Zum Wochenabschluss habe ich noch einige Sicherheitsmeldungen der letzten Tage, die irgendwie liegen geblieben sind, in einem Sammelbeitrag zusammengestellt. Datenlecks und Trojaner-/Ransomware-Infektionen oder Hacks haben nach wie vor Konjunktur.
Anzeige
Über den Mile & More-Vorfall oder die Trojaner-Infektion im Klinikum Fürth hatte ich ja im Blog berichtet. Hier sind weitere Vorfälle der letzten Tage.
Ransomware-Angriffe am laufenden Band
Zu Ransomware könnte ich eigentlich täglich etwas bringen – das ist aktuell die größte Gefahr für Unternehmen und Privatnutzer. Hier ein kurzer Abriss dessen, was aktuell so los ist.
Ransomware in US-Kliniken
Dem nachfolgenden Tweet von ESET-Sicherheitsforscher Aryeh Goretsky entnehme ich, dass das Netzwerk des US-Klinik- und Gesundheitsanbieters Hackensack Meridian einer Ransomware-Attacke wurde.
Hackensack Meridian health network confirms ransomware attack last week https://t.co/ptGx3Vl6Mk
— Aryeh Goretsky (@goretsky) December 14, 2019
Anzeige
Details sind dem verlinkten Artikel zu entnehmen. Bereits Ende November 2019 wurden medizinische Daten des Great Plains Health-Medical Center durch Ransomware verschlüsselt, wie man hier nachlesen kann. Also nicht nur Fürth oder die Uni in Gießen fallen Trojanern und Ramsomware zum Opfer. Und in diesem Artikel wird auf eine Ransomware Zeppelin hingewiesen, die Firmen im Tech- und Gesundheitsbereich im Fokus hat.
Cyberangriffe auf Krankenhäuser können die Sterblichkeitsrate unter Herzpatienten in den folgenden Monaten und Jahren erhöhen, hat ein Bericht der Vanderbilt University offen gelegt. Bei Golem bin ich die Tage auf diesen Artikel gestoßen, der sich mit Update-Sicherheit in Ärztesoftware befasst – unschön, was man da so liest.
Kaspersky-Infosplitter
Der Sicherheitsanbieter Kaspersky greift aktuell die Sicherheitssituation in der Gesundheitsbranche in einem Tweet auf:
Die Gesundheitsbranche ist immer häufiger das Ziel von Cyberkriminellen. Wie sicher sind Ihre Patientendaten? Wir unterstützen Sie mit unserem kostenlosen Anti-Ransomware Tool: https://t.co/1zgsNl4Qqg #Kaspersky pic.twitter.com/pIUVEbsLEN
— Kaspersky DACH (@Kaspersky_DACH) November 24, 2019
und bietet für Business-Kunden ein 'kostenloses Anti-Ransomware-Tool', wenn diese ihre Kontaktdaten hinterlassen. Unabhängig von der Frage, wie sinnvoll so etwas ist und ob eine Sekretärin oder Sachbearbeiterin die Zeit und die Berechtigung hat, so etwas laufen zu lassen – ich habe es mir erspart, das Tool für einen Test herunterzuladen. Praxisnah empfinde ich das eher nicht – oder wie seht ihr das so?
Ach ja, Kaspersky weist in einer eigenen Studie darauf hin, dass immer mehr deutsche Internetnutzer unter Cyberstress leiden. Hintergrund sind Datenpannen und ähnliche Sicherheitsvorfälle.
Ransomware: Verwaltung von New Orleans offline
Die US-Stadt New Orleans (Luisiana) hat es mit einer Ransomware-Infektion in der Stadtverwaltung (Town Hall) hart getroffen. Der Ransomware-Angriff hat zur Abschaltung der Server und Computer der Stadt geführt hat. Lediglich die Rettungsdienste der Stadtstaaten sind wohl noch funktionsfähig. Ich hatte Freitag, den 13. 12.2019 bei Bleeping Computer diese Meldung dazu gelesen. Ein weiterer Bericht findet sich hier. Ergänzung: Bleeping Computer meldet hier, dass es wahrscheinlich eine Ryuk-Infektion sei.
Weitere Ransomware-Fälle aus den USA
Eigentlich gibt es fast täglich Ransomware-Angriffe in den USA zu vermelden. Hier noch einige Kurzsplitter zu diesem Thema.
- Die Stadt Pensacola, Florida, ist Opfer eines Ransomware-Angriffs geworden. Bleeping Computer berichtet hier, dass die Maze-Gruppe die Verantwortlichkeit und ein Lösegeld von 1 Million US $ reklamiert.
- Die gleiche Gruppe hat auch den US-Anbieter Southwire (einer der größten Kabel- und Drahthersteller der USA) mit Ransomware infiziert und fordert jetzt 6 Millionen US $ Lösegeld.
- In Florida wurde auch die Prison Rehabilitative Industries and Diversified Enterprises Inc (PRIDE) Opfer einer Ransomware-Attacke.
Scheint ein einträgliches Geschäft für die Ransomware-Gruppen zu sein, denn einige der Betroffenen zahlen wohl.
Regierung in den Niederlande warnt vor Ransomware
Die niederländische Regierung warnte Unternehmen bereits Ende November 2019 vor drei Ransomware-Varianten, die bereits 1.800 Firmen infiziert haben. Die Details finden sich in diesem Artikel.
Ryuk-Decyptor kann nicht entschlüsseln
Opfer von Ransomware hoffen ja manchmal, dass sie durch Zahlung des Lösegelds wieder an ihre verschlüsselten Daten herankommen. Ist nicht wirklich eine gute Idee – mir ist die Tage auf Twitter diese Meldung eines Sicherheitsforschers unter die Augen gekommen.
I recently saw some stats that, on average, decryptors work in 94% of the cases. (Also, you have about 98% chance of getting a decryptor at all.) Much earlier (years), I had seen some stats from IBM that paying the ransom works in about 80% of the cases.
— Vess (@VessOnSecurity) December 9, 2019
Die Statistik spricht Bände – wenn nur in 94% der Fälle der bezahlte Decryptor funktioniert. Das wird gerade für Opfer der Ransomware Ryuk eindrucksvoll bestätigt. Sofern diese durch Zahlung des Lösegelds einen Decryptor erhalten, ist dieser möglicher trotzdem nutzlos.
Bleeping Computer berichtet hier, dass auf Grund der jüngsten Änderungen im Verschlüsselungsprozess der Ryuk-Ransomware ein Fehler im Decryptor zu Datenverlust in großen Dateien führen kann. Die Opfer kommen also vom Regen in die Traufe, heise bezeichnet es hier als 'gleich doppelt auf die Nase fallen'.
Die Macher von Ryuk entwickeln die Malware weiter. In einem Tweet weisen Sicherheitsforscher bereits im November darauf hin, dass die Ryuk-Ransomware durch das Tool Wizard Spider in die Lage versetzt wird, tief in ein LAN einzudringen.
Und eine mutmaßlich iranische Wiper-Malware, über die hier berichtet wird, hat den Energiesektor im Fokus. Dringt er in ein Unternehmensnetzwerk ein, löscht er die erreichbaren Dateien.
Ransomware-Befall: Nicht neu starten lassen
Wer die Befürchtung oder den Verdacht hat, Opfer einer Ransomware-Attacke geworden zu sein, sollte keinesfalls sein System neu booten. Ich bin bereits im November auf folgenden Tweet gestoßen.
Experts: Don't reboot your computer after you've been infected with ransomwarehttps://t.co/Yzs6CfWAPH pic.twitter.com/Ne0AwjVrdz
— Catalin Cimpanu (@campuscodi) November 5, 2019
Auf ZDNet arbeitet Catalin Cimpanu sich daran ab, warum Experten von einem Neustart des Systems abraten. Experten empfehlen vielmehr den Rechner in den Energiespar- oder Ruhemodus zu versetzen, um dann Spezialisten die weiteren Schritte zu überlassen.
Snatch-Ransomware bootet im abgesicherten Modus
Das wird gerade durch die Snatch-Ransomware eindrücklich bestätigt. Diese startet Windows neu, um in den abgesicherten Modus zu gelangen. Da dort viele Dienste nicht geladen werden, kann so installierte Antivirus-Software umgangen werden. Details sind bei The Hacker News oder hier sowie in Deutsch bei Golem nachlesbar.
Andererseits stellt sich die Frage, wie wirksam Antivirus-Software ist, wenn diese eine Ransomware- oder Malware-Infektion nicht im Anfangsstadium erkennt und nicht in Quarantäne stellt? In diesem Zusammenhang noch ein alter Fundsplitter auf Twitter. Antivirus-Lösungen (auch der Windows-Defender) ignorier(t)en Malware, die auf OneDrive liegt.
Google-Nutzer immer im Fokus von Hackern
Interessanter Informationssplitter aus dem Google-Universum. Google veröffentlicht jedes Quartal Informationen über Angriffsversuche auf seine Nutzerschaft (z.B. GMail-Nutzer). Im 3. Quartal 2019 waren 12.000 Google-Nutzer von staatlich gestützten Hackerangriffen betroffen, wie man hier nachlesen kann.
Zur Weiterbildung: Microsoft hat im Security-Blog einen Artikel zum Ablauf von Spear-Phishing-Campagnen veröffentlicht.
Bug-Bounty von NordVPN
Kurze Info für Leute, die Sicherheitslücken suchen. Der Anbieter NordVPN hat gerade ein Bug-Bounty-Programm für White Hat-Hacker aufgelegt, über die diese Sicherheitslücken melden können. Die Bounties von NordVPN können zwischen 100 $ für kleinere Probleme und über 5.000 $ für kritische Fehler liegen. Alle Ergebnisse müssen über die HackerOne-Plattform gemeldet werden.
NordVPN akzeptiert Ergebnisse in Bezug auf seine Anwendungen, Server, Backend-Services, Website und mehr. Bug-Bounty-Jäger müssen sich keine Sorgen über mögliche rechtliche Schritte gegen sie machen, solange sie ihre Penetrationstests ethisch einwandfrei durchführen.
Facebook-Leak, eat your own dog food
Beim sozialen Netzwerk Facebook sind mehrere unverschlüsselte Festplatten mit den Gehaltsdaten von tausenden Mitarbeitern gestohlen worden. Insgesamt enthielten die unverschlüsselten Laufwerke personenbezogene Daten von rund 29.000 US-Mitarbeitern, die 2018 bei Facebook arbeiteten. Die Details sind hier nachzulesen. Da mag so mancher eine klammheimliche Freude empfinden – in Deutschland wäre das dann wieder ein Fall für die DSGVO. Ist übrigens nicht der erste Fall von Datenlecks bei Daten von Facebook-Angestellten. Ergänzung: Heise hat es gerade hier auch gebracht.
Online-Shops: Hacks und Warnungen
Auch im Bereich der Online-Shops gab es diverse Hacks und Betrugsansätze oder Malware, die Benutzerdaten abzieht.
Mairdumont: Online-Shops (Marco Polo & Co.) gehackt
Wer bei Online-Anbietern wie Marco Polo etc. bestellt hat, dessen Daten sind vermutlich in der Hand von Hackern. Verlagsgruppe Mairdumont ist Opfer von Hackern geworden, wie heise in diesem Artikel berichtet.
Rooster Teeth Productions-Hacker erbeuten Kreditkartendaten
Der Webshop des US-Anbieter Rooster Teeth Productions (Zeichentrickfilme, und Serien) wurde Anfang Dezember 2019 gehackt. Die Angreifer konnten auch Kreditkartendaten erbeuten, wie man hier nachlesen kann.
Schuh-Fake-Shops ziehen Kreditkartendaten ab
Beim Einkaufen gibt es die große Gefahr, dass man auf gefälschte Shops bestimmter Marken hereinfällt. Dem Artikel hier zufolge wurden Hunderte von gefälschten Online-Shops zum Verkauf von Schuhen gehackt, um Kreditkarten zu stehlen. Generell stellten die Sicherheitsforscher gerade bei der bekanntesten Shopping-Woche des Jahres eine Zunahme von Cyber-Angriffen mit dem Ziel Kreditkartendaten fest. Um sich vor Fake-Online Shops und Cyber-Angriffen zu schützen, empfiehlt Malwarebytes folgende Sicherheitsmaßnahmen:
- Die User sollten sicherstellen, dass ihr Computer frei von Malware ist und neueste Sicherheits-Patches installiert sind. Dabei sollte ein entsprechendes Sicherheitsprodukt gewählt werden.
- Beim erstmaligen Kauf in einem Webshop sollten die Hintergründe des Anbieters überprüft werden. Dies ersetzt zwar keinen Sicherheitsscan, aber Hinweise wie veraltete „Copyright"-Angaben oder Auffälligkeiten bei der Gestaltung, können darauf schließen lassen, dass es sich hier um eine zweifelhafte Webseite handelt.
- Um den Diebstahl von Kreditkartendaten vorzubeugen, sollten andere Zahlungsmethoden in Betracht gezogen werden.
- Bank-/ und Kreditkartenabrechnungen sollten regelmäßig gründlich überprüft werden, um potenzielle betrügerische Auffälligkeiten zu identifizieren.
- Um weitere Angriffe zu verhindern, sollten betrügerische Aktivitäten auch immer den Strafverfolgungsbehörden gemeldet werden.
Über Malwarebytes ging mir eine entsprechende Presseinfo mit obigen Aussagen und weiteren Informationen zu – Details zur Analyse finden sich hier (Englisch).
Verbraucherschützer warnen vor Fuuze.com
Über das Online-Portal wird der "unbegrenzte Zugang" zu Filmen, Musik, eBooks, Games und Software versprochen. Das Marktwächter-Team der Verbraucherzentrale Rheinland-Pfalz warnt hier vor diesem Portal als Abofalle – ein Artikel ist bei SPON abrufbar.
Französische Post: Kundendaten geleakt
Über VPNmentor bin ich die Tage über ein Datenleck bei der französischen Post informiert worden. Genius ist eine App, die von La Poste, der französischen Post, entwickelt wurde. Genius stellt app-basierte Kassenfunktionen bereit, die viele verschiedene Prozesse integriert ist, um kleine Ladenbesitzer zu unterstützen. Offenbar gab es eine Möglichkeit für den öffentlichen Zugriff auf die der App zugrunde liegende Datenbank mit fast 20 Millionen Datensätze. Darunter befinden sich auch die vollständigen Daten der Benutzer (vollständiger Name, E-Mail-Adresse, Telefonnummer usw.), Informationen über die Unternehmen (Lagerbestand, Produktinformationen, Transaktionen usw.), E-Mails von Kunden und mehr. Details lassen sich bei vpnmentor.com in diesem Artikel nachlesen.
BAT leakt Kundendaten
Von den gleichen Sicherheitsforschern gibt es auch diesen Bericht. Die British American Tobacco (BAT) – dazu gehören auch die Zigaretten-Marken Lucky Strike, Kent und Pall Mall – hat eine Marketing-Kampagne in Rumänien gefahren – und dabei gleich die Kundendaten geleakt. Die öffentlich erreichbare Datenbank enthielt die vollständigen Daten der Kunden (vollständiger Name, E-Mail-Adresse, Telefonnummer usw.) sowie ihre Konsumgewohnheiten (Produktpräferenzen usw.). Trotz zahlreicher Versuche der Sicherheitsforscher, das Unternehmen, das Hosting, die Behörden usw. zu erreichen, dauerte es über 2 Monate, bis diese Datenbank gesichert wurde.
Millionen SMS-Daten geleakt
Anfang Dezember wurde ein weiteres Datenleck öffentlich. TrueDialog betrifft, ein amerikanisches Unternehmen, das SMS-Lösungen (Massen-SMS, SMS-Marketing usw.) für amerikanische Unternehmen und Universitäten anbietet, hatte eine ungesicherte Datenbank, die per Internet erreichbar war. Die Datenbank enthielt fast eine Milliarde Datensätze, darunter die vollständigen Daten (Name, E-Mail-Adresse, Handynummer usw.) der Kunden, Informationen über Nachrichten (Inhalt, Absender und Empfänger, Uhrzeit und Datum usw.), Konto-Benutzerdaten (einschließlich unverschlüsselter Passwörter) usw. Details lassen sich in diesem Bericht nachlesen.
Und hier berichtet Golem, dass die Daten von 20 Millionen Mixcloud-Nutzern im Darknet aufgetaucht seien.
Sicherheitsupdates QNAP und VMware
Noch zwei Kurzmeldungen für Benutzer der oben genannten Produkte. Wer QNAP Produkte einsetzt, sollte die Updates, die in diesem heise-Beitrag genannt sind, installieren. Und in VMware ESXi und Horizon DaaS gibt es kritische Schwachstellen, die per Sicherheitsupdate geschlossen wurden. Details finden sich hier.
Anzeige
Das E-Voting System der Schweiz ist gemäss dem Bundes-Irrenhaus der Schweiz 100 % sicher.
"Kasperky-Infosplitter" KasperSky
ansonsten:
ja, aufällig die anscheinend meist rel. leichte Angreifbarkeit von Einrichtungen in der Gesundheitsbranche. Da erscheint der Zwang zur Digitalisierung (1) nicht immer die richtige Lösung zu sein – entgegen der Behauptungen/Versprechen der IT-Ind. – und (2) ist dann auch noch die dafür notwendige Kompetenz meist nur rudimentär vorhanden.
Keine guten Aussichten.
Der heise-podcast #heiseshow vom letzten Donnerstag behandelt einen Teilbereich dieser Erscheinungen. nicht schön…
Sind Ärzte mit dem Schutz unserer Gesundheitsdaten überfordert?
https://www.heise.de/newsticker/meldung/heiseshow-Sind-Aerzte-mit-dem-Schutz-unserer-Gesundheitsdaten-ueberfordert-4612036.html
Ich lese den untersten der 3 eingebetteten Tweets zu Ransomware allerdings etwas anderes: Dort steht meines Verständnisses nach, dass der Decryptor in 94% der Fälle funktioniert (und man ?in insgesamt/in davon? 98% der Fälle einen bekommt? Meiner Meinung ggf. schon eine recht starke Motivation, zu bezahlen (und vermutlich auch nicht unwichtig für's "Geschäftsmodell)?!
Du hast Recht – ich hatte das auch schon vor vielen Stunden korrigiert. Irgendwie ist die Korrektur dann aber wieder rausgefallen – Scheibenkleister.
Tja, auch bei uns läuft halt nicht alles immer mit 100% ;-)
"Experten empfehlen vielmehr den Rechner in den Energiespar- oder Ruhemodus zu versetzen, um dann Spezialisten die weiteren Schritte zu überlassen."
Und wo findet man in Deutschland diese Spezialisten?
An wen muss man sich im Schadensfall konkret wenden?
Die Antwort ist einfach: Im betrieblichen Umfeld ist das die zuständige IT – im privaten Umfeld die Person, die sich um die Systeme kümmert. Bitte die Brille 'ich brauch jetzt den Computerforensiker, um das zu analysieren' ablegen. Die Handlungsanweisung gilt für Normalnutzer, die einen Randomware-Verdacht haben und einen Waschzettel brauchen, an dem sie sich entlang hangeln können.
Ein IT-Mensch in der Firma sollte wissen, dass er dann als erstes den Rechner vom lokalen Netzwerk trennt – ggf. eine Malwareanalyse durchführen und das System auch auf einen Backup-Stand zurücksetzen können.
Hallo und danke für den Hinweis, aber so etwas
"potential loss of encryption keys stored in-memory"
also das auslesen des encryption keys im Arbeitsspeicher ist IMHO alles andere als trivial.
Ich hätte jetzt kein "Werkzeug", um ein vollständiges memory dump nebst Analyse auszuführen, um dort einen key zu finden. (Und auch nicht die Kenntnis.)
P.S. Und danke für die Links zu den weiteren, informativen Webseiten. So etwas "Educate users on how to detect phishing emails" scheitert bei uns an Leuten, die aus NEUGIER grunsätzlich alles öffnen und beratungsresistent sind. :-(
hp://www.microsoft.com/security/blog/2019/11/25/rethinking-cyber-learning-consider-gamification
da hilft auch kein tor mehr bei soviel cisco..
gibt mir etwas hoffnung!