ISPIN Security Radar #20/19

/Security Radar

In der letzten Woche sorgten die Windows- und WhatsApp-Lücken für einige Schlagzeilen.

In allen Windows-Client und Windows-Server-Versionen bis und mit Windows 7 sowie Windows Server 2008 besteht eine kritische Schwachstelle im Remote-Desktop-Protocol-Dienst (RDP). Windows 8 und 10 sind nicht davon betroffen. Der RDP-Dienst ermöglicht den Fernzugriff auf den Rechner und wird vor allem vom IT-Helpdesk und -Supportern genutzt, um z.B. eine Fernwartung auszuführen. Die Angreifer nutzen diese gravierende Lücke, ohne dass der User handeln muss. Dazu kommt, dass die Schadsoftware sich selbständig verbreitet.

JETZT patchen! Zwar konnte bis anhin keine aktive Ausnutzung der Schwachstelle festgestellt werden, es ist aber dringend empfohlen den von Microsoft zur Verfügung gestellten Sicherheitspatch «CVE-2019-0708» umgehend einzuspielen.

Am 14. Mai wurde zudem eine gefährliche Sicherheitslücke bei WhatsApp aufgedeckt, die es Dritten ermöglichte mittels einem präparierten WhatsApp-Anruf eine Überwachungssoftware auf dem Smartphone einzurichten. Mit dem neuesten App-Update von Whatsapp soll die Sicherheitslücke geschlossen werden können. Allen Benutzern die eine ältere Version als

  • Android: v2.19.134
  • Business für Android: v2.19.44
  • iOS: v2.19.51
  • Business für iOS: v2.19.51
  • Windows Phone: v2.18.348
  • Tizen: v2.18.15

haben, wird empfohlen, umgehend das Update auszuführen.

Die fortschreitende Vernetzung von beliebigen Geräten birgt grosse Risiken und diverse Cyberangriffe auf solche IoT-Systeme zeigen die Sicherheitslücken von Netzwerken, Randknoten und Gateways auf. So wurde vor kurzem eine neue Variante der Mirai-Malware, die auf IoT-Geräte abzielt, von Sicherheitsforschern von Palo Alto Networks entdeckt. Grosse Bekanntheit erlangte das Mirai-Botnet mit einer der grössten DDoS-Attacken. Das neue Mirai-Botnet infizierte über 2,5 Millionen IoT-Nodes durch Einloggen in Geräte mit Telnet-Servern, bei denen das Standardpasswort unverändert blieb. Während frühere Botnets, die die Malware Mirai verwenden, auf Router, Modems, Sicherheitskameras und Digitalrekorder fokusiert sind, zielt die neueste Version gezielt auf Smart Signage TVs und drahtlose Präsentationssysteme ab.

In Verbindung mit Emotet taucht RYUK als neuer Bestandteil des bekannten Trojaners auf. Emotet dringt als Word-Dokument getarnt in die Systeme ein, um sensible Daten auszuspähen und weitere Malware wie zB. TrickBot und RYUK nachzuladen. Der Banking-Trojaner TrickBot spioniert die Kontozugangsdaten aus und gibt diese an RYUK weiter. Diese Malware wiederum verschlüsselt danach alle wichtige Daten des befallenen Systems und löscht zusätzlich alle hiervon existierende Backups, wodurch die Wiederherstellung erheblich erschwert wird. Die Höhe der anschlissenden Lösegeldforderung richtet sich dann nach dem Wert, den TrickBot als finanziellen Verfügbarkeitsrahmen des Unternehmens ausfindig machen konnte.

Wie gut sind die sensiblen Daten Ihrer Kunden und die Ihres Unternehmens geschützt? Mit den zuverlässigen Advanced Threat Protection Services von ISPIN gehen Sie auf eine Nummer sicher.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter