![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum Wochenende fasse ich mal wieder einige Meldungen aus dem Umfeld der Cyber-Kriminalit\u00e4t zusammen. Crypto-Trojaner, Betrugsmails und Trojaner haben mal wieder reiche Ernte gehalten. Hier die \u00dcbersicht.<\/p>\nZum Wochenende fasse ich mal wieder einige Meldungen aus dem Umfeld der Cyber-Kriminalit\u00e4t zusammen. Crypto-Trojaner, Betrugsmails und Trojaner haben mal wieder reiche Ernte gehalten. Hier die \u00dcbersicht.<\/p>\n
<\/p>\n
Die Woche hatte ich \u00fcber einen Fall von Erpressungssoftware berichtet (Hollywood-Klinik nach Ransomware-Angriff offline<\/a>), der eine Klinik in den USA lahm legte. Obwohl man in solchen F\u00e4llen nicht zahlen soll, um die Geldstr\u00f6me auszutrocknen, haben die Krankenhausbetreiber wohl 40 Bitcoins (ca. 15.000 Euro) locker gemacht, um die Daten wieder zu bekommen. (via<\/a>)<\/p>\n Unternehmen der Finanzbranche, Medien, PR-Agenturen und staatliche Stellen stehen im Fokus einer unbekannten Gruppe von Online-Kriminellen, als Poseidon-Gruppe bezeichnet. Diese infiltrieren die Netzwerke der Unternehmen und\u00a0 deren Rechner mit ma\u00dfgeschneiderten Trojanern. Danach melden sich die Kriminellen als \"Support\" bei den Unternehmen und bieten einen \"Support\" als Sicherheitsberater an. Geht das Unternehmen nicht darauf ein, gibt es die Drohung, die vom Unternehmen erbeuteten Daten f\u00fcr eigene Zwecke zu missbrauchen. Details, die von Kaspersky aufgedeckt wurden, hat heise.de in diesem Artikel<\/a> aufbereitet.<\/p>\n \u00dcber eine andere Betrugsmasche berichtet heise Security hier<\/a>: Cyberkriminelle haben sich wohl in j\u00fcngster Zeit Millionen per Mail von deutschen Unternehmen erschlichen. Die Zeitschrift Capital berichtet hier<\/a>, dass sich die Betr\u00fcger in die Firmennetzwerke einhacken und Korrespondenzen aussp\u00e4hen. Dann wird eine gef\u00e4lschte E-Mail, angeblich vom Vorstandschef an einen Buchhalter (meist in Tochterfirmen) geschickt. Diese ist in perfektem Deutsch gehalten und weist diese an, eine gr\u00f6\u00dfere Summe f\u00fcr eine geplante Firmen\u00fcbernahme zu \u00fcberweisen. Da die Aktion absolut vertraulich sei, d\u00fcrfe mit niemandem dar\u00fcber geredet werden. Scheint zu klappen, ein Mitarbeiter des Spezialversicherer Euler Hermes berichtet von Betr\u00e4gen zwischen 750.000 bis 15,5 Millionen Euro, die abgezogen wurden.<\/p>\n Meine Meinung: Ich finde es unglaublich! Meine Industriet\u00e4tigkeit ist zwar \u00fcber 22 Jahre her. Aber da musste jede B\u00fcroklammer durch drei \u00fcbergeordnete Instanzen genehmigt werden und ohne Kostenstelle ging da nix. Und da gibt es DAX-Konzerne, die mal freifliegend Millionen per Buchhaltung transferieren? Ich glaube, ich falle langsam aus der Welt \u2013 aber die gro\u00dfen Bosse, die alles besser wissen, kriegen jetzt die eigene Speise zu kosten \u2026<\/p>\n Bei Corkow handelt es sich um einen Banking-Trojaner \u2013 und deren Urheber ist es wohl gelungen, den Rubelkurs zu manipulieren und damit Gewinne zu machen. Der Bericht findet sich bei Bloomberg. Eine Analyse des Trojaners gibt es hier<\/a>. Von Tenable Network liegt mir folgende Info vor:<\/p>\n Hacker konnten k\u00fcrzlich das System einer Bank in Kasachstan mit dem Trojaner Corkow (auch als Metel bekannt) infizieren. Ziel des Angriffes war es, den Wechselkurs des Rubel zu beeinflussen, was f\u00fcr kurze Zeit auch gelang.<\/p>\n Diese Attacke ist ein \u00e4u\u00dferst interessant da die Hacker sowohl verstehen m\u00fcssen, wie ein Banking-Computer gehackt werden kann, als auch, wie derart umfangreiche Transaktionen durchzugef\u00fchrt werden k\u00f6nnen. Dies deutet darauf hin, dass die Angreifer wohl bereits vorher Kenntnisse \u00fcber die Systeme hatten oder sie diese bereits zuvor angegriffen haben, um mehr \u00fcber die Abl\u00e4ufe beim Kauf von W\u00e4hrungen zu erfahren.<\/p>\n Interessant ist auch, dass die Regierung keine Manipulation der Wechselkurse feststellen konnte und nicht mit den Ergebnissen der Ermittler einverstanden ist.<\/p><\/blockquote>\n Vogel-Strau\u00df Politik funktioniert auch in Russland gut.<\/p>\n Bei Android-user.de warnt man in diesem Artikel<\/a> vor einer neueren Variante des BKA-Trojaners, der auf Erotik- und Filesharing-Seiten lauert und auch Android-Ger\u00e4te bef\u00e4llt. Offenbar gibt es eine neue Variante, die sich nicht mehr so einfach entfernen l\u00e4sst.<\/p>\n Die Info ging mir von Proofpoint zu \u2013 der Text ist etwas sperrig, aber der Sinn ist zu erfassen. Die Proofpoint-Forscher haben eine neue Dridex-Kampagne analysiert, die einige ungew\u00f6hnliche Merkmale aufweist. Dridex-Angriffe laufen schon immer individualisiert ab, wobei Millionen angepasster Mails keine Seltenheit sind. Die neue Kampagne verbindet aber drei unterschiedliche Methoden zur Verbreitung der Schadsoftware miteinander, um deren Erfolgrate zu erh\u00f6hen.<\/p>\n Die eigentliche Schadsoftware hei\u00dft Dridex botnet ID 220 und richtet sich vor allem gegen Bankkunden in Gro\u00dfbritannien, Australien und Frankreich. Es wird eine Mail mit einer Rechnung f\u00fcr ein Toilettenh\u00e4uschen mit Anhang verschickt. Die Zielgruppe und das Botnet sind nicht neu, die Kombination der Vektoren hingegen schon.<\/p>\n Bei dieser Kampagne wurden Microsoft Word- und Excel-Anh\u00e4nge mit b\u00f6sartigen Makros, gezippte, als PDF-Dokumente getarnte JavaScript-Anh\u00e4nge und dokumentbasierte Exploits verschickt. Letztere laden automatisch Dridex herunter, sobald sie auf einem angreifbaren System ge\u00f6ffnet werden. In jeder E-Mail tritt nur je einer dieser Vektoren auf. Das bedeutet, dass die Akteure im Lauf der Kampagne eine Rotation mit ihnen durchf\u00fchren.<\/p>\n Die Forscher von Proofpoint schlie\u00dfen daraus, dass die Dridex-Akteure immer einfallsreicher bei der Wahl der Angriffsvektoren werden, mit deren Hilfe sie ihre Nutzlasten \u00fcberbringen, und neue Wege erkunden, diese vor Antivirus-Software und anderen Schutzprogrammen zu verbergen. Details zu Dridex finden sich in diesem Proofpoint-Blog-Beitrag \u2013 wobei mich das Ganze etwas wundert, berichtet trendmicro im November 2015 in diesem Blog-Beitrag<\/a>, dass das Botnet ausgeschaltet worden sei.<\/p>\n Benutzer sollten sich an die Regel erinnern, keine ungew\u00f6hnlichen Anh\u00e4nge zu \u00f6ffnen, denn Neugier kann gro\u00dfen Schaden anrichten. Und hier liest<\/a> man, dass die Locky-Urheber die Dridex-Ans\u00e4tze nachahmen.<\/p>\n Der Krypto-Trojaner Locky w\u00fctet aktuell unter deutschsprachigen Nutzern und f\u00e4llt wohl mit 5.000 Infektionen pro Stunde ziemlich aus dem Rahmen. Neu ist, dass der Erpressungstrojaner mit deutschen Meldungen aufwartet. Sobald er aktiv wird, verschl\u00fcsselt er Dateien und fordert zur Zahlung eines L\u00f6segelds auf.<\/p>\n Der Trojaner verschl\u00fcsselt dabei alle erreichbaren Dateien auf den angeschlossenen Festplatten, NAS-Laufwerken und Online-Speichern oder Netzwerkfreigaben. Laut diesem heise.de-Bericht<\/a> wurde auch ein Fraunhofer-Institut infiziert. Die Verbreitung erfolgt wohl \u00fcber Makros in Office-Dokumenten und der Sch\u00e4dling wird durch Virenscanner aktuell wohl noch nicht erkannt. Es ist auch kein Weg zur Entschl\u00fcsselung der Dateien bekannt. Hier berichtete heise.de<\/a> dass die Malware wohl eine zeitlang inaktiv auf dem System schlummerte und dann koordiniert bei vielen Benutzern aktiv wurde.\u00a0 Ein weiterer Artikel findet sich bei ZDnet.de<\/a>.<\/p>\n Berliner Beh\u00f6rden arbeiten flei\u00dfig mit veralteten Internet Explorer-Versionen<\/a> (arm aber sexy und doof). Und der US-Finanzminister macht Druck auf die EU<\/a>, die gegen Steuerverg\u00fcnstigungen f\u00fcr Apple und Amazon Untersuchungen eingeleitet haben. Da wei\u00df man, was man davon zu halten hat. Zumindest Microsofts Chefjurist ist er Meinung, dass \"wir\" gute Gesetze f\u00fcr das Netz<\/a> brauchen. Und im Hinblick auf die Backdoor in iOS-Ger\u00e4ten, die die US-Justiz fordert, hat Buzzfeed hier einige Insights<\/a>. Offenbar wurde die ID 24 Stunden, nachdem das Ger\u00e4t in H\u00e4nden der Beh\u00f6rden war, ge\u00e4ndert. Vorher h\u00e4tte es \"M\u00f6glichkeiten gegeben\" die Daten \u00fcber vier verschiedene Methoden auszulesen.<\/p>\n \u00c4hnlich Artikel: Zum Wochenende fasse ich mal wieder einige Meldungen aus dem Umfeld der Cyber-Kriminalit\u00e4t zusammen. Crypto-Trojaner, Betrugsmails und Trojaner haben mal wieder reiche Ernte gehalten. Hier die \u00dcbersicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[1018,4328,1053],"class_list":["post-175123","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-malware","tag-sicherheit","tag-viren"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175123","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=175123"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175123\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=175123"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=175123"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=175123"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Stuxnet war ja ein Sch\u00e4dling (Wurm), der Steuerungsanlagen von Siemens, bevorzugt im Iran, befiel. Lange war vermutet worden, dass dieser von (US und israelischen) Geheimdiensten entwickelt wurde, um die Infrastruktur der iranischen Atomanlagen zu st\u00f6ren. Ein Dokumentarfilm stellt nun die These auf, dass Stuxnet Teil eines viel gr\u00f6\u00dferen Programms war, um einen Cyberangriff auf den Iran zu fahren. Als die USA Skupel, auf Grund der nicht absch\u00e4tzbaren Folgen, bekam, h\u00e4tten israelische Geheimdienstler eine modifizierte Fassung eingeschleust und aktiviert. Bei Interesse findet ihr bei heise.de einen deutschsprachigen Artikel<\/a>.<\/p>\n
US-Krankenhaus zahlt L\u00f6segeld<\/h3>\n
Ein \"Support\" der Poseidon-Gruppe, den Du nicht ablehnen kannst<\/h3>\n
Phishing-Mail an die Chefbuchhalterin \u2013 weg sind die Millionen<\/h3>\n
Corkow-Trojaner manipuliert russischen Rubelkurs<\/h3>\n
BKA-Trojaner: Neue Variante, nicht mehr entfernbar<\/h3>\n
Banking-Trojaner Dridex schl\u00e4gt wieder zu<\/h3>\n
Achtung: Krypto-Trojaner Locky w\u00fctet \u2013 5.000 Infektionen pro Stunde<\/h3>\n
Abschlie\u00dfend noch einige weitere Splitter<\/h3>\n
\n<\/strong>Crypto-Trojaner die Erste: Win.Trojan.Ramnit<\/a>
\nHollywood-Klinik nach Ransomware-Angriff offline<\/a>
\nCrypto-Trojaner die Zweite: .TRUN der (noch) Unbekannte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"