zurück zur Übersicht

Low-Five: Top Hacks im Juli. Neues über aktuelle Bedrohungen

Top Hacks im JuliBedrohungsforscher und Wissenschaftler sagen mir oft: „Im Sommer können wir endlich „einiges an Arbeit erledigen“. Also erwarten wir nie, dass der Sommer frei von jeglichen Bedrohungen ist. Dafür spricht auch, dass Defcon und Blackhat, das „Infosec-Sommercamp“ im August stattfindet, und viele  ihre Arbeit bis dahin unter Verschluss halten. Mal sehen, was also der Juli bisher für uns bereithält:

Globale Verstöße im Gesundheitswesen

Im Juli wurden zwei größere Verstöße im Gesundheitswesen gemeldet. Im ersten Fall, einem kanadischen Anbieter von Gesundheitsdienstleistungen, kam es zu einem Datenverstoß, bei dem die Angreifer Zugang zu persönlichen Gesundheitsdaten von Mitarbeitern und Patienten erhielten und Lösegeld forderten, um eine Verbreitung der Daten im Netz zu verhindern. Diese Art von Erpressung nimmt in den letzten 2 Jahren stetig zu. Die gestohlenen Daten enthielten persönlich identifizierbare Informationen (PII) wie Geburtsdaten, Gesundheitsnummern, Telefonnummern und Angaben zu früheren chirurgischen Eingriffen und Medikamenten. Während das Unternehmen 1513 gestohlene Datensätze erwähnte, veröffentlichten die Hacker dagegen eine Auswahl von 80 000 Datensätzen.

Die Nachricht ist aus zwei Gründen interessant: Erstens wird deutlich, dass das Gesundheitswesen nicht immer den besten Ruf in Bezug auf Cyber Defense hat. Zweitens ist es sehr wahrscheinlich, dass diese Art von Angriffen auch in Europa stattfinden wird. Und zwar auch unter dem neuen GDPR-Gesetz. Vor einigen Wochen hat der Versicherer AIG sogar davor gewarnt, dass die Daten für Kriminelle aufgrund von GDPR mehr wert sein werden. Während wir finden, dass diese Begründung angezweifelt werden kann, sind wir immer noch gespannt, wie sie sich letztlich tatsächlich auswirkt. Mehr dazu:

Angriffe im globalen Gesundheitswesen momentan wohl eine der größten Bedrohungen

Der zweite Verstoß erfolgte am 17. Juli, als SingHealth, der größte Gesundheitskonzern in Singapur, einen massiven Datenverlust von 1,5 Millionen Patienten-Datensätzen feststellte, die zwischen Mai 2015 und Juli 2018 die Dienste des Konzerns in Anspruch genommen haben. Eine Besonderheit schien dabei der Fall des Premierminister Singapurs, Lee Hsien Loong, zu sein.  Die Hacker bekamen auch Zugang zu Informationen über Medikamente, die von ihm eingenommen wurden. Später kam man zu dem Schluss, dass der Angriff gut geplant, ausgeklügelt und zielgerichtet, ja sogar potenziell nationalstaatlich gesponsert zu sein schien.

In den USA sind Hacker, die gezielt nach Akten von VIP-Patienten suchen, häufiger anzutreffen. In anderen Teilen der Welt wurde das Risiko dafür dagegen bisher immer als gering eingestuft. Deshalb weckt dieser Vorfall Interesse: in diesem Monat sind Verstöße im globalen Gesundheitswesen unsere größte Bedrohung. Mehr dazu:

Schwachstellen in der Konnektivität

Forscher veröffentlichten die Entdeckung einer neuen Variante von Spectre, „NetSpectre“, die eine erhebliche Weiterentwicklung des Spectre-Angriffs darstellt. Sie ermöglicht es einem Angreifer, Daten aus der Ferne zu stehlen. Es stammt von der Spectre v1-Schwachstelle (CVE-2017-5753), über welche das SecureLink CDC im Januar 2018 berichtete; daher sind alle von Spectre v1 betroffenen CPUs höchstwahrscheinlich auch von NetSpectre betroffen. Man kann NetSpectre aus der Ferne über eine Netzwerkverbindung ausführen. Er nutzt einen Fehler im spekulativen Exekutivmechanismus aus. Neben seinem innovativen Charakter ist NetSpectre mit einer Exfiltrationsgeschwindigkeit von knapp 15 Bit/Stunde jedoch derzeit noch als sehr langsam anzusehen. Das macht es eher theoretisch, aber wie bei allen Schwachstellen könnte ein neuer PoC das Risiko morgen erhöhen. Mehr dazu:

Wir alle lieben Bluetooth, richtig? Musik streamen, vom Auto aus telefonieren, was würden wir ohne Bluetooth machen? Es gibt jedoch einen Grund, warum Sie es besser deaktivieren, wenn Sie eine Hackerkonferenz besuchen. Bedrohungen lauern dort nämlich überall:

Eine neue Bluetooth-Hacking-Technik betrifft Betriebssystemtreiber von Herstellern wie Apple, Broadcom, Intel und Qualcomm. Zwei Funktionen sind von diesen neuen Bedrohungen besonders betroffen: Bluetooth Low Energy (LE) Implementierungen von Secure Connections Pairing und Bluetooth Basic Rate/Enhanced Data Rate (BR/EDR) Implementierungen von Secure Simple Pairing. Die Schwachstelle ist eine unzureichende Validierung des öffentlichen Verschlüsselungs-Key, der während des Pairings über Funk empfangen wurde. Angreifer können dann einen Man-in-the-Middle-Angriff während des Pairing-Prozesses durchführen, um einen bösartigen Code einzuspeisen und/oder Daten zu stehlen.

Also deaktivieren Sie Bluetooth vielleicht etwas öfter als nur, wenn Sie Defcon besuchen. Mehr dazu:

PyLocky

Eine der berüchtigten Ransomwares, Locky, wurde von einem schlechten Akteur geehrt, da er sie in Python nachgebildet hat. Oder zumindest versucht hat. Unser Cyber Defense Center gehörte zu den ersten, die dies entdeckten und der Sache nachgingen:

Die Malware verwendete die Dateiendung .locky und die Bezeichnung Locky als Referenz in der Lösegeldforderung und wurde (interessanterweise) in Python geschrieben. Einige Merkmale der analysierten Malware weisen auf einen unerfahrenen Malware-Entwickler hin. Die Binärdatei wurde mit einem aktuell gültigen Zertifikat digital signiert. Bei der Rückverfolgung des Zertifikats zeigte sich, dass es an ein kleines britisches Unternehmen ausgegeben wurde. Dieses gab, wenn es online aufgesucht wurde, dem Suchenden den Hinweis, dass es derzeit Probleme gebe, die darauf hinwiesen, dass sie möglicherweise gehackt wurden. Das Zertifikat wurde am 24. Juli ausgestellt, 3 Tage bevor SecureLink CDC auf das Malware-Muster in the wild“ stieß.

Andere haben der Malware den Namen „PyLocky“ gegeben. Trotz der britischen Verbindung scheint sich die Malware ausschließlich gegen Frankreich zu richten.

In unserem CyberDefense Center sehen wir einen plötzlichen Anstieg von Ransomware nach einem stetigen Rückgang in den letzten Monaten. Obwohl wir PyLocky nicht als ein enormes Risiko für viele sehen, setzen wir es heute auf Platz 3. Der originale Post auf Twitter:

PowerGhost Miner: Der lautlose Schatten

Dateilose-Angriffe sind sozusagen hip ’n happening. Eternalblue ist dabei beispielsweise eine einfache Wahl als Exploit. Deshalb war das Erscheinen eines Cryptocurrency Miners ziemlich sicher. Und so tauchte Ende Juli tatsächlich PowerGhost, ein neuer, dateiloser Cryptocurrency Miner, auf. Die Malware nutzt Powershell und nutzt die EternalBlue-Schwachstelle, um sich unbemerkt über Systeme hinweg zu bewegen und munter zu infizieren.

Eine Besonderheit der Malware ist, dass sie auch DDOS kann. Die Malware bettet sich aus der Ferne ein, indem sie Remote Verwaltungstools (RAT) benutzt. In diesem Fall Windows Management Instrumentation (WMI). Mit der Hilfe eines einzeiligen PowerShell-Skripts wird der Miner heruntergeladen und macht sich sofort an die Arbeit, ohne es auf die Festplatte zu schreiben. Dies macht es schwieriger, ihn zu bemerken. Mehr dazu:

Ein großes Dankeschön an Diana Selck und die CDC-Teams für den Input!

Beachten Sie bitte auch unseren Threatbuster-Podcast, in dem Eward die Low-Five mit Experten aus der Security-Branche diskutiert. Sie finden die bisher erschienen Podcasts auf der Threatbuster Seite!

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer