Cyber Security
Erneut gibt es eine Ransomware-Angriffswelle, die sich rasant verbreitet. Die Attacke erinnert stark an die Ransomware WannaCry, die erst im Mai 2017 weltweit für Chaos sorgte. Die Forscher des Sicherheitsspezialisten Trustwave gehen davon aus, dass sich auch diese Ransomware, bei der sich um eine Variante des Verschlüsselungstrojaners Petya handeln könnte, sehr schnell global verbreiten wird. Schnelle Hilfe für betroffene Unternehmen bietet das Trustwave Incident Response Team, dass eine 24-Stunden-Hotline eingerichtet hat.
Derzeit ist unklar, ob es sich wirklich um eine Petya-Variante oder eine bisher unbekannte Ransomware-Variante handelt. Auf jeden Fall nutzt die neue Ransomware die gleiche Schwachstelle aus, über die sich auch die WannaCry-Ransomware verbreiten konnte. Die Ransomware verwendet den EternalBlue-Exploit, der eine Schwachstelle im SMB-Protokoll von Windows ausnutzt. Microsoft hat diese Schwachstelle bereits im März im MS17-010 Bulletin gepatcht. Die neue, erfolgreiche Angriffswelle zeigt, dass viele Unternehmen und Organisationen diesen Patch noch nicht installiert haben.
Nach ersten Erkenntnissen der Forscher des Trustwave SpiderLabs scheint sich die Ransomware bisher primär im lokalen Netzwerk zu verbreiten und nicht auf das Internet zuzugreifen. Eine der ersten Aktionen, die die Ransomware auf infizierten Systemen ausführt, ist es, lokale Anmeldeinformationen auszulesen und sich dann mit Hilfe dieser Anmeldeinformationen auf anderen lokal vernetzten Systemen zu verbreiten.
Unabhängig davon, ob es sich bei der neuen Ransomware um eine Petya-Variante oder eine neue Ransomware-Familie handelt, verhält sich diese Ransomware anders, als andere Verschlüsselungstrojaner. Während Ransomware üblicherweise nur wichtige Dateien wie Dokumente und Bilder verschlüsselt, verschlüsselt diese neue Ransomware zuerst einzelne Dateien und danach die gesamte Festplatte. Durch die Verschlüsselung des Systemlaufwerks, des Master File Table (MFT) und des Master Boot Record (MBR) verhindert die Ransomware, dass das System normal gebootet werden kann. Stattdessen bringt es einen eigenen Bootloader mit, der die Lösegeldforderung auf dem Bildschirm anzeigt. Dieser Bootloader verhindert, dass Dateien über Standard-Forensik-Techniken, beispielsweise das Booten von einer Live-CD oder eines anderen Betriebssystems, wiederhergestellt werden können.
Nach der Infektion verlangt die Ransomware 300 US-Dollar in Bitcoins als Lösegeld. Danach sollen die Daten wieder entschlüsselt werden. Nach dem Bezahlen des Betrags ist eine E-Mail an den/die Erpresser nötig, damit diese die Transaktion überprüfen können. Danach sollen die Daten wieder entschlüsselt werden. Da die E-Mail-Adresse des/der Cyberkriminellen momentan aber nicht erreichbar ist und damit die Zahlungskette nicht mehr intakt, vermuten die Trustwave SpiderLabs-Forscher, dass das Sammeln von Lösegeld nicht unbedingt das Ziel dieser Malware war. Welche Intention die Cyberkriminellen dagegen haben und gehabt haben könnten, steht im Moment noch nicht fest.
Mit Trustwave können sich mit Hilfe der zahlreichen Sicherheitslösungen wirkungsvoll gegen diese und andere Ransomware-Angriffe schützen. Folgende Lösungen bieten einen aktiven Schutz:
- Trustwave Managed Detection & Response (MDR) for Endpoints
- Trustwave AV (kann die Art der Ransomware an sich erkennen)
- Trustwave UTM (blockiert die MS17-010-Ausnutzungsversuche)
- Trustwave Vulnerability Scanner (erkennt, ob einem System der MS17-010-Patch fehlt)
TREND 1
Welches sind die Trends, gegen die man sich im nächsten Jahr wappnen muss? 2018 stellen Browser-basiertes Crypto-Jacking, PowerShell-basierte Angriffe, Hacker, die Sicherheitssoftware als Backdoor nutzen, adaptive Wurm-Angriffe und die wachsende Konnektivität in allen Branchen die grössten Gefahren dar, wie Malwarebytes analysiert hat.
Von den IT-Security-Trends 2018 würden insbesondere der Bildungsbereich und der Gesundheitssektor beliebte Ziele sein, heisst es bei Malwarebytes. Die Liste der sieben Gefahren, mit denen Unternehmen und Privatpersonen zu kämpfen haben, sieht wie folgt aus:
1. Der Cryptojacking „Goldrausch“ wird die grösste Goldgrube
Gegen Ende des Jahres 2017 explodierten die Cryptojacking- Aktivitäten. Diese werden auch das Jahr 2018 massgeblich beeinflussen, besonderes da der Wert von Crypto-Währungen weiter stark ansteigen wird. Dieses Jahr blockte Malwarebytes an nur einem Tag 11 Millionen Verbindungen zu Coin Mining-Seiten. Was diese Masche so vielschichtig macht, ist, dass die Linie zwischen alltäglichen Internetnutzern und Cyberkriminellen verschwimmt. Eine einzelne Mining-Kryptowährung kann in Bezug auf steigende Nutzerzahlen gut für die Monetarisierung der eigenen Webseite sein. Doch unter diesen Umständen ist es auch wahrscheinlich, dass Cryptojacking-Aktivitäten die Werbung auf Webseiten ersetzen, um zu einer völlig neuen Einnahmequelle zu werden. Der grösste Teil des Cryptojackings geht von legitimen Webseiten aus. Doch Kriminelle könnten die Webseiten und so auch die Währung für sich nutzen.
2. Zunahme der PowerShell-basierten Angriffe
Anfang 2017 wurden verschiedene IT-Abteilungen der saudischen Regierung mit Makros in Word-Dokumenten kompromittiert und mit Tojanern infiziert. Der Angriff mit schädlichen Skripten zielte darauf, beständig von verschiedenen Geräten aus, mit kompromittierten Webseiten zu kommunizieren, die als Proxys für den Command- and-Control-Server fungierten. Diese bösartigen, skriptbasierten Angriffe, insbesondere die PowerShell-basierten Angriffe, sind schwer zu identifizeren. Sie können Antiviren-Programme leicht umgehen und sind für Cyberkriminelle damit sehr attraktiv. Malwarebytes prognostiziert viele weitere PowerShell-Angriffe im nächsten Jahr.
3. Bildungseinrichtungen entwickeln sich zu einem Hauptziel
Trotz zunehmender Komplexität werden Cyberkriminelle weiterhin auf die einfachsten Endpunkte abzielen. Bildungseinrichtungen haben oft eine nicht ausreichend geschützte und gepatchte IT-Infrastruktur. Denn diesen Institutionen fehlt es an Ressourcen,
um sich professionell zu schützen. Darüber hinaus gibt es in diesem Sektor eine unüberschaubare Anzahl an Endpunkten, die eine grosse Menge an Daten über Studenten, Dozenten oder
Eltern enthalten. Datendiebstähle zielen oft auf diese sensiblen Datensätze ab. Bildungseinrichtungen scheinen eines der häufigsten Ziele für Cyberangriffe nächstes Jahr zu sein.
4. Cyberkriminelle professionalisieren und organisieren sich zunehmend
Die Anzahl der Tools, die Cyberkriminelle nutzen können, wächst stetig. Und Kriminelle benötigen immer weniger Vorwissen und technisches Know-How, um Cyberangriffe zu starten. Dadurch werden die Attacken immer leichter und daher öfter durchgeführt. Dieses Wachstum ist auch eine Reaktion auf die Medien und die Popkultur, die die Rentabilität und den Erfolg von Cyberkriminalität bekannt gemacht haben. Allein Ransomware brachte in diesem Jahr eine Milliarde US-Dollar ein. Der Eintritt in die Welt der Cyberkriminalität ist kein Tabu mehr, da in einigen Teilen der Welt diese Tätigkeiten öfters nicht hartnäckig rechtlich oder polizeilich verfolgt werden. Gleichzeitg werden diejenigen, die sich bereits als „Top-Player“ in der Cyberkriminalität etabliert haben, ihre Einnahmequellen und Einsatzgebiete noch aggressiver als zuvor verteidigen. Malwarebytes hat bereits festgestellt, dass internationale Cybercrime-Unternehmen sogar Fusionen und Übernahmestrategien sowie physische Gewalt anwenden, um ihre Einnahmequellen zu sichern und auszubauen.
5. IT-Sicherheitssoftware wird auch ein Angriffsziel sein
2018 werden Cyberkriminelle vermehrt IT-Sicherheitssoftwarelösungen ins Visier nehmen oder gar für ihre eigenen Zwecke nutzen. Durch die gezielten Angriffe auf vertrauenswürdige Programme und Lösungen können Kriminelle Geräte steuern und die Nutzer manipulieren. Hacker werden IT-Sicherheitslösungen nutzen, indem sie das Programm direkt auf dem Endpunkt unterwandern oder den Cloud-Datenverkehr abfangen und umleiten. Mit zunehmender Bekanntheit dieser Aktivitäten wird sich die öffentliche Wahrnehmung von IT-Sicherheitssoftware, insbesondere von Antiviren-Lösungen (AV-Lösungen), weiter verschlechtern.
6. Mehr Computerwürmer im Einsatz
2017 hat Malwarebytes festgestellt, dass die Schadprogramme Wannacry und Trickbot Wurmfunktionen verwendeten, um Malware zu verbreiten. Weitere Malware-Familien werden 2018 diese Technik nutzen, da sich die Kompromittierung von Netzwerken duch Würmer erfolgreicher darstellt, als alle anderen Methoden – schlichtweg da sich sich am schnellsten verbreiten . Wenn Hacker herausfinden, wie sie Würmer anwenden können, ohne gross aufzufallen (was traditionell ja der Sinn dieser Malware war), kann diese Taktik sehr erfolgreich werden.
7. IoT wird 2018
Für Gesundheitsinstitutionen bieten IoT-Modelle viele Vorteile, wenn medizinische Geräte sich direkt mit dem Internet zu verbinden lassen. Eine grössere Vernetzung bedeutet eine bessere Datenanalyse und somit auch eine bessere Patientenversorgung. Aber diese Vorgehensweise erhöht das Risiko von Datenverlust der Patienteninformationen oder unerlaubtem Zugriff auf die Geräte. Die Gesundheitsbranche wird die neue Ära der Vernetzung und der IT-Sicherheit genau analysieren müssen. Ähnlich wie bei der Digitalisierung von Patientenakten müssen sich Sicherheitsprotokolle weiterentwickeln, um der wachsenden Bedrohung entgegenzuwirken. Die Geräte sollten eine starke Authentifizierung, eingeschränkten Zugriff und eine Überprüfung der Geräte-zu-Geräte-Kommunikation aufweisen. Verschlüsselung kann ein entscheidender Faktor zur Sicherung dieser Geräte sein. Wenn Gerätehersteller diese Technologie nicht selbst übernehmen, müssen sie Drittanbieter wie IT-Sicherheitslösungen anbieten.
Fazit
„Die Analysen zeigen, dass es 2018 nicht besser wird“, so Marcin Kleczynski, CEO bei Malwarebytes. „Hackern stehen immer ausgereiftere Tools und Technologien zur Verfügung. Wir sehen, wie sich eine Armee von Cyber-Kriminellen formiert, die mit günstigen Tools und dem Versprechen, schnell zu Geld zu kommen, geködert werden. Hinzu kommt, dass Medien über erfolgreiche Angriffe berichten und die Hacker häufig auch verherrlichen. Um sich für die kommenden Attacken zu wappnen, werden mehr Cybersicherheitstraining, eine bessere Aufklärung und das richtige Bewusstsein sowie ein mehrschichtiger Ansatz in Unternehmen, aber auch beim privaten Schutz benötigt.“
TREND 2
Die Cyber-Bedrohung wird 2018 keinesfalls rückläufig sein. Noch mehr Ransomware als 2017 und vermehrt Angriffe auf Firmware und Unternehmensnetzwerke sowie OS-X-Geräte werden analysiert.
Nachfolgend die sieben wichtigsten Cybercrime-Trends 2018:
1. Kriminelle bleiben erfolgreicher Malware treu
Never change a winning team: Kriminelle werden der Malware treu bleiben, die am meisten Geld einbringt: Ransomware, Banken-Trojaner und Miner für digitale Währungen. Die Art und Weise, wie diese Bedrohungen genutzt werden, wird sich jedoch verändern. Ransomware zum Beispiel wird ausgeklügelter und zukünftig GPU-Leistung für Verschlüsselungszwecke nutzen, um Antimalware-Produkte zu umgehen.
2. Zunehmend Unternehmen im Fokus
Nach Jahren der Fokussierung auf Einzelpersonen werden Malware-Autoren zunehmend Unternehmen und Computernetzwerke ins Visier nehmen. Passwort-Grabbing-Programme wie Mimikatz oder das Ausnutzen von Wurm-Schwachstellen werden für viele Malware-Samples zum Standard werden.
3. Windows 10 wird beliebtes Ziel für Cyberangriffe
Windows 10 wird allgegenwärtig und damit auch als Ziel interessanter. Die Plattform unterstützt auch Powershell und Linux Bash. Kriminelle nutzen hier zunehmend E-Mail-Attacken ohne Dateianhänge. Aber auch die Anzahl der bösartigen Anhänge in Spam-E-Mails wird zunehmen, insbesondere in Skriptsprachen wie PERL oder Python.
4. Konsolidierung im PaaS-Markt
Wir erwartet auch grosse Veränderungen im PaaS-Markt (Polymorphism as a Service), einer Branche, die sich im Laufe des Jahres 2018 wohl konsolidieren wird. Fortgeschrittene polymorphe Engines, die in der Cloud laufen, werden bereits von Cyber-Kriminellen genutzt, um den Markt mit einzigartigen Varianten bekannter Malware zu überschwemmen. Dies bietet Cyber-Kriminellen grosse Vorteile und die Lizenzierung des Zugangs zu diesen Systemen wird den Akteuren wahrscheinlich ein gutes Geschäft bescheren.
5. Firmware-Schwachstellen öffnen heimliche Hintertür
Im Jahr 2018 werden kriminelle Akteure auch wieder einzelne Komponenten von Geräten auf Schwachstellen absuchen, die sich unterhalb der Ebene des Betriebssystems befinden, wie z.B. Firmware. Die einzelnen WiFi- und Bluetooth-Stacks erhalten erhöhte Aufmerksamkeit, da alle potenziellen Schwachstellen, die bereits identifiziert wurden, eine heimliche Hintertür bieten, die sehr schwer zu erkennen und abzusichern ist.
6. IoT-Botnets entwickeln sich weiter
Grosse IoT-Botnets werden 2018 zur neuen Normalität. Der Quellcode für IoT-Bots steht kostenlos im Netz. Kriminelle Gruppen, die mit IoT-Geräte massive Angriffe durchführen wollen, verfügen über eine solide Plattform, die sie an ihre eigenen Bedürfnisse anpassen können. Experten gehen davon aus, dass dieser Code 2018 weiter verbessert werden wird, um mittels kompromittierter Netzwerke Lösegeld-
7. Mehr Attacken auf OS X
Last but not least werden auch mehr Attacken auf den OS-X-Bereich, also Macs erwartet. Für die Verbraucher wird sich Malware jedoch wahrscheinlich auf Scareware-Taktiken konzentrieren, um die Opfer dazu zu zwingen, für nutzlose Tools zu zahlen. Weitere Informationen zur Cybersecuritylandschaft 2017 und einen Ausblick für 2018 finden sich im Bitdefender „The Global Threat Landscape Report 2017 (englisch)“. Kostenloser Download hier.
Ist Ihre IT Fit?
Das neue Jahr ist einige Tage alt und trotzdem haben Cyberkriminelle bereits tausende neuer Schadprogramme in Umlauf gebracht, um persönliche Daten zu stehlen oder Geldbeträge zu erpressen. Klug ist, wer seine IT-Sicherheit unter die Lupe nimmt.
Wir raten dem Internetnutzern daher, die eigene IT-Sicherheit jetzt genau zu überprüfen und gegebenenfalls nachzubessern:
Sicherheitslösung einsetzen
Eine leistungsstarke Security-Software gehört zur Grundausstattung jedes PCs und Mobilgerätes. Diese sollte effektiv vor Schadprogrammen und anderen Online-Bedrohungen schützen und regelmässig durch Updates aktualisiert werden. Ist die Lizenz abgelaufen, sollte sie umgehend wieder verlängert oder erneuert werden.
Alle Updates einspielen
Für das Betriebssystem, und alle installierten Anwendungen auf dem PC und Mobilgerät, sollten die verfügbaren Updates installiert werden. Veraltete Programme, die Hersteller nicht mehr aktualisieren, gilt es zu löschen und eventuell durch neue Software ersetzt werden.
Nicht mehr benötigte Online-Benutzerkonten löschen
Ob Bezahldienstleister, soziale Netzwerke, Online-Shops oder E-Mail-Provider – Internetnutzer haben zahlreiche Nutzerkonten im Netz. Um einen allfälligen Datenklau zu minimieren, lohnt es sich, ab und zu auszumisten und nicht mehr benötigte Zugänge zu löschen.
Passwörter wechseln
Nutzer sollten in regelmässigen Abständen die Kennwörter für die Online-Benutzerkonten bei Shops oder sozialen Netzwerken ändern und für jedes Portal ein einzigartiges Passwort einsetzen. Ein sicheres Passwort besteht aus einer zufälligen Folge von Ziffern und Buchstaben in Gross- und Kleinschreibung. Beim Verwalten der Passwörter kann ein Passwort-Manger helfen.
Wichtige Daten sichern
Ein Backup sichert alle Daten. Durch ein Systemabbild lässt sich ausserdem die Festplatte mit allen installierten Programmen sichern. Leistungsstarke Sicherheitslösungen umfassen ein Backup-Modul, so ist der Kauf einer zusätzlichen Software nicht mehr erforderlich.
Apps nur aus sicheren Quellen
Apps sollten nur von vertrauenswürdigen Quellen, beispielsweise Google Play bei Android, Apples App Store oder bei den Providern und Geräteherstellern bezogen werden. Dabei sollten insbesondere die eingeforderten Berechtigungen der Anwendungen kritisch geprüft werden.
Fragen Sie uns an, unsere zertifizierten Produkten und unsere geschulte Mitarbeter werden Sie gerne weiter Beraten.
Interessante weitere Informationen finden Sie hier.
Ihre Videotronic AG