![\"\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum Einstieg in das Osterwochenende fasse ich in diesem Blog-Beitrag noch einige Sicherheitsinfos zusammen, die mir die Tage unter die Augen gekommen sind. Ransomware allerorten und fr\u00f6hliche Urst\u00e4nde bei Industrie 4.0 markieren die Bandbreite.<\/p>\n
<\/p>\n
Die IT sah sich gezwungen, das Netzwerk herunterzufahren, um die Systeme von Locky zu befreien. Die Klinik arbeitet dann in einem \"papiergest\u00fctzten\" Modus im Notfallmodus (es gab wohl entsprechende Pl\u00e4ne, die vor Jahren erstellt worden waren). W\u00e4hrend dieser Zeit bekamen Besucher der Klinik-Webseite eine Bannerwarnung mit dem Hinweis auf die Infektion angezeigt. Wer die Webseite des Methodist Hospital<\/a> jetzt aufruft, bekommt aber keinen Hinweis mehr auf die Locky-Infektion angezeigt. (via<\/a>)<\/p>\n Das Ottawa Hospital in Kanada war nach diesem Bericht<\/a> durch Ransomware befallen. Angeblich sollen nur vier Computer von 9.800 Systemen von der Infektion betroffen worden sein. Die IT behauptet, dass keine Patientendaten verschl\u00fcsselt oder Daten kompromittiert wurden. Scheint also glimpflich abgegangen zu sein, denn die Festplatten der vier Systeme wurde einfach formatiert und dann wurden diese neu aufgesetzt.<\/p>\n Im Blog von Malwarebytes gibt es diesen Beitrag, der einen anderen Aspekt aufwirft. Angeregt durch diese Meldung haben die Sicherheitsforscher von Malwarebytes sich die Webseiten weiterer Kliniken in Kanada angesehen. Die Webseite des Norfolk General Hospital in Ontario war wohl gehackt und hat Ransomeware ausgeliefert. Von Malwarebytes aufgesetzte Honeypots wurden beim Besuch der Klinik-Website durch einen Angler Exploit Kit infiziert. Dieser wurde vom (gehackten) Sourecode der Website ausgeliefert. Laut Malwarebytes lief Joomla 2.5.6 (aktuell ist 3.4.8), welches verschiedene Sicherheitsl\u00fccken aufweist. Diese wurden wohl beim Angriff ausgenutzt, um den Angler Exploit Kit zu injizieren. Konkret wurde eine TeslyCrypt-Variante verteilt.<\/p>\n Generell schreibt Malwarebytes, dass man in Kanada eine gr\u00f6\u00dfere Anzahl (mehrere 10.000) an Ransomware-Infektionen festgestellt habe. In diesem Malwarebytes-Blog-Beitrag<\/a> gibt es neue Informationen \u00fcber die EITest\/Angler Exploit Kit-Kampagne und die ge\u00e4nderten Angriffswege \u00fcber Flash.<\/p>\n In diesem Blog-Beitrag<\/a> gehen die Autoren bei Malwarebytes auf die neue Ransomware Maktub ein, die per Spam verteilt wird. Es wird eine Aktualisierung der Gesch\u00e4ftsbedingungen in der E-Mail angek\u00fcndigt, wobei im Anhang vorgeblich eine PDF- oder Textdatei, aber mit der Dateinamenerweiterung .scr ausgeliefert wird.<\/p>\n (Quelle: Malwarebytes)<\/p>\n \u00d6ffnet der Empf\u00e4nger die Anh\u00e4nge, wird wohl ein Dokument (RTF) angezeigt, w\u00e4hrend die Verschl\u00fcsselung der Dokumentdateien im Hintergrund beginnt. Dabei braucht der Trojaner nicht mal eine Online-Verbindung, um den Schl\u00fcssel anzufordern.<\/p>\n Von einem weiteren Erpressungstrojaner mit dem Namen Petya, der wohl auch in Deutschland aktiv ist, berichtet heise.de in diesem Artikel<\/a>. Die Verteilung erfolgt \u00fcber Spam-Mails, die angeblich Bewerbungsunterlagen enthalten. Diese \"Dokumente\" finden sich auf einem Dropbox-Online-Speicher. Versucht der Nutzer die Dokumente zu \u00f6ffnen, wird die Datei Bewerbungsmappe-gepackt.exe<\/em> ausgef\u00fchrt. Als Icon wird das Logo eines Packprogramms angezeigt. Bei der Infektion wird wohl der Master-Boot-Record des Rechners \u00fcberschrieben, was die vorherige Zustimmung des Benutzers per Benutzerkontensteuerung erfordert.<\/p>\n Die Ransomware erzeugt dann einen Blue Screen, um beim Booten eine ASCII-Meldung mit dem Hinweis, dass der Rechner verschl\u00fcsselt sei, einzublenden. Bez\u00fcglich der Frage, ob der Trojaner die Festplatte verschl\u00fcsselt, gibt es widerspr\u00fcchliche Informationen. Nutzer berichten, dass die Reparatur des MBR das System wieder nutzbar macht. Heise schreibt, dass bei einem Test die Festplatte durch die Reparatur des MBR nicht mehr nutzbar wurde \u2013 lediglich die Meldung beim Booten erschien nicht mehr.<\/p>\n Bei Reddit.com hat \u00fcbrigens jemand einen deutschsprachigen Sub-reddit zu Erpressungstrojanern<\/a> eingerichtet. Ist aber noch arg leer.<\/p>\n Nachtrag: Zwischenzeitlich zieht das Thema im Web Kreise – so finden sich hier<\/a> und hier<\/a>\u00a0Beitr\u00e4ge zu Petya.<\/p>\n Bei heise.de gibt es zwischenzeitlich diesen Artikel<\/a> mit Hinweisen, wie man Petya stoppen kann.<\/p><\/blockquote>\n Wer eine popul\u00e4rere Website betreibt, wird fr\u00fcher oder sp\u00e4ter mit DDoS-Angriffen konfrontiert. So war die Website von Dr. Windows zeitweise nicht erreichbar und die Betreiber mussten \u2013 nach meiner Beobachtung \u2013 f\u00fcr ein paar Tage Cloudflare<\/a> vorschalten, um den Angriff ins Leere laufen zu lassen. Auch der Webserver, auf dem meine Blogs laufen, wird h\u00e4ufiger durch DDoS-Attacken angegriffen. Dann ist die Reaktionszeit zeitweise schlecht. Hier versucht HostEurope gegenzusteuern.<\/p>\n Wie heise.de hier berichtet<\/a>, versucht nun eine Gruppe mit dem Namen RedDoor Firmen in Deutschland, \u00d6sterreich und der Schweiz mit Online-Auftritten zu erpressen. Es sollen 3 Bitcoin gezahlt werden, andernfalls erfolge ein DDoS-Angriff auf die Webseite. Laut heise.de soll es sich aber um einen Bluff handeln.<\/p>\n Eine andere Geschichte ist der Versuch diverser Firmen mit vorgegaukelten Betrugsmeldungen \u00fcber Domainverl\u00e4ngerungen oder infizierte Webseiten Gesch\u00e4ftsbeziehungen einzugehen.<\/p>\n So bekomme ich als Admin-C diverser Webseiten regelm\u00e4\u00dfig Mails, die auf eine angeblich auslaufende Domain-Registrierungs (Domain expiration notice) hinweisen, die gegen Zahlung von X Euro verl\u00e4ngert werde. Die Betr\u00fcger k\u00f6nnen die Kontaktdaten ja \u00f6ffentlich \u00fcber die Admin-C-Records einsehen. Zust\u00e4ndig f\u00fcr Domainverl\u00e4ngerungen ist \u00fcblicherweise der Provider \u2013 und bei genauer Lekt\u00fcre der Mails f\u00e4llt auf, dass diese nichts mit der Verl\u00e4ngerung einer Domain-Registrierung zu tun haben, sondern von diversen \"Dienstleistern\" stammen, die irgend etwas rund um Webseiten (SEO-Optimierung, Sicherheit etc.) anbieten.<\/p>\n Und noch eine Masche l\u00e4uft. Im Januar erhielt ich eine Mail von einem Anbieter mit dem Hinweis, dass meine Website bei Kaspersky, Avira, ESET, Sophos, Fortinet auf der Blacklist stehe. Er bot mir gegen Geld an, die Infektion zu beseitigen und Details zu nennen. Da meine Site kurz vorher f\u00e4lschlich wegen der PayPal-Geschichte (Borncity.com blacklisted auf OpenDNS<\/a>) auf Blacklists kam, schrillten nat\u00fcrlich alle Alarmglocken. Ich habe sofort die Site bei Virustotal extern scannen lassen \u2013 ohne Befund. Auch die intern in WordPress mitlaufenden Virenscanner erbrachten keinen Befund, die Site borncity war also sauber. Mich hat auch keine Leser-Mail erreicht, dass da ein Virenscanner Alarm schlug.<\/p>\n PS: Wer bei HostEurope seinen Webauftritt hostet und keine eigene Schutzsoftware auf dem Server laufen l\u00e4sst, kann bei diesem Anbieter auch Sicherheitsl\u00f6sungen buchen. Hier gibt es<\/a> einen Artikel im HostEurope-Blog zu Antimalware-Schutz und eine Beschreibung des Diensts Site Lock zum Schutz der Website. Site Lock beinhaltet Malware-Scans und ggf. Bereinigung einer Infektion \u2013 Details im HostEurope-Blog.<\/p><\/blockquote>\n Das Versionsverwaltungssystem Git ist bei Softwareentwicklern recht popul\u00e4r. Die Entwickler der Git-Plattform haben in der Software (Client und Server) Sicherheitsl\u00fccken entdeckt und auch geschlossen. Wer \u00e4ltere Git-Softwareversionen (Client und Server) einsetzt, l\u00e4uft Gefahr, dass diese Sicherheitsl\u00fccken ausgenutzt werden. Falls jemand betroffen ist, findet er in diesem heise.de-Artikel<\/a> n\u00e4here Informationen.<\/p>\n Eine weitere Schadsoftware zielt auf Android-Nutzer. Im Blog von Malwarebytes wird berichtet, das Nutzer beim Besuch einer Website im Browser die Meldung<\/p>\n WARNING: Your Android system is expired!<\/p>\n in einem Popup angezeigt erhalten. Gleichzeitig erscheint ein Hinweis, wie man sein Android \u00fcber einen \"Play Store\" update kann. Wer dieser Aufforderung Folge leistet, bekommt im besten Fall den Hinweis, dass das Update f\u00fcr sein Land nicht verf\u00fcgbar sei. Im schlechtesten Fall werden Viren ausgeliefert.<\/p>\n Hier im Blog habe ich ja diverse Male meine Zweifel, ob der Frage, ob wir mit Industrie 4.0, Internet of Things und die allgegenw\u00e4rtige Vernetzung, sicherheitstechnisch auf dem richtigen Weg sind, ausgedr\u00fcckt. Mir erscheint es kaum realistisch, mit Software und Standards, die teilweise vor Jahrzehnten entworfen wurde, eine abgesicherte und nicht angreifbare Vernetzung von Ger\u00e4ten hin zu bekommen. Die Hacks in der Industrie sprechen ja eine deutliche Sprache (Stahlwerk und Energieversorger angegriffen und lahm gelegt, Verschl\u00fcsselungstrojaner-Angriffe oder Hacks von Industrieanlagen zur Spionage als t\u00e4gliche Meldung etc.).<\/p>\n Da w\u00fcrde ich erwarten, dass Industrienutzer und auch die Anbieter mal ein Moratorium abhalten und \u00fcberlegen, wohin es mit Vernetzung und Industrie 4.0 aus Sicherheitsgr\u00fcnden gehen soll. Mir stechen daher Meldungen ins Auge, die dieser \u00dcberlegung kontr\u00e4r entgegen stehen. Auf eine solche Meldung bin ich mal wieder bei heise.de im Artikel Maschinensteuerung direkt aus der Buchhaltung<\/a> gesto\u00dfen. Nach dem Motto CeBIT l\u00e4sst gr\u00fc\u00dfen, wird \u00fcber eine ERP-Anwendung von Abas berichte, die in der neuesten Version Funktionen enth\u00e4lt, um aus der Auftragsbearbeitung Roboter in der Fabrikhalle oder in einem Hochregallager anzusprechen. Ich wei\u00df nicht, wie es euch geht, aber f\u00fcr mich war der Schuss deutlich zu h\u00f6ren: Auftragsbearbeitungssysteme finden sich im Office-Bereich von Unternehmen \u2013 da, wo Trojaner und Schadsoftware wirken. Hacks von Industriesteuerungen fanden m.W. meist \u00fcber genau diese Office-Bereich von Unternehmen per kompromittiertem E-Mail-Anhang statt und verbreiteten sich \u00fcber das Unternehmensnetzwerk, bis der Produktionsbereich und damit die Steuerungen erreichbar waren. Wir d\u00fcrften bald noch mehr F\u00e4lle zu vermelden haben, in denen mal eine Produktion durch solche L\u00f6sungen per Hack ausspioniert oder lahmgelegt wurde.<\/p>\n \u00c4hnliche Artikel:<\/strong> Zum Einstieg in das Osterwochenende fasse ich in diesem Blog-Beitrag noch einige Sicherheitsinfos zusammen, die mir die Tage unter die Augen gekommen sind. Ransomware allerorten und fr\u00f6hliche Urst\u00e4nde bei Industrie 4.0 markieren die Bandbreite.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4617,4715,4328,4325],"class_list":["post-175991","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-industrie-4-0","tag-ransomware","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=175991"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175991\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=175991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=175991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=175991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Sicherheitsblogger Brian Krebs berichtet in diesem Beitrag<\/a>, dass das Methodist Hospital<\/a> in Kentucky durch den Locky-Trojaner befallen war. Der Verschl\u00fcsselungstrojaner breitete sich \u00fcber das Netzwerk der Klinik aus und befiel deren Systeme. Die Angreifer forderte 4 Bitcoin (ca. 1.600 US $) L\u00f6segeld. Bisher ist, laut Krebs, noch nicht entschieden, ob man das L\u00f6segeld zahlt.<\/p>\n
Kanadische Klinik-Website verteilte Ransomware<\/h3>\n
Neue Maktub Locker-Ransomware<\/h3>\n
Petya-Erpressungstrojaner sperrt den (Windows)-Rechner<\/h3>\n
RedDoor: Drohung mit DDoS-Angriffen gegen deutsche Webseiten<\/h3>\n
Betrugsmails an Webseitenbetreiber<\/h3>\n
Ungepatchte Git-Server\/-Client anf\u00e4llig f\u00fcr Schadcode<\/h3>\n
Dein Android ist veraltet<\/h3>\n
Den Schuss nicht geh\u00f6rt – Maschinensteuerung aus ERP<\/h3>\n
\nWichtige Sicherheitsinfos (24.3.2016)<\/a>
\nSicherheits-News zum Wochenstart (21.3.2016)<\/a>
\nCyber-Sicherheit: gr\u00f6\u00dfte Sorgen europ\u00e4ischer Unternehmen<\/a>
\nIBM Studie: Chefetage wiegt sich h\u00e4ufig zu sehr in IT-Sicherheit<\/a>
\nSicherheitsrisiko beim 3D-Druck \u2026<\/a>
\nMega-Fail: IT und Bordelektronik im Auto \u2026<\/a>
\nErpressungs-Software auf dem Vormarsch<\/a>
\nCyber-Crime: (keine) R\u00e4ubergeschichten zum Sonntag<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"