Bedrohung

Bedrohung / Hacking

Magento-Shops kompromittiert — Kreditkartendaten werden bereits abgegriffen

Posted on: 6. September 2018

Mittels Brute-Force-Attacken verschaffen sich Hacker aktuell Zugriff auf den Admin-Bereich von Online-Shops, welche die Software Magento nutzen. Dabei wird ein Javascript-Code eingefügt, der ab sofort in Echtzeit die Eingabedaten der Shop-Kunden mitschreibt und an einen Server in Russland überträgt. Darin sind die Zahlungsinformationen enthalten, die dann mißbraucht werden können.

Informationen, wie Sie als Magento-Shopbetreiber den besagten Schadcode identifizieren können, finden Sie im Sicherheitsbeitrag des Entdeckers dieses Problems. Der Autor gibt darin gleich weitere Tipps zur Absicherung wie die Vergabe gehärteter Admin-Passwörter und viele mehr.

Da dieser Angriff eine meldepflichtige Datenpanne im Sinne der DSGVO darstellt und sich durch den Mißbrauch von Zahlungsinformationen schnell hohe Schadensersatzbeträge aufsummieren können, sollten Sie als Magento-Shopbetreiber zeitnah prüfen, ob Ihr Server entsprechend manipuliert wurde. Mehrere tausend infizierte Shops sind bereits bekannt.

Bedrohung / Schutz / Tipps

WordPress-Nutzer aufgepasst: Update 4.9.3 schießt automatische Aktualisierungen ab

Posted on: 10. Februar 2018

Allen Nutzern des beliebten Content-Management-Systems Wordpress wird empfohlen, das Update auf Version 4.9.4 umgehend manuell einzuspielen. Das vorherige Update auf Version 4.9.3 war fehlerhaft und hat die automatische Aktualisierung von Wordpress abgeschossen. Somit werden nach Version 4.9.3 keine Fixes Sicherheitslücken mehr automatisch eingespielt. Abhilfe schafft ausschließlich das manuelle Update auf 4.9.4 im Backend. Nur so werden auch zukünftige automatische Aktualisierungen sichergestellt. Nutzer von Wordpress sollten diesen Fehler umgehend manuell beheben.

Kritische Sicherheitslücke in Browser Firefox

Posted on: 31. Januar 2018

Laut CERT BUND sind alle Versionen des beliebten Browsers Firefox vor 58.0.1 von einer kritischen Sicherheitslücke betroffen. Bereits der Besuch einer präparierten Webseite reicht aus, um Schadcode auf den PC des Besuchers zu bringen und auzuführen. Es wird dringend geraten, das Update auf die Version 58.0.1 zeitnah durchzuführen. Im Zweifel manuell anstoßen, nicht auf das Auto-Update warten.

Bedrohung / Presse / Schutz

Schluss, Aus, Weg damit — Besonderes elektronisches Anwaltspostfach (beA) deinstallieren

Posted on: 27. Januar 2018

Seit geraumer Zeit rumort es in Anwaltskreisen. Grund ist das besondere elektronische Postfach, kurz beA genannt. Dies sollte eigentlich zum 01.01.2018 verpflichtend zum Einsatz kommen. Doch daraus wurde nichts. Was mit der Entdeckung eines falsch zur Verfügung gestellten Zertifikats Ende 2017 begann (der private Schlüssel wurde mit verteilt), findet nun seinen Höhepunkt. Die Bundesrechtsanwaltskammer (BRAK) empfiehlt in einer Pressemeldung die Client Security zu deaktivieren, besser den Client gleich komplett zu deinstallieren. Wie es dazu kommen konnte, das trotz angeblicher Sicherheitsüberprüfungen ein unsicheres Produkt an die Rechtsanwaltszunft verteilt wurde, klärt die Pressemeldung nicht auf.

BRAK-Vizepräsident Abend erklärt, das “beA erst dann wieder in Betrieb gehen wird, wenn alle relevanten Sicherheitsfragen geklärt sind.”

Bedrohung / Entschlüsselung / Hacking / Presse / Schutz / Tipps / Uncategorized

Suchmaschine für gehackte Passwörter

Posted on: 7. August 2017

Statt nach kompromittierten Email-Adressen der eigenen Webaccounts zu suchen, besteht nun auch die Möglichkeit, seine genutzten Passwörter zu überprüfen. Ob diese bei einem Hack erfolgreich geknackt wurden und somit meist in einschlägigen Kreisen bekannt sind, kann durch einen neuen Online-Service geprüft werden. Pfiffige Admins nutzen die bereitgestellte API und schließen diese gehackten Passwörter in eigenen Netz von vornherein aus. Mehr Infos und den Link zum Prüfservice finden Sie im Blogbeitrag.

Bedrohung / Hacking / Schutz / Technik

Fritz!Box — der Spion im eigenen Haus

Posted on: 19. Juni 2017

Wer sich über Hacking informiert, stößt zu Beginn schnell auf Begriffe und Tools wie nmap, Wireshark oder das Hacking-Betriebssystem Kali-Linux (als virtuelle Maschine ready to go zum Herunterladen). Doch so tief muss man gar nicht einsteigen. Die weit verbreitete Fritz!Box enthält eine im Anwender-Handbuch undokumentierte Mitschneide-Möglichkeit des KOMPLETTEN Datenverkehrs im internen Netzwerk (egal ob kabelgebunden oder WLAN). Und das in jedem von uns getesteten Modell und das seit Jahren. Sofern Remote-Zugriffe auf die Fritz!Box möglich sind, kann der Netzwerkverkehr auch von außen abgegriffen werden. Eigentlich eine sinnvolle Funktion zur Fehleranalyse, bringt diese Funktion erhebliches Schadenspotential mit sich. Und die Fritz!Box ist bei Unternehmen, Behörden und Privatanwendern sehr beliebt. Entsprechend hoch die Verbreitung. Wohl dem, der einige Sicherheitsmaßnahmen getroffen hat. Mehr lesen Sie in unserem kompletten Blogbeitrag.

Bedrohung / Kommune / Schutz / Unternehmen

Handlungsbedarf für Owncloud- und Nextcloud-Betreiber — kritische Sicherheitslücke

Posted on: 18. März 2017

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktuellen Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kritischen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind potentiell verwundbar. Betroffen sind u.a. große und mittelständische Unternehmen, öffentliche und kommunale Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und private Nutzer.

Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hingewiesen. Sehr viel ist seither nicht passiert, wie man der aktuellen Meldung entnehmen kann. Lediglich ein Fünftel der informieren Einrichtungen hat reagiert und die Schwachstelle geschlossen. Ob die eigene Cloud-Installation betroffen ist, kann mit dem Security-Scanner von Nextcloud online geprüft werden. Sollten Sie in Ihrer Organisation oder privat eine Instanz von Owncloud oder Nextcloud betreiben, so prüfen Sie bitte zeitnah unter den Links im Blogbeitrag, ob Ihre Installation betroffen ist. Generell sollte eine regelmäßige Prüfung auf Updates und deren Installation selbstverständlich und ein fester wiederkehrender Termin im Kalender sein.

Bedrohung / Presse

Wir bauen uns einen Erpressungstrojaner per Mausklick

Posted on: 24. Januar 2017

Erpressungstrojaner im Web per Mausklick zusammenstellen und präparierte Word-Makros und Windows-Hilfe-Dateien zur Verbreitung erhalten — das bieten die Drahtzieher hinter der Ransomware Satan. Über das Tor-Netzwerk geht das mittels Webinterface. 30% Provision werden fällig für die Nutzung. Erste Scanner erkennen die Bedrohung, doch es gibt noch keine Entwarnung. Details im Blogbeitrag.

Bedrohung / Presse

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Posted on: 7. Dezember 2016

Verschlüsselungstrojaner “Goldeneye” greift gezielt und massiv Personalabteilungen an. Eine Bewerbung in perfektem Deutsch auf teilweise aktuelle Stellenangebote sowie unter Nennung organisationsinterner Details soll den Empfänger dazu verleiten, eine angehängte XLS Tabelle zu öffnen. Geschieht dies und ist kein Schutz vor Ausführung von Makros aktiv oder wird dieser vom Nutzer ausgehebelt, verrichtet Goldeneye seinen Dienst analog zu seinem wohl verwandten Krypto-Kollegen Petya. Als Absender werden Email-Adressen eines Ingenieurbüros genutzt, dass unter anderem Hilfe bei der Entschlüsselung von befallenen Petya-Systemen anbietet. Erfahren Sie mehr im ganzen Blog-Beitrag und sensibilisieren Sie Ihre Mitarbeiter — gerne unter Nutzung unseres Beitragstexts.

Locky erhält Updates

Posted on: 20. Oktober 2016

Locky ändert seine Dateiendung von “.locky” in “.odin”. Schlimmer: Locky ist nicht mehr auf seine Steuerungsserver angewiesen. Jetzt geht der bekannte Krypto-Trojaner auch offline ans Werk. Mehr im Blogbeitrag.

Bedrohung / Schutz

Wie sicher ist Ihre Bank?

Posted on: 15. August 2016

SMS TAN sind in Verbindung mit weiteren Schutzmaßnahmen eine gute Möglichkeit, Online Banking sicher zu nutzen. Doch wenn die benötigte SMS aufgrund der SMS Formatierung bereits im Sperrbildschirm des Endgeräts abrufbar ist, ohne den PIN Code für das Endgerät kennen zu müssen, dann läuft was schief. Was einige Banken bereits clever gelöst haben (die TAN steht einfach am Ende der SMS und nicht gleich zu Beginn), stellt andere Banken vor Probleme. Oder sie wälzen das Problem einfach auf den Nutzer ab mit dem Tipp “Schalten Sie einfach die Benachrichtigungen für den Sperrbildschirm ab”. In diesem Fall geht das nur, wenn man die Anzeige aller SMS im Sperrbildschirm deaktiviert. Wie hält es Ihre Bank damit? Wir freuen uns auf Ihre Kommentare. Lesen Sie den ganzen Beitrag online im Blog

Online Passwort Speicher Lastpass mit Sicherheitslücke

Posted on: 28. Juli 2016

Entgegen aller nachvollziehbaren Bedenken werden Online Passwort Speicher nach wie vor gerne genutzt. Dabei liegen die gesammelten Passwörter nicht mehr im Einflussbereich des jeweiligen Inhabers, sondern auf (meist amerikanischen) Servern. Die Nutzerzahlen lassen den Schluss zu, die Anwender vertrauen diesen Services ungebrochen gerne ihre Passwörter an. Gesichert sind diese dort mit einem Masterpasswort und diversen Techniken wie Verschlüsselung etc.

Doch ist das Vertrauen in solche Services gerechtfertigt. Aktuell steht der Online Passwort Dienst LastPass in der Kritik. Jedoch nicht mit einem neuen Sicherheitsproblem, sondern mit einem älteren, das nicht konsequent beseitigt wurde. Lesen Sie mehr im Blogbeitrag.

SaaS = “Schadsoftware as a Service”, Hack zum Schnäppchenpreis im Web

Posted on: 6. Juni 2016

“Welcome back to the underground where it’s a good time to be a bad guy”, mit diesen Worten leitet SecureWorks den “2016 Underground Hacker Marketplace Report” ein.

Wollten Sie schon immer mal fremde Webseiten (oder die eines Wettbewerbers) mittels DoS-Attacke (Denial of Service) lahmlegen? Kein Problem mehr, denn für 5 US Dollar in der Stunde können Sie die dazugehörige Technik samt Bot-Netz dazu anmieten. Aktuelle Krypto-Trojaner erhalten Sie bereits für 80 US Dollar und das Angler Exploit Kit ist gerade mal 20 US Dollar teurer. Angler untersucht die Browser von Webseitenbesuchern automatisch auf bekannte Schwachstellen und liefert dazu passenden Schad-Code aus. Die passende Hardware für das Skimming von EC-Geräten wird für unter 400 US Dollar feilgeboten. Sollten Sie noch nicht ganz firm im Umgang mit diesen Techniken sein, so gibt es Online-Tutorials für 20 US Dollar gleich dazu.

Diese Zahlen präsentiert SecureWorks im “2016 Underground Hacker Marketplace Report”. Besonders betont SecureWorks den Fokus der Anbieter auf Kundenzufriedenheit. Nicht nur, dass sich die Anbieter auf den Untergrund-Software-Märkten mit Profil und genauen Angaben zur Erfahrung in diesem Métier darstellen. Das hohe Level überrascht jedoch weniger. Interessanter ist der Aspekt, dass der “Kunde” erst zahlt, wenn der gewünschte Erfolg erreicht ist. Das ist doch mal ein Service.

Link zum Report im PDF Format im Blog-Text.

Bedrohung / Schutz

Kryptotrojaner mit Wurmfunktion gesichtet

Posted on: 30. Mai 2016

Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neuen Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unangenehm: zusätzlich nistet sich ZCryptor in die Autostart-Routinen eingesteckter USB-Sticks und USB-Laufwerke ein. Somit kann sich der Trojaner bei Nutzung dieser Speicher an anderen Geräten auf diese Systeme ebenfalls verbreiten.

Einen Befall erkennen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln verfügbar. Betroffen sind ausschließlich Windows-Systeme. Wer es bisher noch nicht getan hat, sollte spätestens jetzt seine Backup-Strategie prüfen und anpassen. Und bitte nicht vergessen, Recovery-Tests durchzuführen. Das beste Backup hilft nichts, wenn es sich später nicht wiederherstellen läßt. Erfolgsprotokolle der Backup-Software sind alleine nicht ausreichend.

Bedrohung / Entschlüsselung / Uncategorized

RannohDecryptor wirkungslos gegen neue Version von CryptXXX

Posted on: 13. Mai 2016

Wer bisher von der Ransomware CryptXXX heimgesucht wurde, hatte Glück. Das Tool RannohDecryptor half bisher mit wenigen Klicks und die Verschlüsselung war Geschichte. In der neuesten Version des Kryptotrojaners CryptXXX ist das nun nicht mehr möglich.

Sofern Sie von einer früheren Version von CryptXXX befallen wurden, können Sie sich mit dem von Kaspersky entwickelten Tool RannohDecryptor (Webseite von Kaspersky Link im Blogbeitrag) behelfen.

Rathaus Markt Schwaben durch Krypto-Trojaner verschlüsselt

Posted on: 29. April 2016

Am 28.04.2016 ist es passiert. Ein unvorsichtiger Klick durch einen oder mehrere Mitarbeiter und einer der bekannten Krypto-Trojaner wurde im Rathaus Markt Schwaben (Bayern) aktiv. Der Befall wurde am frühen Donnerstagmorgen bereits bemerkt und der zuständige Systemadministrator hat sofort erste Schritte zur Eindämmung und Ursachenanalyse eingeleitet. Oberstes Ziel ist es jetzt, den Ursprung zu lokalisieren, zu isolieren und zu entfernen. Am Freitag den 29.04.2016 blieb das Rathaus nach zuvor offizieller Ankündigung geschlossen. Glücklicherweise sind wohl nur vereinzelte Rechner betroffen. Auch aktuelle Virenschutzsoftware konnte den Befall nicht verhindern.

Atomkraftwerk Grundremmingen: PC mit Malware verseucht

Posted on: 27. April 2016

Im Rahmen der gesetzlichen Meldepflicht informierte der Betreiber RWE des Atomkraftwerkes Grundremmingen das Bundesamt für Sicherheit in der Informationstechnik (BSI) über einen mit Malware befallenen Computer im Bereich der Brennstab-Beladung. Installiert wurde das System bereits 2008. Details sind noch keine bekannt, eine Analyse wird derzeit noch durchgeführt.

Quicktime für Windows mit Sicherheitslücken, sofort deinstallieren

Posted on: 20. April 2016

Zwei Sicherheitslücken klaffen in Quicktime für Windows. Da Apple den Support für diese Version eingestellt hat, ist sofortige Deinstallation angeraten.

Online-Banker aufgepasst, Banking-Trojaner Retefe ist wieder da

Posted on: 19. April 2016

Banking-Trojaner Retefe “is back in town”. Österreich, Schweiz, Schweden und Japan sind von einer erneuten Welle des bereits seit 2014 bekannten Banking-Trojaners Retefe betroffen. Die Gefahr kommt per Spam-Email samt Zip-Anhang mit integriertem JavaScript. Dieses lädt den Schadcode nach, installiert ein Sicherheitszertifikat und einen DNS Server. Über die so manipulierte Webverbindung in Verbindung mit einer untergeschobenen Android-App zum Abgreifen von Banking-SMS steht den Angreifern der Zugriff auf das Online-Konto offen.

Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten

Posted on: 25. März 2016

Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten. Getarnt als Bewerbung wird Schadcode installiert, der nicht einzelne Dateien verschlüsselt, sondern den Master Boot Record der Festplatte manipuliert. Eine zusätzliche Verschlüsselung des ganzen Dateisystems kann nicht ausgeschlossen werden. Lösegeld aktuell 0,99 Bitcoins, ca. 380 Euro für die Freigabe des Systems.

Teslacrypt 4.0 mit Bugfixes und Neuerungen im Umlauf

Posted on: 22. März 2016

Teslacrypt 4.0 im Umlauf, Verteilung erfolgt zur Zeit über Drive-by-Downloads. Teslacrypt 4.0 verschlüsselt nach ersten Erkenntnissen nun auch Dateien größer 4 Gigabyte und hängt keine zusätzliche Dateiendung mehr an.

ESET meldet rasante Verbreitung der Nemucod-Malware

Posted on: 17. März 2016

Rasanter Anstieg in der Erkennung der Nemucod-Malware. Bekannt, aber heimtückisch. Bedrohung per Email-Anhang, Betreff wie Rechnung oder Gerichtsvorladung. Der schadhafte Anhang (oftmals ein getarntes ZIP-Archiv) enthält Javascript-Code. Dieser lädt nach Öffnen des Anhangs die Malware Nemucod herunter und startet diese. Nemucod selbst lädt dann bekannte Vertreter wie Locky und Teslacrypt nach, und aktiviert diese sogleich. Danach beginnt das übliche Spiel mit Verschlüsselung und Lösegeldforderung.

Infektion mit Locky und Teslacrypt jetzt auch über Werbeanzeigen (Malvertising)

Posted on: 17. März 2016

Infektion mit Locky und Teslacrypt jetzt auch über Werbeanzeigen (Malvertising) über Werbenetzwerke auf seriösen Webseiten. Darunter prominente Vertreter wie BBC, MSN oder auch New York Times. Ausnutzung von Sicherheitslücken der Browser und der “üblichen Verdächtigen” Flash und Silverlight. Unser Tipp: Deinstallieren!

Bedrohung / Presse

LKA NRW warnt vor Krypto-Trojanern

Posted on: 9. März 2016

Die aktuellen Angriffe durch Krypto-Trojaner auf Unternehmen, Behörden aber auch Krankenhäuser bereiten den Sicherheitsbehörden wie dem LKA Nordrhein-Westfalen Kopfzerbrechen. Prävention und koordiniertes Krisenmanagement für den Ernstfall sind Aufgabe des Spitzenmanagements.

Erpressungs-Trojaner nun auch für Mac verfügbar

Posted on: 8. März 2016

Mit dem Krypto-Trojaner KeRanger ist nun auch das Apple Betriebssystem Mac OS betroffen. Soweit bisher bekannt, wird die Infektion durch die Nutzung eines manipulierten Disk-Images des Bittorrent-Clients Transmission (V 2.90) ausgelöst

Come talk to me — Sprechender Erpresser-Trojaner Cerber gesichtet

Posted on: 7. März 2016

Experten von TrendMicro haben sprechenden Krypto-Trojaner Cerber entdeckt. Bekanntes Muster, ähnlich hohes Lösegeld. Verbreitung über Malvertising-Kampagnen über legitime Webseiten

Chronologie des Bundestag-Hacks veröffentlicht

Posted on: 7. März 2016

Netzpolitik.org veröffentlicht Timeline zum Bundestag-Hack

Bedrohung / Studie

Locky: Jeder Dritte bereit Lösegeld zu zahlen

Posted on: 4. März 2016

Jeder Dritte ist bereit Lösegeld für die Entschlüsselung von Locky, Teslacrypt oder anderer Krypto-Trojaner zu bezahlen.

Stadt Dettelbach zahlt Lösegeld wegen Teslacrypt

Posted on: 3. März 2016

Stadt Dettelbach in Franken von Teslacrypt betroffen. Lösegeld wurde bezahlt. Teilweise Wiederherstellung war möglich. Fehler bei Recovery führten zu Systemausfall und Datenverlust. Stadtwerke bittet Bürger um Unterstützung zur Datenwiederherstellung

Vorsicht: BKA Virus Warnung enthält Virus

Posted on: 2. März 2016

Perfide wird derzeit die Angst vor dem Krypto-Trojaner Locky ausgenutzt, meldet mimikama.at. Eine offiziell nach BKA als Absender aussehende Email warnt vor Locky und bietet zugleich ein ” […]

Erfolgreiche Krypto-Trojaner: US Krankenhaus zahlt 40 Bitcoins Lösegeld

Posted on: 19. Februar 2016

US Krankenhaus zahlt 40 Bitcoins (ca. 15.000 Euro) um Verschlüsselung durch Krypto-Trojaner rückgängig zu machen.

Der Poseidon-Support

Posted on: 13. Februar 2016

Seit über einem Jahrzehnt soll eine Hacker-Gruppe unter dem Namen Poseidon mit maßgeschneiderte Attacken mehr oder weniger unentdeckt Comptersysteme von Behörden und Unternehmen infiltrieren. Sicherheitsexperten von Kaspersky haben […]

Bedrohung / Technik

Locky lässt nicht locker — 5.000 Infektionen pro Stunde

Posted on: 12. Februar 2016

!!!! WICHTIGE INFORMATIONEN !!!! Alle Dateien wurden mit RSA-2048 und AES-128 Ziffern verschlüsselt. Die Entschlüsselung Ihrer Dateien ist nur mit einem privaten Schlüssel und einem Entschlüsselungsprogramm, welches sich […]

Krankenhaus in NRW “krankt” an Ransomware

Posted on: 11. Februar 2016

Wie der WDR berichtet, ist das Lukas-Krankenhaus in Neuss nur eingeschränkt betriebsbereit. Wie seitens der Klinikleitung informiert wurde, sei man Opfer einer Ransomware. Bereits gestern (10.02.2016) sind Mitarbeitern […]

Online-Supermarkt für Schadsoftware

Posted on: 8. Februar 2016

Laut einem Bericht von Spiegel.de NETZWELT hat das russische IT-Sicherheitsunternehmen Kaspersky einen Online-Shop für Schadsoftware entdeckt. Auslöser war eine Spear-Phishing-Attacke auf ein Bankhaus in Singapur. Im Rahmen der […]

Bedrohung / Technik

Kein Internet der Dinge (IoT) ohne Sicherheit

Posted on: 14. Januar 2016

Das Internet der Dinge (Internet of Things — IoT) ist in aller Munde. Und kein Tag vergeht, an dem nicht irgendein Hersteller dieses Thema wie die sprichwörtliche “Sau […]

Malware — die Top Bedrohung 2016

Posted on: 12. Januar 2016

Malware / Ransomware weit vorne AppRiver hat eine Studie für die Top Bedrohungen in der IT- und Informationssicherheit für 2016 herausgebracht. Ganz weit vorne eine alte Bekannter — […]