zurück zur Übersicht

Low-Five: Top Hacks im April

Der April ist traditionell ein großer Marketingmonat. Bei Veranstaltungen wie der RSA gibt es meist viele „Eilmeldungen“ und große Bedrohungen. Wir bei SecureLink sind stolz darauf, all dies zu verdauen, das Aufgebausche zu entfernen und aus eigenen Zahlen Schlüsse zu ziehen … Wie immer hoffen wir, dass dies Ihnen hilft, die Realität in der zunehmenden Menge von Cybersicherheitsnachrichten zu finden.

Vom staatlich geförderten Netzwerk-Infrastruktur-Hacking

Mitte April wurde eine Hackergruppe, die mit der russischen Regierung unter dem Namen „Grizzly Steppe“ bekannt ist, von mehreren Ländern beschuldigt, gezielt Netzwerkinfrastruktur, insbesondere Internet-Router, angegriffen zu haben. Es ist nicht der innovativste Angriff, und die US-Regierung verfolgt diese spezielle Gruppe bereits seit zwei Jahren. Worauf es die Angreifer möglicherweise abgesehen haben, ist ein breites Spektrum von anfälligen Routern, die einfach zu missbrauchen sind. Egal, ob es sich um billige oder veraltete Geräte handelt: der Fokus auf diese niedrig hängenden Früchte ist offenbar nicht nur unter Kriminellen an der Tagesordnung, sondern auch unter staatlichen Hackern beliebt.

Orangeworm zielt auf das Gesundheitswesen ab

Die Angriffsgruppe „Orangenworm“ wurde erstmals im Jahr 2016 gesehen und ist wieder aufgetaucht. Sie wird mit der „Kwampirs“ Malware in Verbindung gebracht. Die Forscher beobachteten, dass die Malware hauptsächlich auf das Gesundheitswesen in den Vereinigten Staaten, Europa und Asien abzielte. Kwampirs zeigt ein wurmartiges Verhalten und infiziert medizinische Geräte, aber auch Netzwerkfreigaben und -server, Online-Patientenplattformen und Lieferketten. Kwampirs verbreitet sich durch ungeschützte Netzwerkfreigaben in alten Windows-Netzwerken, die im Gesundheitswesen häufig vorkommen. Dabei verwendet die Malware alte Tricks, um sich auszubreiten. Vermeiden Sie daher die Verwendung von nicht mehr unterstützten Windows-Systemen wie Windows XP und patchen Sie Ihre Systeme, sobald Sicherheitspatches verfügbar sind.

Wenig überraschend: Cryptojacking wächst

Wir konnten auch im April wieder eine Zunahme der Cryptojacking-Angriffe beobachten, die Ransomware im Vergleich übertraf. Uns überrascht das nicht weiter, wir hatten bereits früher darüber berichtet. Cryptojacking ist offensichtlich weniger destruktiv als Ransomware, aber vergessen wir nicht, dass sich diese Parasiten nach dem Willen der bösen Jungs in alles andere verwandeln können. Es gibt immer noch das Problem eines falschen Gefühls der Sicherheit unter den Budget-Besitzern: „Sie stehlen nur Strom“. Unser wiederholter Ratschlag: Wenn Sie sich mit einem Parasiten infiziert haben, müssen Sie Medikamente verschreiben, anstatt dem Parasiten zu vertrauen, dass er Sie gut behandelt.

Die neueste Malware aus diesem Bereich ist ein Python-basierter Schädling, der den ExternalRomance-Exploit verwendet (einen aus der Charge, die die Shadowbrokers von der NSA gestohlen hatten). PyRoMine ist in der Lage, das Remote Desktop Protocol (RDP) auf dem infizierten System zu aktivieren und damit das betroffene Gerät für weitere Angriffe zu öffnen und sich Systemprivilegien zu verschaffen. DIe Angreifer können sich so die volle Kontrolle über das System verschaffen und Cryptomining ohne das Wissen des Opfers zu betreiben. Natürlich wird nach Monero „gegraben“, der Währung der Wahl für Kriminelle.

Ransomware: Füttere die Möwen nicht

Wenn Sie von einer der (möglicherweise letzten) Ransomware-Kampagnen betroffen sind, sollten Sie die Kriminellen niemals bezahlen. Bitte nicht. Vor allem, wenn Sie eine forensische Firma sind, eingestellt, um genau mit so einer Situation fertig zu werden. Das Lösegeld zu zahlen ist eine besonders faule Methode, um Dateien wiederherzustellen, und wenn man dabei ein Vielfaches des Lösegelds als Bezahlung erhebt, dann macht einem das … nun ja, schon auch ein bisschen kriminell, oder? In diesem Monat geht einer der Low-Five-Plätze leider an unsere eigene geliebte Industrie. Angesichts der steigenden Nachfrage nach Cyber-Experten geben offenbar „kreative“ Security-Unternehmer für eine Gebühr von 6000 Dollar ihre Integrität auf.

DSGVO/GDPR für Faule

Apropos Faulheit: Wir beobachten in den letzten Wochen eine besonders bequeme Reaktion auf die DSGVO. Die entsprechende Lösung besteht darin, europäische Kunden einfach garnicht mehr zu bedienen.

Es gibt sogar ein Website-Plugin, das, heruntergeladen und installiert, automatisch Benutzer aus der EU blockiert. Beworben mit „Sparen Sie Tausende bei der GDPR-Compliance!“, scheint die Nachfrage nach dem Tool derart hoch, dass der Server für einige Zeit nicht mehr verfügbar war. Dutzende Online-Unternehmen folgen offenbar bereits diesem Weg.

 

Beachten Sie bitte auch unseren Threatbuster-Podcast, in dem Eward die Low-Five mit Experten aus der Security-Branche diskutiert. Sie finden die bisher erschienen Podcasts auf der Threatbuster Seite!

 


Links:

GRIZZLY STEPPE – Russian Malicious Cyber Activity | US-CERT 

Medic! Orangeworm malware targets hospitals worldwide • The Register 

PyRoMine uses NSA exploits to mine Monero and disable security features

https://twitter.com/SeamusHughes/status/988487142363025409

https://twitter.com/mikko/status/992379231479967745

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer