Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele Länder ab, darunter auch Deutschland. Es werden infizierte Websites verwendet, die keinen Verdacht erregen, und selbst Aggregatoren und Google Alert nehmen diese Websites in ihre Mailings auf. Proofpoint (Cybersicherheitsunternhemen) hat bereits etwa 300 solcher Websites entdeckt und die Zahl könnte noch steigen.
Eine neue bösartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die bösartige “.one”-Datei erstmals Anfang Dezember.
Die Experten erhielten die Datei mit einer typischen Phishing-E-Mail. Die “.one”-Datei bestand aus bösartigen Skripten, die PowerShell-Befehle enthielten. Diese bestanden aus Anweisungen, um Dateien (sog. Payloads) von der Domain des Bedrohungsakteurs – a0745450[.]xsph[.]ru – herunterzuladen.
Die Datei lädt andere bösartige Komponenten nicht automatisch herunter. Sie verleitet den Benutzer dazu, die Skriptausführung zu starten, indem er auf die einzige angezeigte Schaltfläche klickt, doch darunter befindet sich ein bösartiges Skript.
Normalerweise warnt das System den Benutzer vor dem Öffnen einer Ausführungsdatei, aber diese Meldungen werden von den Benutzern häufig ignoriert.
Der weitere Weg der Malware ist schwer zu erkennen. Die Forscher behaupten, dass ein Formbook-Trojaner heruntergeladen wird, der aber jederzeit geändert werden kann.
Formbook selbst ist ein Malware-as-a-Service, aber der gesamte Angriff könnte Teil eines Phishing-as-a-Service-Angriffs sein, worüber wir bereits geschrieben haben. Hierbei ist es wahrscheinlich, dass die Malware Browserdaten stiehlt und Screenshots macht, und die Folgen können mit der Zeit immer größer werden.
Um die Risiken zu mindern, sollten Sie “.one”-Anhänge besser kennzeichnen, Mitarbeiter über Bedrohungen informieren und eine Mail Security Gateway Regeln konfigurieren. Es handelt sich (noch) nicht um einen typischen Angriff, aber je früher Sie sich vorbereiten, desto sicherer sind Sie.
Kürzlich veröffentlichte der Twitter-Account der New York Post mehrere feindselige Tweets. Sie wurden noch am selben Tag gelöscht und das Unternehmen behauptete, das Konto sei gehackt worden. Später stellte sich jedoch heraus, dass sie von einem Mitarbeiter eingestellt worden waren. Es wird behauptet, dass er bereits entlassen worden ist. Dieser Fall wirft jedoch die Frage auf, warum dieser Mitarbeiter Zugang zum Twitter-Konto der Zeitung hatte. Denn er war nicht für die Veröffentlichung von Inhalten in diesem Netz verantwortlich.
Benutzerkonten auf der The North Face Website wurden Opfer eines Hackerangriffs. Der Angriff dauerte einen Monat, wobei die Brute-Force-Methode zum Einsatz kam. Nach Angaben des Unternehmens gelang es den Angreifern, etwa 200.000 Konten zu übernehmen. Der Vorfall wurde bekannt, weil das Unternehmen nach dem Gesetz verpflichtet ist, einen solchen Angriff zu melden. Ein ähnliches Gesetz gilt in Deutschland. The North Face hat die von dem Angriff betroffenen Nutzer informiert.
Laut einer internationalen Studie von Ivanti ist die Wahrscheinlichkeit, Opfer von Phishing-Angriffen zu werden bei Führungskräften viermal höher. Dies resultierte daraus, dass sie auf betrügerische Links klickten und den Angreifern Geld schickten. Diese Umfrage hat gezeigt, dass Führungskräfte eher zu gefährlichem Verhalten neigen als andere.
Dies scheint ein großes Problem zu sein, da Führungskräfte über hoch privilegierte Konten und große Informationsströme verfügen, die nicht immer streng gefiltert werden sollten. Offenbar sind sich die Führungskräfte selbst dessen bewusst, denn sie wenden sich mit 2,5-mal höherer Wahrscheinlichkeit als der durchschnittliche Angestellte an das Personal für Cybersicherheit, wenn es um Sicherheitsfragen geht.
Diese Maßnahmen reichen jedoch nicht aus, denn jede dritte Führungskraft ist im vergangenen Jahr Opfer eines Phishing-Angriffs geworden. Führungskräfte zeigen sich besorgt, scheinen aber weniger bewusst und nachlässiger zu sein, wenn es um die tägliche digitale Hygiene und die notwendige Vorsicht geht.
Die Ausbildung von Führungskräften sollte sich von der Ausbildung von Mitarbeitern unterscheiden, da Führungskräfte eine begehrtere Zielgruppe sind. Daher setzen Angreifer ausgefeiltere Cyberangriffstechniken als üblich gegen sie ein. Natürlich werden sie auch “Massen”-Phishing-E-Mails erhalten, aber fortgeschrittene Angriffe stellen eine größere Bedrohung dar.
Bei Neosec bieten wir Schulungen für alle Mitarbeiterebenen an, um Phishing-Angriffe abzuwehren und wir verwenden unterschiedliche Ansätze, um Mitarbeiter auf verschiedenen Ebenen zu schulen. Die Schulung ist auf Ihre Sicherheitsbedürfnisse zugeschnitten und ist nicht übermäßig aufwändig. Sie werden die notwendigen Kenntnisse und Fähigkeiten erwerben, um sie in Ihrer täglichen Arbeit anzuwenden.
Die Universität Duisburg-Essen wurde angegriffen. Die gesamte IT-Infrastruktur wurde abgeschaltet und vom Internet getrennt. Laut der Universität wurden von den Angreifern große Teile des Systems verschlüsselt. Die Leitung der Einrichtung prüft derzeit alle Einzelheiten. Beeinträchtigt durch den Angriff wurden Büroanwendungen, die internen Verwaltungssysteme, der E-Mail-Verkehr und die Telefonkommunikation.
Kürzlich entdeckten Forscher von GTSC zwei neue Zero-Day-Schwachstellen. Es wurden bereits erfolgreiche Angriffe verzeichnet, die diese Schwachstellen ausnutzten. Anfällig sind Microsoft Exchange Server 2013, 2016 und 2019. Noch eher könnten Sie zum Opfer dieser Schwachstelle werden, wenn die automatische Erkennung aus dem Internet aktiviert ist.
Bisher ist nur wenig über erfolgreiche Angriffe bekannt, sodass der praktische Schaden nicht genau abgeschätzt werden kann. Aber nach theoretischen Schätzungen kann er riesig sein. Angreifer können die Zugangsdaten auf dem Exchange-Server fälschen und sogar andere Malware installieren, um die Daten weiter zu stehlen.
Microsoft hat bereits mit einem Blogbeitrag auf das Problem reagiert. Darin sprachen sie über das Problem und kündigten an, es so schnell wie möglich zu beheben. Das BSI warnt vor Angriffen und hat Schutzhinweise vorgelegt.
Es ist wichtig zu beachten, dass die in diesen Berichten präsentierten Daten keinen angemessenen Schutz bieten. Insbesondere wenn Ihr System bereits unbemerkt mit bösartiger Software infiziert ist. Außerdem werden die Empfehlungen fast täglich aktualisiert, was für Verwirrung sorgen kann.
Microsoft veröffentlicht die aktuellsten Minderungsmaßnahmen in seinem Blog. Im Allgemeinen umfassen sie das Deaktivieren von Einstellungen im IIS-Manager mithilfe regulärer Ausdrücke, das Konfigurieren des Exchange Emergency Mitigation Service (EEMS) und das Einschränken der Powershell-Funktionalität. Schritt-für-Schritt-Anleitungen mit den wichtigsten Tipps werden dort auch beschrieben.
Der Angriff erfolgt in mindestens zwei Phasen, theoretisch können es aber auch mehr sein. Gleichzeitig wird der Verlust mit jeder neuen Stufe zunehmen. Zunächst versuchen Angreifer, eine legitime Serverfunktion auszunutzen. Beispielsweise suchen sie automatisiert nach Servern, die die automatische Erkennung aktiviert haben. Bei Erfolg nutzen sie eine andere Schwachstelle aus, die es ihnen ermöglicht, Code in Powershell aus der Ferne auszuführen. Dies gibt Angreifern die Möglichkeit, weitere Schadsoftware herunterzuladen. Kontaktieren SIe uns, und wir helfen Ihnen die Angiffsfläche zu minimieren, um potentiellen Schaden gering zu halten.
Zur Erinnerung: Die internen Systeme von Continental wurden von der Lockbit-Gruppe gehackt und 40 Terabyte an Daten gestohlen. Der Vorfall wurde Anfang August bekannt, und es wird behauptet, dass die Hacker einen Monat lang im System waren. Jetzt gibt es weitere Details über den Vorfall.
Die Journalisten erfuhren, dass der Angriff über einen Browser durchgeführt wurde, den einer der Angestellten heruntergeladen hatte. Diese Information wurde vom Leiter der IT-Abteilung in einem internen Video bekannt gegeben. Es ist nicht bekannt, ob der heruntergeladene Browser bereits infiziert war oder ob die Angreifer die Sicherheitslücke einer legitimen Anwendung ausgenutzt haben.
Um diesen Vorfall zu vermeiden, war es auf jeden Fall notwendig, die Angriffsfläche strenger zu verwalten. Die wichtigsten Maßnahmen, die dies hätten verhindern können, sind das Patch-Management-System im Unternehmen, das Verbot, nicht autorisierte Anwendungen zu installieren, und die Beschränkung des Mitarbeiterzugangs.
Patch-Management bedeutet, dass jeder Mitarbeiter nur eine bestimmte Anzahl von Programmen verwendet, die ständig aktualisiert oder auf die sicherste Version heruntergestuft werden. Dadurch wird die Möglichkeit, dass Eindringlinge durch Software eindringen, die Sie nicht kontrollieren können, auf nahezu Null reduziert. Das Risiko von Zero-Day-Schwachstellen [Link zum Blogbeitrag über Zero-Day] besteht nach wie vor, sollte aber durch andere Maßnahmen verringert werden.
In den meisten Fällen ist es nicht erforderlich, dass die Mitarbeiter zusätzliche Anwendungen für ihre Arbeit installieren. Um sicherzustellen, dass keine anfälligen Anwendungen oder Malware verwendet werden, ist es besser, den Mitarbeitern die Installation nicht zugelassener Anwendungen zu untersagen.
Diese Maßnahmen verhindern eine unmotivierte Vergrößerung der Angriffsfläche und sorgen dafür, dass das Unternehmen die Kontrolle über die bestehende Angriffsfläche behält. Ebenfalls wichtig sind die Verwendung von Firewalls, Virenschutzprogrammen, die Simulation von Angriffen, die Verwaltung von Informationen und Sicherheitsereignissen usw. Alle Sicherheitsmaßnahmen müssen richtig konfiguriert sein und den Anforderungen des Unternehmens entsprechen. Für Beratungen und Einstellungen Ihrer Sicherheit wenden Sie sich bitte an https://neosec.eu/kontakt/index.html.
Ein 16-jähriger Hacker hat sich mit Hilfe von Phishing-Attacken in die Unternehmen Uber und Rockstar Games gehackt und sich Zugang zu mehreren Gigabytes an Daten, internen Diensten und dem Unternehmens-Slack verschafft und diese heruntergeladen. Der Quellcode von Uber, GTA 5 und 6, Video-Gameplay des neuen Teils von Grand Theft Auto und viele andere Dinge waren in den Händen des Hackers. Das meiste davon ist bereits online.
Medienberichten zufolge stand eine Datenbank mit 800 Millionen Datensätzen, bestehend aus Fotos von Gesichtern und Nummernschildern, bis in den August offen zugreifbar im Netz. Die Daten stammten demnach von Überwachungskameras des chinesischen Herstellers Xinai Electronics.
Die Systeme des Herstellers sollen Zugangskontrollen von Personen und Fahrzeugen etwa zum Arbeitsplatz, Parkhäusern, Schulen oder Baustellen bieten. Wie Techcrunch berichtet, will das Unternehmen nicht nur Zutrittskontrollen damit umsetzen, sondern damit auch die Überwachung der Anwesenheit von Mitarbeitern etwa für Gehaltsabrechnungszwecke ermöglichen. Die Cloud-Systeme zum Scannen von Kfz-Kennzeichen sollen hingegen etwa Parkhausbetreibern ermöglichen, Parkgebühren ohne Personal vor Ort zu erheben.
Xinai betreibt dazu ein weitreichendes Netz von Kameras in ganz China. Damit sammelte das Unternehmen Millionen Fotos von Gesichtern und Nummernschildern. Auf der Firmenwebseite behauptet Xinai, die Daten seien sicher auf den eigenen Servern abgelegt. Das entpuppte sich nun offenbar als leeres Versprechen.
Der IT-Sicherheitsforscher Anurag Sen fand die ungeschützte Datenbank auf einem vom Unternehmen Alibaba in China gehosteten Server. Sen zufolge enthielt die Datenbank eine große Fülle an Informationen und wuchs rapide von Tag zu Tag an. Bis sie schließlich mehrere Hundert Millionen von Datensätzen und vollständige Webadressen von Bilddateien enthielt, die auf mehreren Domains gehostet wurden, die zu Xinai gehörten. Weder die Datenbank noch die gehosteten Bilddateien seien durch Passwörter geschützt gewesen und konnten von jedem, der wusste, wo er suchen musste, über den Webbrowser aufgerufen werden.
Weiter enthielt die Datenbank Links zu hochauflösenden Fotos von Gesichtern. So etwa von Bauarbeitern beim Betreten von Baustellen, von Bürobesuchern beim Einchecken, sowie zu anderen persönlichen Informationen wie Name, Alter und Geschlecht der Person und zu den Einwohner-ID-Nummern. Zudem enthielt sie Aufzeichnungen von Fahrzeugkennzeichen, die von den Kameras in Parkhäusern, Einfahrten und anderen Büroeingängen erfasst wurden.
Wie Techcrunch ausführt, war Sen nicht der Einzige, der die Datenbank entdeckt hat. In einer undatierten Lösegeldforderung behauptete ein Erpresser, er habe den Inhalt der Datenbank gestohlen und würde die Daten im Austausch gegen einige hundert Dollar in Kryptowährung wiederherstellen. Es sei nicht bekannt, ob der Erpresser Daten gestohlen oder gelöscht hat. Die in der Lösegeldforderung angegebene Blockchain-Adresse habe jedoch keine Gelder erhalten.
Mitte August sei die Datenbank verschwunden und nicht mehr zugreifbar gewesen. Zwar gilt seit dem 1. Novermber 2021 ein Datenschutzgesetz in China, das etwa vorsieht, vor der Erhebung und Verarbeitung von Daten durch Unternehmen die Einwilligung von Nutzern einzuholen. Doch staatliche Stellen bleiben außen vor. Offensichtlich dämmt es die Datensammelwut auch nicht ein.
So wurde etwa vor rund zwei Monaten bekannt, dass die Shanghaier Polizei sich rund eine Milliarde Datensätze hat stehlen lassen. Es bleibt abzuwarten, ob die jungen Datenschutzgesetze hier künftig zu Besserungen für die chinesische Bevölkerung führen.
Keine weiteren News.
Keine weiteren News.
Lassen Sie uns gemeinsam Ihr Unternehmen auf
IT-Sicherheit untersuchen, einschätzen und absichern, damit Sie nachts ruhig schlafen können.
Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele Länder ab, darunter auch Deutschland. Es werden infizierte Websites verwendet, die keinen Verdacht erregen,…
Eine neue bösartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die bösartige “.one”-Datei erstmals Anfang Dezember. Die Experten erhielten…
Kürzlich ist ein interessanter Tag in Bezug auf die IT-Sicherheit verstrichen, auf dessen Symbolkraft ich näher eingehen möchte. Im Jahr 2012 wurde der 1. Februar…
