Archiv der Kategorie: Nachrichten

Erpresser kassierten 2016 eine Milliarde $ Lösegeld

Originalartikel von Keith Cortez, Technical Communications

Während des Jahres 2016 nahmen die Ransomware-Akteure grössere Ziele ins Visier – kleinere und grössere Unternehmen und Organisationen – von denen sie insgesamt 1 Milliarde $ erpressten. Auch schon bevor die Ransomware WannaCry ihr Unwesen trieb, hatten Unternehmen und Einzelpersonen unter den bösen Folgen dieser Art von Bedrohung zu leiden. Der Report „Ransomware: Früher, jetzt und künftig“ fasst alle Einzelheiten dazu zusammen. Nach nur einem Jahr stieg die Anzahl der Ransomware-Familien um 752%.


Weltweites Aufkommen der Bedrohung durch Ransomware (Januar 2016 – März 2017)

Im Laufe des Jahres 2016 gab es verschiedene Veränderungen an den Ransomware-Varianten. Zu den neu hinzu gekommenen Fähigkeiten gehören aktualisierte Infektionsroutinen und die Möglichkeit, immer weitere Dateitypen zu verschlüsseln. Noch ist das Ende der Fahnenstange nicht erreicht!

Das zeigt auch der jüngste WannaCry-Angriff, wahrscheinlich der umfangreichste bislang. Der Schädling nutzte dabei die kürzlich veröffentlichte Windows Server Message Block (SMB)-Sicherheitslücke (CVE-2017-0144) aus, um nicht nur in Systeme sondern in ganze Netzwerke einzudringen und Dateien zu verschlüsseln, aber auch nach SMB-Freigaben zu scannen und sich so in den Netzwerken auszubreiten. Da WannaCry auch geschäftskritische Dateien (Datenbanken und Archive) verschlüsselt hatte, blieb Opfern möglicherweise nichts anderes übrig, als das geforderte Lösegeld zu zahlen.

Obwohl WannaCry kleinere Summen (300$) fordert als andere Varianten, kann sich der Schädling über SMB-Freigaben verbreiten. Und das bedeutet, dass das betroffene Unternehmen 300$ pro infiziertem System zu zahlen hat.

WannaCry ist nicht die erste Ransomware, die Profit aus Opferunternehmen schlägt. Cerber etwa, die bislang erfolgreichste Ransomware-Familie, brachte immer wieder Unheil über die Opfer. Die Hintermänner begannen sogar, Cerber-as-a-Service-Angebote in Untergrundforen zu offerieren und verdienten damit 200.000$ in einem einzigen Monat.

Sich ständig änderndes Ransomware-Verhalten zwingt die Opfer zu zahlen, um ihre Geschäftstätigkeiten nicht zu beschädigen. Doch die Zahlung des Lösegelds bedeutet nicht immer, dass das Opfer die Daten wiederbekommt. Daher ist bei Bedrohungen wie Ransomware Prävention die bessere Option.

Ransomware-Verteidigung und Prävention

Trend Micro empfiehlt Unternehmen einige grundlegende Vorsichtsmassnahmen zu treffen, um ihr Risiko zu verringern. Folgende Schritte sollten unternommen werden:


Es gibt auch eine Reihe von Lösungen von Trend Micro für den Schutz von Mail und Gateways, der Endpunkte, des Netzwerks und der Server, mit deren Hilfe eine Ransomware-Infektion verhindert werden kann:






Weitere Informationen und Einzelheiten zur Bedrohung durch Ransomware liefert der umfangreiche Bericht „Ransomware: Früher, jetzt und künftig.

 

Nach WannaCry – die nächste Welle rollt an!

Noch keine Woche ist seit der grossen WannaCry – Angriffswelle vergangen. Es war wirklich nur eine Frage der Zeit, bis daraus neue Malware entwickelt werden würde: die Entstehung der UIWIX-Ransomware. Trend Micro erkennt die neue Bedrohung unter RANSOM_UIWIX.A.
Lesen Sie hier das Neuste dazu auf unserem englischsprachigen TrendLabs Security Blog

Ad-hoc Webinare zum Thema WannaCry/Wcry

Aus aktuellem Anlass führt Trend Micro ein Webinar zum Thema „wie schützen Sie Ihr Unternehmen vor diesen aktuellen Bedrohungen“ durch.

Webinar zu WannaCry

Nach der ersten Infektionswelle können weitere folgen, wenn in den nächsten Stunden und Tagen derzeit abgeschaltete, verwundbare Systeme wieder in Betrieb gehen. Erfahren Sie alles Wichtige über die anhaltende Bedrohung im Webinar.

Referent:
Timo Wege, Technical Consultant Pre-Sales

Sie haben zwei Daten zur Auswahl (selber Inhalt):
Dienstag, 16. Mai von 14:00 bis 15:00 Uhr –> zur Anmeldung
Donnerstag, 18. Mai von 14:00 bis 15:00 Uhr –> zur Anmeldung

Hier finden Sie alle notwendigen Informationen zur Abwehr einer potenziell bevorstehenden, zweiten Angriffswelle. Dazu gehören auch wichtige Empfehlungen zur optimalen Konfiguration Ihrer Trend Micro Lösungen. Unsere Sicherheitsexperten aktualisieren diese Empfehlungen fortlaufend, daher möchten wir Sie bitten, sich auf dem Laufenden zu halten. Auf unserem Blog erfahren Sie darüber hinaus mehr über aktuelle Erkenntnisse aus den Trend Labs und die weitere Entwicklung des Angriffs.

Deutschsprachige Aktualisierung zu WannaCry/Wcry

Dieses Jahr förderte zwei verschiedene Sicherheitsrisiken zutage: CVE-‎2017-0144, eine Sicherheitslücke im SMB-Server, die für eine Remote Code-Ausführung missbraucht werden konnte und im März geschlossen wurde, die andere ist WannaCry/Wcry, eine relativ neue Ransomware-Familie, die Ende April entdeckt wurde. Wurde bislang WannaCry über Dropbox-URLs, die in Mails eingebettet waren verteilt, so verbreiten sich die neuen Varianten jetzt über die vorher entdeckte SMB-Sicherheitslücke. Dies führte zu einem der schwersten Ransomware-Angriffe, der Nutzer weltweit traf.

Die Lösegeldforderung belief sich auf 300 $, die in Bitcoin zu zahlen sind. Dies ist weniger als die Summe, die in früheren Angriffen gefordert wurde. Neben den ursprünglichen Angriffen in Großbritannien, waren letztendlich auch viele Länder massiv betroffen.

Trend Micro erkennt die Varianten in diesem Angriff als RANSOM_WANA.A und RANSOM_WCRY.I. Kunden sind gegen die Bedrohungen bereits geschützt über Predictive Machine Learning und andere Schutzfunktionen in Trend Micro XGen™ Security.

[ACHTUNG: Identifizieren Sie die Lücken in der vorhandenen Endpoint Schutzlösung mithilfe des kostenlosen Trend Micro Machine Learning Assessment Tool.]

Infektionsvektor

Die Sicherheitslücke, die in diesem Angriff ausgenutzt wurde (Codename EternalBlue), gehörte zu denen, die die Shadow Brokers Gruppe mutmaßlich von der National Security Agency (NSA) gestohlen und öffentlich gemacht hatte. Die Sicherheitslücke wurde dazu verwendet, um eine Datei auf einem angreifbaren System abzulegen. Diese Datei wurde dann als Service ausgeführt und verschlüsselte Dateien mit der .WNCRY-Extension. (Eine separate Komponentendatei für das Anzeigen der Lösungsforderung wurde ebenfalls abgelegt.) Es geht um Dateien mit bis zu 166 verschiedenen Extensions, einschließlich solcher, die normalerweise Microsoft Office, Datenbanken, Dateiarchiven, Multimediadateien und verschiedenen Programmiersprachen verwenden.


Bild 1. Infektionsdiagramm


Bild 2. Lösegeldforderung

Feedback aus dem Smart Protection Network zeigt, dass neben Großbritannien Taiwan, Chile und Japan ebenfalls massiv betroffen waren, des weiteren auch Indien und die Vereinigten Staaten.

Die Bedrohung nutzt für die Verbreitung auf andere Systeme die abgelegte Datei, die als Service ausgeführt wird. Der Service nutzt den Namen „Microsoft Security Center (2.0)“. Er scannt nach weiteren SMB-Freigaben im Netzwerk und nutzt die EternalBlue-Sicherheitslücke für die Verbreitung.

Bild 3. Hinzugefügter Service

Wie bereits erwähnt, hat Microsoft die SMBv1-Sicherheitslücke bereits im März geschlossen. Und davor drängte Microsoft im September 2016 die Nutzer dazu, von SMBv1 zu migrieren, da der Server aus den frühen neunziger Jahren stammt. Das US-CERT hatte ähnlich dringliche Empfehlungen ausgesprochen. Unternehmen, die diesen Empfehlungen gefolgt waren, wurden vom Angriff nicht getroffen.

Trend Micro-Lösungen

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware. Die Trend Micro-Lösungen erkennen diese Bedrohungen als RANSOM_WANA.A und RANSOM_WCRY.I.

Trend Micro Deep Security™ und Vulnerability Protection, Trend Micro Deep Discovery Inspector und TippingPoint schützen gegen diese Bedrohung. Eine vollständige Liste mit ensprechenden Regeln und Filtern für die Trend Micro- und TippingPoint-Produkte gibt es auf der Trend Micro Support-Seite.

Folgende SHA256-Hashes gibt es in Bezug auf diese Ransomware:

  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

Update vom 13. Mai

 

Weltweite Ransomware-Attacke – Update

Original auf blog.trendmicro.com

Earlier this year, two separate security risks were brought to light: CVE-2017-0144, a vulnerability in the SMB Server that could allow remote code execution that was fixed in March, and WannaCry/Wcry, a relatively new ransomware family that spread via Dropbox URLs in late April. These two threats have now been combined, resulting in one of the most serious ransomware attacks to hit users across the globe.

The ransom note demanded a payment of US$ 300 be made in Bitcoin; note that this ransom demand is already lower than the amount asked for in the earlier attacks. Aside from the initial attacks in the United Kingdom, other countries were also affected in large numbers.

Trend Micro detects the variants used in this attack as RANSOM_WANA.A and RANSOM_WCRY.I. Customers are already protected against this threat through Predictive Machine Learning and other relevant ransomware protection features found in Trend Micro XGen™ security.

[Related: Identify the gaps in your existing endpoint protection solution using the free Trend Micro Machine Learning Assessment tool.]

more on blog.trendmicro.com

Fake Super Mario Run App stiehlt Kreditkarteninformationen

Originalbeitrag von Jordan Pan, Mobile Threats Analyst

Bereits im Dezember letzten Jahres berichtete Trend Micro über gefälschte Apps, die die Popularität des mobilen Spiels Super Mario Run nutzten, um Schadsoftware zu verteilen. Nun haben die Sicherheitsforscher noch mehr bösartige Android Apps gefunden, die denselben Trick anwenden und Kreditkarteninformationen der Nutzer stehlen.
Weiterlesen

Trend Micro weist gezielte Cyber-Angriffe auf deutsche und französische Politik nach

Trend Micro stellt einen neuen Report vor, der die Vorgehensweise der Hacker-Gruppe Pawn Storm analysiert und ihre Ziele verdeutlicht. Trend Micro beschreibt darin aktuelle Cyber-Angriffe auf die CDU-nahe Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung, die der SPD nahe steht, sowie auf den französischen Präsidentschaftskandidaten Emmanuel Macron. Nachdem die Gruppe im vergangenen Jahr bereits die Demokratische Partei in den Vereinigten Staaten sowie die CDU angegriffen hatte, soll nun scheinbar versucht werden, die Wahlen in Frankreich und Deutschland zu beeinflussen. Trend Micro hatte die Aktivitäten von Pawn Storm bereits in einem Report von 2014 bis ins Jahr 2004 zurückverfolgt.
Unter dem Link https://documents.trendmicro.com/assets/wp/wp-two-years-of-pawn-storm.pdf finden Sie die englische Fassung der Studie. Die deutsche Fassung gibt es in Kürze auf der Website von Trend Micro www.trendmicro.de und hier im Trend Micro Blog.

Android-Schadsoftware MilkyDoor als Nachfolger von DressCode

Originalartikel von Echo Duan and Jason Gu, Mobile Threat Response Engineers

Der Schaden, den mobile Schadsoftware in Unternehmen anrichten kann, wird immer umfassender, denn Mobilgeräte werden zur beliebtesten Plattform für den flexiblen Zugriff und die Verwaltung von Daten. Die Sicherheitsforscher von Trend Micro fanden kürzlich 200 verschiedene Android-Apps (Installationszahlen zwischen 500.000 und einer Million), die einen Backdoor beinhalteten: MilkyDoor (ANDROIDOS_MILKYDOOR.A).
Weiterlesen

Mobiltelefone werden zur unternehmensweiten Bedrohung

Originalartikel von Marco Balduzzi, Senior Threat Researcher

Seit letztem Jahr gibt es mehr Mobiltelefone auf der Welt als Menschen. In Ländern wie den USA hat die Zahl der Mobilfunkverträge die der Festnetzanschlüsse überrundet, und die Hälfte der Amerikaner nutzt mittlerweile ausschliesslich mobile Kommunikation. In modernen smarten Städten werden die Gebäude mit Funkverbindungen statt Festnetz zum Standard für Wohnungen, Fabriken und Organisationen. Festnetztelefone werden eher früher als später verschwinden. So wie Mail-Geschäftskonten über Spear Phishing angegriffen werden, nehmen nun Cyberkriminelle die Telefone über Social-Engineering-Angriffe ins Visier.

Beispielsweise geben Nutzer unbeabsichtigt ihre geschäftlichen Telefonnummern preis (etwa auf sozialen Medien-Sites) und fallen so Betrügern zum Opfer, die diese Nummern sammeln. Dieselben Angreifer führen über Social Engineering Attacken aus, indem sie damit die normalen Schutzmechanismen für den Netzwerkverkehr und Mail umgehen.

Auf Telefone ausgerichtete Denial-of-Service-Angriffe und so genannte Robocalls (automatische Werbeanrufe) sind bekannt und gelten als lästig. Das Forward-Looking Threat Research (FTR) Team von Trend Micro hat raffiniertere Angriffe über Mobiltelefone untersucht, vor allem solche, die per Hand oder Social Engineering ausgeführt wurden. Dafür haben die Sicherheitsforscher in Zusammenarbeit mit der New York Universität, Singapore Management Universität und dem Georgia Institute of Technology kürzlich einen Mobiltelefon-Honeypot (mobipot) eingerichtet, um die Bedrohungen über Funk und das cyberkriminelle Ökosystem zu untersuchen. Es ging nicht allein darum zu recherchieren, wie diese Angriffe über Funk funktionieren, sondern auch darum zu sehen, wie die Cyberkriminellen organisiert sind.

Mobipot war mit Honeycards (von den Forschern kontrollierte SIM-Karten) ausgerüstet, die Angriffe in Form von Anrufen und Nachrichten aufzeichneten. Die Nummern dieser Honeycards wurden über verschiedene Techniken an potenzielle Übeltäter gestreut, einschliesslich mobiler Schadsoftware, die die Nummer aus einer Kontaktliste eines Testtelefons ausliest. Bild 1 zeigt die Architektur von Mobipot und Bild 2 das Hardware-Setup.

Bild 1. Mobipot-Architektur

Bild 2. Mobipot Hardware

Während eines Zeitraums von sieben Monaten sammelten die Forscher 1.021 Nachrichten von 215 Absendern und 634 Anrufe von 413 Anrufern. Mehr als 80% waren nicht angefordert und umfassten Bedrohungen wie Scam, Betrug, Voice Phishing und gezielte Angriffe. Die meisten dieser Anrufe und Nachrichten kamen während der Geschäftszeiten. Das zeigt, dass die Cyberkriminellen sich in den normalen Telefonverkehr mischen, um legitim zu erscheinen. Betrüger nutzten auch GSM-Proxies und VoIP-Technik, um ihre ursprünglichen Nummern zu maskieren und zu spoofen. Deshalb waren traditionelle Erkennungstechniken auf Basis von Blacklists weniger effektiv. Neue Techniken sind gefragt, die auch kontextuelle Informationen berücksichtigen.

Scams und Spam

Scams und Spam in Form von automatischen Anrufen und Nachrichten stellten 65% des nicht angeforderten Verkehrs dar. Mobipot wurde mit Nachrichten überschüttet, die Klingeltöne, Online-Dienste und –Spiele sowie andere Arten von Werbung beinhalteten. Einige interessante Beispiele:

  • Privatdetektive mit Angeboten für Beschattungsdienste,
  • Hacking-Dienstleistung wie Zugang zu persönlichen Mails und Ausspionieren von Nutzern,
  • Handel mit illegalen Waren wie gestohlenen Kreditkarten, gekaperten Bezahlkonten, PayPal mit verifiziertem Kontostand und Rechnungen über verschiedene Beträge und in unterschiedlichen Formaten,
  • Politische Propaganda: “I wish you a New Year of health and peace. I called to tell you that the Chinese disasters continued. How we will be able to not spend money? […] Love to the Chinese Communist Party. In our program, we want to reform the land […]”

Betrug

Betrug wurde zumeist per Hand angestossen, wobei die Betrüger Social Engineering-Techniken nutzten, um ihre Opfer dazu zu bringen, Geldüberweisungen zu tätigen. Es handelte sich auch häufig um mehrstufige Angriffe, bei denen die Akteure wiederholt dasselbe Opfer kontaktierten, zuerst über einen Anruf, dann über Textnachrichten. Dabei erkundigten sich die Angreifer als vorgebliche Bank, Wohltätigkeitsorganisation oder Freund beim potenziellen Opfer immer wieder nach dem Status einer Zahlung.

So gaben einige Betrüger vor, die Provider der Honeycards zu sein. Sie „informierten“ die Forscher darüber, dass der Vertrag wegen nicht eingegangener Zahlungen gesperrt werde – die Zahlungsinformationen wurden noch am selben Tag zugeschickt. In einem anderen Fall gaben sich die Betrüger als Postdienst eines Unternehmens aus und forderten eine Gebühr, um für ein Päckchen Zoll zu zahlen. Es gab auch einen Betrüger, der private Informationen von einem Nutzer verlangte, so etwa die Schreibweise des Namens, das Passwort für ein bestimmtes Konto oder seine persönliche IM-Nummer und Konto.

Das folgende Diagramm zeigt die Verbindungen zwischen den Honeycards und einigen der Nummern, die bei den Angriffen verwendet wurden. Die Rechtecke stellen die Honeycards (mit der jeweils verwendeten Methode) dar. Jeder Kreis stellt einen separaten Angriff dar, wobei die Zahl die Menge der verwendeten Nummern darstellt. In manchen Fällen wurden mehrere Kampagnen von demselben Angreifer durchgeführt (Verbindungen zwischen den kleinen Kreisen). Die meisten Honeycards wurden über verschiedene Angriffe anvisiert.

Bild 3. Verbindungen zwischen Kampagnen und Honeycards

Mögliche Lösungen

Zur Lösung des Problems gehören sowohl menschliche als auch auf technische Aspekte.

Die Forschung hat gezeigt, dass es riskant ist, eine Telefonnummer öffentlich zugänglich zu machen. Vor allem Mitarbeiter in verantwortungsvollen Positionen müssen sich dieses Risikos bewusst werden. Für einige Mitarbeiter mag es sogar nützlich sein, die persönlichen Geräte von den geschäftlichen völlig zu trennen – einschliesslich der genutzten Nummern.

Unabhängig davon, ob die offizielle Telefonnummer eines Mitarbeiters bekannt gemacht wird oder nicht, sollte klar sein, wie man mit nicht gewünschten Anrufen umgeht. Auch muss eine heutige Sicherheitsschulung den Umgang mit nicht angeforderten Mails umfassen (z.B. sollte die Identität des Absenders klar sein sowie alle Anweisungen in der Mail geprüft werden). Diese Best Practices sind auch bereits Teil des Schutzes vor Business Email Compromise (BEC)-Taktiken, und dieselbe Logik kann auf Anrufe und Textnachrichten übertragen werden. Falls nötig, können diese Entscheidungen auch Teil der Policies sein und entsprechend durchgesetzt werden.

Es gibt aber auch technische Lösungen. Ankommende Anrufe lassen sich von Sicherheitsprodukten wie Trend Micro Mobile Security für Android filtern. Damit erhält der Nutzer ein weiteres Tool an die Hand, um die Anrufe auf dem eigenen Gerät zu verwalten.

Fazit

Die Forschung von Trend Micro zeigt zum wiederholten Mal, wie schnell sich die Cyberkriminalität an die sich ändernde Welt anpasst. Betrüger haben erkannt, dass Mobiltelefone eine wichtige Rolle im Alltagsleben von Millionen spielen und finden unterschiedliche Wege, dies auszunützen und effiziente Social Engineering-Angriffe durchzuführen. Mit steigender Zahl der gezielten Angriffe werden die mobilen Geräte der Mitarbeiter zu einer Bedrohung für ihre Unternehmen.

Die Sicherheitsforscher von Trend Micro veröffentlichten die Ergebnisse ihrer Arbeit zuerst auf der 11. ACM Asia Conference on Computer and Communications Security in China. Details dazu liefert das WhitepaperMobiPot: Understanding Mobile Telephony Threats with Honeycards.