+43 (1) 812 32 30-0 office@klenner.at
Wirtschaftsspionage – Bitdefender deckt Angriff auf

Wirtschaftsspionage – Bitdefender deckt Angriff auf

Die Fülle an Ressourcen welche Bitdefender dafür verwendet die Bedrohungslandschaft zu überwachen, hat sich vor Kurzem als sehr wertvoll erwiesen. So untersuchte das Bitdefendereigene Forscherteam kürzlich einen raffinierten Cyberangriff welcher zu dreister Wirtschaftsspionage diente.

Die beauftragte „Advanced Persistent Threat-Gruppe“ (kurz:  (APT-Gruppe) hatte es auf eine große Organisation in der Immobilienbranche abgesehen. Es gelang den Cyber-Kriminellen, die Infrastruktur des Unternehmens durch ein infiziertes Plugin einer beliebten 3D-Computergrafik-Software, zu infiltrieren.

Die Finesse des Angriffs lässt darauf schließen, dass die APT-Gruppe bereits Erfahrung mit den Sicherheitssystemen des Unternehmens hatte. So konnte das Unternehmen infiltriert und Daten unbemerkt exfiltriert werden.

Bitdefender schützt!

Die Technologien von Bitdefender helfen Wirtschaftsspionage und ähnliche Cyber-Angriffe zu verhindern.

So können APT bereits frühzeitig in einer eventuellen Angriffskette aufgedeckt werden. Dazu nutzt Bitdefender verschiedene Technologieschichten, inkl. mehrerer Erkennungen durch maschinelles Lernen und MITRE-Technik-Mapping. Dadurch kann ein Angriff schnell erkannt und erfolgreich blockiert werden.

Folgende Sicherheitstechnologien werden dazu genutzt:

 Endpoint Detection and Response kennzeichnet 9 MITRE-Techniken die während des Angriffs eingesetzt wurden und löst mehrere EDR-Warnungen aus. All diese warnen die IT oder das Sicherheitsteam vor einem möglichen Vorfall und helfen ihnen blinde Flecken zu entdecken.
• Die HyperDetect-Technologie verwendet hochgradig abgestimmte maschinelle Lernmodelle, um neue und unbekannte Malware mit einer Genauigkeit von 99,99 % zu erkennen.
 Process Inspector und Sandbox Analyzer sind ebenfalls zwei dynamische Technologien, die fortschrittliche Bedrohungen erkennen können. Einschließlich schwer fassbarer Malware, welche darauf ausgelegt ist geschützte Umgebungen zu umgehen.
 Anti-Malware-Technologie kann die erste bösartige Nutzlast bereits vor der Ausführung erfolgreich erkennen.
• Die Netzwerkangriffsabwehr konzentriert sich auf die Erkennung von Netzwerkangriffstechniken die den Versuch anstellen sich an Endpunkten Zugang zu verschaffen. Sie blockiert auch spezifische bösartige Nutzlast bei der Vorab-Ausführung. 
 Content Control und Web Protection umfasst die URL-Status-Technologie welche zur Identifizierung bösartiger, betrügerischer oder anderweitig verdächtiger Links in der Ausführungsphase dient. Sie erkennt auch Versuche von Malware mit dem Command & Control-Server in Kontakt zu treten und hindert den Angreifer daran weitere Remote-Befehle zu erteilen. Außerdem hilft sie mögliche Daten-Exfiltration zu blockieren.

Wir beraten selbstverständlich gerne zu sämtlichen Bitdefender Produkten!

Stay safe! Euer Klenner.at-Team

EDR – Geheimtipp! Lobeshymne an Bitdefender

EDR – Geheimtipp! Lobeshymne an Bitdefender

Bitdefender als EDR-Spezialist
Forrester bewertet in seinem Bericht zwölf EDR-Anbieter und hilft so dabei IT-Sicherheitsprofis die Auswahl eines Anbieters zu erleichtern. Die Kompetenz von Bitdefender wird dabei besonders in der Verhinderung während der frühen Angriffskette gelobt. Zitat: „Bitdefender demokratisiert fortschrittliche Sicherheitstechnologien, indem es sich auf die Verhinderung von frühen Ereignissen in der Angriffskette und die Bereitstellung von automatisierten Abhilfemaßnahmen nach der Ausführung konzentriert.“ 
Als moderene EDR-Lösung bietet Bitdefender GravityZone Ultra eine übersichtliche Darstellung aller Angriffsprozesse. So ist es möglich die Angriffskette durch das sogenannte Technique Detection bis zur allerersten Phising-Mail oder dem ersten Login mit gestohlenen Credentials, zurück zu verfolgen. Durch die smarte Integration mit anderen Lösungen sowie Machine Learning werden die False Positives (also die falschen Alarme) auf ein Minimum reduziert.

Doch das ist nicht alles
Auch über EDR hinaus bekommt Bitdefener höchste Anerkennung. So hat der rumänische Hersteller gleich mehrere Preise und Auszeichnungen erhalten. Darunter die Auszeichnung „Bester Schutz für Firmenanwender“ von der unabhängigen Sicherheitstestfirma AV-TEST und eine 100-prozentige Punktzahl in den ersten Tests von AV-Comparatives für Enhanced Real World Protection.
Und auch im Forrester Bericht zu Cloud Securitiy bekam Bitdefender das Prädikat „führend“
„Wir glauben, dass die Anerkennung, die wir in diesen Forrester-Berichten erhalten, nicht nur aus unserem Engagement für die Aufrechterhaltung des weltweit höchsten Sicherheitsniveaus resultiert, sondern auch aus unserem Streben nach Einfachheit und Bedienbarkeit. Dies sind die wichtigsten Faktoren, die uns Jahr für Jahr in unabhängigen Tests und Evaluierungen Auszeichnungen und Lob einbringen.“  sagt Dragos Gavrilut, Direktor des Cyber Threat Intelligence Lab bei Bitdefender.

Auch Kunden sind voll des Lobes
Die kürzlich erschienene Fallstudie über die Versicherung Esurance zeigt laut Lance Harris, Chief Information Security Officer bei Esurance, folgendes:„GravityZone Ultra ist der nächste Schritt im Sicherheitsschutz. EDR macht die Erkennung genauer und liefert einen soliden Hintergrund über das, was am Endpunkt geschieht. Dies hilft uns bei der Entscheidung, wie wir reagieren sollen – ob wir Dateien unter Quarantäne stellen, sperren oder löschen.“
Im Vergleichstest konnte Bitdefender vier weitere Produkte hinter sich zurücklassen und erzielte die besten Ergebnisse was das Blocken, Abfangen und die Quarantäne von Infektionen anging, die andere Lösungen nicht identifiziert hatten. Ausschlaggebend war jedoch noch etwas anderes: „Der Kaufentschluss unseres Operations Teams basierte darauf, dass es nur zwei oder drei Tage dauerte, um Bitdefender in unserer Testumgebung zum Laufen zu bringen, während es bei den anderen Herstellern zwei oder drei Wochen brauchte.“
Den aktuellen Forrester-Bericht zu EDR stellt Bitdefender hier kostenlos zur Verfügung.

Euer Klenner.at-Team

Exploit treibt sein Unwesen!

Exploit treibt sein Unwesen!

Reihe von Angriffen weltweit

Der neue Exploit „BlueKeep “ wurde bereits im Mai angekündigt. Als potenzieller Nachfolger von EternalBlue im Zusammenhang mit WannaCry sorgt er derzeit für eine ganze Reihe von Angriffen weltweit.

Gute Nachrichten: Bitdefender schützt Sie!

Bitdefender Kunden können aufatmen!

Die End-to-End Plattform GravityZone von Bitdefender schützt zuverlässig. BlueKeep basierte Angriffe werden in mehreren Phasen unterbrochen. So kann die Attacke bereits in der frühesten Phase, dem Exploit – Level, gestoppt werden. Der Angriff wird dadurch, lange bevor Ransomware oder andere schädliche Nutzdaten auch nur in die Nähe Ihres Systems gelangen, abgefangen.

Mehr über „Bluekeep“ finden Sie im Bitdefender Blog und auf Forbes.com.

Euer Klenner.at-Team

Achtung Virenfalle! Phishing-Mails immer perfekter.

Achtung Virenfalle! Phishing-Mails immer perfekter.

Letzte Woche landete ein unliebsamer Zeitgenosse in unserem Postfach. Auf den ersten Blick wirkte die Email wie eine übliche Konversation aus einem unserer Projekte. Doch ein zu schneller Klick auf das im Anhang abgelegte PDF zeigte schnell, hinter dem vermeintlichen Dokument verbarg sich gar kein PDF, sondern eine Bilddatei mit einem dubiosen Link.

In unserem Fall konnten wir durch einen kühlen Kopf und ein schnelles Schließen des Browserfensters, Schlimmeres verhindern. Doch solche Klick-Fallen gibt es derzeit leider zu Hauf und sie sind alles andere als ein Bagatelldelikt.

Der Übeltäter 

Hinter derartigen Phishing-Mails, steckt oft die gefürchtete Schadsoftware „Emotet„. Ziel sind vor allem Firmen, Behörden und andere Institutionen sind, bei denen Geld zu holen ist.

Emotet knüpft dabei an zuvor gestohlene, existierende Kommunikationen an und schickt dem Opfer Emails, die sich von realen, eigenen Antworten kaum noch unterscheiden lassen. Ist die Kontamination erfolgreich, werden Verschlüsselungstrojaner platziert und Lösegeld erpresst. Der entstandene Schaden hat zumeist existenzgefährdendes Ausmaß und kann laut Emotet nur durch Zahlung hoher Geldbeträge rückgängig gemacht werden.

Leider muss man inzwischen davon ausgehen, dass selbst top geschulte Mitarbeiter früher oder später auf derartige Phishing-Mails reinfallen könnten.

Angriff auf Heise-Verlag

Am Beispiel Heise Verlag sieht man ganz klar, dass es selbst die Vorsichtigsten erwischen kann.

Beim konkreten Fall hat ein Mitarbeiter irrtümlich den kontaminierten Inhalt einer getarnten Emotet Phishing-Mail geöffnet. Daraufhin begann die Malware sofort mit der Ausbreitung im gesamten Heise-Netz. Nach kurzer Zeit eskalierte die Situation derart, dass die Admins sich für einen vollständigen Lock-Down entschieden. Dafür wurden sämtliche Internet-Verbindungen zu den betroffenen Netzwerken umgehend gekappt.

Seither arbeiten mehrere Forensiker und Incident-Response-Spezialisten gemeinsam mit der hauseigenen IT daran, die Vorgänge aufzuklären. Ziel ist es, in einen normalen IT-Betrieb überzugehen, ohne erneute Infektionen zu riskieren. Darüber hinaus wird laut Heise aktuell das gesamte Sicherheitskonzept hinterfragt und Konzepte erarbeitet, welche derartige Super-Gaus zukünftig verhindern sollen.

Heise dokumentiert den Fall äußerst transparent um anderen Firmen die Möglichkeit zu geben aus den eigenen Fehlern zu lernen.

→ Trojaner Befall bei Heise

Die Conclusio

Wie man sieht, reichen Standard-Viren Programme zumeist nicht aus um einen echten Schutz gegen Schadsoftware wie Emotet zu bieten. Unsere persönliche Empfehlung ist nach wie vor der Antivirenschutz von Bitdefender.

Bitdefender entwickelt laufend Updates um Kundensysteme fortwährend zu schützen. Der aktuelle Fall → GandCrab zeigt, dass diese Anstrengungen durchwegs von Erfolg gekrönt sind.

→ Hier erfahrt ihr mehr über den Antivirenschutz von Bitdefender.

 

Euer Klenner.at-Team

Update für Bitdefender Entschlüsselungstool „GandCrab“

Update für Bitdefender Entschlüsselungstool „GandCrab“

Die, in Zusammenarbeit von Bitdefender und einiger Strafverfolgungsbehörden, entwickelte Entschlüsselungssoftware, wurde aktualisiert! Sie wirkt nun den neuesten Versionen von GandCrab entgegen.
Laut Schätzungen konnten dadurch bisher, über 30.000 Opfer vor Lösegeldzahlungen bewahrt werden. Dies entspricht einem Gesamtwert von etwa 50 Millionen US-Dollar.

GandCrab

Die Erpressersoftware arbeitet nach einem „Affiliate-Modell“ bei dem die Entwickler ihre Malware an Interessierte zu Verfügung stellen und im Gegenzug einen Teil des Gewinnes erhalten. Sie ist seit Beginn 2018 aktiv im Einsatz und erreichte bereits im August 2018 einen Ransomware-„Marktanteil“ von über 50 Prozent. Insgesamt konnten laut der Betreiber, bereits mehr als 2 Milliarden US-Dollar erpresst werden.

Neutralisierung durch Entschlüsselungstool

Die bisher entwickelten Decryption-Tools für GandCrab helfen dabei verschlüsselte Daten wiederherzustellen. Dadurch wird die Auszahlung von Lösegeldforderungen überflüssig was wiederum eine deutliche Verschlechterung der Marktposition von GandCrab zur Folge hatte. Kriminelle Partner fürchteten die Gegenmaßnahmen so sehr, dass sie den Betrieb der Malware lieber einstellten. 
„Unsere Anstrengungen, Entschlüsselungstools für die Opfer von GandCrab bereitzustellen, haben die kriminellen Betreiber dahingehend geschwächt, dass sie ihr Geldbeschaffungsmodell aufgaben“, so Bitdefender-Vertreter. „Damit schufen wir bei neuen Opfern ein Vertrauen, so dass sie lieber auf ein Entschlüsselungsupdate warten, als den Lösegeldforderungen von Kriminellen nachzugeben.“

Wie verhindere ich Infektionen?

Um Ransomware-Infektionen zu verhindern, sollten Benutzer eine Sicherheitslösung mit einer mehrschichtigen Anti-Ransomware-Abwehr implementieren und Daten in regelmäßigen Abständen, vollständig sichern. 
Das Entschlüsselungstool für GandCrab ist kostenfrei  auf den Webseiten der Bitdefender Labs oder des No More Ransom Project verfügbar.
Vor allem gilt wie immer: Verdächtige Anhänge keinesfalls öffnen!
Euer Klenner.at-Team

Durchbruch: Bitdefender Labs rekonstruiert Bankenattacke

Durchbruch: Bitdefender Labs rekonstruiert Bankenattacke

Einem Experten-Team der Bitdefender-Labs ist es kürzlich gelungen, einen Angriff auf eine osteuropäische Bank zeitlich zu rekonstruieren. Der im Mai 2018 ausgeführte Angriff wird der Carbanak-Bande zugeschrieben und zeigt deutlich die zunehmende Relevanz von Endpoint-Security-Maßnahmen. 

Obwohl die Infiltrierung des Netzwerks schon nach 1,5 Stunden abgeschlossen war, bewegten sich die Angreifer mit Hilfe der Cobalt Strike Malware weitere 63 Tage durch die gesamte Infrastruktur des Systems, um es so auszuspähen und weitere Informationen für einen finalen Angriff sammeln. Eine erfolgreiche Attacke hätte den Kriminellen unbemerkten Zugriff auf das Geldautomatennetzwerk verschafft.

Die Täter

Die Infiltration erfolgte mit einer Spear-Phishing-Kampagne mit der URL swift-fraud[.]com/documents/94563784.doc. Der zusätzliche Einsatz der Cobalt Strike Malware deuten auf die Carbanak-Gruppe hin. Die Carbanak-Bande zählt leider viele Erfolge bei Angriffen auf Finanzinstitutionen. Ihre Strategie ist meist, illegale Transaktionen durchzuführen oder Geldautomateninfrastrukturen zu übernehmen, die mit Hilfe von „Money Mules“ geplündert werden.

Einge Spear-Phishing-Kampagnen zwischen März und Mai 2018 stattfanden und Carbanak zugeschrieben werden, wurden nun von Sicherheitsforschern analysiert. Die Kampagnen tarnten sich als E-Mails von hochkarätigen Organisationen wie IBM, der Europäischen Zentralbank oder auch als Cybersicherheitsunternehmen. Durch die Auswertung von Threat Intelligence Feeds und Logfileanalysen, ist es Experten von Bitdefender nun gelungen, den zeitlichen Ablauf des im Mai 2018 stattgefundenen Angriffs, detailliert rekonstruieren zu können. 

Das Angriffsprotokoll

Tag 0: Infiltration 

An einem regulären Arbeitstag um 16:48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabhängig voneinander binnen einer Minute öffnen. Das angehängte Dokument nutzt die Remote Code Execution Exploits CVE-2017-8570, CVE-2017-11882 und CVE-2018-0802 von Microsoft Word. Darüber wird unbemerkt eine Verbindung zu einem C&C-Server über eine Backdoor hergestellt: Die Datei smrs.exe (d68351f754a508a386c06946c8e79088) initiiert einen Shell-Befehl, der wiederum den Cobalt Strike Beacon herunterlädt. 

Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schließlich der Domain-Controller übernommen. Mit Ende dieser ersten Angriffswelle um 18:20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuführen, sich unbemerkt durch das System zu bewegen, Dateien zu löschen und Registrierungsschlüssel zu beseitigen, um ihre Spuren zu verwischen.

 

Tag 1-28: Ausspähung 

In den fünf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivitäten darauf, systematisch zahlreiche Arbeitsplätze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein könnten. An Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im späteren Verlauf für die Informationssammlung und -speicherung genutzt wird. An Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren für die Exfiltration vorbereitet. 

Tag 30-63: Informationssammlung und Vorbereitung des Diebstahls 

Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handbüchern, Anleitungen und Schulungsunterlagen für verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausführen zu können, sondern auch dazu verwendet werden, Angriffstaktikten für künftige Ziele mit vergleichbaren Systemen zu verfeinern. 

Ab Tag 33:

Die  Angreifer beginnen damit, interne Hosts und Server zu kompromittieren, die für den eigentlichen Raubüberfall benötigt werden. Der Cobalt Strike Beacon erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgewählte Workstations der legitimen Bankeninfrastruktur angemeldet werden. Diese C&C-Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets außerhalb der Geschäftszeiten und an Wochenenden durchgeführt.

Tag 63:

Die Angreifer verwischen schließlich ihre Spuren, indem sie sämtliche Beweise für ihre Informationssammlung vernichten.  

Was wurde verhindert?

Wäre der Angriff nicht entdeckt worden, hätten die Hacker die Kontrolle über das Geldautomatennetzwerk der Bank erlangt und wären so in der Lage gewesen, das Auszahlungslimit an Geldautomaten zurückzusetzen. So hätten die vor Ort abgestellten Money Mules beliebig oft den festgesetzten Höchstbetrag abheben können, ohne dass die Transaktionen, verdächtig an die Bank gemeldet würden.

Infiltrationen per Spear-Phishing-Kampagnen sind leider nicht ungewöhnlich, da es solchen E-Mails meistens gelingt, Sicherheitsmaßnahmen auf Serverebene zu umgehen. Unternehmen können das Risiko einer Infiltration durch den Einsatz von Endpoint-Security-Lösungen minimieren, wenn sie über URL-Filter, verhaltensbasierte Analysen und Sandboxing verfügen. 

Hier findet ihr sowohl Quelle als auch den Untersuchungsbericht als Download, welcher die zeitliche Abfolge und die einzelnen Schritte der Attacke zusammenfasst. https://labs.bitdefender.com/2019/06/an-apt-blueprint-gaining-new-visibility-into-financial-threats/ 

Euer Klenner.at-Team

1