ISPIN Security Radar #40/19

/Security Radar

Unwissenheit schützt vor Strafe nicht – auch nicht vor Hackern. HTTPS, 2FA, Inkognito-Modus … Wie steht es um Ihr digitales Wissen zum Thema IT-Sicherheit?

Gemäss einer Umfrage des Pew Research Center variiert das Wissen der Amerikaner über digitale Themen sowohl je nach Bildungsabschluss als auch nach Alter erheblich. Nur drei von zehn Erwachsenen antworteten korrekt, dass der Start einer URL mit "https://" bedeutet, dass die auf dieser Website eingegebenen Informationen verschlüsselt sind (30%). Ein ähnlich geringer Anteil konnte ein Beispiel für eine Zwei-Faktor-Authentifizierung nennen (28%). Gerade mal 24% der Amerikaner sind sich bewusst, dass "privates Surfen" bzw. der Inkognito-Modus im Browser die Online-Aktivitäten vor anderen Personen, die den gleichen Computer benutzen, lediglich verbergen und trotzdem ungehindert von Website-Betreibern, dem Internet-Provider oder Arbeitgeber erfasst werden können. Nur 29% der Amerikaner nannten WhatsApp und Instagram zu Recht als zwei Unternehmen im Besitz von Facebook. Wie die Ergebnisse einer Umfrage in Europa aussehen würden, ist nicht mit Sicherheit zu sagen. Es kann aber davon ausgegangen werden, dass diese ähnlich aussehen düster würden. Ein besseres digitales Bewusstsein und Verständnis würde jedoch das Sicherheitsrisiko massiv minimieren.

Sodinokibi – Ransomware as a Service (RaaS)

Die Entwickler von Sodinokibi setzen bei der Verbreitung der Ransomware auf ein Affiliate-System – im Sinne von Ransomware as a Service (RaaS). Gegen eine Umsatzbeteiligung wird den «Vertriebspartnern» erlaubt den Code zu nutzen.  Jeder Affiliate nutzte dabei eine eindeutige ID. Nachdem der Sodinokibi Ransomware-Partner namens Lalartu Teile der Transaktions-IDs für Ransomware-Zahlungen veröffentlicht hatte, konnten Forscher des McAfees Advanced Threat Research Teams diese Informationen nutzen, um der Geldspur zu folgen. Bei der Recherche stiessen sie dabei auf einen Forenbeitrag in dem Lalartu einen Screenshot der Teiltransaktions-ID für im Zeitraum von gerade mal 72 Stunden eingegangene Lösegeldzahlungen im Wert von rund 288’000 USD veröffentlichte. Gemäss McAfee betrug die durchschnittliche Lösegeldzahlung 45 Bitcoins, was etwa 4’000 USD entsprach. Mit Hilfe des Blockchain-Datenanalyse-Unternehmens Chainalysis konnte McAfee die Transaktionen im Zusammenhang mit den Lösegeld- und Partnerzahlungen abbilden und aufzeigen, dass sich die Einnahmen zwischen dem Partner und den RaaS-Betreibern auf 60/40 oder 70/30 aufteilen. Einem der grösseren Partner wurden 443 Bitcoins (ca. 4,5 Mio. USD) transferiert. Bei der Analyse der wahrscheinlichen Vorgängerversion von Sodinokibi, GrandCrab, hat McAfee festgestellt, dass es etwa 300 mehr oder weniger aktive Verbreiter der Schadsoftware gab. Damit wird schnell klar, es geht dabei um hunderte Millionen von US-Dollar.

Attor-Malware spioniert mit ungewöhnlichen Taktiken Regierungen und Organisationen aus

ESET-Forscher entdeckten die bisher unbekannte Spionagesoftware «Attor», mit der die Cyberkriminellen diplomatische Einrichtungen und staatliche Institutionen angriffen. Die Attacken richteten sich mehrheitlich auf Nutzer russischer Online-Dienste, insbesondere an diejenigen, die sich mit Privatsphäre und Datenschutz beschäftigten. Attor zeichnet sich durch einen modularen Aufbau aus sowie durch den Einsatz eines Protokolls, das von einem PlugIn für das Sammeln von Daten über GSM-Geräte wie Modems genutzt wird. Eine weitere Besonderheit ist die Kommunikation der Malware über das Tor-Netzwerk. Die C&C-Kommunikation umfasst vier Komponenten: einen Dispatcher mit den Verschlüsselungsfunktionen sowie drei Plugins, die Nutzung des FTP-Protokolls, die Tor-Funktionalität sowie die eigentliche Netzwerkkommunikation ermöglichen. Für die Kommunikation mit der Anwendung verwendet Attor TrueCrypt-spezifische Kommandos. Wie die ESET-Malwareforscherin Zuzana Hromcová, die die Analyse durchgeführt hat erklärt, macht es genau dieser Mechanismus unmöglich, die Netzwerkkommunikation von Attor zu analysieren, wenn nicht alle Teile des Puzzles gesammelt wurden.

Apple teilt Browser-Verlauf von Safari mit China

Die Safari-Datenschutzbedigungen in iOS 13 und macOS Catalina beinhalten einen Passus, wonach Apple mit Google und dem chinesischem Konzern Tencent zusammenarbeitet, um Nutzer vor Phishing und Onlinebetrug zu schützen. Dies legt nahe, dass Apple auch Informationen über besuchte Websites in Safari nach China sendet, was zu einem Aufschrei führte, da wohl die wenigsten Nutzer gerne mit einem chinesischen Unternehmen oder auch Google ihren Browser-Verlauf teilen. Apple stellt nun klar: Es werden keine Browser-Daten von Safari nach China gesendet. Gemäss einer Stellungnahme wird Tencent nur kontaktiert, wenn der Nutzer China als Region auf dem iPhone, iPad oder Mac eingestellt hat – ansonsten kommt "Google Safe Browsing" als Datenbank zum Einsatz. Die aufgerufene URL wird weder mit Google noch mit Tencent geteilt. Safari lädt von Zeit zu Zeit eine aktualisierte Liste von Google oder Tencent herunter, speichert diese lokal  und nimmt dann selbst einen Abgleich vor.

Neuer Remote Access Trojaner für Geldautomaten

Obwohl einige Mitglieder der Hacker-Gruppe «FIN7» letztes Jahr verhaftet wurden, ist die Hackergruppe immer noch aktiv und hat ihr Cyber-Arsenal um neue Tools erweitert: einen Malware-Loader sowie ein Modul, das speziell auf die Fernverwaltungssoftware des ATM-Herstellers NCR Corporation abzielt. Forscher der Mandiant-Gruppe von FireEye fanden heraus, dass der als «Bootswrite» bezeichnet neue Loader in der Lage ist, die Malware direkt im Speicher abzulegen und den Cyberkriminellen das Laden mehrerer bösartiger Codes ermöglicht - einschliesslich des Carbanak-Backdoor, das mit den FIN7-Hackern in Verbindung steht. Der neu identifizierte Remote Access Trojaner (RAT) namens RDFSNIFFER kommt auf den kompromittierten Rechnern zum Einsatz, nachdem der Bootswrite-Loader die eingebettete Payload mit Verschlüsselungscodes entschlüsselt hat, die er beim Start von seinen Betreibern erhalten hat. Der RAT ermöglicht es den FIN7-Hackern, Instanzen der NCR Aloha Command Center Client-Anwendung zu kapern und über bestehende legitime 2FA-Sitzungen mit den Zielsystemen zu interagieren.

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf und erfahren Sie mehr zu unseren Cyber Defense Services.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter