Archiv der Kategorie: Cloud & Virtualizierung

englischsprachige Webinare in den nächsten Monaten

Die  folgenden Webinare in englischer Sprache sind bereits fixiert:

  • How to secure your SAAS applications – Advanced threat security
    Discover the most common challenges in advanced threat security and learn what steps to take for securing your SAAS based applications.
    27.10.2017 11:00 – 12:00 | 12.12.2017 11:00 – 12:00
  • Network Defense: Why Visibility is key to rooting out Ransomware
    Get actionable insights on network visibility and how it can help you prevent unforeseen risks and costs.
    24.11.2017 11:00 – 12:00 | 12.01.2018 11:00 – 12:00
  • Improve your protection fron new threats and share in real time with your Connected Threat Defense
    14.12.2017 11:00 – 12:00 |23.02.2018 11:00 – 12:00

HTML-Anhänge und Phishing in BEC-Angriffen

Originalbeitrag von Lord Alfred Remorin, Senior Threat Researcher

Angreifer gehen immer mehr dazu über, die traditionell in Business E-Mail Compromise (BEC)-Angriffen eingesetzten Keylogger für den Diebstahl von Kontoinformationen von den anvisierten Maschinen durch HTML-Seiten im Anhang zu ersetzen. Sie wirken auf den ersten Blick harmloser als Executables und sind daher wirksamer.


Bild 1. Phishing-Mail mit HTML-Anhang

Beim Öffnen des Anhangs geht ein Browser mit folgendem Inhalt auf:

Bild 2. HTML Phishing-Seite (Vergrößern durch Klicken)

Um den Nutzer weiter zu ködern, sind Logos bekannter Mail Provider in die Seite eingefügt. Gibt ein Opfer Nutzername/Kennwort – wie gefordert – ein, so werden diese Infos an ein vom Angreifer konfiguriertes PHP-Skript geschickt. Dieses wiederum sendet die Infos an ein Konto des Angreifers.

Die Untersuchung des Quellcodes des HTML-Anhangs ergab, dass er wahrscheinlich in Nigeria programmiert wurde, denn der Google-Link zeigt auf eine Version dieses Landes. Dies scheint aufgrund der Funde in nigerianischen Foren umso wahrscheinlicher. Nairaland etwa enthielt eine Werbung für Betrugsseiten. Der Verkäufer bietet verschiedene Betrugsseiten für unterschiedliche Mail-Services wie 163 Mail, Gmail, Hotmail und Yahoo Mail an.

Bild 3. Website mit Betrugsseiten für Mail Services

Keyloggers sind immer noch häufig im Einsatz, um die Konten der Opfer effizient zu stehlen. Doch die Lieferung eines Executables über Mail kann heutzutage wegen Anti-Spam-Regeln schwierig werden. Eine HTML-Seite hingegen stellt keine sofortige Bedrohung dar, es sei denn, die Datei wurde verifiziert und als Phishing-Seite erkannt.

Eine Phishing-Seite ist einfach zu codieren und zu installieren, anders als ein Keylogger, der Codierkenntnisse erfordert. Eine Phishing-Seite läuft zudem auf jeder Plattform und benötigt lediglich einen Browser.

HTML-Anhänge in Zahlen

Die Daten aus dem Trend Micro Smart Protection Network zeigen zwischen dem 1. Juli 2016 und dem 30. Juni 2017 14.867 Records und 6.664 einzigartige Hashes:

Bild 4. Zahl der BEC-bezogenen Phishing-Angriffe pro Monat

Bild 5.  BEC-bezogenen Phishing-Angriffe pro Land

Bild 6. Schlüsselwörter in BEC-bezogenen Phishing-Angriffen

Weitere Informationen zu dem Thema liefert der Originalbeitrag.

OSX-Schadsoftware mit Verbindung zu Operation Emmental kapert Netzwerkverkehr

von Rubio Wu, Threats Analyst

Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware. Die Schadsoftware zielt in erster Linie auf Banking-Nutzer in der Schweiz. Sie nutzt eine Phishing-Kampagne, um die Payload abzulegen, die dann über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers kapert. OSX_DOK.C scheint eine weitere Version von WERDLOD (von Trend Micro als TROJ_WERDLOD identifiziert) zu sein, eine Schadsoftware, die in den Operation Emmental-Kampagnen zum Einsatz kam – eine interessante Entwicklung.

Übertragungsmethode und Infektionsablauf



Bild 1: OSX_DOK.C-Infektionsroutine für Mac-Systeme

OSX_DOK.C wird über eine Phishing-Mail verbreitet, die bestimmte Dateien enthält, entweder als .zip oder .docx. Die von den Sicherheitsforschern von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben. Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Einige Beispiele von Dateien, die im Mail-Anhang eingesetzt wurden, sind die folgenden:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • docx
  • 06.2017.docx

Weiterlesen

Erpresser kassierten 2016 eine Milliarde $ Lösegeld

Originalartikel von Keith Cortez, Technical Communications

Während des Jahres 2016 nahmen die Ransomware-Akteure grössere Ziele ins Visier – kleinere und grössere Unternehmen und Organisationen – von denen sie insgesamt 1 Milliarde $ erpressten. Auch schon bevor die Ransomware WannaCry ihr Unwesen trieb, hatten Unternehmen und Einzelpersonen unter den bösen Folgen dieser Art von Bedrohung zu leiden. Der Report „Ransomware: Früher, jetzt und künftig“ fasst alle Einzelheiten dazu zusammen. Nach nur einem Jahr stieg die Anzahl der Ransomware-Familien um 752%.


Weltweites Aufkommen der Bedrohung durch Ransomware (Januar 2016 – März 2017)

Im Laufe des Jahres 2016 gab es verschiedene Veränderungen an den Ransomware-Varianten. Zu den neu hinzu gekommenen Fähigkeiten gehören aktualisierte Infektionsroutinen und die Möglichkeit, immer weitere Dateitypen zu verschlüsseln. Noch ist das Ende der Fahnenstange nicht erreicht!

Das zeigt auch der jüngste WannaCry-Angriff, wahrscheinlich der umfangreichste bislang. Der Schädling nutzte dabei die kürzlich veröffentlichte Windows Server Message Block (SMB)-Sicherheitslücke (CVE-2017-0144) aus, um nicht nur in Systeme sondern in ganze Netzwerke einzudringen und Dateien zu verschlüsseln, aber auch nach SMB-Freigaben zu scannen und sich so in den Netzwerken auszubreiten. Da WannaCry auch geschäftskritische Dateien (Datenbanken und Archive) verschlüsselt hatte, blieb Opfern möglicherweise nichts anderes übrig, als das geforderte Lösegeld zu zahlen.

Obwohl WannaCry kleinere Summen (300$) fordert als andere Varianten, kann sich der Schädling über SMB-Freigaben verbreiten. Und das bedeutet, dass das betroffene Unternehmen 300$ pro infiziertem System zu zahlen hat.

WannaCry ist nicht die erste Ransomware, die Profit aus Opferunternehmen schlägt. Cerber etwa, die bislang erfolgreichste Ransomware-Familie, brachte immer wieder Unheil über die Opfer. Die Hintermänner begannen sogar, Cerber-as-a-Service-Angebote in Untergrundforen zu offerieren und verdienten damit 200.000$ in einem einzigen Monat.

Sich ständig änderndes Ransomware-Verhalten zwingt die Opfer zu zahlen, um ihre Geschäftstätigkeiten nicht zu beschädigen. Doch die Zahlung des Lösegelds bedeutet nicht immer, dass das Opfer die Daten wiederbekommt. Daher ist bei Bedrohungen wie Ransomware Prävention die bessere Option.

Ransomware-Verteidigung und Prävention

Trend Micro empfiehlt Unternehmen einige grundlegende Vorsichtsmassnahmen zu treffen, um ihr Risiko zu verringern. Folgende Schritte sollten unternommen werden:


Es gibt auch eine Reihe von Lösungen von Trend Micro für den Schutz von Mail und Gateways, der Endpunkte, des Netzwerks und der Server, mit deren Hilfe eine Ransomware-Infektion verhindert werden kann:






Weitere Informationen und Einzelheiten zur Bedrohung durch Ransomware liefert der umfangreiche Bericht „Ransomware: Früher, jetzt und künftig.

 

Nach WannaCry – die nächste Welle rollt an!

Noch keine Woche ist seit der grossen WannaCry – Angriffswelle vergangen. Es war wirklich nur eine Frage der Zeit, bis daraus neue Malware entwickelt werden würde: die Entstehung der UIWIX-Ransomware. Trend Micro erkennt die neue Bedrohung unter RANSOM_UIWIX.A.
Lesen Sie hier das Neuste dazu auf unserem englischsprachigen TrendLabs Security Blog

Ad-hoc Webinare zum Thema WannaCry/Wcry

Aus aktuellem Anlass führt Trend Micro ein Webinar zum Thema „wie schützen Sie Ihr Unternehmen vor diesen aktuellen Bedrohungen“ durch.

Webinar zu WannaCry

Nach der ersten Infektionswelle können weitere folgen, wenn in den nächsten Stunden und Tagen derzeit abgeschaltete, verwundbare Systeme wieder in Betrieb gehen. Erfahren Sie alles Wichtige über die anhaltende Bedrohung im Webinar.

Referent:
Timo Wege, Technical Consultant Pre-Sales

Sie haben zwei Daten zur Auswahl (selber Inhalt):
Dienstag, 16. Mai von 14:00 bis 15:00 Uhr –> zur Anmeldung
Donnerstag, 18. Mai von 14:00 bis 15:00 Uhr –> zur Anmeldung

Hier finden Sie alle notwendigen Informationen zur Abwehr einer potenziell bevorstehenden, zweiten Angriffswelle. Dazu gehören auch wichtige Empfehlungen zur optimalen Konfiguration Ihrer Trend Micro Lösungen. Unsere Sicherheitsexperten aktualisieren diese Empfehlungen fortlaufend, daher möchten wir Sie bitten, sich auf dem Laufenden zu halten. Auf unserem Blog erfahren Sie darüber hinaus mehr über aktuelle Erkenntnisse aus den Trend Labs und die weitere Entwicklung des Angriffs.

Nächste Webinare / Next Webinars


English Webinars:

24.05.17: Business E-Mail Compromise attacks – A new era of threat
A Business Review webinar jointly with E&Y
Join this webinar to hear several real-world examples highlighting how BPC works and specific steps that your organisation can take to recognise and defend against Business Process Compromise.

Deutschsprachige Webinare:

Channel-Webinar 18.05.17: Deep Security 10 – neue Funktionalitäten
Was Sie lernen werden:

  • wie sie Anwendungen über verschiedene Infrastruktur-Plattformen verwalten
  • wie sie Web Reputation und Sandbox-Analyse zum Schutz vor Malware-Attacken nutzen
  • wie sie verdächtige Aktivitäten und unbefugte Änderungen erkennen

Weitere Webinare

Das Aufkommen der IoT-Zombies und die Gefahr von Botnets

Originalartikel von Trend Micro

Beim Cyber-Angriff auf die Server DNS-Anbieters Dyn Ende letzten Jahres waren einige bekannte Websites von Unternehmen wie etwa Twitter und Netflix betroffen. Der Übeltäter: Ein Botnet auf Basis des Internet of Things (IoT), das über eine Schadsoftware namens Mirai erzeugt wurde. Es stellt sich die Frage, was man tun kann gegen bösartige Programme wie Mirai und andere, die den ihren Profit aus der wachsenden Zahl von vernetzten Geräten ziehen wollen.

Der Autor von All About Circuits, Robin Mitchell, nannte diese Art der Cyberkriminalität ein „Zombie“-Botnet. Mithilfe des Mirai-Programms konnten böswillige Akteure ein Netzwerk aus Zombie-Geräten von etwa 100.000 verbundenen Objekten erstellen. Dies war möglich, weil die IoT-Geräte über nicht genügend effiziente Sicherheitsprotokolle verfügten, um der Infiltrierung zu entkommen. Auch nutzten diese Objekte wahrscheinlich immer noch ihre Default-Passwörter, die ihnen während der Fertigung gegeben wurden.

Die Analysten des Marktforschungsinstituts Gartner prognostizieren für 2020 20,8 Milliarden verbundene Objekte im IoT, von Thermostaten und Lichtschaltern im smarten Haus bis zu Drohnen, verbundenen Teekannen oder anderen Dingen des Alltags. Haben all diese dieselben Sicherheitslücken wie die vom Dyn-Hack betroffenen, so kann dies katastrophale Auswirkungen haben.

Der Quellcode von Mirai wurde im September 2016 veröffentlicht, und dies hatte ein „Wettrüsten“ zur Folge, denn die Hacker entwickelten neue Varianten der Malware, um auf unsichere IoT-Geräte zuzugreifen.

Einige Botnets sind relativ harmlos. Beispiel dafür ist ein kürzlich entdecktes Netzwerk von gefälschten Twitter-Konten. Darüber wurden zwar nur willkürliche Passagen aus Star Wars verbreitet, doch könnte es eine wertvolle Quelle für die Erforschung von Twitter-Bots sein, so Juan Echeverria von der University College of London, der das Botnet entdeckt hatte. Das Beispiel zeigt auch, wie schwierig es ist, Botnets aufzuspüren, und gibt darüber hinaus einen Vorgeschmack auf die Herausforderungen, die auf Unternehmen zukommen könnten, wenn sie ihre Netzwerke vor Zombie-Geräten schützen müssen.

Wie kann der Schutz aussehen?

Eine der Optionen sind höhere Investitionen in Cyber-Sicherheitsmaßnahmen, um Unternehmensnetzwerke vor Einbrüchen über Malware wie Mirai zu schützen. Gartner schätzt, dass bis 2018 die Ausgaben für IoT-Sicherheit auf 547 Millionen $ steigen werden.

Wenn es um die Sicherheit geht, rücken auch die IoT-Gerätehersteller weiter in den Vordergrund – sie müssen bessere Passwörter für ihre verbundenen Geräte liefern und im Allgemeinen mehr auf die Sicherheitsrisiken achten, die ihre Produkte in sich tragen. Die Sicherheitsforscher von Trend Micro betonen, dass sowohl die Verbraucher als auch die Regulierungsbehörden mehr Druck auf die Hersteller ausüben müssen, damit diese ihre Sicherheitspraktiken verbessern – oder sie werden damit leben müssen, dass sich ihre Produkte nicht verkaufen lassen.

Heimrouter stellen einen weiteren Schlüsselaspekt in der Botnet-Diskussion dar. Den Sicherheitsforschern zufolge ist es von grundlegender Bedeutung diese Geräte gut abzusichern, da sie der Türsteher für alle neuen smarten Heimtechniken sind. Gelingt es Hackern, sie in Zombies zu verwandeln, haben sie die Kontrolle über das smarte Haus.

„Der Einsatz von Basisabriegelung auf dem Gateway reicht nicht aus.”, so die Trend Micro-Forscher Kevin Y. Huang, Fernando Mercês und Lion Gu. „Angreifer werden immer Wege finden, um die Türen aufzubrechen, die Geräte zu infizieren und sie unter ihre Kontrolle zu bringen.“

Cybersecurity Software, Zweifaktor-Authentifizierung und das Wissen um bessere Passwörter sind wichtige Aspekte im Schutz der Netzwerke vor Botnets. Und so lange bis die Hersteller der Geräte ihre Sicherheitspraktiken nicht verbessern, liegt es bei den Cyber-Sicherheitsanbietern und der Öffentlichkeit darüber aufzuklären, dass Heimrouter gesichert und die drahtlosen Verbindungen verschlüsselt sein müssen.

Weiterführende Artikel:

  1. SIMDA: Ausschalten eines Botnets
  2. 2017, das Jahr in dem IoT-Bedrohungen zur Normalität werden
  3. Der Security-RückKlick KW 48
  4. Nach dem Takedown des Pushdo-Botnetzes geht Spam-Aufkommen zurück
  5. Mirai erweitert die Verteilung mit einem neuen Trojaner

Trend Micro ist bestplatzierter Anbieter im neusten Gartner Magic Quadrant for Endpoint Protection Platforms


Gartner Magic Quadrant: Trend Micro ist bestplatzierter Anbieter von „Endpoint Protection Platforms“

Das Analystenhaus Gartner hat das japanische IT-Sicherheitsunternehmen Trend Micro in seinem aktuellen magischen Quadranten für „Endpoint Protection Platforms (EPP)“[1] als bestplatzierten Anbieter im „Leaders Quadrant“ eingestuft. Dies gilt für beide Bewertungskategorien, sowohl „completeness of vision“ als auch „ability to execute“. Trend Micro ist bereits seit 2002 als marktführender Anbieter von Sicherheitslösungen für Endpunkte und Server in Unternehmen platziert.

„Wir sind der Meinung, dass wirkungsvoller Schutz eine generationenübergreifende Kombination von Techniken zur Bedrohungsabwehr voraussetzt. Meiner Ansicht nach drückt die Bestplatzierung im Quadranten der marktführenden Anbieter die Anerkennung unseres innovativen Sicherheitsansatzes aus“, so Kevin Simzer, Executive Vice President, Sales, Marketing and Business Development bei Trend Micro. „Dass wir seit so vielen Jahren als marktführender Anbieter eingestuft werden, zeigt unsere Fähigkeit, Technik auf dem neuesten Stand zu liefern und gleichzeitig Abwehrmechanismen zu entwickeln, die zur Abwehr der Bedrohungen von morgen nötig sind. Unternehmen in allen Teilen ihrer Organisation schützen zu können, zeichnet uns am Markt aus.

Der vollständige Gartner-Bericht „Magic Quadrant for Endpoint Protection Platforms“ steht hier zum Herunterladen bereit.

Zur vollständigen Pressemitteilung von Trend Micro:
Zum Download

Weitere Informationen zum Thema Endpunktsicherheit sind unter https://www.trendmicro.de/xgen erhältlich. Mehr Details über die hybride Trend Micro-Lösung für Cloud-Sicherheit finden sich unter https://www.trendmicro.com/hybridcloud.

Was Cyberkriminelle 2017 vorhaben

Bildschirmfoto 2016-12-12 um 08.01.52

Die schlechten Vorsätze fürs neue Jahr. Weiterentwicklung von Erpresser-Software – „Business Email Compromise“ als neuer Favorit der Angreifer – IoT und IIoT rücken in den Fokus. Eine kurze Zusammenfassung der Voraussagen für 2017.

Nachdem 2016 als das Jahr der Online-Erpressung in die Geschichte eingehen wird, wird sich Ransomware im kommenden Jahr in mehrere Richtungen weiterentwickeln. Zu den neuen Varianten zählt „Business Email Compromise“, das es auf geschäftliche E-Mails wichtiger Unternehmensmitarbeiter abgesehen hat und sich bereits als neuer Favorit des digitalen Untergrunds erweist, sowie „Business Process Compromise“, also das Kapern oder Verändern ganzer Geschäftsprozesse. Auch „harmlose“ smarte Geräte, die in massiven DDoS-Angriffen eine Rolle spielen werden, befinden sich unter den Zielen der Cyberkriminellen. Diese werden zusätzlich zum „Internet der Dinge“ (IoT) auch das „Industrielle Internet der Dinge“ (IIoT) ins Visier nehmen. Und schliesslich wirft die für Mitte 2018 anstehende EU-Datenschutz-Grundverordnung ihre nun deutlicher werdenden Schatten voraus. Eine vollständige Übersicht der Themen, die das Jahr 2017 aus Security-Sicht beherrschen werden, findet sich in den Sicherheitsvorhersagen für das Jahr 2017.