[datensicherheit.de, 28.09.2023] Kaspersky-Experten haben nach eigenen Angaben eine neue Kampagne des Banking-Trojaners „Zanubis“ aufgedeckt, welcher sich demnach als legitime Apps ausgeben kann. Derzeit tarne er sich als offizielle App der peruanischen Regierungsorganisation SUNAT, um die Kontrolle über angegriffene Geräte zu erlangen. Weiterhin seien zwei Schadprogramme entdeckt worden, welche es explizit auf Krypto-Wallets abgesehen hätten – die kürzlich aufgetauchte Malware ,AsymCrypt‘ und der sich stetig weiterentwickelnde Stealer ,Lumma‘.

Zanubis trat nach Kaspersky-Erkenntnissen erstmalig im August 2022 in Erscheinung

Der „Android“-Banking-Trojaner „Zanubis“ trat laut Kaspersky-Erkenntnissen zum ersten Mal im August 2022 in Erscheinung und zielte anfänglich auf Nutzer von Finanz- und Krypto-Apps in Peru ab. „Er gab sich als legitime ,Android’-App aus, um Anwender dazu zu verleiten, Zugriffsberechtigungen zu erteilen. Im April dieses Jahres gingen die Hintermänner der Malware einen Schritt weiter und tarnten Zanubis als offizielle App der peruanischen Regierungsorganisation SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria).“ Dieser Trojaner werde mit Hilfe von „Obfuscapk“ – einem beliebten Obfuskator für „Android“-APK-Dateien – verschleiert. „Sobald er die Erlaubnis für den Gerätezugriff erhält, lädt er mithilfe von ,WebViewer’ eine legitime SUNAT-Website und führt somit das Opfer damit in die Irre.“

Zur Kommunikation mit dem Server verwendet „Zanubis“ „WebSockets“ und die Bibliothek „Socket.IO“. Dadurch könne dieser Trojaner sich individuell an die vorherrschenden Gegebenheiten anpassen und die Verbindung selbst bei auftretenden technischen Problemen aufrechterhalten. „Zanubis“ verfüge nicht über eine feste Liste von Ziel-Apps, sondern könne durch entsprechende Remote-Programmierung Daten bei Ausführung bestimmter Apps stehlen. Darüber hinaus stelle er eine zweite Verbindung her, wodurch Cyber-Kriminelle die volle Kontrolle über ein bestimmtes Gerät erlangen könnten, und sei – getarnt als „Android“-Update – in der Lage, es komplett zu deaktivieren.

Weitere Kaspersky-Entdeckung: AsymCrypt und Lumma zielen auf Krypto-Wallets

„Eine weitere Entdeckung der Kaspersky-Experten ist Cryptor und Loader ,AsymCrypt’, der auf Krypto-Wallets abzielt und in Darknet-Foren verkauft wird.“ Dabei handele es sich um eine weiterentwickelte Version des „DoubleFinger“-Loaders, der vorgebe, zu einem „TOR“-Netzwerkdienst zu führen. Die Käufer von „AsymCrypt“ könnten Injektionsmethoden, Zielprozesse, Startpersistenz und Stub-Typen für schädliche DLLs individuell anpassen – „wodurch sich die Payload in einem verschlüsselten Blob innerhalb eines .png-Bildes, das auf eine Bild-Hosting-Website hochgeladen wird, verstecken lässt“. Bei der Ausführung werde das Bild entschlüsselt und die Payload im Speicher aktiviert.

Zudem seien die Experten von Kaspersky auf den „Lumma“-Stealer gestoßen, einer sich sukzessiv weiterentwickelnden Malware-Familie. Ursprünglich unter dem Namen „Arkei“ bekannt, habe „Lumma“ 46 Prozent seiner früheren Eigenschaften beibehalten. Als .docx-zu.pdf-Konverter getarnt, löse dieser Stealer, sobald hochgeladene Dateien mit der doppelten Erweiterung .pdf.exe zurückkommen, die schädliche Payload aus. Die Hauptfunktionalität aller Varianten habe sich jedoch im Laufe der Zeit nicht verändert – der Diebstahl zwischengespeicherter Dateien, Konfigurationsdateien und Protokollen von Krypto-Wallets. Der „Lumma“-Stealer gebe sich dafür als Browser-Plugin aus, unterstützt aber auch die eigenständige „Binance“-App. Die Entwicklung von „Lumma“ umfasse die Übernahme von Systemprozesslisten, die Änderung von Kommunikations-URLs und die Optimierung von Verschlüsselungstechniken.

Kaspersky sieht in Threat Intelligence eine entscheidende Rolle für betriebliche IT-Sicherheit

„Cyber-Kriminelle sind in ihrem Streben nach finanziellem Gewinn grenzenlos. Sie wagen sich in die Welt der Krypto-Währungen vor und geben sich sogar als staatliche Institutionen aus“, Tatyana Shishkova, leitende Sicherheitsforscherin im „Global Research and Analysis Team“ (GReAT) bei Kaspersky, in ihrem Kommentar. Die sich ständig weiterentwickelnde Malware-Landschaft, wie der facettenreiche „Lumma“-Stealer und „Zanubis“ als vollwertiger Banking-Trojaner zeigten, machten die dynamische Entwicklung solcher Bedrohungen deutlich.

Sicherheitsteams stehen laut Shishkova permanent vor der Herausforderung, sich an ständig verändernde schädliche Codes und cyber-kriminelle Taktiken anzupassen. Um sich vor solchen Gefahren zu schützen, müssten Unternehmen wachsam und gut informiert bleiben. Sie führt abschließend aus: „Threat Intelligence spiele eine entscheidende Rolle, wenn es darum geht, sich über die neuesten schädlichen Tools und Techniken von Angreifern auf dem Laufenden zu halten. Sie ermöglichen es Unternehmen, den Cyber-Kriminellen im ständigen Kampf für digitale Sicherheit einen Schritt voraus zu sein.“

3 Kaspersky-Empfehlungen:

Offline-Backups erstellen, die von Eindringlingen nicht manipuliert werden können!
Dabei müsse im Notfall ein schneller Datenzugriff gesichert ermöglicht werden.

Einen Ransomware-Schutz für alle Endgeräte implementieren!
Z.B. das kostenlose „Kaspersky Anti-Ransomware Tool for Business“, welches Computer und Server vor Ransomware und anderen Arten von Malware schütze, Exploits verhindere und mit bereits installierten Sicherheitslösungen kompatibel sei.

Sicherheitslösungen mit Anwendungs- und Webkontrolle nutzen!
„Kaspersky Endpoint Security for Business“ beispielsweise minimiere die Wahrscheinlichkeit, dass Krypto-Miner unrechtmäßig gestartet werden. Die integrierte Verhaltensanalyse-Funktion helfe darüber hinaus, schädliche Aktivitäten schnell zu erkennen – und der Schwachstellen- und Patch-Manager schütze vor Sicherheitslücken ausnutzenden Krypto-Minern.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 28.09.2023
A cryptor, a stealer and a banking trojan

SECURELIST by Kaspersky, 12.06.2023
Sneaky DoubleFinger loads GreetingGhoul targeting your cryptocurrency

[datensicherheit.de, 22.09.2022] Cyber-Sicherheitsexperten von Kaspersky haben nach eigenen Angaben eine schädliche Kampagne im „Google Play Store“ mit insgesamt mehr als 4,8 Millionen Downloads infizierter Anwendungen identifiziert. In den vergangenen zwei Jahren haben Cyber-Kriminelle demnach dort mehr als 190 legitime Applikationen imitiert – von Taschenlampen-Apps bis hin zu Minispielen –, um den „Harly“-Trojaner zu verbreiten und Nutzer ohne deren Zustimmung für kostenpflichtige Dienste zu abonnieren.

Kaspersky warnt: Sobald eine entsprechende App gestartet wird, beginnt der Trojaner Informationen zu sammeln

„Sobald ein Anwender eine entsprechende App startet, beginnt der Trojaner, Informationen über das genutzte Gerät und dessen Mobilfunknetz zu sammeln.“ Das Smartphone des Betreffenden wechsele dann zu einem anderen mobilen Netzwerk, „worauf der Trojaner dessen C&C-Server ansteuert, um die Liste der Abonnements zu konfigurieren, für die eine Anmeldung erfolgen muss.“

Anschließend öffne der Trojaner die Adresse des jeweiligen Abonnements in einem unsichtbaren Fenster und gebe die bereits erhaltene Telefonnummer des Nutzers ein, tippe auf die erforderlichen Schaltflächen und füge den Bestätigungscode aus einer Textnachricht ein. Dies führe dazu, „dass der Nutzer Kunde von Bezahl-Abonnements wird, ohne es zu merken“.

Kaspersky-Team hat sich an Google gewandt

Ein weiteres bemerkenswertes Merkmal dieses Trojaners sei, „dass dieser sich nicht nur anmelden kann, wenn der Vorgang durch einen SMS-Code geschützt ist, sondern auch, wenn jener durch einen Anruf gesichert wurde“, denn der Trojaner rufe eine bestimmte Nummer an und bestätige die Registrierung.

Das Kaspersky-Team habe sich aufgrund dieser Erkenntnisse an Google gewandt und vor bösartigen, in „Google Play“ gespeicherten Apps gewarnt. „Auch wenn offizielle App-Stores sorgfältig überwacht werden, können die die dort tätigen Moderatoren diese schädlichen Apps nicht immer vor ihrer Veröffentlichung identifizieren“, erläutert Tatyana Shishkova, Sicherheitsexpertin bei Kaspersky.

Kaspersky empfiehlt Nutzern dringend, zuverlässige Sicherheitslösung zu installieren

Shishkova führt aus: „Bei Applikationen dieser Art ist es noch schwieriger, eine potenzielle Bedrohung zu erkennen, weil sie alles tun, was vorgeschlagen wird. Das Lesen von Nutzerbewertungen kann helfen, wobei dies auch nicht immer eine Garantie für Sicherheit ist.“

Deshalb empfehle Kaspersky Nutzern dringend, eine zuverlässige Sicherheitslösung zu installieren, um den Download gefährlicher Programme zu verhindern.

Kaspersky-Tipps gibt Tipps zum Schutz vor schädlichen Apps:

Mods von verdächtigen Seiten oder raubkopierte Software niemals herunterladen!
Angreifer wüssten, dass Nutzer auf kostenlose Angebote stets sehr positiv reagierten und nutzten dies durch Malware aus, „die in Cracks, Cheats und Mods versteckt ist“.

Auf Mobiltelefonen leistungsstarke Anti-Viren-Lösung installieren!
Das genutzte Anti-Viren-Programm (z.B. „Kaspersky Premium“) sollte beim Spielen nicht ausgeschaltet werden. Der Spielmodus etwa von „Kaspersky Standard“ verhindere zudem, „dass zu viele Systemressourcen während eines Spiels verbraucht werden“.

Neuinstallation des Browsers oder Änderungen der Einstellungen werden Malware nicht beseitigen!
Zunächst müsse der Nutzer die schädliche Anwendung identifizieren. Das Gerät zeige in den Konfigurationen eine vollständige Liste der Apps an (Einstellungen → Apps und Benachrichtigungen → Alle Apps anzeigen). Aus dieser Liste könne die App samt Malware effektiv gelöscht werden.

Apps vorab überprüfen!
Apps sollten vor ihrer Installation stets auf Seriosität und die entsprechenden Vertriebskonten überprüft werden.

Weitere Informationen zum Thema:

kaspersky daily, Tatyana Shishkova, 22.09.2022
Harly: another Trojan subscriber on Google Play / We explain how the Harly Trojan subscriber targets Android users

CHIP, Pascal Thiele, 22.07.2022
Was sind Mods? Einfach erklärt

[datensicherheit.de, 07.06.2022] Laut Zimperiums aktuellem Sicherheitsreport zum Mobile-Banking konnten über 600 Apps für Bank-, Finanz- und Krypto-Geldgeschäfte, die von Trojaner-Programmen kompromittiert werden, identifiziert werden. Zimperium, nach eigenen Angaben Anbieter von Echtzeitschutz für Mobilgeräten, hat demnach in einer neuen Studie zunehmende Risiken für Finanzinstitute und Verbraucher durch Trojaner-Angriffe auf Mobile-Banking-Apps dokumentiert.

Untersuchung aktiver Trojaner-Programme, die weltweit mobile Bank- und Finanz-Apps angreifen

„Der Bericht über die aktuelle Gefahrenlage im Finanzsektor untersucht aktive Trojaner-Programme, die weltweit mobile Bank- und Finanz-Apps angreifen.“ Sicherheitsforscher hätten über 600 Anwendungen mit mehr als einer Milliarde Downloads benennen können, „bei denen Banken-Trojaner vertrauliche Informationen und Daten stehlen“.

Neben Einsatzweise und Funktionsbeschreibung der identifizierten Schadprogramme untersuche der Zimperium-Bericht „Mobile Banking Heists: The Global Economic Threat“, welche Banking-Apps kompromittiert werden und welche Länder am stärksten betroffen sind.

Im Rahmen einer detaillierten Analyse von zehn großen Banking-Trojaner-Familien und den angegriffenen Mobilanwendungen zeige der Bericht anhand einer Chronik auf, „wie sich die Bedrohungslage durch Bankentrojaner verschärft hat“.

Rückbau der Bankenfilialnetzes und Corona-Pandemie triggern Nutzung von Online-Diensten der Banken

„Die Autoren der Sicherheitsstudie benennen den Rückbau der Bankenfilialnetzes und die ,Corona-Pandemie‘ als wichtige Gründe dafür, dass die Nutzung von Online-Diensten der Banken für viele Konsumenten mittlerweile Standard im Alltag ist.“ In Deutschland sei die Anzahl der Bankfilialen seit den 1990er-Jahren rückläufig und habe sich inzwischen mehr als halbiert. Dieser Trend habe sich während der „Corona-Pandemie“ weiter beschleunigt, so dass immer mehr Bankkunden mittlerweile ihre Bankgeschäfte am Smartphone erledigten, Online-Übersichten für ihre Finanzen nutzten und Geldbeträge unterwegs überwiesen.

„Nicht jeder Trojaner, der auf mobile und Banking-Apps abzielt, ist gleich — die Verbreitungstechniken und Kompromittierungsarten unterscheiden sich nicht nur bei der Reichweite und Raffinesse“, erläutert Nico Chiaraviglio, „VP Security Research“ bei Zimperium, und führt aus:

„Wir haben in den vergangenen Jahren viele Beispiele für Banking-Trojaner-Attacken gesehen, die offenbar an Umfang und Häufigkeit zunehmen. Erst mit diesem strukturierten Bericht von Zimperium zLabs ergibt sich jetzt ein Gesamtbild, um die mobile Bedrohungslage analysieren und auswerten zu können.“

Mobile Banking Heists: The Global Economic Threat – wichtigste Ergebnisse

• Die Top 3 der mobilen Finanz-Apps, gegen die sich die aktiven Trojaner richteten, übernähmen Aufgaben wie mobile Zahlungen oder Vermögensanlagen für Krypto-Währungen und Gold. Allein diese drei Apps seien weltweit über 200 Millionen mal heruntergeladen worden.
• Mit über zehn Millionen Downloads sei „BBVA Spain | Online Banking“ die am häufigsten angegriffene Mobile-Banking-Anwendung. Diese App werde von sechs der zehn untersuchten Banken-Trojaner ins Visier genommen.
• Produktivster Banken-Trojaner sei „Teabot“, welcher 410 der im Bericht untersuchten Anwendungen attackiere.
• In Deutschland seien unter anderem die Commerzbank, Deutsche Bank und Postbank mit eigenen Finanz-Apps betroffen — in der Schweiz die Zürcher Kantonalbank, Credit Suisse und UBS.
• Insgesamt 15 Finanzanwendungen aus Deutschland mit über zwölf Millionen Downloads würden von „ExobotCompact.D/Octo“, „Bianlian Botnet“ und „Teabot“ ins Visier genommen (19 Finanz-Apps mit über neun Millionen Downloads in der Schweiz).

Das Forschungsteam von Zimperium analysieret täglich mehrere hunderttausend Anwendungen mit modernsten Machine-Learning-Technologien und proprietären Methoden. Die in diesem Bericht untersuchten Beispiele seien anhand dieser Methodik gesammelt und klassifiziert worden.

Weitere Informationen zum Thema:

ZIMPERIUM
Mobile Banking Heists: The Global Economic Threat

Sicherheitsforscher von Check Point Research beobachten zunehmende Hacker-Aktivitäten mit Malware Zloader

[datensicherheit.de, 05.01.2022] „Zloader“, ein Banking-Trojaner, ist nach aktuellen Erkenntnissen der Sicherheitsexperten von Check Point Research (CPR), der Forschungsabteilung der Check Point® Software Technologies Ltd., „erneut auf dem Vormarsch“ – sie vermuten demnach, dass Hacker der Gruppe „MalSmoke“ dahinterstecken.

Abbildung: CPR

Aktuelle Hacker-Kampagne zielt auf über 2.100 Opfer in 111 Ländern

Hacker-Gruppe MalSmoke missbrauchte Google-Keyword-Anzeigen, um Malware zu verbreiten

Die Sicherheitsforscher hätten „steigende Aktivitäten der Malware ,Zloader‘“ beobachtet. Das Besondere dabei sei: Diese Schad-Software nutze Microsofts Dateisignaturen aus, um den Anschein von Legitimität zu erwecken. Allerdings sei das digitale Wasserzeichen verändert worden.

2021 sei „ZLoader“ besonders in den Sommermonaten aufgefallen, denn damals hätten die Betreiber hinter dieser Malware, die Gruppe „MalSmoke“, einige Google-Keyword-Anzeigen gekauft, um verschiedene Malware-Stämme zu verbreiten, darunter die berüchtigte „Ryuk“-Ransomware.

„Im Zuge der aktuellen Kampagne konnten die Sicherheitsexperten von Check Point bisher über 2.100 Opfer in 111 Ländern identifizieren. Deutschland liegt auf dem sechsten Platz.“

Hacker entwickeln Malware-Kampagne weiter, um effektive Gegenwehr zu erschweren

Die Infektionskette lt. CPR:

• Der Angriff beginne mit der Installation eines legitimen Fernverwaltungsprogramms, „das vorgibt, eine ,Java‘-Installation zu sein“.
• Nach dieser Installation habe der Angreifer vollen Zugriff auf das System und sei in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuführen. „Der Angreifer lädt einige Skripte hoch und führt sie aus.“ Diese würden weitere Skripte herunterladen, welche eine „mshta.exe“ mit der Datei „appContast.dll“ als Parameter ausführten.
• Die Datei „appContast.dll“ wirke tatsächlich wie von Microsoft signiert, „obwohl am Ende der Datei weitere Informationen hinzugefügt wurden“.
• Die hinzugefügten Informationen würden die endgültige „ZLoader“-Nutzlast herunterladen und sie ausführen, „wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden“.

Zudem entwickelten die Verantwortlichen diese Malware-Kampagne wöchentlich weiter, um eine effektive Gegenwehr zu erschweren.

Basierend auf der Analyse der Methodik der aktuellen Kampagne, im Vergleich zu bisherigen Malware-Attacken, sei davon auszugehen, dass es sich bei den Köpfen dahinter um die Verantwortlichen von „MalSmoke“ handele.

Erste Hinweise auf neue Hacker-Kampagne im November 2021 entdeckt

„Die Menschen müssen wissen, dass sie der digitalen Signatur einer Datei nicht sofort vertrauen können. Wir haben eine neue ,ZLoader‘-Kampagne gefunden, die Microsofts digitale Signaturprüfung ausnutzt, um sensible Informationen von Nutzern zu stehlen“, warnt Kobi Eisenkraft, Malware-Forscher bei Check Point, in seiner Stellungnahme. Die ersten Hinweise auf diese neue Kampagne seien im November 2021 entdeckt worden.

Eisenkraft führt aus: „Die Angreifer, die wir ,MalSmoke‘ zuordnen, haben es auf den Diebstahl von Benutzeranmeldedaten und privaten Informationen der Opfer abgesehen. Bisher haben wir mehr als 2.000 Opfer in 111 Ländern gezählt, Tendenz steigend. Alles in allem scheinen die Operatoren der ,Zloader‘-Kampagne große Anstrengungen in die Umgehung der Verteidigung zu stecken und aktualisieren ihre Methoden wöchentlich.“

Eisenkraft empfiehlt den Anwendern dringend, „das Microsoft-Update für die strenge Authenticode-Verifizierung zu installieren, da es standardmäßig nicht angewendet wird“. Im Rahmen seiner Verantwortung habr Check Point bereits Microsoft und Atera umgehend über die Ergebnisse der Nachforschungen informiert.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH, Golan Cohen, 05.03.2021
Can You Trust a File’s Digital Signature? New Zloader Campaign exploits Microsoft’s Signature Verification putting users at risk

Spanischsprachige E-Banking-Nutzer werden von Mekotio angegriffen

[datensicherheit.de, 10.11.2021] Laut einer aktuellen Stellungnahme von Check Point greift derzeit eine hochgezüchtete, raffinierte Malware spanischsprachige E-Banking-Nutzer erneut an. Das Interessanteste an diesem Schädling sei seine Technik und Hartnäckigkeit, welche sich auf andere Volksgruppen übertragen ließen. Im Juli 2021 hatte die spanische Polizei demnach 16 verdächtige Personen wegen Geldwäsche im Zusammenhang mit dieser Malware gefasst – nun attackiere sie spanischsprachige Länder. Urheber der neuen Version scheine eine brasilianische Verbrecherbande zu sein. Check Point hat nach eigenen Angaben bereits über 100 Attacken blockiert.

Abbildung: Check Point Research

Check Point Research beschreibt den Angriffsweg des Banking-Trojaners Mekotio

Mekotio-Attacke beginnt mit Spoofing-E-Mail unter falschem Markennamen

Nach Erkenntnissen von „Check Point Research“ (CPR), der Forschungsabteilung der Check Point® Software Technologies Ltd., beginnt die Attacke mit einer Spoofing-E-Mail unter falschem Markennamen, welche unter dem Betreff „digital tax receipt pending submission“ laufe – also einer fingierten digitalen Zahlungsaufforderung mit benötigter Freigabe.
Die Sicherheitsforscher vermuten „eine Gruppe brasilianischer – eigentlich damit portugiesisch-sprachiger – Krimineller hinter der neuen Kampagne und glauben, diese vermiete die Malware außerdem an andere Gruppen – ein mittlerweile gängiges Modell auf dem Schwarzmarkt“. Bislang seien vor allem Bürger in Brasilien, Chile, Mexiko, Peru und erneut Spanien betroffen.

Mekotio-Attacken gegen Windows-Rechner

„Mekotio“ richte sich gegen „Windows“-Rechner und bleibe nach dem Einbruch vorerst versteckt und weiche Viren-Scannern aus, „bis sich der Nutzer des Rechners bei seinem elektronischen Bankkonto über das Internet anmeldet“. In diesem Moment stehle die Malware dessen Zugangsinformationen. Die neue Version sei in diesen Fähigkeiten gestärkt worden.
Eingang finde die Malware über eine spanische Phishing-Nachricht, „wie zuvor beschrieben, die einen Link zu einem verseuchten zip-Archiv enthält oder eines anhängen hat“. Wird dieses heruntergeladen und entpackt, nehme „Mekotio“ heimlich seine Arbeit auf.

Mekotio-Vorgehen kaum von Sicherheitslösungen erkannt

Dieses Vorgehen sei ein interessanter Trick, weswegen diese Malware kaum von Sicherheitslösungen erkannt werde: „Sie verwendet eine veraltete Verschlüsselung namens ,substitution cipher‘, um ihre Dateien zu verstecken, die moderne Viren-Scanner oft nicht mehr erkennen.“ Auf der anderen Seite nutzten die Entwickler eine neue, kommerziell vertriebene Software namens „Themida“, um die Nutzlast des Schadprogrammes sehr ausgefeilt zu verschlüsseln, sowie Anti-Debug und Anti-Monitoring als Funktionen zu integrieren.
Die Sicherheitsforscher mahnen die Bürger der betroffenen Länder zu besonderer Vorsicht wegen der E-Mails und raten zur „Nutzung der Zwei-Faktor-Authentifizierung, wodurch der Diebstahl der Anmelde-Daten zum E-Bank-Konto alleine nutzlos gemacht wird“.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH, 03.11.2021
Mekotio Banker Returns with Improved Stealth and Ancient Encryption / Research by: Arie Olshtein & Abedalla Hadra

[datensicherheit.de, 07.10.2021] Check Point Research (CPR) hat nach eigenen Angaben „Attacken gegen die Anwendung ,PIX‘, ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem, entdeckt“. Cyber-Kriminelle brachten Nutzer demnach dazu, ihr Guthaben auf ein anderes Bankkonto zu überweisen. Auslöser seien zwei bösartige Anwendungen im „Google Play Store“ gewesen.

PIX gilt als führende Zahlungslösung in Brasilien

Die Check Point® Software Technologies Ltd. habe einen neuen Banking-Trojaner in Brasilien enttarnt. Hacker hätten zwei Varianten mit den Namen „PixStealer“ und „MalRhino“ über zwei bösartige Anwendungen im „Play Store“ von Google verbreitet.
„Beide Apps wurden entwickelt, um das Geld der Opfer durch Benutzerinteraktion und die ursprüngliche ,PIX‘-Anwendung zu stehlen. ,PIX‘ gilt als die führende Zahlungslösung in Brasilien, die täglich über 40 Millionen Transaktionen verarbeitet und wöchentlich 4,7 Milliarden Dollar umsetzt.“

PixStealer operiert ohne Verbindung zu Command-and-Control-Server

Die erste der beiden Variante werde als „PixStealer“ bezeichnet. Die Angreifer hätten diesen Trojaner in einer, wie CPR es nennt, „schlanken Form“ entwickelt, die nur eine Funktion habe: Das Geld eines Opfers auf ein vom Angreifer kontrolliertes Konto zu überweisen.
„Schlank“ werde „PixStealer“ genannt, weil er ohne Verbindung zu einem „Command-and-Control-Server“ (C&C) operiere. Diese Fähigkeit mache es sehr wahrscheinlich, unentdeckt zu bleiben.

Nach Öffnung der PIX-Bank-Anwendung zeigt PixStealer dem Opfer ein Overlay-Fenster

CPR habe schließlich herausgefunden, dass „PixStealer“ im „Google Play Store“ als gefälschter „PagBank Cashback Service“ (brasilianische Finanztechnologie für das Online-Banking) verbreitet werde, welcher auf die zugehörige brasilianische PagBank abziele.
„Wenn ein Benutzer seine ,PIX‘-Bank-Anwendung öffnet, zeigt ,PixStealer‘ dem Opfer ein Overlay-Fenster, worin der Benutzer die Schritte des Angreifers nicht sehen kann. Hinter dem Overlay-Fenster aber ruft der Angreifer den verfügbaren Geldbetrag ab und überweist ihn auf ein anderes Konto.“

Fortschrittlichere Variante in der Lage, PIX und andere Banken-Anwendungen zu kapern

CPR habe außerdem eine fortschrittlichere Variante entdeckt, welche in der Lage sei, die gesamte „PIX“-Anwendung und sogar andere Banken-Anwendungen zu kapern. Unter dem Namen „MalRhino“ habe CPR die Variante in einer gefälschten „iToken“-App (eine Anwendung zur Identifizierung und Authentifizierung von Benutzern) für die Brazilian Inter Bank gefunden, welche ebenfalls über den „Google Play Store“ verbreitet werde.
„MalRhino“ zeige seinem Opfer eine Nachricht an, um es davon zu überzeugen, die Zugriffsberechtigung zu erteilen. „Sobald die Erlaubnis erteilt wurde, kann ,MalRhino‘ die installierten Anwendungen des Nutzers in einer Liste sammeln und mit den Gerätedaten des Opfers an einen C&C-Server senden, um dann die Banken-Anwendungen auszuführen.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.06.2021
IoT-Geräte im Gesundheitswesen: Check Point warnt vor Zunahme von Angriffen

cp<r> CHECK POINT RESEARCH, Israel Wernik & Bohdan Melnykov, 29.09.2021
PixStealer: a new wave of Android banking Trojans abusing Accessibility Services

[datensicherheit.de, 20.03.2021] Die Sicherheitsforscher von SentinelLabs haben einen Trojaner entdeckt, der gezielt iOS-Entwickler ins Visier nimmt. Das Schadprogramm ist eine manipulierte Version von Xcode, eines legitimen, auf GitHub verfügbaren Open-Source-Projekts. Es bietet iOS-Entwicklern normalerweise mehrere erweiterte Funktionen zur Animation der iOS-Tab-Leiste auf Basis von Benutzerinteraktionen. Die XcodeSpy-Version wurde jedoch auf subtile Weise verändert, um ein verschleiertes Run-Skript auszuführen, wenn das Build-Ziel des Entwicklers gestartet wird. Das Skript kontaktiert das C2 der Angreifer und legt eine angepasste Variante der EggShell-Backdoor auf dem Entwicklungsrechner ab. Die Malware installiert einen Benutzer-LaunchAgent und ist in der Lage, Informationen vom Mikrofon, der Kamera und der Tastatur des Opfers aufzuzeichnen.

Gefahr für Apple-Entwickler

Die SentinelLabs-Forscher haben zwei Varianten der Payload entdeckt. Es handelt sich um benutzerdefinierte Backdoors, die eine Reihe von verschlüsselten C2 („Command and Control“)-URLs und verschlüsselte Zeichenfolgen für verschiedene Dateipfade enthalten. Insbesondere eine dieser Zeichenfolgen wird von dem manipulierten Xcode-Projekt und den benutzerdefinierten Backdoors gemeinsam genutzt, wodurch sie als Teil derselben XcodeSpy-Kampagne miteinander verbunden sind. Die Forscher konnten eine erfolgreiche Ausführung der Malware-Kampagne bei einem US-amerikanischen Unternehmen beobachten. Dort war die Schadsoftware mindestens zwischen Juli und Oktober 2020 in Betrieb und hatte möglicherweise auch Entwickler in Asien zum Ziel. Die Zeitleiste aus bekannten Samples und weitere Indikatoren zur Malware deuten darauf hin, dass auch weitere XcodeSpy-Projekte existieren könnten.

Angriffe auf Lieferketten

Software-Entwickler ins Visier zu nehmen, ist der erste Schritt zu einem erfolgreichen Angriff auf die Lieferkette von Unternehmen. Dazu werden oft genau die Entwicklungswerkzeuge missbraucht, die für die Durchführung dieser Arbeit erforderlich sind. Die einfache Technik zum Verstecken und Starten eines bösartigen Skripts, die von XcodeSpy verwendet wird, könnte in jedem freigegebenen Xcode-Projekt eingesetzt werden. Daher werden alle iOS-Entwickler gewarnt, bei der Übernahme von Xcode-Projekten von Drittanbietern die Dateien auf das Vorhandensein bösartiger Run-Scripts zu prüfen. Es empfiehlt sich außerdem, einen starken Endpunktschutz in Verwendung zu haben. Kunden von SentinelOne sind nach eigenen Angaben durch die Singularity-Plattform vor XcodeSpy geschützt.

Weitere Informationen zum Thema:

datensicherheit.de, 02.09.2020
Mac-Geräte: Malwarebytes warnt vor Sicherheitslücken

SentinelLabs
New macOS malware XcodeSpy Targets Xcode Developers with EggShell Backdoor

Spätestens seit Auftreten der Ransomware Emotet kennt fast jedes Unternehmen die Bedrohung durch Verschlüsselungstrojaner

[datensicherheit.de, 18.03.2021] Die Angst vor Ransomware sei groß: „Spätestens seit ,Emotet‘ kennt fast jedes Unternehmen die Verschlüsselungstrojaner, mit denen Cyber-Kriminelle auf Lösegeld-Jagd gehen“, so Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in einem aktuellen Beitrag. Dennoch hielten sich hartnäckig Mythen rund um das Thema Ransomware, welche dafür sorgten, „dass Unternehmen eben doch nicht so gut vorbereitet sind, wie sie es sein sollten“. IT-Sicherheitsexperten der PSW GROUP haben demnach die gängigsten Mythen zusammengetragen und klären über deren Wahrheitsgehalt auf.

Foto: PSW GROUP

Patrycja Schrenk: Eine Kombination von Sicherheitsmaßnahmen für ein sehr hohes Schutzniveau!

1. Ransomware-Mythos: „Wer Lösegeld zahlt, hat Ruhe.“

In der Hoffnung, das Cyber-Kriminelle nach Zahlung eines Lösegelds die Daten wieder entschlüsseln, zahlten immer wieder Opfer zum Teil sehr hohe Summen. „Meist ist dies jedoch vergeblich: Das Geld ist weg und die Daten lassen sich nicht wiederherstellen. Hinzu kommen die Kosten für die Bewältigung der Auswirkungen eines solchen Angriffs wie Geschäftsausfallzeiten, verlorene Aufträge und Betriebskosten“, stellt Schrenk klar.

2. Ransomware-Mythos: „Unsere Systeme sind sicher.“

Aktuell gehaltene und professionell konfigurierte Sicherheitssysteme seien zweifelsfrei immens wichtig. Dennoch seien sie kein Garant dafür, vor allen Cyber-Bedrohungen effizient zu schützen. „Gerade in der aktuellen Zeit, in der die Fernarbeit an Bedeutung gewonnen hat, ist das Risiko für Angriffe deutlich erhöht. Schatten-IT, Mitarbeiter, die im Umgang mit der IT nur bedingt sicher agieren, weitere Netzwerke, die Beachtung finden müssen: All das kann die beste Sicherheitssoftware nicht abfedern“, so Schrenks Warnung. Ihr Rat: „Neben regelmäßigen Patches sind Mitarbeiterschulungen von essenzieller Bedeutung für die IT-Sicherheit im Unternehmen im Allgemeinen und den Schutz vor Ransomware im Besonderen.“

3. Ransomware-Mythos: „Die Mitarbeitenden spielen keine Rolle.“

Sichere Systeme und gute Sicherheitssoftware allein reichten nicht. Die Beschäftigten müssten diese auch sicher nutzen können. „Tatsächlich kann der Mensch beides sein: Sicherheitsmerkmal sowie Sicherheitsrisiko. Gut geschultes und sensibilisiertes Personal ist ein wesentliches Sicherheitsmerkmal: Nur durch regelmäßige ,Awareness‘-Schulungen ist es möglich, die immer intelligenter werdenden Tricks der Cyber-Kriminellen als solche zu enttarnen“, erläutert Schrenk.

4. Ransomware-Mythos: „Wir machen Backups, also sind wir sicher.“

Regelmäßige Daten-Backups, mit der sich im Fall der Fälle Daten wiederherstellen ließen, böten nur so lange einen Schutz, wenn diese außerhalb des Unternehmensnetzwerks lagerten. Denn wenn sich ein Verschlüsselungstrojaner durch das System kämpft, werde er auch dort gespeicherte Backups verschlüsseln. „Die Datensicherungen sollten offline oder getrennt vom Unternehmensnetzwerk in festen zeitlichen Intervallen erfolgen“, empfiehlt Schrenk.

5. Ransomware-Mythos: „E-Mails von Bekannten sind sicher“

Die Anhänge von E-Mails selbst bekannter Absender arglos zu öffnen oder darin enthaltene Links anzuklicken, könne ein böser Fehler sein. Denn Cyber-Kriminelle könnten den Absender gefälscht oder das E-Mail-Account des Bekannten gehackt haben, so dass nun munter Verschlüsselungstrojaner von diesem Konto verteilt würden. „Auch bei bekannten Absendern ist Wachsamkeit wichtig. Mein Rat ist, sich immer den Quelltext anzusehen, denn der liefert Informationen, woher die E-Mail tatsächlich stammt. Im Zweifel würde ich auch zum Telefonhörer greifen und beim Absender erfragen, ob die E-Mail wirklich von ihm ist“, sagt Schrenk.

6. Ransomware-Mythos: „Einen Befall bemerkt man immer.“

Verschlüsselungstrojaner sowie die Art ihres Einschleusens würden immer raffinierter und komplexer. „Emotet“ habe dies bewiesen: Die Schadsoftware habe Verschlüsselungstrojaner erst nachgeladen, so dass „Opfer den Befall nicht bemerkt haben, bis die Daten verschlüsselt waren“.

7. Ransomware-Mythos: „macOS und Smartphones sind sicher.“

Smartphones seien als digitale Helfer privat wie beruflich unverzichtbar – und damit auch für Cyber-Kriminelle ein spannendes Angriffsziel. Deshalb brauchten Smartphones, wie ihre stationären Rechner-Kollegen, Sicherheitssoftware, regelmäßige Updates sowie das notwendige Sicherheitsgespür des Anwendenden. Auch Macs seien nicht per se sicher: Inzwischen gebe es Malware, die auf macOS spezialisiert sei. „Aktuell macht der Schädling ,Silver Sparrow‘ von sich Reden – ein Schädling, bei dem noch unklar scheint, wie er überhaupt auf den Mac gelangt, denn offenbar werden macOS-Geräte bereits mit dem Schädling ausgeliefert“, warnt Schrenk und erinnert daran:„Erstmals gelangte Ransomware auf macOS-Geräte im Jahr 2013. Zwar handelte es sich bei ,FBI Ransom‘ technisch gesehen nicht um Ransomware, da kein Schädling auf betroffenen Macs installiert war, Lösegeld wurde jedoch trotzdem gefordert. Per ,Social Engineering‘ und ,JavaScript‘ gelang es, die Kontrolle über Mac-Browser zu gewinnen und Nutzer über bösartige Links zu einer entsprechenden Website zu schleusen.“ „FileCoder“ und „Oleg Pliss“ im Jahr 2014, „KeRanger“ im Jahr 2016, „Patcher“ im Jahr 2017 und „EvilQuest“ aus dem Jahr 2020 führten die Liste der Schädlinge fort, die exklusiv für macOS entwickelt worden seien.

Schutz gegen Ransomware realistisch angehen!

Schrenks Fazit: „Es gibt Ransomware-Mythen, die sich sehr hartnäckig halten. Jedoch sollte der Schutz gegen Ransomware realistisch angegangen werden.“ Auch wenn es keine hundertprozentige Sicherheit gebe, so böten regelmäßige Patches, eine gute Sicherheitssoftware, Komponenten wie eine Firewall, eine effiziente Backup-Strategie und geschultes Personal in Kombination ein sehr hohes Schutzniveau.

Weitere Informationen zum Thema:

datensicherheit.de, 10.03.2021
Zahnloser Tiger: DSGVO bei der SCHUFA

PSW GROUP, Bianca Wellbrockm 02.03.2021
IT-Security / Ransomware-Mythen: Schutz vor Ransomware realistisch angehen

Laut eco-Studie basiert jeder fünfte IT-Sicherheitsvorfall auf Ransomware

[datensicherheit.de, 25.02.2021] Der Erpressungs-Trojaner Emotet befinde sich nach dem Takedown noch auf vielen Systemen und vermehre sich von alleine weiter. Der eco – Verband der Internetwirtschaft e.V. gibt in seiner aktuellen Stellungnahme sechs sechs Tipps, „wie sich Systeme bereinigen lassen“. Der eco befragte demnach von September bis Dezember 2020 175 Sicherheitsexperten und veröffentlichte die Ergebnisse in der eco-Umfrage „IT-Sicherheit 2020“.

Foto: eco e.V.

Markus Schaffrin: Ransomware immer noch gefährlichste Bedrohung für KMU

Erkenntnisse aus der eco-Studie zur IT-Sicherheit 2020

Funktionierende und sichere IT-Infrastrukturen seien von grundlegender Bedeutung für unsere Gesellschaft – dies habe uns die „Corona-Pandemie“ deutlich gezeigt. Mit fortschreitender Digitalisierung würden Unternehmen, Behörden sowie Bürger jedoch auch zur Angriffsfläche für Cyber-Kriminelle – „die Cyber-Angriffe werden immer ausgefeilter“.
Rund 20 Prozent der im Rahmen der aktuellen eco-Studie zur IT-Sicherheit befragten Unternehmen hätten im vergangenen Jahr, 2020, einen „gravierenden Sicherheitsvorfall“ gehabt. Von Ransomware (Verschlüsselungstrojanern) sei dabei die größte Gefahr ausgegangen, so die befragten Sicherheitsexperten. Etwa jeder fünfte „gravierende Sicherheitsvorfall“ gehe auf diese Schadsoftware zurück, welche „die Daten eines Unternehmens verschlüsselt und dafür ein Lösegeld verlangt“.

Abbildung: eco e.V.

eco-Umfrage unter Unternehmen nach „gravierendem Sichrheitsvorfall“

eco-Warnung: Erpressungs-Trojaner noch auf vielen Systemen und vermehrt sich von alleine weiter

Eines der gefährlichsten Schadprogramme der letzten Jahre war demnach „Emotet“. Dessen Botnetz und die dahinter liegende Schadsoftware hätten in Deutschland einen Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht. Im Januar 2021 sei es zwar im Rahmen einer internationalen Aktion gelungen, die Infrastruktur hinter dem „Emotet“-Botnetz zu übernehmen und zu zerschlagen. Doch der Erpressungs-Trojaner befinde sich noch auf vielen Systemen und vermehre sich von alleine weiter.
Insgesamt seien mehr als 700.000 Benutzerkonten für über 80.000 in Deutschland betriebene Online-Dienste betroffen, so das Bundesamt für Sicherheit in der Informationswirtschaft (BSI). Auch viele Mitgliedsunternehmen des eco-Verbands sähen sich mit dieser Situation konfrontiert.

eco gibt 6 Tipps zur Beseitigung noch vorhandener Infektionen und zum Schutz vor Ransomware

Der eco empfiehlt nach eigenen Angaben Internetdienstleistern wie Web-Shops, Kundenportalen von Internet-/Mobilfunk-Providern und Buchungsportalen daher, die betroffenen Kunden zu informieren, damit diese ihre infizierten Computer und Laptops bereinigen können.
„,Emotet‘ infiziert zurzeit noch viele Systeme und stellt nach wie vor ein Risiko für viele Unternehmen dar“, warnt Markus Schaffrin, Sicherheitsexperte und eco-Geschäftsbereichsleiter „Mitglieder Services“. Daher gebe der eco folgende sechs Tipps, „wie sich noch vorhandene Infektionen beseitigen und Systeme zukünftig vor Ransomware schützen lassen“:

1. Betriebssystem und Anwendungs-Programme auf dem aktuellsten Stand
   Malware wie „Emotet“ verbreite sich in „Windows“-Umgebungen häufig über Sicherheitslücken. „Halten Sie daher sowohl Ihr Betriebssystem als auch Ihre eingesetzten Programme wie Mail, Office Browser auf dem aktuellsten Stand.“ Das „Windows“-Update helfe dabei, Updates auf dem Rechner automatisiert aufzuspielen.
2. Starke Passwörter entsprechend BSI-Empfehlung verwenden
   „Verwenden Sie starke Passwörter entsprechend der Empfehlung des BSI!“ Häufig ließen sich Passwörter leicht erraten – deshalb sollten starke Passwörter verwendet werden, „so dass Kriminelle Ihr Passwort für Webseiten, E-Mails oder auch vor allem für Ihre administrativen Accounts nicht einfach erraten können“. Ferner sollte für jedes Account / jede Website ein eigenes Passwort verwendet werden: „Hier kann Ihnen ein Passwortmanager wie z.B. das kostenlose Programm ,Keepass‘ helfen, die Übersicht zu behalten.“
3. Regelmäßig Backups anlegen
   Häufig verschlüssele Malware auch Dateien – auch Netzwerklaufwerke seien nicht vor „Emotet“ und ähnlicher Malware sicher. „Legen Sie regelmäßig Backups an und stellen Sie sicher, dass Ihr Backup nicht auf ständig angeschlossenen Laufwerken abgelegt wird, da es dort auch von einem Verschlüsselungstrojaner erreicht werden könnte.“
4. Anti-Viren-Software einsetzen
   „Verwenden Sie eine Anti-Viren-Software!“. Diese AV-Lösung sollte stets auf dem neuesten Stand gehalten werden, um auch aktuelle Bedrohungen zu erkennen.
5. Nie mit administrativem Account unter „Windows“ arbeiten
   Nutzer sollten sich ein Anwender-Account unter „Windows“ anlegen: „Surfen oder arbeiten Sie nie mit dem administrativen Account unter ,Windows‘!“ Ein „normales“ Anwender-Account sollte zum Arbeiten verwendet werden – „Windows“ werde nur hin und wieder, etwa bei der Installation von Software, nach dem Administrator-Passwort fragen.
6. Vorsichtiger Umgang mit E-Mails und Dateien
   „Seien Sie vorsichtig bei E-Mails oder Dateien. Überlegen Sie, von welchem Absender Sie Dateien erhalten und ob Sie diese öffnen müssen!“ Es gelte, auf die Dateiendung zu achten: So sei z.B. eine „Bewerbung.pdf.exe“ wohl eher mit Vorsicht zu genießen. „Laden Sie keine Codecs für Internetvideos herunter, wenn Sie dazu aufgefordert werden!“ Meist stecke der Versuch dahinter, dem Adressaten „einen Trojaner unterzuschieben“. Macros in der „Office Suite“ sollten deaktiviert werden, wenn diese nicht genutzt werden oder der Quelle zu misstrauen ist.

Weitere Informationen zum Thema:

datensicherheit.de, 29.01.2021
Folgen noch unklar: Ermittlungsbehörden versetzten Emotet schweren Schlag / Hoffnung keimt auf, dass es schwer für das kriminelle Netz hinter Emotet wird, sich von dieser Niederlage zu erholen

Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

[datensicherheit.de, 07.01.2021] Check Point Research maß die Zunahme von Cyberangriffe gegen Krankenhäuser in den letzten zwei Monaten in Prozent. Stärker als in Deutschland mit 220 Prozent war der Anstieg nur in Kanada mit 250 Prozent zu verzeichnen. Bereits der dritte Platz, Spanien, liegt weit dahinter mit einem Anstieg um 100 Prozent.

Abbildung 1: Anstieg der Attacken im Gesundheitsbereich nach Ländern, Bild: Check Point Software Technologies Ltd.

Außerdem war Zentraleuropa von allen gemessenen Regionen mit 145 Prozent am stärksten betroffen. Weltweit stieg die Zahl der Angriffe gegen Krankenhäuser um 45 Prozent. Alle anderen Sektoren der Weltwirtschaft zusammen ergeben dagegen nur einen Anstieg um 22 Prozent.

Abbildung 2: Anstieg der Attacken im Gesundheitsbereich nach Regionen der Welt, Bild: Check Point Software Technologies Ltd.

Hauptsächlich sahen die Sicherheitsforscher verschiedene Ransomware als Waffe im Einsatz, darunter Ryuk und Sodinokibi. Hinzu kommen Angriffe durch Bot-Netze, Remote Code Execution (Ausführung von Schad-Code über Fernzugriff) und DDoS-Attacken, um Systeme lahm zu legen.

Anzeichen bevorstehender Cyberangriffe erkennen

Aufgrund der vielen Ransomware raten die Sicherheitsforscher allen Unternehmen danach, die ersten Anzeichen für eine bevorstehende Attacke zu erkennen und daher nach Trojaner im Netzwerk zu suchen. Diese können das Unternehmen aushorchen und Hintertüren öffnen, um den Angriffsweg zu ebenen. Sie weisen weiter darauf hin, dass Ransomware-Attacken im vergangenen Jahr vornehmlich am Wochenende und während der Ferien durchgeführt wurden. Entsprechend muss die Sicherheitsstrategie angepasst sein. Zusätzlich gibt es mittlerweile spezialisierte Anti-Ransomware-Sicherheitslösungen und ganze IT-Sicherheitsarchitekturen, die eine Reihe von Gegenmaßnahmen zentral steuern. Die Schulung der Mitarbeiter und Fachkräfte durch spezielle Kurse an Akademien darf außerdem nicht vernachlässigt werden. Schließlich hilft es gerade Krankenhäusern, die auf ihre Systeme oft keinen Patch einspielen können, weil sonst alle Maschinen angehalten werden müssten, ein sogenanntes Intrusion Prevention System (IPS) zu nutzen, wodurch Patches sich virtuell einspielen lassen. Auf diese Weise kommen die Einrichtungen doch in den Genuß der Verbesserungen durch das Update.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH, führt zu den Ergebnissen aus: „Es ist kein Wunder, dass derzeit die Angriffe gegen und Erpressungen von Krankenhäusern so stark zunehmen: In vielen Fällen können Kriminelle so schnelles Geld verdienen. Den Einrichtungen kommt nicht nur eine wichtige Rolle an sich zu, sondern, wegen der Corona-Krise, auch viel Aufmerksamkeit. Wird eine Lösegeldforderung durch eine Ransomware, die kritische Systeme des Krankenhauses lahm legt, gestellt, so können Leben von Patienten auf dem Spiel stehen. Darum neigen diese Einrichtungen natürlich stärker dazu, den Forderungen nachzugeben und zu bezahlen. Der vermehrte Einsatz der Ransomware Ryuk lässt außerdem darauf schließen, dass gezielte Attacken beliebter sind, als breit angelegte Spam-Kampagnen.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.11.2020
Android: Völlig neuartige Malware bedroht Anwender

Check Point Software
Attacks targeting healthcare organizations spike globally as COVID-19 cases rise again