ISPIN Security Radar #34/19

/Security Radar

Kleiner Betrieb - kleines Risiko? Ein weit verbreiteter Irrtum, dass kleinere und mittlere Unternehmen für Cyberangriffe uninteressant seien, kann fatale Folgen haben. Eine Vogel-Strauss-Taktik ist wenig effektiv und gefährlich.

Kleiner Betrieb - kleines Risiko? Die Mehrheit der Angriffe trifft tatsächlich kleinere Unternehmen, die kaum über Sicherheitsmassnahmen verfügen, auch Handwerksbetriebe sind betroffen. Die Arbeit von Handwerksbetrieben hat sich in den vergangenen Jahren stark verändert. Bedingt durch die Digitalisierung finden die Arbeitsabläufe im Handwerk zunehmend automatisiert und digital statt. Gemäss einer Studie der Signal Iduna in Deutschland wurde fast jedes fünfte Unternehmen bereits Opfer eines Angriffs, was in krassem Widerspruch zum Sicherheitsbewusstsein der Unternehmer steht - drei von vier Handwerksunternehmen sehen sich keinem Risiko durch Cyberangriffe ausgesetzt. Das diese Vogel-Strauss-Taktik wenig effektiv ist, zeigt sich laufend. So wurde z.B. letzten November das Online-Buchungssystem für Coiffeure von Hackern lahmgelegt. Für Hacker sind prinzipiell sämtliche Computer ein potentielles Angriffsziel. Handwerksunternehmen werden meist Ziel sogenannter Breiten-Angriffe: Trojaner, Viren und ihre Abwandlungen werden nach dem Giesskannenprinzip gestreut und setzen sich in jenen Computern fest, die entweder eine Sicherheitslücke haben oder durch eine versehentlich heruntergeladene Datei infiziert werden. Immerhin: 81 Prozent der befragten Betriebe haben schwache Passwörter sowie Emails, in denen versehentlich schadhafte Anhänge heruntergeladen werden (Phishing), als grösste Gefahrenquelle identifiziert.

Diese Woche wurde gerade wieder ein kleines Schweizer Unternehmen, die Auto AG Group in Rothenburg, angegriffen und die Email-Kommunikation lahmgelegt. Weiter ist den Nutzern der Smartphone-Banken Revolut und N26 grosser Schaden entstanden. Und wie einfach ein Tesla zu knacken ist, hat ein Besitzer in der Nähe von London erfahren. Aber auch Hacker selbst können Opfer sein, wie im Fall vom Neutrino-Botnet. Auch eines der ältesten Gewerbe überhaupt bleibt nicht verschont. Pornografische Seiten gehören nach den Riesen Google, YouTube und Facebook zu den meistbesuchten Plattformen weltweit, was die Phantasien der Cyberkriminellen anregt.

Hacker gegen Hacker

Das der Cybercrime-Markt mittlerweile ein hart umgekämpftes Business ist, zeigt der Fall vom Neutrino-Botnet. Dieses Crypto-Mining-Botnet ist seit rund einem Jahr in Betrieb. Um andere Server zu kompromittieren, verwendete das Neutrino-Botnet verschiedene Techniken, wie z.B. die Verwendung von Exploits für alte und neue Schwachstellen, die Suche nach phpMyAdmin-Servern, die ohne Passwort zurückgelassen wurden, aber auch das Brute-Force-Verfahren um einen Weg in die Root-Konten für phpMyAdmin-, Tomcat- und MS-SQL-Systeme zu erhalten. Gemäss Forschern von Positive Technologies unterscheides sich das Neutrino-Botnet aber von den anderen Botnetzen. So sucht beispielsweise Neutrino nach Ethereum-Knoten, die mit Standardkennwörtern ausgeführt wurden, verbindet sich mit diesen Systemen und stiehlt lokal gespeicherte Gelder. Einzigartig macht das Neutrion-Botnet aber der Fokus auf die Entführung von Web-Shells anderer Hacker. Web-Shells sind bösartige Skripte/Schnittstellen, welche von den Hackern in bereits kompromittierte Webanwendungen eingeschleust werden, mit dem Ziel einen permanenten Zugriff aufrechtzuerhalten, um so böswillige Anweisungen aus der Ferne zu ermöglichen. Betroffen sind vor allem Windows-Server mit PhPStudy oder Server auf denen phpMyAdmin-Apps ausgeführt werden. Um sich vor einer Neutrino-Infektion zu schützen, sollten Sie das Passwort für das Root-Konto in phpMyAdmin überprüfen und sicherstellen dass die neuesten Updates/Patches installiert sind.

Let’s try again

Apple hat erneut ein wichtiges Update publiziert, mit dem endlich die schwere Sicherheitslücke welche den «un0cover»-Jailbreak ermöglicht. Über diese Lücke konnten Angreifer auf den Apple-Geräten Code mit vollen Systemrechten ausführen. Apple erwähnt in der kurzen Beschreibung zum Update den Jailbreak nicht. Der Update ist aber für Apple besonders peinlich, wurde die Sicherheitslücke eigentlich bereits im Mai mit einer verbesserten Speicherverwaltung mit iOS 12.3 geschlossen, aber mit dem Update 12.4 versehentlich wieder geöffnet. Der Fehler steckte auch in tvOS 12.4 – das Update auf tvOS 12.4.1 behebt ihn. Apple bedankte sich übrigens bei den Entdeckern der Sicherheitslücke, bei der nicht bösartige Hacker-Gruppe @Pwn20wnd, für die Unterstützung. Die Gruppe rät ihren Followern auf Twitter allerdings dazu, das Update nicht zu installieren, um den Jailbreak nicht zu verlieren.

Sex sells – oder erotische Phantasien befeuern auch Phantasie der Hacker

Spätestens als der Playboy im Jahr 1953 erstmals in den USA erschien, schlug die Geburtsstunde der Marketingweisheit “Sex sells“. Diese hat scheinbar bis heute nur wenig an ihrer Bedeutung verloren, auch im Cybercrime-Bereich. Einmal mehr hat eine Porno-Webseite die Daten ihrer Nutzer nicht ausreichend geschützt. So wurde durch die Sicherheitsexperten Vpn Mentor bekannt, dass über eine Sicherheitslücke auf der Webseite die Daten von fast 1,2 Millionen Nutzern des Pornoportals Luscious frei zugänglich für Datendiebe waren. Betroffen sollen auch rund 50'000 User aus Deutschland sein. Zugänglich waren Daten wie Benutzername, Herkunftsland, eigene Uploads, Likes, Kommentare, Mailadressen und Logindaten. Der Zugriff war aufgrund eines Fehlers beim Authentifizierungsvorgang möglich, der von Hackern mit verschiedenen Angriffsmethoden ausgenutzt werden konnte. Das viele User einen sehr naiven Umgang mit Online-Sicherheit haben, oder allenfalls einen lockeren Umgang mit Pornographie zeigt der Umstand, dass in vielen Fällen Rückschlüsse auf reale Personen möglich waren, da die Nutzer teils ihren vollen Namen in ihren E-Mail-Adressen verwendet haben. Nach Schätzungen der Forschergruppe nutzten nur 20 Prozent der Personen Mailadressen mit Fake-Namen. Nutzern des Portals wird empfohlen, ihre Zugangsdaten inklusive Benutzername und E-Mail-Adresse umgehend zu ändern.

Besonders durch die Veröffentlichung der Mailadressen kann weiter Schaden durch Phishing-Attacken oder Sextorsionmails passieren.

Unser täglich Spam gib uns heute

Aktuell gibt es auch in der Schweiz wieder eine neue Welle von Erpressungsversuchen durch «Sextorsion» die unsere Postfächer füllt. Cyberkriminelle versuchen auf diesem Weg an das Geld ahnungsloser Verbraucher zu kommen. Die Empfänger werden wegen angeblich vorhandener kompromittierender Sexvideos zu Geldzahlungen aufgefordert. Dabei ändern die Kriminellen fast täglich die Texte der E-Mails und deren Anlass. Einmal wird den Betroffenen mitgeteilt, dass deren Computer gehackt und mit einem Trojaner versehen wurde und man dadurch den Besuch von Pornoseiten dokumentiert hat oder dass über die Computerkamera die Betroffenen bei sexuellen Handlungen gefilmt wurden. Zur Zahlung beliebt sind Bitcoins, vor einer Zahlung wird jedoch dringend abgeraten. Denn bezahlt man, haben die Kriminellen ein leichtgläubiges Opfer gefunden, welches sie immer wieder erpressen können.

Und wer jetzt meint sich immer auf der sicheren Seite zu bewegen: Eine Phantasie möchten wir noch desillusionieren. Ist ja alles schön und gut, wenn Sie so schlau sind und immer den Privaten Tab/das Inkognito-Fenster zu nutzen.  Der private Modus bezweckt nur, dass der Browserverlauf nicht auf dem Computer aufgezeichnet wird. Eltern oder Partner kriegen so also nichts mit, aber Tracking wird dadurch nicht verhindert. Eine Studie in den USA hat 22.484 Pornoseiten analysiert. Auf 93% der untersuchten Seiten wurden Tracker entdeckt, die an durchschnittlich sieben Trackinganbieter Daten über die Webseitennutzung weitergeleitet haben. Führend dabei, wenn wundert’s, ist Google bzw. dessen Tochterunternehmen Double Click mit einem Einsatz auf 74 % der untersuchten Seiten, gefolgt von Facebook mit 10%.

Social Media im Visier

Nach den Social-Media-Skandalen nach der US-Wahl ist klar: Die Cyberkriminellen nutzen die Kanäle vielfältig wie z.B. um Spam zu versenden, Informationen zu stehlen, Propaganda zu verbreiten und Social-Engineering-Kampagnen durchzuführen. Mehr als der Hälfte der Login-Versuchen auf Social-Media-Portalensind betrügerisch. Dabei handelt es sich um automatisierte Versuche von Betrügern mit Programmen wie „Sentry MBA“, die in Kürze Millionen von Benutzernamen- und Passwortkombinationen durchlaufen und knacken. Und 25 Prozent aller neuen Social Media Konten sind gefälscht. Diese extrem hohe Werte sind ein Indikator für den Wert, den die Daten aus kompromittierten Social Accounts für die Cyberkriminellen haben. So ist es auch nicht verwunderlich das die Social-Media-Kanäle auch bei Phishing-Kampagnen eine immer bedeutendere Rolle spielen. Denn viele Benutzer vertrauen ihren verifizierten Kontakten, so dass sie eher auf Links klicken. Obwohl Phishing allgemein bekannt ist, fallen immer wieder User auf gefälschte Mails herein und fügen sich oder ihrem Unternehmen mit einem falschen Klick grossen Schaden zu. Gemäss einem Report von Knowbe4, einem Sicherheitstrainer, fallen besonders viele User auf Phishing-Mails herein, die als LinkedIn-Benachrichtigung getarnt sind

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf und erfahren Sie mehr zu unseren Cyber Defense Services.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter