ISPIN Security Radar #31/19

/Security Radar

Die Zunahme der Angriffe auf mobile Endgeräte zeigt, dass für eine verlässliche Gefahrenabwehr eine effiziente Überwachung der vielen Endpoints unumgänglich ist.

Der digitale Wandel zwingt die Unternehmen sich immer schneller auf veränderte Marktgegebenheiten und Konsumverhalten anzupassen. Die Finanzbranche ist dafür ein gutes Beispiel. Neue Online-Banken bzw. Online-Finanzdienste wie Revolut, N26, Transferwise, drängen auf den Markt und zwingen die klassischen Finanzhäuser bei fallenden Renditen mit ähnlichen oder besseren Services nachzuziehen. Unter dem enormen Zeit- und Kostendruck passieren schnell einmal Fehler. Agilität darf die Sicherheit jedoch nicht gefährden, wie einer der grössten Hacks in der Geschichte der nordamerikanischen Finanzbranche aufzeigt. Dabei wurde die Cloud der US-Bank Capital One aufgrund einer falsch konfigurierte Web Application Firewall, bei einem nicht genannten Cloudanbieter, gehackt. Der Schaden: Datenklau von über 100 Millionen Kunden, die die Angreifer beispielsweise zum Identitätsdiebstahl oder für Social-Engineering-Angriffe verwenden können.

50 Prozent mehr Angriffe auf Smartphones

Der Halbjahresbericht von Check Point zeigt auch, dass das veränderte Konsumverhalten auch den Cyberkriminellen neue Chancen bietet. So nahmen die Angriffe gegen Smartphones und andere mobile Geräte im Vergleich zum Vorjahreszeitraum um 50 Prozent zu. Die Auswertung legt nahe, dass die häufige Nutzung mobiler Banking-Anwendungen die mobile Zielgruppe immer attraktiver für Hacker und Cyberkriminelle macht. So wird der Anstieg der Angriffe gemäss Check Point vor allem auf Schadsoftware wie z.B. Anubis, Triada, Lotoor, oder Hiddad zurückgeführt, die gezielt Bezahldaten oder zumindest Anmeldeinformationen stehlen sollen, um schliesslich den Zugriff auf die Bankkonten der Nutzer zu erhalten. Aber nicht nur private Anwender sind betroffen. Gemäss Kaspersky ist die Anzahl von Unternehmen die von Banking Trojanern betroffen waren stark angestiegen. Gemäss Kaspersky kamen in 40% der Angriffe vom RTM-Banking-Trojaner, gefolgt vom Emotet Banking-Trojaner mit 15 Prozent und dem Trickster Banking-Trojaner mit 12 Prozent. Privatanwender wurden am häufigsten mit der Zbot-Malware angegriffen, gefolgt von RTM und Emotet. Egal welche Statistik man betrachtet und welche Malware darin aufgeführt wird, eine Aussage bleibt immer die gleiche: Angriffe auf mobile Endgeräte, mit dem Ziel Bezahldaten oder zumindest Anmeldeinformationen zu stehlen, werden immer attraktiver.
 

Warum bei Lena Kretschmer die Alarmglocken läuten sollten

Auch der Weg um neue Mitarbeiter zu finden, hat sich vom Postversand der Unterlagen hin zum Versand von Emails verschoben. Unternehmen im deutschsprachigen Raum sehen sich seit letzter Woche dabei mit einer ziemlich fiesen Bedrohung konfrontiert. Denn sie erhalten neuerdings per Mail Fake-Bewerbungen einer fiktiven Person namens Lena Kretschmer. An diese E-Mails ist ein Lebenslauf als ZIP-Datei angehängt die eine LNK-Verknüpfungsdatei enthält. Wenn man darauf klickt, wird die GermanWiper-Ransomware installiert. Der grosse Unterschied zu anderer Ransomware: GermanWiper ist nicht einfach ein klassischer Erpressungstrojaner der die Daten verschlüsselt und ein Lösegeld für die Entschlüsselung verlangt. GermanWiper überschreibt den Inhalt verschiedener lokaler Dateien mit dem Wert 0x00 und fügt allen Dateien eine neue Erweiterung hinzu. Diese Erweiterung hat ein Format von fünf zufälligen alphanumerischen Zeichen, wie .08kJA, .AVco3, .OQn1B, .rjzR8, etc….. Die ursprünglichen Daten sind daraufhin unwiderruflich verloren! Das hindert die Cyberkriminellen aber nicht daran, trotzdem ein Lösegeld zu fordern. Nachdem es alle Ziel-Dateien „verschlüsselt“ hat, öffnet GermanWiper die Lösegeldnotiz (eine HTML-Datei) im Standardbrowser des Benutzers. Das perfide: Name, E-Mail-Adresse und Betreff können die Angreifer beliebig variieren. So tauchten auch schon Bewerbungen mit dem Namen Doris Sammer auf. Unser Ratschlag: Keinesfalls zahlen – das Geld ist zum Fenster rausgeworfen. Eine Lösegeldzahlung rettet die Daten nicht! Als einziger Weg bleibt nur noch, das Backup mit den gesicherten Dateien zurück zu lesen und die Mitarbeiter zu sensibilisieren.
 

iOS-Nutzer sollten umgehend Update installieren

Selbst das als sicher geltende iOS betribessystem von Apple ist nicht von Schwachstellen gefeit. Google-Forscher haben 6 Sicherheitslücken im iOS Betriebssystem gefunden. Mehrere der Schwachstellen betreffen Apples Chat-App iMessage und sind laut Google "interaktionslos". Das heisst: Es reicht bereits aus, dass der Nutzer sich eine entsprechende Nachricht ansieht, damit der Angreifer Zugriff auf das Gerät erhält und private Daten, wie etwa Fotos, vom Speicher auslesen kann.  Von den sechs gemeldeten Sicherheitslücken mit hoher Bedrohungslage hat Apple mit der Version 12.4 allerdings bisher nur fünf behoben. Die eine offene Lücke haben die Sicherheitsforscher noch nicht offengelegt und Apple wird wohl bald nachbessern.

 

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter