+43 (1) 812 32 30-0 office@klenner.at
Wir starten die Woche mit zwei weiteren Opfern der Cyberkriminalität!

Wir starten die Woche mit zwei weiteren Opfern der Cyberkriminalität!

Es vergeht kaum noch ein Wochenstart ohne „gestohlene Daten“, „gehackte Passwörter“, „Schäden von tausenden Euros“, „Ausfälle oder Verzögerungen“ bei eigentlich normalen Tagesabläufen. Cyberattacken werden immer mehr und mehr, Artikel mit Warnungen oder bereits entstandenen Schäden, nehmen seit Monaten immer mehr zu. 

Darum möchten wir diese Meldungen nun wieder zum Anlass nehmen, um darauf aufmerksam zu machen, wie wichtig es ist, sich um seine IT zu kümmern, sich um seine Passwörter zu kümmern und regelmäßig zu hinterfragen, ob der Stand der IT Security noch sicher genug ist. Wir unterstützen hier gerne bei jedem Schritt, der notwendig ist. laughing

Bei JÖ hat man versucht sich in Kundenkonten einzuloggen – man geht davon aus, dass die Jö-Kundinnen und -Kunden für ihren Zugang ein Passwort gewählt haben, das sie mehrfach nutzen und das an anderer Stelle gestohlen worden sein dürfte. Mehr unter folgendem Link:

https://www.derstandard.at/story/2000140242612/cyberattacke-auf-mitglieder-des-joe-bonus-club

Bei Metro fiel die IT-Infrastruktur aus – nach eingehender Untersuchung konnte ein Cyberangriff bestätigt werden. Artikel dazu unter folgendem Link:

https://www.heise.de/news/Grosshandel-Metro-wurde-Opfer-einer-Cyber-Attacke-7315514.html

 

Prüfe vielleicht gleich, ob e noch alles sicher ist, bevor du weiter arbeitest wink.

Euer Team von klenner.at

Phishing-Kampagne umgeht Multi-Faktor-Authentifizierung!

Phishing-Kampagne umgeht Multi-Faktor-Authentifizierung!

Microsofts Sicherheitsforscher haben eine große Phishing-Kampagne aufgedeckt. Dabei stehlen Angreifer Session-Cookies, um MFA-Schutzmaßnahmen zu umgehen. Bislang seien über 10.000 Unternehmen auf diese Weise angegriffen worden.

Die aufgedeckte AiTM-Kampagne zielte auf Office-365-Nutzer ab, denen die Angreifer einen Proxy der Online-Office-Landingpage präsentierten.

Die Angreifer machen von sogenannten „Adversary in the Middle“-Phishing-Seiten (AiTM) Gebrauch, um Session-Cookies zu kapern und Anmeldedaten zu stehlen. War das erfolgreich, haben sie Zugriff auf die Postfächer der Opfer und können von dort aus Angriffe gegen weitere Ziele starten.

Der Bereicht ist unter folgendem Link zu lesen:

https://www.heise.de/news/Zahlungsbetrug-Gross-angelegte-Phishing-Kampagne-umgeht-MFA-7179750.html

 

 

Montagmorgen – der perfekte Zeitpunkt, um Ihre Security upzudaten!

Montagmorgen – der perfekte Zeitpunkt, um Ihre Security upzudaten!

Wer mit Trend Micro Maximum Security bis einschließlich Version 17.7.1179 arbeitet, sollte schnell updaten. Aufgrund einer Sicherheitslücke ist es für Angreifer leicht Mountpoints zu manipulieren und sich darüber höhere Nutzerrechte zu verschaffen.

Eine fehlerbereinigte Version steht zum Download bereit, somit gleich als Punkt 1 auf die Tages-Todo-Liste heften. 😊

https://www.heise.de/news/Sicherheitsupdate-Trend-Micro-Maximum-Security-koennte-Angreifer-auf-PCs-lassen-7162687.html?wt_mc=nl.red.security.security-nl.2022-07-07.link.link

Achtung Virenfalle! Phishing-Mails immer perfekter.

Achtung Virenfalle! Phishing-Mails immer perfekter.

Letzte Woche landete ein unliebsamer Zeitgenosse in unserem Postfach. Auf den ersten Blick wirkte die Email wie eine übliche Konversation aus einem unserer Projekte. Doch ein zu schneller Klick auf das im Anhang abgelegte PDF zeigte schnell, hinter dem vermeintlichen Dokument verbarg sich gar kein PDF, sondern eine Bilddatei mit einem dubiosen Link.

In unserem Fall konnten wir durch einen kühlen Kopf und ein schnelles Schließen des Browserfensters, Schlimmeres verhindern. Doch solche Klick-Fallen gibt es derzeit leider zu Hauf und sie sind alles andere als ein Bagatelldelikt.

Der Übeltäter 

Hinter derartigen Phishing-Mails, steckt oft die gefürchtete Schadsoftware „Emotet„. Ziel sind vor allem Firmen, Behörden und andere Institutionen sind, bei denen Geld zu holen ist.

Emotet knüpft dabei an zuvor gestohlene, existierende Kommunikationen an und schickt dem Opfer Emails, die sich von realen, eigenen Antworten kaum noch unterscheiden lassen. Ist die Kontamination erfolgreich, werden Verschlüsselungstrojaner platziert und Lösegeld erpresst. Der entstandene Schaden hat zumeist existenzgefährdendes Ausmaß und kann laut Emotet nur durch Zahlung hoher Geldbeträge rückgängig gemacht werden.

Leider muss man inzwischen davon ausgehen, dass selbst top geschulte Mitarbeiter früher oder später auf derartige Phishing-Mails reinfallen könnten.

Angriff auf Heise-Verlag

Am Beispiel Heise Verlag sieht man ganz klar, dass es selbst die Vorsichtigsten erwischen kann.

Beim konkreten Fall hat ein Mitarbeiter irrtümlich den kontaminierten Inhalt einer getarnten Emotet Phishing-Mail geöffnet. Daraufhin begann die Malware sofort mit der Ausbreitung im gesamten Heise-Netz. Nach kurzer Zeit eskalierte die Situation derart, dass die Admins sich für einen vollständigen Lock-Down entschieden. Dafür wurden sämtliche Internet-Verbindungen zu den betroffenen Netzwerken umgehend gekappt.

Seither arbeiten mehrere Forensiker und Incident-Response-Spezialisten gemeinsam mit der hauseigenen IT daran, die Vorgänge aufzuklären. Ziel ist es, in einen normalen IT-Betrieb überzugehen, ohne erneute Infektionen zu riskieren. Darüber hinaus wird laut Heise aktuell das gesamte Sicherheitskonzept hinterfragt und Konzepte erarbeitet, welche derartige Super-Gaus zukünftig verhindern sollen.

Heise dokumentiert den Fall äußerst transparent um anderen Firmen die Möglichkeit zu geben aus den eigenen Fehlern zu lernen.

→ Trojaner Befall bei Heise

Die Conclusio

Wie man sieht, reichen Standard-Viren Programme zumeist nicht aus um einen echten Schutz gegen Schadsoftware wie Emotet zu bieten. Unsere persönliche Empfehlung ist nach wie vor der Antivirenschutz von Bitdefender.

Bitdefender entwickelt laufend Updates um Kundensysteme fortwährend zu schützen. Der aktuelle Fall → GandCrab zeigt, dass diese Anstrengungen durchwegs von Erfolg gekrönt sind.

→ Hier erfahrt ihr mehr über den Antivirenschutz von Bitdefender.

 

Euer Klenner.at-Team

Update für Bitdefender Entschlüsselungstool „GandCrab“

Update für Bitdefender Entschlüsselungstool „GandCrab“

Die, in Zusammenarbeit von Bitdefender und einiger Strafverfolgungsbehörden, entwickelte Entschlüsselungssoftware, wurde aktualisiert! Sie wirkt nun den neuesten Versionen von GandCrab entgegen.
Laut Schätzungen konnten dadurch bisher, über 30.000 Opfer vor Lösegeldzahlungen bewahrt werden. Dies entspricht einem Gesamtwert von etwa 50 Millionen US-Dollar.

GandCrab

Die Erpressersoftware arbeitet nach einem „Affiliate-Modell“ bei dem die Entwickler ihre Malware an Interessierte zu Verfügung stellen und im Gegenzug einen Teil des Gewinnes erhalten. Sie ist seit Beginn 2018 aktiv im Einsatz und erreichte bereits im August 2018 einen Ransomware-„Marktanteil“ von über 50 Prozent. Insgesamt konnten laut der Betreiber, bereits mehr als 2 Milliarden US-Dollar erpresst werden.

Neutralisierung durch Entschlüsselungstool

Die bisher entwickelten Decryption-Tools für GandCrab helfen dabei verschlüsselte Daten wiederherzustellen. Dadurch wird die Auszahlung von Lösegeldforderungen überflüssig was wiederum eine deutliche Verschlechterung der Marktposition von GandCrab zur Folge hatte. Kriminelle Partner fürchteten die Gegenmaßnahmen so sehr, dass sie den Betrieb der Malware lieber einstellten. 
„Unsere Anstrengungen, Entschlüsselungstools für die Opfer von GandCrab bereitzustellen, haben die kriminellen Betreiber dahingehend geschwächt, dass sie ihr Geldbeschaffungsmodell aufgaben“, so Bitdefender-Vertreter. „Damit schufen wir bei neuen Opfern ein Vertrauen, so dass sie lieber auf ein Entschlüsselungsupdate warten, als den Lösegeldforderungen von Kriminellen nachzugeben.“

Wie verhindere ich Infektionen?

Um Ransomware-Infektionen zu verhindern, sollten Benutzer eine Sicherheitslösung mit einer mehrschichtigen Anti-Ransomware-Abwehr implementieren und Daten in regelmäßigen Abständen, vollständig sichern. 
Das Entschlüsselungstool für GandCrab ist kostenfrei  auf den Webseiten der Bitdefender Labs oder des No More Ransom Project verfügbar.
Vor allem gilt wie immer: Verdächtige Anhänge keinesfalls öffnen!
Euer Klenner.at-Team

Durchbruch: Bitdefender Labs rekonstruiert Bankenattacke

Durchbruch: Bitdefender Labs rekonstruiert Bankenattacke

Einem Experten-Team der Bitdefender-Labs ist es kürzlich gelungen, einen Angriff auf eine osteuropäische Bank zeitlich zu rekonstruieren. Der im Mai 2018 ausgeführte Angriff wird der Carbanak-Bande zugeschrieben und zeigt deutlich die zunehmende Relevanz von Endpoint-Security-Maßnahmen. 

Obwohl die Infiltrierung des Netzwerks schon nach 1,5 Stunden abgeschlossen war, bewegten sich die Angreifer mit Hilfe der Cobalt Strike Malware weitere 63 Tage durch die gesamte Infrastruktur des Systems, um es so auszuspähen und weitere Informationen für einen finalen Angriff sammeln. Eine erfolgreiche Attacke hätte den Kriminellen unbemerkten Zugriff auf das Geldautomatennetzwerk verschafft.

Die Täter

Die Infiltration erfolgte mit einer Spear-Phishing-Kampagne mit der URL swift-fraud[.]com/documents/94563784.doc. Der zusätzliche Einsatz der Cobalt Strike Malware deuten auf die Carbanak-Gruppe hin. Die Carbanak-Bande zählt leider viele Erfolge bei Angriffen auf Finanzinstitutionen. Ihre Strategie ist meist, illegale Transaktionen durchzuführen oder Geldautomateninfrastrukturen zu übernehmen, die mit Hilfe von „Money Mules“ geplündert werden.

Einge Spear-Phishing-Kampagnen zwischen März und Mai 2018 stattfanden und Carbanak zugeschrieben werden, wurden nun von Sicherheitsforschern analysiert. Die Kampagnen tarnten sich als E-Mails von hochkarätigen Organisationen wie IBM, der Europäischen Zentralbank oder auch als Cybersicherheitsunternehmen. Durch die Auswertung von Threat Intelligence Feeds und Logfileanalysen, ist es Experten von Bitdefender nun gelungen, den zeitlichen Ablauf des im Mai 2018 stattgefundenen Angriffs, detailliert rekonstruieren zu können. 

Das Angriffsprotokoll

Tag 0: Infiltration 

An einem regulären Arbeitstag um 16:48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabhängig voneinander binnen einer Minute öffnen. Das angehängte Dokument nutzt die Remote Code Execution Exploits CVE-2017-8570, CVE-2017-11882 und CVE-2018-0802 von Microsoft Word. Darüber wird unbemerkt eine Verbindung zu einem C&C-Server über eine Backdoor hergestellt: Die Datei smrs.exe (d68351f754a508a386c06946c8e79088) initiiert einen Shell-Befehl, der wiederum den Cobalt Strike Beacon herunterlädt. 

Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schließlich der Domain-Controller übernommen. Mit Ende dieser ersten Angriffswelle um 18:20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuführen, sich unbemerkt durch das System zu bewegen, Dateien zu löschen und Registrierungsschlüssel zu beseitigen, um ihre Spuren zu verwischen.

 

Tag 1-28: Ausspähung 

In den fünf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivitäten darauf, systematisch zahlreiche Arbeitsplätze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein könnten. An Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im späteren Verlauf für die Informationssammlung und -speicherung genutzt wird. An Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren für die Exfiltration vorbereitet. 

Tag 30-63: Informationssammlung und Vorbereitung des Diebstahls 

Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handbüchern, Anleitungen und Schulungsunterlagen für verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausführen zu können, sondern auch dazu verwendet werden, Angriffstaktikten für künftige Ziele mit vergleichbaren Systemen zu verfeinern. 

Ab Tag 33:

Die  Angreifer beginnen damit, interne Hosts und Server zu kompromittieren, die für den eigentlichen Raubüberfall benötigt werden. Der Cobalt Strike Beacon erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgewählte Workstations der legitimen Bankeninfrastruktur angemeldet werden. Diese C&C-Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets außerhalb der Geschäftszeiten und an Wochenenden durchgeführt.

Tag 63:

Die Angreifer verwischen schließlich ihre Spuren, indem sie sämtliche Beweise für ihre Informationssammlung vernichten.  

Was wurde verhindert?

Wäre der Angriff nicht entdeckt worden, hätten die Hacker die Kontrolle über das Geldautomatennetzwerk der Bank erlangt und wären so in der Lage gewesen, das Auszahlungslimit an Geldautomaten zurückzusetzen. So hätten die vor Ort abgestellten Money Mules beliebig oft den festgesetzten Höchstbetrag abheben können, ohne dass die Transaktionen, verdächtig an die Bank gemeldet würden.

Infiltrationen per Spear-Phishing-Kampagnen sind leider nicht ungewöhnlich, da es solchen E-Mails meistens gelingt, Sicherheitsmaßnahmen auf Serverebene zu umgehen. Unternehmen können das Risiko einer Infiltration durch den Einsatz von Endpoint-Security-Lösungen minimieren, wenn sie über URL-Filter, verhaltensbasierte Analysen und Sandboxing verfügen. 

Hier findet ihr sowohl Quelle als auch den Untersuchungsbericht als Download, welcher die zeitliche Abfolge und die einzelnen Schritte der Attacke zusammenfasst. https://labs.bitdefender.com/2019/06/an-apt-blueprint-gaining-new-visibility-into-financial-threats/ 

Euer Klenner.at-Team

1