse von Live-Unternehmensnetzwerken bestätigt, die ergab, dass die Netzwerke von 90 Prozent der befragten Unternehmen eine Form von bösartigem RDP-Verhalten aufweisen“, so Müller.

Modelle des Maschinellen Lernens zum Einsatz gekommen

Bei den Ermittlungen seien Modelle des Maschinellen Lernens zum Einsatz gekommen, „die entwickelt wurden, um das einzigartige Verhalten von RATs zu identifizieren“. Diese Art der Verhaltenserkennung sei effektiver, anstatt zu versuchen, die Signatur jeder RATs perfekt mit dem Fingerabdruck zu erfassen.
Durch die Analyse einer großen Anzahl von RATs könne ein überwachtes Maschinelles Lernmodell eben lernen, „wie sich der Verkehr dieser Tools vom normalen legitimen Fernzugriffsverkehr unterscheidet“. Müller erläutert: „Auf diese Weise lässt sich RAT-typisches Verhalten ohne vorherige Kenntnis des Angriffs oder des individuellen RAT-Codes erkennen.“

Weitere Informationen zum Thema:

VECTRA
INDUSTRY RESEARCH / 2019 Spotlight Report on RDP

datensicherheit.de, 20.04.2017
Cardinal RAT: Aktive Malware zwei Jahre unentdeckt

datensicherheit.de, 16.08.2016
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen

[datensicherheit.de, 05.04.2017] Opfern der Ransomware „Bart“ wird jetzt ein kostenloses Tool zur Wiederherstellung ihrer verlorenen Daten zur Verfügung gestellt. „Bart“ kann laut Bitdefender befallene Computer auch ohne Internetverbindung verschlüsseln. Diese Ransomware sei seit dem ersten Auftreten im Juli 2016 von Bitdefender-Experten analysiert worden, um schließlich ein Entschlüsselungswerkzeug zu entwickeln. Dieses Tool könnten betroffene Nutzer ab sofort kostenlos auf der Website von Bitdefender oder der Initiative „No More Ransom” herunterladen, um verschlüsselte Daten wiederherzustellen.

Entschlüsselung für alle Varianten

Nachdem diese Ransomware schon gut neun Monate Schaden angerichtet habe, ist Bitdefender nach eigenen Angabender bisher einzige Hersteller, welcher eine Entschlüsselung für alle Varianten dieser Schadsoftware anbietet:
Das Werkzeug kann demnach Dateien mit den Endungen „bart.zip”, „.bart” und „.perl” entschlüsseln.
Die Entwicklung dieser Software sei ein direkter Erfolg der Zusammenarbeit von Bitdefender, Europol und der rumänischen Polizei, die allesamt die einst von Europols European Cybercrime Centre gestartete Initiative „No More Ransom” unterstützten.

Verschlüsselung ohne aktive Internetverbindung

Im Gegensatz zu anderen Ransomware-Familien könne „Bart“ Dateien befallener Opfer ohne aktive Internetverbindung verschlüsseln. Der Entschlüsselungs-Prozess hingegen bedürfe einer Internetverbindung, um auf den von den Angreifern kontrollierten Command-and-Control-Server zuzugreifen, über den normalerweise Bitcoins und der Entschlüsselungscode ausgetauscht würden.
Die ersten Versionen von „Bart“ hätten nur rudimentäre Verschlüsselungsmöglichkeiten enthalten, wie etwa die Erstellung von passwortgeschützten „.zip“-Archiven. Neuere Versionen nutzten diese Methode nicht mehr.

Funktionsweise der Ransomware „Bart“ laut Bitdefender:

• „Bart“ löscht zuerst Wiederherstellungspunkte des Systems.
• Anschließend erstellt „Bart“ einen Verschlüsselungscode aus Informationen auf dem Computer des Opfers.
• Dann spezifiziert „Bart“ die Zieldateien und verschlüsselt sie mit dem erstellten Code.
• Im nächsten Schritt nutzt „Bart“ einen Master-Code, um den erstellten Code noch einmal zu verschlüsseln – dieser neue Code wird dann die „Unique ID“ (UID) des Opfers.
• Diese UID wird dann zu guter Letzt genutzt, um die Lösegeldforderung zu erstellen, die über einen Link mit der UID auf eine „.onion“-Webseite führt.

Mehr als eine Milliarde US-Dollar Schaden

Der Schaden durch Ransomware wird nach Angaben von Bitdefender bereits auf mehr als eine Milliarde US-Dollar geschätzt – private Nutzer sind genauso wie Unternehmen betroffen.
Generell wird Opfern nicht empfohlen, das geforderte Lösegeld zu bezahlen, da man nie sicher sein kann, ob man die Entschlüsselungscodes tatsächlich erhält und mit dem gezahlten Lösegeld aktiv zur weiteren Entwicklung noch raffinierterer Ransomware beiträgt.

Weitere Informationen zum Thema:

NO MORE RANSOM!
NEED HELP unlocking your digital life without paying your attackers*?

Bitdefender
BART RANSOMWARE DECRYPTION TOOL

datensicherheit.de, 22.08.2012
Bitdefender Android Malware Report: Verseuchte Apps senden eigenständig kostenpflichtige SMS

[datensicherheit.de, 25.07.2016] „No More Ransom“ ist eine gemeinsame Initiative, mit der die niederländische Polizei, Europol, Intel Security und KASPERSKY lab ihre Kräfte bündeln wollen. Laut KASPERSKY lab stellt diese Initiative „einen neuen Schritt der Zusammenarbeit von Strafverfolgungsbehörden und Privatwirtschaft im gemeinsamen Kampf gegen Ransomware dar“. „No More Ransom“ ist ein neues Webportal, das die Öffentlichkeit zum Thema Ransomware-Gefahren informieren und Opfer bei der Wiederherstellung ihrer Daten unterstützen soll – ohne dass diese Lösegeld an Cyber-Kriminelle zahlen müssen.

Bedrohlicher Anstieg der Fälle der von Krypto-Malware attackierten Nutzer

Ransomware sperrt Computer oder verschlüsselt Daten und verlangt dann im Anschluss von den Opfern eine Lösegeldsumme zur Wiedererlangung der Kontrolle über betroffene Geräte und Daten. Für die EU-Strafverfolgungsbehörden ist Ransomware aktuell eine der derzeit größten Bedrohungen – fast zwei Drittel der EU-Mitgliedsstaaten führten aufgrund dieser Art der Malware-Attacke Ermittlungen durch, meldet KASPERSKY lab.
Die Zielobjekte sind dabei oftmals persönliche Geräte, aber auch Unternehmen und sogar staatliche Netzwerke sind betroffen. Die Anzahl der Opfer wächst laut KASPERSKY lab „bedrohlich“ – die Zahl der von Krypto-Malware attackierten Nutzer sei zwischen den Jahren 2015 und 2016 um 550 Prozent angestiegen, von 131.000 auf 718.000.

Neue Webplattform NoMoreRansom.org

Die neue Website „NoMoreRansom.org“ soll Ransomware-Opfern eine nützliche Onlinequelle sein. Nutzer finden dort Informationen, was Ransomware genau ist, wie die Schädlinge funktionieren und wie man sich dagegen schützen kann.
KASPERSKY lab weist darauf hin, dass das Bewusstsein hierfür entscheidend sei, denn längst nicht für alle Schädlingsversionen existierten Entschlüsselungstools. Bei einer Infektion bleibt demnach die Wahrscheinlichkeit groß, dass die Daten für immer verloren sind. Das Erlernen einer bewussten Internetnutzung, bei der eine Reihe einfacher Cyber-Sicherheitstipps berücksichtigt werden, könnte also eine Infektion von Beginn an vermeiden.
Das Projekt „NoMoreRansom.org“ bietet Nutzern Tools an, die ihnen bei der Wiederherstellung der Daten nach einer erfolgten Verschlüsselung helfen können. Zum Start beinhaltet die Website nach offiziellen Angaben vier Entschlüsselungstools für verschiedene Malware-Arten, beispielsweise ein im Juni 2016 entwickeltes Tool für eine Version von „Shade“.

„Shade“ Ende 2014 aufgetaucht

Bei „Shade“ handele es sich um einen Ransomware-Trojaner der Ende des Jahres 2014 aufgetaucht sei. Dieser Schädling werde über schadhafte Webseiten und infizierte E-Mail-Anhänge verbreitet. Auf einem Nutzersystem gelandet, verschlüssele „Shade“ auf dem Rechner gespeicherte Dateien und erstelle eine „txt.“-Datei mit einer Lösegeldforderung und eine Anleitung der Cyber-Kriminellen zur Wiedererlangung der persönlichen Daten.
„Shade“ nutze eine starken Verschlüsselungsalgorithmus für jede verschlüsselte Datei, mit zwei zufällig erstellten 256-bit-AES-Schlüsseln: Einer sei für die Verschlüsselung des Dateiinhalts und der andere für zur Verschlüsselung der Dateinamen zuständig.
Seit dem Jahr 2014 hätten KASPERSKY lab und Intel Security mehr als 27.000 „Shade“-Angriffsversuche auf ihre Nutzer verhindert. Die meisten Infektionen seien in Russland, der Ukraine, Deutschland, Österreich und Kasachstan aufgetaucht, aber auch in Frankreich, der Tschechischen Republik, Italien und den USA.
Die von den Cyber-Kriminellen für „Shade“ genutzten Command-and-Control-Server zur Speicherung der Verschlüsselungsschlüssel seien im Zuge enger Zusammenarbeit und Informationsaustausch zwischen den beteiligten Parteien beschlagnahmt worden. Die Schlüssel seien im Anschluss Intel Security und KASPERSKY lab zur Verfügung gestellt worden. Dadurch habe man ein spezielles Tool entwickeln können, welches Betroffenen auf der „No More Ransom“-Website zum kostenfreien Download zur Verfügung gestellt werde. Damit könnten Daten wiederhergestellt werden, ohne Lösegeld zu zahlen. Das Tool enthalte mehr als 160.000 Schlüssel.

Nicht-kommerzielle Initiative

Das Projekt sei als nicht-kommerzielle Initiative mit dem Ziel angelegt worden, öffentliche und private Institute zusammenzubringen. Weil Cyber-Kriminelle ständig neue Versionen von Ransomware entwickelten, sei das Portal offen für neue Partnerkooperationen.
„Wir, die niederländische Polizei, können nicht alleine gegen Cyber-Kriminalität und insbesondere Ransomware kämpfen“, betont Wilber Paulissen, Direktor der niederländischen Polizei für die Abteilung „National Criminal Investigation“. Dies sei eine gemeinschaftliche Verantwortung von Polizei, Justiz, Europol sowie IT-Unternehmen und erfordere gemeinschaftliche Anstrengungen. Paulissen: „Zusammen werden wir alles in unserer Macht stehende tun, um Kriminelle bei ihren GeldBeschaffungsmodellen zu stören und die Daten den rechtmäßigen Besitzern zurückzugeben, ohne dass sie hierfür Geld bezahlen müssen.“
Das größte Problem hinsichtlich Krypto-Malware sei heutzutage, dass „Nutzer, bei denen wertvolle Daten gesperrt wurden, bereitwillig den Cyber-Kriminellen Geld bezahlen, damit sie die Daten wieder bekommen“, so Jornt van der Wiel, „Security Researcher“ beim „Global Research and Analysis Team“ von KASPERSKY lab. Dies fördere die Untergrundökonomie. Das Ergebnis sei eine wachsende Anzahl neuer „Player“ und mehr Attacken. „Wir können die Situation nur ändern, wenn wir unsere Anstrengungen im Kampf gegen Ransomware koordinieren“, unterstreicht van der Wiel. Die Verfügbarkeit von Entschlüsselungstools sei nur ein erster Schritt in die richtige Richtung. Sie gingen davon aus, dass dieses Projekt ausgeweitet werde und bald mehrere Unternehmen und Strafverfolgungsbehörden aus anderen Ländern und Regionen gemeinsam gegen Ransomware kämpfen würden.
Diese Initiative zeige den Wert privat-öffentlicher Kooperationen, um ernsthafte Aktionen im Kampf gegen Cybercrime durchführen zu können, sagt Raj Samani, „EMEA CTO“ bei Intel Security. Diese Zusammenarbeit gehe über das Teilen von Expertise, Aufklärung von Nutzern und Zerschlagungen hinaus, weil die Opfer bei der Wiederherstellung ihrer Daten unterstützt würden. „Indem wir ihnen wieder Zugang zu ihren Systemen verschaffen, zeigen wir den Nutzern, dass sie etwas tun können und kein Lösegeld an die Kriminellen bezahlen müssen.“
Wil van Gemert, „Deputy Director Operations“ bei Europol führt aus, dass sich seit einigen Jahren Ransomware zu „einer der drängendsten Sorgen für die EU-Strafverfolgungsbehörden entwickelt“ habe. Ein Problem, das Bürger und Wirtschaft sowie Computer und mobile Geräte betriffe – mit Kriminellen, die immer komplexere Techniken entwickelen, um die größtmöglichen Auswirkungen auf die Opferdaten zu verursachen. Initiativen wie das „No More Ransom“-Projekt zeigten, dass der richtige Weg über geteilte Expertise und gebündelten Kräfte im erfolgreichen Kampf gegen Cyber-Kriminalität zu gehen sei. „Wir erwarten, vielen Menschen dabei helfen zu können, die Kontrolle über ihre Daten wieder zu erlangen, und gleichzeitig das Bewusstsein zu erhöhen und die Bevölkerung aufzuklären, wie sie die eigenen Geräte frei von Malware halten“, erläutert van Gemert.

Kein Lösegeld zahlen, Ransomware-Delikten zur Anzeige bringen!

Das Anzeigen von Ransomware-Delikten sei sehr wichtig, um den Behörden dabei zu helfen, ein komplettes Bild und entsprechende Verhinderungsmaßnahmen der Bedrohung zu bekommen. Die „No More Ransom“-Website biete den Opfern die Möglichkeit, kriminelle Delikte anzuzeigen, indem sie direkt von der Übersichtsseite von Europol zu den nationalen Behörden weitergeleitet würden.
Opfer von Ransomware sollten das geforderte Lösegeld niemals zahlen, denn eine Zahlung unterstütze das Geschäftsmodell der Cyber-Kriminellen. Zudem gebe es keine Gewährleistung dafür, dass Opfer nach der Zahlung wieder Zugang zu den verschlüsselten Daten erhalten.

Weitere Informationen zum Thema:

NO MORE RANSOM!
NEED HELP unlocking your digital life without paying your attackers*?

EUROPOL
REPORT CYBERCRIME

[datensicherheit.de, 29.04.2016] Heimanwender wie Organisationen stehen aktuell geradezu in einem Kreuzfeuer von Angriffen mit Verschlüsselungssoftware (Ransomware). KASPERSKY lab hat nun ein Entschlüsselungstool – inklusive einer deutschsprachigen Anleitung – zur Verfügung gestellt, mit dessen Hilfe Opfer der Ransomware „CryptXXX“ ihre verschlüsselten Dateien wieder herstellen könnten. „CryptXXX“ wird für Angriffe auf „Windows“-Geräte verwendet, sperrt Dateien und stiehlt persönliche Daten und Bitcoins.

Betroffene Dateinamen erhalten die Endung „.crypt“

Der Ransomware-Trojaner wird nach Angaben von KASPERSKY lab über Spam-Mails verbreitet, die einen infizierten Anhang oder einen Link auf eine kompromittierte Seite enthalten, bzw. über Webseiten, die mit dem „Angler Exploit Kit“ ausgestattet sind.
Kurz nach der Installation verschlüssele der Trojaner dann Dateien auf dem infizierten System und füge dem Dateinamen die Endung „.crypt“ hinzu. Opfer würden im Anschluss darüber informiert, dass ihre Dateien mit Hilfe des starken Verschlüsselungsalgorithmus RSA-4096 verschlüsselt worden seien und gegen ein Lösegeld in Bitcoins in der Höhe von mehr als 400 Euro wieder hergestellt werden könnten.

Von „CryptXXX“ derzeit über 50 Schädlingsfamilien im Umlauf

Von „CryptXXX“ seien derzeit über 50 Schädlingsfamilien im Umlauf. Es gebe keinen allgemeinen Algorithmus, mit dem man allen Vertretern dieser Gattung begegnen könne. Jedenfalls habe sich herausgestellt, dass die Aussage der Angreifer einer durchgeführten RSA-4096-Verschlüsselung falsch sei. KASPERSKY lab habe daher ein Entschlüsselungstool entwickeln können, mit dem Opfer sicher gehen könnten, dass ihre Dateien im Falle einer „CryptXXX“-Infektion wiederhergestellt werden könnten, ohne Lösegeld bezahlen zu müssen. Für die Entschlüsselung einer betroffenen Datei benötigt KASPERSKY lab nach eigenen Angaben mindestens eine von „CryptXXX“ betroffene Originaldatei – in der Fassung vor der Verschlüsselung.

Empfehlungen von KASPERSKY lab:

Nutzer von KASPERSKY-Lösungen seien von Beginn geschützt, weil deren Technologie „Automatischer Exploit-Schutz“ eine Infektion mit dem „Angler Exploit Kit“ verhindere. Nutzer sollten sich grundsätzlich wie folgt gegen „CryptXXX“ wappnen:

• regelmäßig Backups erstellen;
• alle für Betriebssysteme und Browser angebotenen Updates installieren, denn das „Angler Exploit Kit“ nutze Softwareschwachstellen aus, um „CryptXXX“ auf ein Systeme zu laden und dort zu installieren;
• IT-Sicherheitslösung wie z.B. „Kaspersky Internet Security“ installieren, welche mehrschichtigen Schutz vor Ransomware bietet.

Weitere Informationen zum Thema:

KASPERSKY lab, 27.04.2016
Tool zur Entschlüsselung der von Trojan-Ransom.Win32.Rannoh betroffenen Dateien

KASPERSKY lab DAILY, 26.04.2016
How to unlock a .crypt file

[datensicherheit.de, 18.03.2014] Barracuda Networks, Anbieter von Security- und Storage-Lösungen, bietet mit Threatglass ein Online-Tool, mit dem sich web-basierte Malware teilen, analysieren und bekannte Infektionen nachverfolgen lässt. Mit Threatglass können Anwender Webseiten-Infektionen graphisch nachvollziehen, indem Screenshots der verschiedenen Stadien einer Infektion dargestellt werden und darüber hinaus Netzwerk-Charakteristika wie gehostete Elemente und Anläufe analysiert werden können.

Dr. Paul Judge, Chief Research Officer und Vice President bei Barracuda kommentiert: „Mit dem Phänomen, dass gute Seiten ‚böse‘ werden, sind populäre Webseiten tagtäglich konfrontiert. Seiten werden angegriffen, infiziert und sorgen dafür, dass nichtsahnende Besucher sich die Malware ebenfalls einfangen. Threatglass richtet sich sowohl an den gewöhnlichen Nutzer als auch an die Forschungs-Community um ihnen ein Mittel an die Hand zu geben, dieses fortlaufend bestehende Problem besser zu verstehen.“

Threatglass ist das Front-End für ein leistungsstarkes automatisiertes System, dass durch Virtualisierung und unabhängig von spezifischen Schwachstellen und Exploits Web-basierte Maleware aufspürt. Diese Plattform analysiert Millionen von Webseiten pro Woche. Die untersuchten Webseiten kommen aus den unterschiedlichsten Quellen. Dazu gehören die Alexa Top25000-Webseiten, Social-Feeds sowie verdächtige Webseiten im Barracuda Kunden-Netzwerk. Dieses besteht aus weltweit mehr als 150.000 Organisationen. Über die Screenshots der Infektionen hinaus zeigt Threatglass auf vielfältige Art und Weise den Netzwerkverkehr an. Dazu gehören die grafische oder tabellarische Aufarbeitung von DNS, HTTP sowie des Netzflows. Das System hat bisher ungefähr 10.000 Web-basierte Angriffe live katalogisiert – neue kommen täglich hinzu.

Die Malware Detection Engines der Barracuda Labs haben zahlreiche Infektionen auch in sehr etablierten Webseiten entdeckt. In den vergangenen Monaten publizierten die Barracuda Labs hierzu ihre Ergebnisse für Cracked.com, Php.net und Hashbro.com. Diese Beispiele sowie tausende andere Webseiten sind jetzt über Threatglass sichtbar.

Zu den Kern-Funktionalitäten die Anwender ausprobieren können gehören:

Visualisierung:

• Ansicht von infizierten Websites in einer grafischen Oberfläche à la Pinterest
• Grafisch aufgearbeitete Trend-Daten historischer Malware-Volumen
• Untersuchung der Beziehungen zwischen den verschiedenen Komponenten eines Angreifer-Rings

Community:

• Teilen von Daten zwischen verschiedenen Forschern
• Untersuchung von geparsten Breakout-Daten und Quell-Dateien
• Einreichen von Webseiten zur weiteren Untersuchung

Weitere Informationen zum Thema:

Barracuda Labs
Threatglass

[datensicherheit.de, 27.02.2014] Qualys, Inc. (NASDAQ: QLYS), Anbieter von cloudbasierten Sicherheits- und Compliance-Lösungen, hat in Zusammenarbeit mit dem SANS Institute und dem Council on CyberSecurity ein neues, kostenloses Tool entwickelt, mit dem Unternehmen die Top 4 der kritischen Sicherheitskontrollen implementieren können, um Angriffe abzuwehren. Mit ihm können Unternehmen schnell herausfinden, ob auf den PCs in ihren IT-Umgebungen die vier wichtigsten Sicherheitsvorkehrungen implementiert sind, die nach Einschätzung des Council on CyberSecurity helfen können, 85% aller Cyber-Angriffe zu verhindern.

„Das Qualys Top 4 Tool ist eine außerordentlich elegante und effektive Lösung, mit dem kleine wie auch große Unternehmen und Organisationen feststellen können, wie resistent sie gegen die heutigen hochentwickelten Bedrohungen sind“, so Jonathan Trull, CISO beim US-Bundesstaat Colorado. „Dies ist genau die Art von Partnerschaft zwischen dem öffentlichen und dem privaten Sektor, die unser Land braucht, um den Cyber-Angriffen zu begegnen, die unsere Wirtschaft und unsere kritische Infrastruktur bedrohen.“

Mit dem neuen Top 4 Cloud-Service, der auf der Cloud-Plattform QualysGuard aufsetzt, können Unternehmen schnell und einfach herausfinden, ob auf den Windows-PCs in ihren IT-Umgebungen die folgenden Top 4 Sicherheitsvorkehrungen implementiert sind:

1. Whitelisting von Anwendungen – nur autorisierte Software darf verwendet werden
2. Patches für Anwendungen – Anwendungen, Plug-ins und sonstige Software muss stets up to date sein
3. Patches für Betriebssysteme – Betriebssysteme müssen mit den aktuellsten Fixes auf dem neusten Stand gehalten werden
4. Minimieren von Admin-Rechten – Verhinderung von heimlichen Änderungen durch bösartige Software

Mithilfe der Berichte, die das kostenlose Tool erzeugt, können die IT-Administratoren ihre nicht konformen Endgeräte finden und die notwendigen Maßnahmen treffen, um sie gegen Angriffe resistenter zu machen.

„Die Stärke der kritischen Sicherheitskontrollen liegt darin, dass ihnen das vereinte Know-how von Experten zugrunde liegt, die umfassendes Wissen über die aktuellen Bedrohungen, über reale Angriffe und effektive Abwehrmaßnahmen besitzen“, erklärt Philippe Courtot, Chairman und CEO von Qualys. „Wir haben diesen Cloud-Service in Zusammenarbeit mit dem SANS Institute und dem Council on CyberSecurity entwickelt, damit Unternehmen die Anwendung dieser Kontrollen gewährleisten und diejenigen PCs in ihren IT-Umgebungen ermitteln können, die umgehender Maßnahmen bedürfen.“

Hintergrund: Kritischen Sicherheitskontrollen

Die kritischen Sicherheitskontrollen wurden von einem internationalen Konsortium aus Behörden und Sicherheitsexperten als Richtlinien zum Schutz kritischer IT-Assets, Infrastrukturen und Daten entwickelt. Ihr Zweck ist es, durch fortwährende, automatisierte Absicherung und Überwachung sensibler IT-Infrastrukturen die Abwehrkraft von Unternehmen zu stärken. Die Kontrollen fokussieren auf den Sicherheitsfunktionen, die effektiv vor den neuesten Advanced Targeted Threats schützen. Dabei legen sie starkes Gewicht auf das, was „wirklich funktioniert“, um Kompromittierungen zu vermindern, die Notwendigkeit von Wiederherstellungsmaßnahmen zu minimieren und die diesbezüglichen Kosten zu senken. Laut Empfehlung des Council on Cyber Security kann die Implementierung der Top 4 Kontrollen Unternehmen helfen, die Mehrzahl der Angriffe abzuwehren.

Weitete Informationen zum Thema:

QUALYS
Top 4 Security Controls / Do your PCs make the grade?

[datensicherheit.de, 05.10.2013] Jede App, die ein Mitarbeiter auf einem mobilen Gerät installiert, stellt für sein Unternehmen ein Sicherheitsrisiko dar. Fraunhofer SIT hat deshalb „Appicaptor“ entwickelt – ein Testwerkzeug, das prüft, ob Apps die Sicherheitsanforderungen von Unternehmen erfüllen.

Drei Viertel aller geprüften Apps durchgefallen

Das Testwerkzeug wird gegenwärtig zur Analyse von „iOS“- und „Android“-Apps verwendet, sei jedoch auf andere Plattformen erweiterbar.
Die Sicherheitsüberprüfung einer App dauere durchschnittlich zehn Minuten. Wie wichtig eine solche Prüfung ist, zeigten Probeläufe mit Pilotkunden für „iPhone“-Apps, denn von den 400 beliebtesten Business-Apps, die mit „Appicaptor“ geprüft wurden, hätten über 300 nicht die Sicherheitsanforderungen des Unternehmens erfüllt.
Dabei hätten sie nur einen kleinen Ausschnitt der Sicherheitsanforderungen aus dem Gesamtkatalog geprüft, sagt Dr. Jens Heider, Abteilungsleiter am Fraunhofer SIT und Chefentwickler von „Appicaptor“.
Das Institut zeigt das Testwerkzeug nun erstmals vom 8. bis zum 10. Oktober 2013 auf der „it-sa“ in Nürnberg.

Apps als Einfallstore

Adressbuch, E-Mails, Passwörter – viele Nutzer wissen nicht, worauf ihre Apps zugreifen und was mit ihren Daten passiert. Darüber hinaus können Apps auch Schwachstellen enthalten, die für Unternehmen ein großes Risiko bedeuten. Denn Angreifer können solche Sicherheitslücken für Sabotage oder Wirtschaftsspionage nutzen, auch wenn sie selbst die Apps nicht programmiert haben. Die Sicherheitsprüfungen der verschiedenen App-Stores suchten nicht ausreichend nach Schwachstellen-Indikatoren, deshalb hätten sie „Appicaptor“ entwickelt“, erläutert Dr. Heider.

Foto: Fraunhofer-Institut für Sichere Informationstechnologie, Darmstadt

Motiv zur Entwicklung von „Appicaptor“: Apps als Einfallstore mit hohem Schadenspotenzial

„Appicaptor“ auch für Nutzer ohne tiefgreifendes Know-how der IT-Sicherheit

„Appicaptor“ generiert neben Black- oder Whitelists auch einen Testbericht, in dem die Ergebnisse detailliert beschrieben sind. Dadurch unterstütze das Werkzeug Unternehmen bei der Risikobewertung und der Einhaltung von Compliance-Vorschriften. Sie hätten bei der Entwicklung besonderen Wert darauf gelegt, dass auch Nutzer und Entscheider ohne tiefgreifendes Know-how in Sachen IT-Sicherheit das Risiko einschätzen können, so Dr. Heider. Bei Bedarf führten sie für unsere Kunden auch Tiefenanalysen durch, zum Beispiel bei sicherheitssensitiven Anwendungen wie Banking-Apps.
Derzeit bietet Fraunhofer SIT „Appicaptor“ nur im Rahmen von forschungsgestützten Dienstleistungen an. Dr. Heider und sein Team entwickeln das Testwerkzeug ständig weiter und fügen neue Prüfkriterien hinzu. Der Transfer der Forschungsergebnisse in die Praxis wird unterstützt durch den europäischen Fonds für regionale Entwicklung (EFRE).

Weitere Informationen zum Thema

Fraunhofer SIT
Appicaptor / Testwerkzeug für App-Sicherheit

[datensicherheit.de, 12.05.2011] BitDefender stellt PC-Nutzern ab sofort ein neues kostenloses „Allround-Tool“ zum Download zur Verfügung:
Der „BitDefender Security Scan“ prüft den Rechner nicht nur auf aktuelle Sicherheitsbedrohungen wie Viren, Trojaner usw., sondern auch auf dessen Performance und Stabilität. Das Ergebnis wird in einem detaillierten Status-Report anschaulich dargestellt.
Nachdem der „BitDefender Security Scan“ das jeweilige System auf digitale Malware und Spyware überprüft hat, listet er dem Nutzer sowohl sämtliche Bedrohungen als auch Registry-Fehler auf. Dabei konkurriere er nicht mit anderen auf dem Rechner installierten Sicherheitsprogrammen und habe daher keinen Einfluss auf die PC-Performance – im Gegenteil, die Performance des Rechners werde gegebenenfalls sogar erhöht, da das Programm auch Faktoren aufliste, die die Geschwindigkeit negativ beeinflussten.
Das „Tool“ basiert auf „BitDefender QuickScan“ – ein Sicherheitsprogramm, das „In-the-Cloud-Technologie“ verwendet. Das Online-Tool eigne sich insbesondere für Anwender, die akut eine Malware-Infektion auf ihrem PC vermuten. Eine komplette, proaktiv arbeitende „Security-Suite“, wie beispielsweise „BitDefender Internet Security 2011“, ersetze diese Freeware allerdings nicht.

Weitere Informationen zum Thema:

BitDefender
Security Scan (Download)

Anmerkung: Die Verwendung solcher Angebote erfolgt stets auf eigene Haftung und eigenes Risiko! Red. datensicherheit.de

[datensicherheit.de, 18.11.2010] Gegen den USB-Wurm Stuxnet, der vor kurzem Industrieanlagen-Steuerungs-Computer angegriffen hat, gibt es inzwischen zwar einen sofortigen Schutz – doch damit sei laut TREND MICRO noch nicht sichergestellt, dass alle Systeme von dieser Gefahr befreit würden. TREND MICRO hat deshalb nun ein Scanner-Tool entwickelt, das IT-Administratoren Hinweise darauf gibt, welche Rechner in ihren Netzwerken noch durch „Stuxnet“ infiziert sind:
Das Tool steht zum kostenlosen Download bereit. Damit können Administratoren ermitteln, welche Maschinen in ihren Netzwerken noch infiziert sind, auch wenn „Stuxnet“ nicht kommuniziert. Es listet alle Live-IP-Adressen im internen Netzwerk auf und versendet „Stuxnet“ nachgebaute Pakete. Alle infizierten Hosts würden auf diese Fälschungen antworten, so dass Administratoren jede infizierte IP im Netzwerk identifizieren könnten. Darüber hinaus unterstützt das Tool auch die erforderlichen Aktionen, um diese Systeme zu säubern.

Weitere Informationen zum Thema:

TREND MICRO
Kostenloser Download / Scanner-Tool zum Erkennen von „Stuxnet“-Befall in Netzwerken

Hinweis der Red. datensicherheit.de: Download und Anwendung auf eigenes Risiko und eigene Haftung!

datensicherheit.de, 18.10.2010
Abwehr von Stuxnet-Angriffen durch Sicherheitszone für die Produktionsabteilung / GeNUA Fernwartungs-Appliance „GeNUBox“ verhindert einseitige Zugriffe von außen