ISPIN Security Radar #35/19

/Security Radar

Was haben Tumorkrankheiten und Hackerangriffe gemeinsam? Sie kommen unerwartet, sind folgenschwer, lassen sich aber bekämpfen. Warum Sie mehr in die Erkennung und die schnelle Reaktion auf Cyberattacken investieren sollten, können Sie mittlerweile fast täglich in der Presse lesen.

Wie im Gesundheitswesen ist es auch bei einer Cyberattacke wichtig den Krankheitsherd bzw. die Attacke so frühzeitig wie möglich zu erkennen um die Auswirkungen zu begrenzen. Gemäss einer aktuelle Analyse von Kaspersky reagieren aber 56% der Unternehmen erst, wenn bereits offensichtliche Folgen eines Cyberangriffs aufgetreten sind, wie z.B. verschlüsselte Rechner, nicht verfügbare IT-Dienste oder nicht-autorisierte Finanztransaktionen. Nur 44% der Unternehmen reagieren schon in einem sehr frühen Stadium des Angriffs, so dass die Organisation potenziell schwerwiegenden Konsequenzen entgehen kann. Viele Unternehmen schenken also Hinweisen auf schwerwiegende Angriffe nicht die nötige Aufmerksamkeit. Dies kann verschiedene Gründe haben, wie z.B. mangelndes Sicherheitsbewusstsein oder fahrlässiges Vertrauen in automatisierte Monitoring-Systeme. Ein Security Monitoring System (SIEM) zur Anomalieerkennung ist extrem wichtig, reicht jedoch bei weitem nicht aus. Erfahrene Analysten müssen die Meldungen der Systeme richtig interpretieren und bewerten, sowie False Positives von True Positives unterscheiden und die richtigen Schritte einleiten. Wesentlich ist, dass Analysten mit all ihrer Erfahrung die Unternehmen zu Bedrohungen und möglichen Massnahmen beraten, und damit die Wahrscheinlichkeit von erfolgreichen Angriffen signifikant reduzieren.

Auch Karies bleibt vor Malware nicht verschont

Diesmal hat der Zahnarzt nicht wegen dem braven Zähneputzen nicht gebohrt, sondern weil ein Ransomware-Angriff tagelang hunderte US-Zahnarztpraxen lahmgelegt hat. Die meisten Ärzte und Apotheker wissen, dass funktionierende Computersysteme für ihre Arbeit wichtig sind. Doch das Risiko, selbst Opfer eines Cyberangriffs zu werden, blenden viele aus. So haben letzte Woche mehr als 400 Zahnarztpraxen nicht schlecht gestaunt, als sie statt Zugriff auf die Patientendaten mit einer Lösegeldforderung konfrontiert waren. Die Angreifer installierten die Ransomware REvil in einer Software, die von den Firmen The Digital Dental Record und PerCSoft angeboten wird. Die Ironie an dem Angriff liegt darin, dass die betroffene Software «DDS Safe», eine Lösung zur Aufbewahrung und Sicherung von medizinischen Unterlagen, damit wirbt, dass man sich damit vor Ransomware schützen kann, weil die die Daten sichern. Die Zahnärzte selbst hatten somit kein eigens Backup. Laut ZDnet haben die beiden Firmen Lösegeld bezahlt und den Zahnärzten daraufhin den Entschlüsselungscode zur Verfügung gestellt, um wieder Zugriff auf die Datenbank mit den Patientendaten zu erhalten. Für die betroffenen Praxen ist der Schaden immens, denn die Wiederherstellung der Daten mit einer Entschlüsselungssoftware dauerte Tage und an einen geregelten Betrieb war in der Zeit nicht zu denken. Solche Angriffe sind im kleinen wie im grossen Rahmen auch bei uns in Europa jederzeit möglich, wie z.B der Artikel über eine einzelne Zahnarztpraxis vom letzten Jahr zeigt. Gemäss einem Bericht unseres Partners FireEye, ist Risiko für bösartige Bedrohungen im Gesundheitssektor, angesichts der sensiblen Daten und der wichtigen Rolle für die Gesellschaft, besonders gross. Dies wird auch durch die zahlreiche Cyber-Attacken, mit denen sich kürzlich Kliniken in Rheinland-Pfalz und im Saarland konfrontiert sahen, untermauert.

Absender HelloFax

Hat sich Sodinokibi schon bei Ihnen vorgestellt? Nein, dann haben Sie Glück gehabt. Denn Sodinokibi, ein weiterer Typ von Ransomware as a Service (RaaS), verteilt sich aktuell via E-Mail als Faxnachricht. Die Cyberkriminellen verschicken die Ransomware, indem sie in einer E-Mail ankündigen, der Empfänger habe eine Faxnachricht im Anhang «Sie haben ein Fax, Absender HelloFax». Mit vertrauenserweckenden Markennamen wie «Bluewin» sollen die Empfänger dazu animiert werden, auf den Anhang mit der vermeintlichen Faxnachricht zu klicken. Öffnet man den Anhang, lädt sich der Verschlüsselungstrojaner auf den Computer. Dieser verschlüsselt alle Daten auf dem Computer und fordert eine Zahlung um die Daten wieder freizugeben. Im Fall dass sie sich die Ransomware eingefangen haben, sollten sie den PC sofort vom Netz nehmen, das System neu zu installieren und alle Passwörter zu ändern.

Aufgepasst: Sodinokibi verteilt sich nicht nur über die präparierten Fax-Anhänge, sondern auch über vermeintlicher Bewerbungsmails. Die Bewerbungsmails, die in der Schweiz kursieren, werden von angeblichen Bewerberinnen namens «Sandra Schneider», «Sabine Lerche» und «Martina Peters» versendet. In den angehängten Bewerbungsunterlagen (ZIP-Datei) versteckt sich wiederum die Ransomware.

Kamera-App wird zur Malware

Sicherheitsexperten finden immer wieder schädliche Apps im Google Play Store. Wer seine Fotos in PDF umwandeln wollte, hat sich meist die Android-App «CamScanner – Phone PDF Creator» installiert.  Nachdem Sicherheitsexperten von Kaspersky einen Trojaner in der beliebten App, die über 100 Millionen Mal heruntergeladen, entdeckt haben, hat Google die App sofort aus dem Playstore entfernt. Die App beinhaltet eine Download-Funktion für Schadcode-Module und ist ziemlich gefährlich. Kaspersky zufolge besitzt die App nun ein Modul, in dem sich die Malware „Trojan-Dropper.AndroidOS.Necro.n“ befindet. Diese entschlüsselt sich beim Start der App und lädt im Hintergrund weitere Schadsoftware herunter. In der Folge können aufdringliche Werbeanzeigen eingeblendet oder über Abofallen Geld via Mobilfunkrechnung ergaunert werden. Die Nutzer sollten die App umgehend deinstallieren. Derzeit ist noch unklar, ob andere Apps mit dem Namen CamScanner ebenfalls mit Malware infiziert sein könnten.

Google Chrome sofort updaten

Eine Schwachstelle im Google Chrome-Browser ermöglicht es Angreifern die Kontrolle über Computer übernehmen. Das Sicherheitsrisiko gilt als "hoch" und es ist dringend zu empfehlen die aktuellste Version 76.0.3809.132 für die Betriebssysteme Windows, MacOS und Linux zu installieren. Grundsätzlich ist bekannt, dass der HTML-Renderer Blink fehlerhaft ist. Forscher von Google warnten, dass eine erfolgreiche Ausnutzung der Schwachstelle in Blink es einem Angreifer ermöglichen könnte, beliebigen Code im Kontext des Browsers auszuführen, sensible Informationen zu erhalten, Sicherheitseinschränkungen zu umgehen und unbefugte Aktionen durchzuführen oder Denial-of-Service (DoS)-Bedingungen zu verursachen.

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf und erfahren Sie mehr zu unseren Cyber Defense Services.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter