WannaCry neuer Erpressungtrojaner seit Freitag im Umlauf

Der neue Verschlüsselungstrojaner WannaCry (oder WannaCrypt) hat seit Freitag viele kleine und große Unternehmen lahm gelegt. Für Heute wurden bereits weitere Angriffe angekündigt und es wird dringend empfohlen Windows-XP und Windows 7 Rechner mit aktuellen Updates nachzurüsten. Microsoft hatte bereits vor Wochen ein Sicherheitsupdate für die Lücke herausgegeben welches von diesem Trojaner verwendet wird.

Weltweit sind einige tauschend Rechner von diesem Problem betroffen. In Deutschland z.B. war die Deutsche Bahn betroffen. Viele Anzeigetafeln und Fahrkartenautomaten zeigten den Erpessungstext.

Weitere Informationen finden Sie hier :
http://www.xing-news.com/reader/news/articles/729666

Nachtrag 16.05.2017 : Es scheint alsob der Angriff bereits am Montag sehr start abgeschwächt wurde. Microsoft hatte bereits im März einen Patch für die Sicherhheitslücke veröffentlicht MS17-010.

Pentest regelmäßig durchführen lassen

Penetration-Test sind gewollte Hackerangriffe und meist ist es besser wenn diese von einem Profi durchgeführt werden, der Ihnen nachher auch das Ergebnis zur Verfügung stellt und im besten Fall auch für Lösungen sorgt.

Was ist ein Pentest (Penetrationtest) ?

Mit einem Pentest werden viele tausend bekannt Angriffe auf Systeme wie Webseiten, Datenbanken, CMS-Systeme und vieles mehr abgerufen und angewendet. In der Regel hat ein Unternehmen viele unterschiedliche Systeme, die meist auf bekannten Systemen oder OpenSource aufsetzen. Leider passiert es immer wieder, dass in solchen Systemen Lücken gefunden werden und wenn diese nicht umgehend behoben werden entstehen Sicherheitslücken, die von Hackern umgehend ausgenutzt werden. Meist warten Hacker auch nur auf solche Meldungen, die sogar mit einer genauen Problembeschreibung geliefert werden und machen sich dann auf die Suche nach den passenden Opfern.

Wie kann ein Pentest helfen?

Pentests sollte man nicht als eine einmalige Sache betrachten. Auch wenn ein Test Heute positiv ist, kann er durch neu entdeckte Lücken morgen schon wieder negativ ausfallen. Genau wie ein gutes Monitoring der Hard- und Software, gehört auch eine regelmäßige Prüfung mittels Pentest zu den MustHaves einer guten IT-Versorgung.

Wie beraten Sie gerne. Falls wir für Sie einen Pentest durchführen sollen benötigen wir eine Freistellung für den Paragraphen 202c StGB (Hackerparagraph). Da ein Angriff und Einbruchsversuch bereits eine Straftat darstellt.

Neue Welle Cerber-Spam

Cerber greift wieder an: Derzeit wird dieser gefährliche Verschlüsselungsschädling im Rahmen der aggressiven Spam-Kampagne Blank Slate in Umlauf gebracht, deren Autoren die legalen Dienste von Hosting-Providern nutzen, um Schadprogramme zu verbreiten.

Nach Angaben der Beobachter vom ISC SANS wurden diese Spam-Versendungen bis vor kurzem dazu genutzt, die Erpresserprogramme Sage 2.0 und Locky auf die Computer der Nutzer zu transportieren, zum gegenwärtigen Zeitpunkt ist die hauptsächliche Payload von Blank Slate der berühmt-berüchtigte Schädling Cerber.

Nach den Worten des IT-Sicherheitsforschers Brad Duncan wurde Blank Slate im Juli letzten Jahres als separate Kampagne identifiziert. Seither wurden einige Versuche unternommen, sie zu eliminieren, doch Blank Slate überlebte sie alle, da die Autoren der Kampagne immer wieder neue Server zur Unterbringung der Schadsoftware bei den Hosting-Providern aus der Taufe hoben.

Ihren Namen (blank slate – „unbeschriebenes Blatt“) erhielt die Kampagne aufgrund der Tatsache, dass sowohl in der Betreff-Zeile als auch im E-Mail-Körper keinerlei Text enthalten ist. Die E-Mail enthält lediglich eine angehängte zip-Datei, in der sich ein ebensolches Archiv mit JavaScript und einem schädlichen Word-Dokument befindet. Nach Meinung Duncans sind solche Mails eigentlich viel zu auffällig, die Cyberbetrüger sind allem Anschein nach jedoch überzeugt davon, dass das ausreichend ist, um die Schutzlösungen erfolgreich auszutricksen.

Die Zustellung des Schädlings verläuft in diesem Fall nach Schema F: Wird die JavaScript-Datei mit einem Doppelklick geöffnet oder wird Makros im Dokument aktiviert, so wird Cerber (vom Server) auf den Rechner geladen. Im Laufe des letzten Jahres ist dieser Erpresserschädling zu einer wahren Bedrohung geworden, die fortlaufend verbessert wurde, indem neue Tricks erprobt wurden. Zu Beginn der letzten Woche teilten die Forscher von Deep Instinct beispielsweise mit, dass die aktuelle Modifikation von Cerber erfolgreich die Detektion umgeht, und zwar mit Hilfe einer neuen Infrastruktur, die die Verwendung eines NSIS-Installers ermöglicht (dieses Installationssystem verwendet Windows).

Beim ISC SANS hat man festgestellt, dass die Cerber-Betreiber immer gieriger werden: Während sie früher für den Dechiffrierungsschlüssel 500 Dollar verlangt haben, so fordern sie jetzt das Doppelte (1 Bitcoin).

Blank Slate unterscheidet sich von anderen Kampagnen durch eine gut eingestellte Rotation der Hosting-Provider, wodurch die Lebensdauer der Schadserver verlängert werden kann. Im Februar identifizierten die Forscher von Palo Alto Networks 500 Domains, die mit dieser Spam-Kampagne in Verbindung stehen. „Diese schädlichen Domains wurden schnell blockiert, doch die Autoren von Blank Slate registrierten umgehend neue und gaben so den Missbrauchszyklus legitimer Hosting-Provider-Dienste preis“, schreibt Duncan.

Gegenüber Threatpost erklärte der Forscher: „Ein Antrag auf Erstellung eines Accounts bei einem Hosting-Provider ist schnell gestellt. Der Cyberverbrecher muss dabei lediglich eine gültige E-Mail-Adresse, Telefonnummer und eine Kreditkartennummer angeben. Das gibt ihm das Recht, neue Server zu erstellen. Gibt es Klagen, so schaltet der Hosting-Provider die Server ab, doch die Betrüger richten sich neue ein.“

Die Kosten für die Aufrechterhaltung eines solchen Zyklus‘ sind vernachlässigbar. „Ein neuer E-Mail-Account kann kostenlos erstellt werden“, schreibt Duncan. „Einwegtelefone sind günstig und kosten nicht mehr als 20 Dollar.“ Gestohlene Kreditkartennummern sind auf dem Schwarzmarkt für 5 Dollar zu haben.

Palo Alto nimmt an, dass eine Vielzahl von Hosts in die Spam-Versendungen von Blank Slate verstrickt ist, die rund um den Erdball verteilt und – allem Anschein nach – in einem Botnetz vereint sind.

Eine Untersuchung der JavaScript-Datei brachte eine HTTP GET-Anfrage an die Binärdatei des Erpresserschädlings zutage. „Der Post-Infektions-Traffic ähnelte anderen Cerber-Samples aus jüngerer Vergangenheit“, schreibt Duncan im Blog vom ISC SANS. „Zuerst wurde UDP-Traffic auf Port 6892 des infizierten Hosts beobachtet. Danach folgte HTTP-Traffic zu einer Domain, die mit p27dokhpz2n7nvgr beginnt und auf .top endet. Die IP-Adresse für den UDP-Traffic wird ein bis zwei Mal pro Woche geändert (oder häufiger). Die nach der Infektion zu verwendenden HTTP-Domains ändern sich häufiger.“

Die Dechiffrierungsinstruktionen erscheinen laut Duncan in Form dreier verschiedener Dateien auf dem Desktop: Text-Datei, grafische Datei und HTA-Datei. In allen Fällen beginnt der Dateiname mit _READ_THIS_FILE_.

„Die Domains und IP-Adressen, die mit der Kampagne Blank Slate in Verbindung stehen, ändern sich ständig“, schließt Duncan seinen Eintrag im Blog von Palo Alto. „Solange Erpresserprogramme in Umlauf sind, bleiben schädliche Spam-Versendungen eine alltägliche Erscheinung, sowohl zielgerichtete als auch massenhafte.“

 

Quelle :

Neue Welle Cerber-Spam

Neue Variante des Erpresserschädlings Karmen entdeckt

Recorded Future hat eine neue Variante des Erpresserschädlings Karmen entdeckt, welcher über RaaS verbreitet wird.

Karmen basiert auf einem offenen Ransomware-Projekt mit der Bezeichnung Hidden Tear, dessen Code im August 2015 zu Aufklärungszwecken von dem türkischen Forscher Utku Sen veröffentlicht wurde. Seither ist eine Vielzahl von Variationen dieses Schädlings erschienen.

Die ersten Infektionsfälle mit Karmen wurden im Dezember 2016 registriert, die Opfer waren Nutzer aus Deutschland und den USA. Zur Verschlüsselung der Dateien auf den infizierten Computern verwendet Karmen den Verschlüsselungsstandard AES-256.

Karmen (oder Hidden Tear) kann mit Hilfe eines kostenlosen Tools von der Website NoMoreRansom.org vom Computer entfernt werden. Allerdings ist es laut Angaben der Forscher „derzeit nicht möglich, bereits verschlüsselte Dateien wiederherzustellen, ohne das Lösegeld zu zahlen.“

Karmen weist einige Besonderheiten auf. Eine der Funktionen ermöglicht beispielsweise das automatische Löschen eines Decodierers, wenn auf dem Computer des Opfers eine Sandbox oder Analyse-Software installiert sind. Laut Informationen aus dem Darkweb existieren 20 Kopien von Karmen, alle werden von dem Hacker DevBitox angeboten; nur fünf davon stehen derzeit zum Verkauf.

„Um die erforderliche Support- und Service-Qualität gewährleisten zu können, begrenzen die Entwickler die an die Kunden zu verkaufende Anzahl der Kopien häufig“, meinen die Forscher.

Zum gegenwärtigen Zeitpunkt ist weder etwas über die Verbreitungskanäle des Schädlings noch über die Anzahl der Opfer bekannt.

Quelle :

https://de.securelist.com/news/72581/neuer-gunstiger-raas-schadling-gefunden/

IT-Notfallplan Selbst oder Extern ?

Die Seite Security Insider hat einen Beitrag zum Thema IT-Notfallplan veröffentlicht. Hier wird recht simpel die Problematik zum Thema erörtert, allerdings auch klargestellt, dass sich die wenigsten Unternehmen mit diesem Thema beschäftigen. Meist gibt es ja noch nicht einmal ein Backup.

In dieser Veröffentlichung werden 8 Schritte erklärt wie man zu einen IT-Notfallplan gelangen kann und was im „Fall der Fälle“ zutun ist.

Gerne beraten wir Sie zu einer Umsetzung eines Notfallplans mit unserem speziellen Sicherungskonzept für Unternehmen. Auch einen Notfallplan kann man outsourcen. Somit verringern sich die Schritte auf einige wenige Punkte.

Quelle :
http://www.security-insider.de/it-notfallplanung-in-8-schritten-a-599029

Hacker lassen Dallas nicht schlafen…

Quelle : http://edition.cnn.com/2017/04/08/us/dallas-alarm-hack/

Am letzten Wochenende wurden die Einwohner von Dallas (Texas) durch alle 156 Alarmsirenen aus dem Schlaf gerissen. Hacker machen sich einen Spaß daraus Systeme anzugreifen, die keinen oder nur einen geringen Schutz haben. Hier in Deutschland ist dies zuletzt im vergangen Jahr in Troisdorf passiert. Über vier Wochen lang wurdne die Sirenen nachts ausgelöst, die noch per Funk angesteuert wurden. Die Stadt Troisdorf hat danach umgehend auf Digitaltechnik umgestellt.

 

 

DDos Angriffe in 2016

Die Quartalszahlen für DDos Angriffe in 2016 bewegen sich immernoch im Trend nach oben. Dabei sind die Spitzenreiter unverändert Südkorea (45%), China (12%), USA (9%).

Als einzige Veränderung konnte vom Quartal 2 (70,8%) zu Quartal 3 (78,8%) festgestellt werden, dass nun mehr Linuxsysteme als Windowssysteme angegriffen werden.

Weiterhin sind mehr SSL angriffe zu verzeichnen. Das Könnte aber auch damit zusammenhängen, dass Webseiten und Dienste immer mehr durch SSL abgesichert werden.

Ein weiterer Trend ist, dass es seit 2016 mehr Server und Botnetze gibt, die aus Frankreich angreifen. Dies ist wohl darauf zurückzuführen, dass die oben genannten Länder immer mehr auf Black- oder Ban-Listen landen.

Trump und die DE-Cloud

T-Systems soll als Treuhänder für Microsoft die DE-Cloud aufbauen. Seit letztem Jahr ist nun die AZURE-DE Cloud unter Führung der T-Systems verfügbar. Aber scheinbar ist der Zulauf doch recht mager. Das Vertrauen in US-Firmen wie Microsoft, Google, Amazon und Co. treibt deutsche Unternehmer nicht gerade in die digitale Wirtschaft.

Das Vertragswerk für Services in dieser Cloud sieht zwar vor, dass alle Kundendaten verschlüsselt werden und Microsoft keine Schlüsselzugänge bekommen, außer Kunde wünscht dies. Aber wenn z.B. eine US Firma innerhalb dieser Cloud Services anbietet und Daten sammelt unterliegt diese nicht dem deutschen Recht und könnte auf US-Anforderung Daten herausgeben.

Aus unserer Sicht ist die Treuhänderlösung mit T-Systems ein guter Ansatz, aber das Vertragswerk bietet noch einige Lücken. Daher scheint eine Hybrid-Lösung oder ein Hosting/Housing im Moment die Alternative bis die Rechtliche Seite geklärt ist

Digitale Transformation in Unternehmen

2017 ist wohl DAS Jahr der Transformation in Unternehmen. Marktforscher haben herausgefunden, dass Deutschand hier immer noch im unteren Drittel rangiert. Für Cloud-Lösungen fehlt hier die Akzeptanz wegen Sicherheitsbedenken. Auch die DE-Cloud von Microsoft mit T-System als Treuhänder scheint nicht gerade beliebt. Obwohl mehr als 80% der Befragten einer BITKOM-Umfrage das „Deutsche Rechenzentrum“ als wichtigstes Vertrauensmerkmal genannt haben, ist T-Systems wohl über den Zulauf nicht besonders erfreut.

Als einziger Ausweg aus dem Vertrauensdilemma scheint wohl nur die Vorbereitung durch eine Hybrid oder Privat-Cloud Lösung zu sein.

Hierzu gibt es gute Konzepte, die alle Wünsche berücksichtigen und Cloud-Ready erst einmal alle Daten im Haus behalten. Hierzu können Sie mit uns gerne einen individuellen Beratungstermin Vereinbaren.

Telefon : 02247 – 90 800 20 oder per Email an : mailto:ticket@telenoise.com

2016 gab es mehr Ransomware als je zuvor

..und die Zahlen steigen weiter an. Der digitale Terror nimmt neue Maßstäbe an.

http://www.security-insider.de/checkliste-ransomware-v-37565-13274/

Security Insider hat hierzu eine kostenlose Checkliste veröffentlicht, mit der Sie prüfen können ob Sie Maßnahmen haben um Angreifer abzuwehren oder auszubremsen.

Weiterhin bieten wir eine kostenfreie Beratung und Analyse Ihres Netzwerkes an. Kontaktieren Sie uns unter : ticket@telenoise.com

oder telefonisch unter : 02247 – 90 800 20