Bedrohung / Hacking

Magento-Shops kompromittiert — Kreditkartendaten werden bereits abgegriffen

Posted on:

Mit­tels Bru­te-Force-Atta­cken ver­schaf­fen sich Hacker aktu­ell Zugriff auf den Admin-Bereich von Online-Shops, wel­che die Soft­ware Magen­to nut­zen. Dabei wird ein Java­script-Code ein­ge­fügt, der ab sofort in Echt­zeit die Ein­ga­be­da­ten der Shop-Kun­den mit­schreibt und an einen Ser­ver in Russ­land über­trägt. Dar­in sind die Zah­lungs­in­for­ma­tio­nen ent­hal­ten, die dann miß­braucht wer­den kön­nen.

Infor­ma­tio­nen, wie Sie als Magen­to-Shop­be­trei­ber den besag­ten Schad­code iden­ti­fi­zie­ren kön­nen, fin­den Sie im Sicher­heits­bei­trag des Ent­de­ckers die­ses Pro­blems. Der Autor gibt dar­in gleich wei­te­re Tipps zur Absi­che­rung wie die Ver­ga­be gehär­te­ter Admin-Pass­wör­ter und vie­le mehr.

Da die­ser Angriff eine mel­de­pflich­ti­ge Daten­pan­ne im Sin­ne der DSGVO dar­stellt und sich durch den Miß­brauch von Zah­lungs­in­for­ma­tio­nen schnell hohe Scha­dens­er­satz­be­trä­ge auf­sum­mie­ren kön­nen, soll­ten Sie als Magen­to-Shop­be­trei­ber zeit­nah prü­fen, ob Ihr Ser­ver ent­spre­chend mani­pu­liert wur­de. Meh­re­re tau­send infi­zier­te Shops sind bereits bekannt.

Bedrohung

Kritische Sicherheitslücke in Browser Firefox

Posted on:

Laut CERT BUND sind alle Ver­sio­nen des belieb­ten Brow­sers Fire­fox vor 58.0.1 von einer kri­ti­schen Sicher­heits­lü­cke betrof­fen. Bereits der Besuch einer prä­pa­rier­ten Web­sei­te reicht aus, um Schad­code auf den PC des Besu­chers zu brin­gen und auzu­füh­ren. Es wird drin­gend gera­ten, das Update auf die Ver­si­on 58.0.1 zeit­nah durch­zu­füh­ren. Im Zwei­fel manu­ell ansto­ßen, nicht auf das Auto-Update war­ten.

Bedrohung / Presse

Wir bauen uns einen Erpressungstrojaner per Mausklick

Posted on:

Erpres­sungs­tro­ja­ner im Web per Maus­klick zusam­men­stel­len und prä­pa­rier­te Word-Makros und Win­dows-Hil­fe-Datei­en zur Ver­brei­tung erhal­ten — das bie­ten die Draht­zie­her hin­ter der Ran­som­wa­re Satan. Über das Tor-Netz­werk geht das mit­tels Web­in­ter­face. 30% Pro­vi­si­on wer­den fäl­lig für die Nut­zung. Ers­te Scan­ner erken­nen die Bedro­hung, doch es gibt noch kei­ne Ent­war­nung. Details im Blog­bei­trag.

Bedrohung / Presse

Kryptotrojaner Goldeneye greift gezielt Personalabteilungen an, Polizei warnt bundesweit

Posted on:

Ver­schlüs­se­lungs­tro­ja­ner “Gol­de­neye” greift gezielt und mas­siv Per­so­nal­ab­tei­lun­gen an. Eine Bewer­bung in per­fek­tem Deutsch auf teil­wei­se aktu­el­le Stel­len­an­ge­bo­te sowie unter Nen­nung orga­ni­sa­ti­ons­in­ter­ner Details soll den Emp­fän­ger dazu ver­lei­ten, eine ange­häng­te XLS Tabel­le zu öff­nen. Geschieht dies und ist kein Schutz vor Aus­füh­rung von Makros aktiv oder wird die­ser vom Nut­zer aus­ge­he­belt, ver­rich­tet Gol­de­neye sei­nen Dienst ana­log zu sei­nem wohl ver­wand­ten Kryp­to-Kol­le­gen Petya. Als Absen­der wer­den Email-Adres­sen eines Inge­nieur­bü­ros genutzt, dass unter ande­rem Hil­fe bei der Ent­schlüs­se­lung von befal­le­nen Petya-Sys­te­men anbie­tet. Erfah­ren Sie mehr im gan­zen Blog-Bei­trag und sen­si­bi­li­sie­ren Sie Ihre Mit­ar­bei­ter — ger­ne unter Nut­zung unse­res Bei­trags­texts.

Bedrohung / Schutz

Kryptotrojaner mit Wurmfunktion gesichtet

Posted on:

Es war nur eine Fra­ge der Zeit, jetzt ist es also soweit. Micro­soft warnt vor einem neu­en Kryp­to­tro­ja­ner namens ZCryp­tor. Die­ser nimmt sich Datei­en mit über 80 Datei­endun­gen vor. Beson­ders unan­ge­nehm: zusätz­lich nis­tet sich ZCryp­tor in die Auto­start-Rou­ti­nen ein­ge­steck­ter USB-Sticks und USB-Lauf­wer­ke ein. Somit kann sich der Tro­ja­ner bei Nut­zung die­ser Spei­cher an ande­ren Gerä­ten auf die­se Sys­te­me eben­falls ver­brei­ten.

Einen Befall erken­nen Sie an der Datei­endung .zcrypt. Aktu­ell ist noch kein Tool zum Ent­schlüs­seln ver­füg­bar. Betrof­fen sind aus­schließ­lich Win­dows-Sys­te­me. Wer es bis­her noch nicht getan hat, soll­te spä­tes­tens jetzt sei­ne Back­up-Stra­te­gie prü­fen und anpas­sen. Und bit­te nicht ver­ges­sen, Reco­very-Tests durch­zu­füh­ren. Das bes­te Back­up hilft nichts, wenn es sich spä­ter nicht wie­der­her­stel­len läßt. Erfolgs­pro­to­kol­le der Back­up-Soft­ware sind allei­ne nicht aus­rei­chend.

Entschlüsselung / Tipps

Masterschlüssel für TeslaCrypt veröffentlicht

Posted on:

Laut einer Mel­dung von heise.de haben die Ent­wick­ler von Tes­lacrypt die Wei­ter­ent­wick­lung ein­ge­stellt und den Mas­ter­schlüs­sel für den Kryp­to­tro­ja­ner ver­öf­fent­licht. Betrof­fe­ne, deren Syte­me und Daten noch ver­schlüs­selt sind, kön­nen auf­at­men. Nach ers­ten Berich­ten funk­tio­niert der Mas­ter-Key und in Ver­bin­dung mit dem Tool Tes­la­de­co­der sind alle Vari­an­ten von Tes­lacrypt 1 bis 4 wie­der zu ent­schlüs­seln. Links im Bei­trag.

Bedrohung / Entschlüsselung / Uncategorized

RannohDecryptor wirkungslos gegen neue Version von CryptXXX

Posted on:

Wer bis­her von der Ran­som­wa­re Crypt­XXX heim­ge­sucht wur­de, hat­te Glück. Das Tool Ran­noh­De­cryp­tor half bis­her mit weni­gen Klicks und die Ver­schlüs­se­lung war Geschich­te. In der neu­es­ten Ver­si­on des Kryp­to­tro­ja­ners Crypt­XXX ist das nun nicht mehr mög­lich.

Sofern Sie von einer frü­he­ren Ver­si­on von Crypt­XXX befal­len wur­den, kön­nen Sie sich mit dem von Kas­pers­ky ent­wi­ckel­ten Tool Ran­noh­De­cryp­tor (Web­sei­te von Kas­pers­ky Link im Blog­bei­trag) behel­fen.

Bedrohung

Rathaus Markt Schwaben durch Krypto-Trojaner verschlüsselt

Posted on:

Am 28.04.2016 ist es pas­siert. Ein unvor­sich­ti­ger Klick durch einen oder meh­re­re Mit­ar­bei­ter und einer der bekann­ten Kryp­to-Tro­ja­ner wur­de im Rat­haus Markt Schwa­ben (Bay­ern) aktiv. Der Befall wur­de am frü­hen Don­ners­tag­mor­gen bereits bemerkt und der zustän­di­ge Sys­tem­ad­mi­nis­tra­tor hat sofort ers­te Schrit­te zur Ein­däm­mung und Ursa­chen­ana­ly­se ein­ge­lei­tet. Obers­tes Ziel ist es jetzt, den Ursprung zu loka­li­sie­ren, zu iso­lie­ren und zu ent­fer­nen. Am Frei­tag den 29.04.2016 blieb das Rat­haus nach zuvor offi­zi­el­ler Ankün­di­gung geschlos­sen. Glück­li­cher­wei­se sind wohl nur ver­ein­zel­te Rech­ner betrof­fen. Auch aktu­el­le Viren­schutz­soft­ware konn­te den Befall nicht ver­hin­dern.

Bedrohung

Atomkraftwerk Grundremmingen: PC mit Malware verseucht

Posted on:

Im Rah­men der gesetz­li­chen Mel­de­pflicht infor­mier­te der Betrei­ber RWE des Atom­kraft­wer­kes Grund­rem­min­gen das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) über einen mit Mal­wa­re befal­le­nen Com­pu­ter im Bereich der Brenn­stab-Bela­dung. Instal­liert wur­de das Sys­tem bereits 2008. Details sind noch kei­ne bekannt, eine Ana­ly­se wird der­zeit noch durch­ge­führt.