Comretix Blog

Anhänge prüfen
Zwar blockiert Microsoft mittlerweile automatisch Makros in Word- und Excel-Dateien, jedoch gehen Cyberkriminelle mittlerweile vermehrt dazu über, Dateien im LNK-Format zu versenden oder über maliziöse Links auf Unternehmensdaten zuzugreifen. Beim LNK-Format handelt es sich um ein Dateiformat, das von Microsoft Windows verwendet wird, um Verknüpfungen zu Dateien, Ordnern, Websites und anderen Ressourcen zu erstellen. Endnutzer sollten daher unbedingt vermeiden, auf externe, unsichere Links zu klicken oder LNK-Anhänge zu öffnen, ohne sie zuvor von der IT-Abteilung freigeben zu lassen.

Vorsicht vor QR-Codes
Mobile Endgeräte wachsen immer stärker zur Schnittstelle zwischen Privat- und Berufsleben heran. Ein Beispiel hierfür ist die Mehrfaktorauthentifizierung (MFA), die vielerorts über ein privates Smartphone gesteuert wird. In Kombination mit QR-Codes, die mehr und mehr Einzug in den Alltag erhalten, lauert hier eine nicht zu unterschätzende Gefahr. QR-Code-Phishing oder Quishing wird als Cyberangriff-Methode immer beliebter und verleitet Enduser dazu, einen QR-Code mit der Kamera zu scannen. Besonders wenn auf demselben Handy eine MFA-App installiert ist, laufen Mitarbeiter Gefahr, zu einem Sicherheitsleck zu werden. Aus diesem Grund gilt es, die verlinkte Quelle eines QR-Codes eingehend zu prüfen, bevor man ihr vertraut.

Microsoft hat sein Software- und Services-Abonnement Microsoft 365 um einen neuen Dienst erweitert. Nutzer können ab sofort ihre Internetverbindung mit einem virtuellen privaten Netzwerk (VPN) schützen. Aktiviert wird der Dienst über die Defender-App für Windows, macOS, Android oder iOS.

Zum Start ist der VPN-Dienst in den USA, Großbritannien, Kanada und Deutschland erhältlich. Monatlich steht ein Datenvolumen von 50 GByte zur Verfügung, das jeweils am Monatsanfang zurückgesetzt wird. Der VPN-Dienst verschlüsselt den Datenverkehr und verschleiert die eigene IP-Adresse, was vor allem in öffentlich WLAN-Netzwerken oder in anderen nicht vertrauenswürdigen Netzwerken empfehlenswert ist.

In der Defender-App wird das VPN unter dem Punkt „erweiterter Datenschutz“ aktiviert. Dort kann auch das bereits verbrauchte Datenvolumen sowie die Anzahl der Tage bis zum Zurücksetzen des Datenvolumens eingesehen werden. Konfigurationsmöglichkeiten, wie sie kostenpflichtige VPN-Dienste bieten, fehlen indes. Unter anderem ist es nicht möglich, einen Standort auszuwählen um beispielsweise lokale Sperren bestimmter Diensteanbieter zu umgehen.

Auch werden bestimmte Anwendungen automatisch von Microsofts VPN-Dienst ausgeschlossen. Dazu gehören unter anderem Streaming-Dienste wie Youtube, Netflix, Disney+, Amazon Prime, Spotify und Youtube Music, aber auch Social-Media-Angebote wie TikTok, Instagram, Snapchat, Facebook Video und WhatsApp.

Da bei aktivem VPN alle Daten über Server des VPN-Anbieters geleitet werden, betonte Microsoft, dass weder Browser-Daten noch der Verlauf, persönliche Informationen oder gar der Standort eines Geräts gespeichert werden. Allerdings würden bestimmte anonymisierte wie die Nutzungsdauer des VPN, die verbrauchte Bandbreite und auch möglicherweise schädliche WLAN-Hotspots erfasst.

Die Ransomware-Gruppe Dark Angels hat offenbar die bisher höchste dokumentierte Lösegeldzahlung erhalten. Das geht aus dem ThreatLabz 2024 Ransomware Report des Sicherheitsanbieters Zscaler hervor. Demnach zahlte ein bisher nicht bekanntes Opfer den Cybererpressern 75 Millionen Dollar.

Der Bericht basiert unter anderem auf 4,4 Millionen Ransomware-Angriffen, die durch die Zscaler-Cloud blockiert worden. Die Zahl der Attacken erhöhte sich gegenüber dem Vorjahr um 17,8 Prozent. Zudem analysierte Zscaler die Data Leak Websites verschiedener Ransomware-Gruppen, was wiederum eine Zunahme von 57,8 Prozent bei der Zahl der erpressten Unternehmen nahelegt.

Die Fertigungsindustrie war zwischen April 2023 und April 2024 das beliebteste Ziel für Ransomware mit 653 Attacken. 312 Angriffe zählte Zscaler im Gesundheitssektor, 265 im Technologiesektor und 217 im Bildungsbereich. Auch der Finanzsektor und Großhandel und Einzelhandel stehen bei Cybererpressern hoch im Kurs.

Zudem konzentrierten sich die Erpressungsversuche vor allem auf die USA mit einem Anteil von 49,95 Prozent. Auf den weiteren Plätzen führt Zscaler Großbritannien mit 5,92 Prozent, Deutschland mit 4,09 Prozent, Kanada mit 3,51 Prozent und Frankreich mit 3,26 Prozent.

2019 wurde bekannt, dass fast 500.000 Geräte von Ubiquiti anfällig für DoS-Attacken sind. Der Hersteller gab dann bekannt, dass die Sicherheitslücke mittels Patch geschlossen wurde und sämtliche Geräte mit der jüngsten Firmware versehen worden sind. Jetzt hat Check Point Research herausgefunden, dass noch immer über 20 000 Geräte gefährdet sind. Die entschlüsselten Host-Namen enthüllten detaillierte Informationen über die Geräte, einschließlich der Namen der Besitzer und der Standorte, die beispielsweise für Social-Engineering-Angriffe ausgenutzt werden könnten.

Beispiele für offengelegte Daten sind die Geräte-Identifizierung mit Enthüllung von Gerätetypen, wie NanoStation Loco M2 oder AirGrid M5 HP. Dazu könnten Informationen über den Besitzer wie Namen, Firmennamen und Adressen abgezogen und für gezielte Angriffe genutzt werden. Einige Geräte zeigten sogar Warnungen wie „HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD“ an, die darauf hinwiesen, dass sie attackiert worden waren.

Schwachstellen bei IoT-Geräten

Für die Sicherheitsforscher ist dies ein Beispiel für die Schwierigkeit, bei IoT-Geräten eine Schwachstelle vollständig zu schließen. Die Sicherheitsforscher haben entdeckt, dass, neben dem Secure Shell (SSH)-Protokoll (das manuell aktiviert werden muss) und einem Webserver für die Standardverwaltung, zwei benutzerdefinierte privilegierte Prozesse auf der Netzwerkschnittstelle der Kamera offengelegt wurden. Sie verwenden das UDP-Protokoll an den Ports 10001 und 7004. Sicherheitslücken in diesen Diensten können zu einer vollständigen Infiltrierung des Geräts führen.

Über das Monitoring-Tool tcpdump identifizierten die Forscher auf dem Port 10001 das Ubiquiti-Erkennungsprotokoll. Das CloudKey+-Gerät sendete zudem regelmäßig Ping-Pakete an Multicast- und erkannte Geräte, und die Kamera antwortete mit Meldungen, die detaillierte Informationen wie Plattformname, Softwareversion und IP-Adressen enthielten. Es fiel auf, dass das Erkennungspaket (ping) keine Authentifizierung enthielt. Zudem war die Antwort der Kamera deutlich größer als das Erkennungspaket, was auf ein Potenzial für Wirkungsverstärkerangriffe hinweist.

Geräte reagierten auf gefälschte Pakete

Die Forscher waren in der Lage, ein gefälschtes Erkennungspaket an das interne Testnetzwerk zu senden und sowohl die G4-Kamera als auch die CK+ reagierten. Anschließend prüften sie, ob sich dieses Verhalten auch über das Internet reproduzieren ließ. Trotz Port-Weiterleitung reagierten die Geräte nicht auf Internet-Sonden, was wahrscheinlich auf die spezielle Netzwerkeinrichtung und NATing von CPR zurückzuführen ist. Mit einem benutzerdefinierten Decoder konnten die Experten jedoch über 20 000 Ubiquiti-Geräte im Internet identifizieren. Zufällige Stichproben zeigten, dass auch diese Geräte auf gefälschte Pakete reagierten. Dieses Problem wurde bereits früher gemeldet (CVE-2017-0938) und eigentlich von Ubiquiti behoben, wie oben beschrieben.

Kaspersky-Experten haben eine neue Spyware-Kampagne entdeckt, die die Malware Mandrake in Google Play verbreitet. Die Schadsoftware tarnt sich als legitime Apps für Kryptowährungen, Astronomie oder Utility Tools. Fünf der von Kaspersky gefundenen Apps sind bereits seit zwei Jahren in Google Play verfügbar und wurden mehr als 32.000 Mal heruntergeladen. Durch fortgeschrittene Verschleierungs- und Umgehungstechniken umgeht Mandrake einer Entdeckung durch Sicherheitsanbieter.

Bei Mandrake handelt es sich Kaspersky zufolge um eine fortgeschrittene Spionage-Plattform für Android, die zum ersten Mal im Jahr 2020 identifiziert wurde und bereits seit mindestens 2016 aktiv ist. Im April 2024 untersuchten Kaspersky-Experten ein verdächtiges Sample, bei dem Mandrake neue Funktionalitäten aufwies. Ihr Hauptunterscheidungsmerkmal zur früheren Kampagne: erweiterte Verschleierungs- und Umgehungstechniken. Unter anderem kann Mandrake schädliche Funktionen mit OLLVM in systemeigene Libraries verschieben und prüfen, ob sie auf einem gerooteten Gerät oder innerhalb einer virtuellen Umgebung operiert.

Mandrake tarnte sich im Google Play Store als Apps zum Filesharing über WLAN, für astronomische Dienstleistungen, Kryptowährung und Logikpuzzles sowie als Game zum Charakter „Amber“ aus dem RPG „Genshin Impact“. Neben Deutschland stammen die meisten der über 32.000 Downloads aus Kanada, Italien, Mexiko, Spanien, Peru und dem Vereinigten Königreich. Die Apps sind laut Kaspersky nicht länger in Google Play verfügbar.

„Nachdem sie in ihrer Ursprungsform vier Jahre lang einer Entdeckung entgangen war, blieb auch die aktuelle Mandrake-Kampagne im Google Play Store zwei Jahre unentdeckt. Dies zeigt die fortgeschrittenen Fähigkeiten des Bedrohungsakteurs hinter der Malware“, kommentiert Tatyana Shishkova, Lead Security Researcher im Global Research and Analysis Team (GReAT) von Kaspersky. „Sie zeigt einen besorgniserregenden Trend: Angesichts sich verschärfender Vorgaben und Sicherheitskontrollen werden Bedrohungen, die versuchen, in offizielle Appstores einzudringen, immer ausgeklügelter und dadurch schwieriger zu entdecken.“

Der Sicherheitsanbieter Mandiant hat die Ransomware-Bedrohungslage des Jahres 2023 analysiert. Dabei stellten die Sicherheitsforscher fest, dass 76 Prozent der Ransomware-Angriffen außerhalb der Arbeitszeit stattfanden. Fast ein Drittel ereignete sich zudem innerhalb von 48 Stunden nach dem ersten Zugriff der Cyberkriminellen auf ein Unternehmensnetzwerk.

Insgesamt registrierte Mandiant im vergangenen Jahr einen deutlichen Anstieg der Ransomware-Aktivitäten. Gemessen an den Meldungen auf Datenleck-Websites der verschiedenen Ransomware-Gruppen lag die Zunahme bei rund 75 Prozent. Zudem wurden mehr als 50 neue Ransomware-Familien entdeckt, wobei ein Drittel davon Varianten bekannter Familien waren.

Dies begründeten die Forscher unter anderem mit zahlreichen Angeboten für Ransomware-as-a-Service, die Kriminellen den Einstieg in die Welt der Cybererpressung erleichtern. Zudem wurden neue Erpressungsmethoden erprobt wie Swatting. Dabei werden Opfer mit direkten Anrufen oder gar dem Einreichen von Beschwerden bei staatlichen Aufsichtsbehörden unter Druck gesetzt.

Die Statistik zeigt auch, dass die Angreifer zunehmen legitime Tools wie ScreenConnect, Splashtop, Atera und Anydesk einsetzen, um in die Systeme ihrer Opfer einzudringen. Die fünf verbreitetsten Ransomware-Familien waren Alphv (17 Prozent), Lockbit (17 Prozent), Basta (8 Prozent), Redbike (6 Prozent) und Phobos (5 Prozent).

Eine Studie des Sicherheitsanbieters G Data warnt vor einem geringen Sicherheitsbewusstsein am Arbeitsplatz. Demnach verwendet lediglich die Hälfte der deutschen Angestellten sichere Passwörter. Außerdem sollen nur 38 Prozent ihre E-Mais auf Phishing überprüfen.

Die Studie „Cybersicherheit in Zahlen“ wurde von G Data in Zusammenarbeit mit Statista und Brand Eins durchgeführt. G Data weist aufgrund der Ergebnisse auch eine erhöhte Gefahr von Cyberangriffen, Datenverlusten und finanziellen Schäden hin. „IT-Verantwortliche müssen dringend in Security Awareness Schulungen für Mitarbeitende investieren, um einen umfassenden und effektiven Schutz vor Cyberbedrohungen zu gewährleisten“, teilte das Unternehmen mit.

Viele Mitarbeiter sehen offenbar die Verantwortung für die unternehmensweite IT-Sicherheit bei den Fachleuten. Außerdem zeigt die Studie, dass je kleiner ein Unternehmen ist, desto weniger übernehmen Mitarbeiter Verantwortung für die IT-Sicherheit. Dieser Trend werde oft durch den Irrglauben verstärkt, dass kleinere Betriebe kein attraktives Ziel für Cyberkriminelle sein.

„Dabei sind diese genauso gefährdet wie große Unternehmen, da sie oft über weniger robuste IT-Sicherheitssysteme verfügen und daher von Cyberkriminellen als leichteres Ziel angesehen werden“, ergänzte G Data. „Zudem ist eine häufige Herausforderung die begrenzte Budget- und Personalressource, wodurch die Investition in IT-Sicherheit und die Einstellung von Fachkräften erschwert wird. Es ist entscheidend, IT-Sicherheit als integralen Bestandteil der Geschäftsstrategie zu betrachten und die gesamte Belegschaft einzubinden, um das Unternehmen langfristig zu schützen.“

Zscaler hat mehr als 90 Android-Apps im offiziellen Android-Marktplatz Google Play entdeckt, die sich als legitime Anwendungen tarnen und Schadsoftware verbreiten. Sie werden von den Hintermännern der Malwarekampagne genutzt, um den Banking-Trojaner Anatsa einzuschleusen.

Zusammen kommen die mehr als 90 Apps den Sicherheitsforschern zufolge auf über 5,5 Millionen Installationen. Diese hohe Verbreitung erreichten die Apps offenbar, weil sich als PDF Reader oder QR Code Reader ausgaben. Andere schädliche Apps, die Anatsa enthielten, agierten als Dateimanager oder Übersetzungs-Apps. Zuletzt setzten die Hacker auf zwei Apps mit zusammen mehr als 70.00 Installationen: PDF Reader & File Manager sowie QR Reader & File Manager.

Der Banking-Trojaner, der auch unter dem Namen Teapot bekannt ist, ist auf Banking-Apps von mehr als 650 Finanzinstituten ausgerichtet. Zu den bevorzugten Opfern der Cyberkriminellen gehören Nutzer in den USA und Großbritannien. Anatsa unterstützt aber auch Banking-Apps von Geldinstituten in Deutschland, Spanien und Finnland.

In den Play Store schafften es die schädlichen Apps, weil sie sich einer sogenannten Dropper-Technik bedienen. Die im Play Store eingestellten Versionen zeigen kein schädliches Verhalten. Erst nach der Installation auf einem Endgerät wird der eigentliche Schadcode von einem Befehlsserver heruntergeladen – und als harmloses Update getarnt.

Strafverfolgungsbehörden aus den USA und mehreren europäischen Ländern haben den nach eigenen Angaben „bisher größten Schlag“ gegen das weltweite Cybercrime geführt. Zusammen ist es ihnen gelungen, mehrere der derzeit einflussreichsten Schadsoftware-Familien vom Netz zu nehmen.

An der vom Bundeskriminalamt und der Zentralstelle zur Bekämpfung der Internetkriminalität der Generalstaatsanwaltschaft Frankfurt am Main initiierten Aktion waren auch Ermittler aus den Niederlanden, Frankreich, Dänemark, Großbritannien und Österreich beteiligt. Weitere Unterstützung kam im Rahmen der internationalen Rechtshilfe von Behörden aus Portugal, der Ukraine, der Schweiz, Litauen, Rumänien, Bulgarien und Armenien.

Bei den Maßnahmen im Rahmen der Operation „Endgame“ wurden weltweit mehr als 100 Server beschlagnahmt sowie über 1300 kriminell genutzte Domains abgeschaltet. Außerdem erwirkten die Ermittler gegen einen mutmaßlichen Betreiber und Administrator einen Vermögensarrest in Höhe von 69 Millionen Euro. Außerdem wurden 99 Krypto-Wallets mit einem Gesamtvolumen von 70 Millionen Euro bei mehreren Kryptobörsen gesperrt.

Auf Basis von 10 internationalen Haftbefehlen wurden am 28. und 29. Mai vier Personen vorläufig festgenommen. Es wurden auch 16 Objekte in Armenien, den Niederlanden, Portugal und der Ukraine durchsucht und zahlreiche Beweismittel sichergestellt. Die Strafverfolger gehen laut BKA erwarten, dass die sichergestellten Daten zu Anschlussermittlungen führen werden.

Hierzulande wurde unter anderem wegen des Verdachts der banden- und gewerbsmäßigen Erpressung sowie der Mitgliedschaft in einer kriminellen Vereinigung ermittelt. Ziel der Operation Endgame war es den Ermittlern zufolge, die weltweite Internetkriminalität nachhaltig zu bekämpfen – weswegen nicht nur eine einzelne, sondern mehrere Schadsoftware-Familien ins Visier genommen wurden. Konkret nannte das BKA die Schadsoftware-Familien, IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot und Trickbot. Sie sollen wiederum mit mindestens 15 Ransomware-Gruppierungen in Verbindung gestanden haben.

Die Malware Gipy ist seit Mitte 2023 aktiv. Die Cyberkriminellen setzen Gipy weltweit ein. Zu den fünf am stärksten betroffenen Ländern zählen Russland, Taiwan, die USA, Spanien und Deutschland.

Gipy ködert Nutzer, indem sie sich als KI-Tool tarnt. Die Erstinfektion erfolgt durch den Download einer schädlichen Datei, die von einer Phishing-Website heruntergeladen wird und sich als KI-Tool, das Stimmen verändern kann, ausgibt. Diese Webseiten sind täuschend echt gestaltet, wobei die Links zu den schädlichen Dateien oft auf kompromittierten Drittanbieter-Webseiten platziert sind, die WordPress verwenden.

Skript mit schädlichen Aktivitäten

Nachdem Nutzer auf „Installieren“ klicken, wird ein Installationsprogramm für eine legitime Anwendung gestartet; im Hintergrund jedoch ein Skript mit schädlichen Aktivitäten ausgeführt. Dabei lädt Gipy Schadprogramme von Drittanbietern, die als passwortgeschützte ZIP-Archive verpackt sind, über GitHub herunter und startet sie. Die Experten von Kaspersky haben über 200 dieser Archive analysiert, die eine Vielzahl an Bedrohungen enthielten:

Wir trainieren Mitarbeiter seit Jahren darauf, nicht auf Links in E-Mails zu klicken, nicht irgendwelchen Textnachrichten zu vertrauen. Aber durch KI bekommen Fakes eine andere Dimension. Es ist relativ einfach, eine Stimme mit KI zu faken. Da reichen schon 45 Sekunden einer öffentlichen Videoaufnahme, und davon gibt es von wichtigen Unternehmenslenkern hinlänglich viele im Internet. Das Ganze geht es noch ein Schritt weiter. Wir hatten im Januar diesen Jahres in Singapur eine komplette Videokonferenz, wo die Gesichter der Menschen plus die Stimmen gefakt waren“, warnt

Christoph Schuhwerk

Chief Information Security Officer EMEA bei Zscaler

im
IT-Deep-Dive-Podcast von silicon.de
mit