zurück zur Übersicht

Low-Five: Top Hacks im Juni

Der Juni brachte uns einige Angriffe, die eigentlich nur Fortsetzungen waren. Oder eher: Aufgüsse. Zwar wurde versucht, die Einsätze zu erhöhen, die Verbreitung zu verbessern und auf dem schlechten Ruf von Vorgängern aufzubauen. Trotzdem könnte dieser Monat als der Monat der „Sequel Threats“ bezeichnet werden. Wie immer haben wir Links zu Branchenressourcen für weitere Lektüre eingefügt. Bleiben Sie auf der sicheren Seite!

Olympic Destroyer 2: Jetzt erst recht!

Olympic Destroyer, bekannt als „false flag confusion bomb“, die auf die Olympischen Winterspiele in Südkorea zielte, ist noch am Leben. Im Mai und Juni wurden Spear-Phishing-Aktivitäten beobachtet, die auf Finanzdaten in Russland und Labors zur „Verhinderung chemischer Bedrohungen“ in Europa und der Ukraine abzielten. Es wird mit glaubwürdigen Spear-Phishing-Kampagnen gearbeitet, wobei wieder bösartige Dokument-Makros und die Nutzung von Powershell zum Einsatz kommen.

Dieser Angriff zeigt einmal mehr den anhaltenden Trend destruktiver Angriffe ohne monetäre Anreize. Ausgehen könnte der Angriff von staatlichen Hackern oder einer politischen Aktivistengruppe. Herauszufinden, wer genau hinter Olympic Destroyer steckt, wird einige Zeit in Anspruch nehmen. Analysten entdeckten im März, dass möglicherweise bewusst falsche „Flags“ (Programmmarker, die z.B. zum Debuggen verwendet werden) eingebaut wurden, die auf Lazarus, eine NKO-verbundene Gruppe, hinwiesen. Diese „falschen Flags“ wurden relativ plump eingebaut, so als sollten sie gefunden werden, ähnlich einem bequem fallen gelassenen Personalausweis bei einem Einbruch. Wir befinden uns inzwischen in einer Zeit, in der falsche Nachrichten nicht nur über soziale Medien verbreitet werden, sondern auch in IoCs.

Der VPN-Filter 2: Die Rückkehr der Router-Rebellen

Die VPNFilter-Malware, die mit russischen APTs in Verbindung gebracht wird ist, hat ihre Liste betroffener Home-Router-Geräte erweitert. Bis jetzt sind 500.000 Router in über 50 Ländern betroffen. Die Liste der bekannten Router umfasst Linksys, Mikro Tik, Netgear, TP-Link, QNAP, Asus, D-Link, Huawei, Ubiquiti, UPVEL und ZTE. Teil 1 war bereits Thema in den Low-Five im Mai. Das FBI empfiehlt immer noch einen Neustart. Und falls Sie es bis jetzt noch nicht getan haben: führen Sie ein Firmware-Update durch. Wenn der Router oder ein anderes Netzwerkgerät über eine automatische Aktualisierungsfunktion verfügt, stellen Sie sicher, dass sie aktiviert ist.

Fast and (a little bit) furious 2: Flash-Exploit mit Office-Dokumenten

Diesen Monat wurde wieder einmal ein Zero-Day-Exploit von Adobe Flash entdeckt. Der Exploit verwendet Microsoft Office-Dateien, um einen stapelbasierten Pufferüberlaufangriff zu verbreiten. Es ist nicht ungewöhnlich, Microsoft Office-Dateien bei Angriffen zu verwenden, ohne dass die bösartige Datei selbst eine tatsächliche Malware enthält. Die Shockwave Flash-Datei, die die tatsächliche Nutzlast enthält, wird per Fernzugriff heruntergeladen. Das erhöht die Wahrscheinlichkeit, dass E-Mail-Filter und Antiviren-Anbieter die eigentlich harmlose Mail unbehelligt passieren lassen. Adobe hat einen Patch veröffentlicht, um den Zero-Day-Exploit zu beheben. Jeder, der Flash nutzt, sollte sofort updaten. Diese Art von Malware wird typischerweise über Social Engineering oder Phishing verbreitet, was unterstreicht, wie wichtig es ist, sorgsam mit E-Mails von unbekannten (und auch vermeintlich bekannten) Absendern umzugehen.

Wannacry 2:  Wannabe

Dass Kriminelle es sich manchmal ziemlich leicht machen, ist nichts Neues. Es ist auch eine bekannte Tatsache, dass Kriminelle sich untereinander als Trittbrettfahrer betätigen, um von der „Marke und Reputation“ anderer zu profitieren. Wie wäre es zum Beispiel damit, mit dem Namen einer bekannten Malware hausieren zu gehen, und sich den Aufwand eines tatsächlichen Angriffs dabei einfach komplett zu sparen? In diesem Fall versenden Betrüger massenhaft E-Mails, in denen steht „Hallo! WannaCry ist zurück!“. Sie drohen den Opfern, alles zu verschlüsseln und fordern ein Lösegeld von 0,1 Bitcoin (650 $), um es nicht zu tun. Der Angriff selbst erweist sich indess als heiße Luft. Genauer betrachtet ist der Inhalt der Mail ja auch Quatsch: Jeder, der technisch ein wenig versiert ist, weiß, dass es heutzutage keine einheitliche Technologie gibt, die plattformunabhängig Mac, Windows, Android, iPhone und Linux gleichermaßen verschlüsseln kann. Es ist sicher ein ziemlich billiger Angriff, aber leider sagt uns die Wahrscheinlichkeit, dass immer noch zumindest einige darauf hereinfallen werden und zahlen, wenn man nur genügen dieser Mails verschickt.

Glauben Sie nichts, was Kriminelle Ihnen sagen. Auf sie ist einfach kein Verlass.

WannaPay? Beispiel einer WannaCry-Fake-E-Mail

MyHeritage verliert 92 Millionen Passwörter

MyHeritage, eine aus Israel stammende Abstammungsplattform, in der Benutzer Familienstammbäume erstellen und Familien- und historische Aufzeichnungen durchsuchen können, wurde von einem Sicherheitsforscher alarmiert: 92 Millionen Benutzernamen und Passwort-Hashes wurden gefunden. Passwörter gehen ständig verloren oder werden gestohlen, und 92 Millionen mögen als geringfügige Ergänzung zu den verfügbaren Milliarden in diversen Darknet-Datenbanken erscheinen. Beunruhigend in diesem Fall ist aber, dass die Seiteauch DNS-Informationen und Kreditkartendaten speichert. Obwohl es keine Anzeichen dafür gibt, dass diese kompromittiert wurden (sie wurden in einer separaten Infrastruktur gespeichert), bleibt ein sehr beunruhigendes Gefühl.

Hören Sie, wie Profis die genannten Threats einschätzen: Die Low-Five gibt’s jetzt auch zum Nachhören als Podcast!

Mehr Infos auf der Threatbuster-Seite.

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer