Schlagwort-Archive: Bedrohung

Studie: Cybersicherheit ist grosse Herausforderung für europäischen Finanzsektor

Der Finanzsektor in Europa steht vor grossen Herausforderungen bei der IT-Sicherheit – das ergab eine Studie von Trend Micro. Wie der IT-Sicherheitsanbieter herausfand, haben 61 Prozent der IT-Entscheider im Finanzwesen den Eindruck, dass die Cyberbedrohungen für ihr Unternehmen im vergangenen Jahr zugenommen haben. Fast die Hälfte von ihnen (45 Prozent) gaben darüber hinaus Probleme an, mit den Bedrohungen Schritt zu halten.

Für die Untersuchung wurden über 1.000 IT- und IT-Sicherheitsentscheider in Europa befragt, von denen 344 im Finanzsektor tätig sind. Ein Drittel der Befragten aus dem Finanzwesen gab an, Probleme dabei zu haben, mit ihrem Budget wirkungsvoll für Cybersicherheit zu sorgen. Das bleibt nicht ohne Folgen: 34 Prozent berichteten, dass ihre Zufriedenheit am Arbeitsplatz im vergangenen Jahr gesunken ist.

„Datenschutz war noch nie wichtiger. Besonders Finanzdienstleister stehen vor nicht zu unterschätzenden Herausforderungen bei der Umsetzung neuer Vorgaben wie der DSGVO (EU-Datenschutzgrundverordnung) und PSD2 (Payment Services Directive 2)“, sagt Richard Werner, Business Consultant bei Trend Micro. „Der gesamte Sektor steht bereits unter hohem Druck. Berücksichtigt man zudem die steigende Häufigkeit von immer raffinierteren Cyberangriffen, wird deutlich, dass die Verantwortlichen viel zu tun haben.“

Schlupflöcher in Geschäftsprozessen

Eine Bedrohung, die den Befragten besonders gefährlich erscheint, ist Business Process Compromise (BPC). Dabei suchen Angreifer nach Schlupflöchern in Geschäftsprozessen, verwundbaren Systemen und angreifbaren Handlungsweisen. Wird eine Schwachstelle entdeckt, verändern die Angreifer den entsprechenden Prozess, ohne dass das betroffene Unternehmen oder seine Kunden etwas davon bemerken. Zwei Drittel (66 Prozent) der Befragten aus dem Finanzwesen stufen diese Angriffe als herausragende Bedrohung für ihr Unternehmen ein. Die Hälfte (50 Prozent) von ihnen geht zudem davon aus, dass sie sich keine Lösegeldzahlungen leisten könnten, falls Daten gestohlen oder verschlüsselt würden.

Obwohl eine Mehrheit (65 Prozent) erwartet, dass ein BPC-Angriff signifikante Auswirkungen auf den Geschäftsbetrieb hätte, gesteht knapp über die Hälfte (51 Prozent) ein, dass es in ihrer Geschäftsführung eine mangelnde Awareness hinsichtlich dieser Angriffsmethode gibt. Dabei stehen sie vor einer Herausforderung: 41 Prozent gaben an, Schwierigkeiten dabei zu haben, die Folgen eines Angriffs gegenüber der Unternehmensleitung zu kommunizieren. Gleichzeitig ist bei einem Drittel (34 Prozent) der Finanzunternehmen das Thema Cybersicherheit nicht auf Geschäftsführerebene vertreten.

„BPC-Angriffe sind für Cyberkriminelle aufwändig, versprechen aber auch grosse Gewinne. Indem sie sich längere Zeit unerkannt in der Infrastruktur eines Unternehmens aufhalten, können sie mit der Zeit die nötigen Informationen sammeln, um grössere Geldbeträge abfliessen zu lassen. Das war beispielsweise beim Angriff auf die Bangladesh Bank im Jahr 2016 der Fall“, so Werner weiter.

„Um diesen Bedrohungen zu begegnen, sollten Finanzdienstleister die Cybersicherheit zur Chefsache machen. So können Sicherheitsverantwortliche ihre Bedeutung besser innerhalb der gesamten Organisation kommunizieren. Schliesslich muss Security für das gesamte Unternehmen zur Geisteshaltung werden – vom Vorstand über die Buchhaltung bis hin zur Personalabteilung. Nur so kann es gelingen, diese immer raffinierteren Angriffe abzuwehren.“

Über die Studie

Von Opinium durchgeführte Studie im Auftrag von Trend Micro. Befragt wurden 1.022 IT- und Sicherheitsentscheider in Deutschland, dem Vereinigten Königreich, Spanien, Italien, Schweden, Finnland, Frankreich, den Niederlanden, Polen, Belgien und der Tschechischen Republik.

Sicherheit von 5G-Konnektivität im Unternehmen

Um von den Vorteilen von 5G zu profitieren, sind umfassende Vorbereitung und Planungen erforderlich. Es bietet sich an, zuerst die Änderungen zu erfassen, die 5G-Netzwerke für ein Unternehmen und dessen Sicherheit mit sich bringen

Die Erwartungen an 5G sind nicht nur wegen dessen technischer Weiterentwicklung hoch, sondern auch wegen der weiteren Technologien, die der Standard ermöglicht. Die neueste Generation der mobilen Funkkommunikation ist eine Antwort auf die schnelle Ausbreitung digitaler Technologie. Heutige schwankende Geschwindigkeiten von 4G- und älteren Netzwerken zeigen nur zu deutlich, wie überfüllt Verbindungen geworden sind. Unbestreitbar besteht ein Bedarf an Breitbandnetzwerken, die nicht nur schneller sind, sondern auch eine konsistente Konnektivität für bedeutend mehr Geräte liefern können

Doch die kommenden Vorteile kann nur nutzen, wer einen realistischen Ansatz für die Implementierung von 5G wählt. Dazu gehört auch eine Vorbereitung auf die dynamische, volatile, datengetriebene Art und Weise des Standards, denn diese Charakteristiken können für die Sicherheit eines Unternehmens Folgen haben und damit die von 5G angekündigten Fortschritte zunichtemachen.

Cybersecurity- und Datenfragen in 5G
Einer der ersten Problembereiche bei der Umsetzung von 5G ist die Menge der gesammelten Daten und wie sie interpretiert werden. Das wiederum wirft Sicherheitsbedenken auf, insbesondere im Hinblick auf die Erkennung. Der Start von 5G könnte die Überprüfung von Regeln zum Herausfiltern von bösartigem Netzwerkverkehr erforderlich machen, da die derzeit verwendeten Regeln die Feinheiten des mit 5G möglichen, stark individualisierten Verkehrs möglicherweise nicht erkennen. Das Hinzukommen weiterer IoT-Geräte könnte zusätzlich Zuordnungsprobleme für Sicherheitsstatistiken bereiten, die bislang nur zur Überwachung von menschlichen Teilnehmern verwendet wurden – im Gegensatz zu Maschinenteilnehmern, einem zweiten Teilnehmertyp, der aus IoT-Geräten besteht.

Von entscheidender Bedeutung für die Vorbereitung auf 5G ist auch die allgemeine Cybersicherheitsstrategie des Unternehmens bezüglich der Übertragung von Daten. Sicherheit muss nach sorgfältiger Planung umgesetzt werden und schließt eine organisierte Struktur mit ein, die dazu beiträgt, Angriffe zu verhindern oder ihre Auswirkungen abzuschwächen sowie Raum für notwendige Veränderungen in der Zukunft zu schaffen. Das Fehlen einer Sicherheitsarchitektur führt möglicherweise zu deiner Verzögerung des Einsatzes neuer Technologien wie der von 5G.
Zudem hat der Wechsel von hardware- zu softwaredefinierten Netzwerken einen Einfluss auf die benötigten Fähigkeiten für den geeigneten Betrieb und Absicherung von Netzwerkprozessen. Unternehmen werden mehr Fachleute brauchen, die die Hauptprobleme in einem softwaredefinierten Netzwerk identifizieren können, und gleichzeitig für eine erweiterte Incident Response sorgen. Aktuelle Sicherheitsteams müssen möglicherweise auch ihre Fähigkeiten in der Softwarecodierung ausweiten, um mit höherer Genauigkeit  Daten, die mit der Verwendung von 5G verbunden sind, zu interpretieren und zu profilieren

Absichern des Unternehmens
Verschiedene Sicherheitstechniken und –technologien unterstützen bei der Lösung dieser Fragen und erleichtern den Wechsel auf 5G. Abhilfe bei sinkender Leistung einer Sicherheitsarchitektur infolge von schwachen Erkennungsraten kann beispielsweise der Einsatz eines Sicherheitsorchestrators schaffen oder geschäftsorientierte Regeln auf Machine Learning-Basis, die Sicherheit und Vertraulichkeit als Funktion einsetzen. Die Verwendung von 5G Machine Learning kann auch dabei unterstützen, eine neue Referenzlinie zu erstellen, die wiederum identifiziert, was akzeptabler Netzwerkverkehr ist. Dadurch wird der Druck auf Sicherheitspersonal oder Experten im Unternehmen reduziert

Einzelheiten zu den möglichen Auswirkungen von 5G auf die Unternehmenssicherheit sind im Trend Micro-Whitepaper „The Deep Blue Sea of 5G” enthalten.

Deutschsprachige Aktualisierung zu WannaCry/Wcry

Dieses Jahr förderte zwei verschiedene Sicherheitsrisiken zutage: CVE-‎2017-0144, eine Sicherheitslücke im SMB-Server, die für eine Remote Code-Ausführung missbraucht werden konnte und im März geschlossen wurde, die andere ist WannaCry/Wcry, eine relativ neue Ransomware-Familie, die Ende April entdeckt wurde. Wurde bislang WannaCry über Dropbox-URLs, die in Mails eingebettet waren verteilt, so verbreiten sich die neuen Varianten jetzt über die vorher entdeckte SMB-Sicherheitslücke. Dies führte zu einem der schwersten Ransomware-Angriffe, der Nutzer weltweit traf.

Die Lösegeldforderung belief sich auf 300 $, die in Bitcoin zu zahlen sind. Dies ist weniger als die Summe, die in früheren Angriffen gefordert wurde. Neben den ursprünglichen Angriffen in Großbritannien, waren letztendlich auch viele Länder massiv betroffen.

Trend Micro erkennt die Varianten in diesem Angriff als RANSOM_WANA.A und RANSOM_WCRY.I. Kunden sind gegen die Bedrohungen bereits geschützt über Predictive Machine Learning und andere Schutzfunktionen in Trend Micro XGen™ Security.

[ACHTUNG: Identifizieren Sie die Lücken in der vorhandenen Endpoint Schutzlösung mithilfe des kostenlosen Trend Micro Machine Learning Assessment Tool.]

Infektionsvektor

Die Sicherheitslücke, die in diesem Angriff ausgenutzt wurde (Codename EternalBlue), gehörte zu denen, die die Shadow Brokers Gruppe mutmaßlich von der National Security Agency (NSA) gestohlen und öffentlich gemacht hatte. Die Sicherheitslücke wurde dazu verwendet, um eine Datei auf einem angreifbaren System abzulegen. Diese Datei wurde dann als Service ausgeführt und verschlüsselte Dateien mit der .WNCRY-Extension. (Eine separate Komponentendatei für das Anzeigen der Lösungsforderung wurde ebenfalls abgelegt.) Es geht um Dateien mit bis zu 166 verschiedenen Extensions, einschließlich solcher, die normalerweise Microsoft Office, Datenbanken, Dateiarchiven, Multimediadateien und verschiedenen Programmiersprachen verwenden.


Bild 1. Infektionsdiagramm


Bild 2. Lösegeldforderung

Feedback aus dem Smart Protection Network zeigt, dass neben Großbritannien Taiwan, Chile und Japan ebenfalls massiv betroffen waren, des weiteren auch Indien und die Vereinigten Staaten.

Die Bedrohung nutzt für die Verbreitung auf andere Systeme die abgelegte Datei, die als Service ausgeführt wird. Der Service nutzt den Namen „Microsoft Security Center (2.0)“. Er scannt nach weiteren SMB-Freigaben im Netzwerk und nutzt die EternalBlue-Sicherheitslücke für die Verbreitung.

Bild 3. Hinzugefügter Service

Wie bereits erwähnt, hat Microsoft die SMBv1-Sicherheitslücke bereits im März geschlossen. Und davor drängte Microsoft im September 2016 die Nutzer dazu, von SMBv1 zu migrieren, da der Server aus den frühen neunziger Jahren stammt. Das US-CERT hatte ähnlich dringliche Empfehlungen ausgesprochen. Unternehmen, die diesen Empfehlungen gefolgt waren, wurden vom Angriff nicht getroffen.

Trend Micro-Lösungen

Trend Micro Smart Protection mit XGen Endpoint Security kombiniert High-Fidelity Machine Learning mit anderen Erkennungstechnologien und globalem Bedrohungswissen für einen umfassenden Schutz gegen Ransomware und fortschrittliche Malware. Die Trend Micro-Lösungen erkennen diese Bedrohungen als RANSOM_WANA.A und RANSOM_WCRY.I.

Trend Micro Deep Security™ und Vulnerability Protection, Trend Micro Deep Discovery Inspector und TippingPoint schützen gegen diese Bedrohung. Eine vollständige Liste mit ensprechenden Regeln und Filtern für die Trend Micro- und TippingPoint-Produkte gibt es auf der Trend Micro Support-Seite.

Folgende SHA256-Hashes gibt es in Bezug auf diese Ransomware:

  • 043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2
  • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
  • 11d0f63c06263f50b972287b4bbd1abe0089bc993f73d75768b6b41e3d6f6d49
  • 16493ecc4c4bc5746acbe96bd8af001f733114070d694db76ea7b5a0de7ad0ab
  • 190d9c3e071a38cb26211bfffeb6c4bb88bd74c6bf99db9bb1f084c6a7e1df4e
  • 201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9
  • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41d
  • 3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301
  • 4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
  • 4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32
  • 57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4
  • 78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df
  • 940dec2039c7fca4a08d08601971836916c6ad5193be07a88506ba58e06d4b4d
  • 9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977
  • a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740
  • b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0
  • b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
  • dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696
  • ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
  • eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb
  • f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
  • fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

Update vom 13. Mai

 

Virtual Patching ist jetzt gefragt

Originalbeitrag von Pawan Kinger, Director Deep Security Labs / Re-Blog von blog.trendmicro.de

Nachdem Microsoft drei kürzlich veröffentlichte Sicherheitslücken noch nicht gepatcht hat, rückt der Einsatz von Intrusion Prevention System (IPS) wieder in den Mittelpunkt des Interesses. Dieses virtuelle Patching soll vor vor Angriffen über diese Lücken schützten und ermöglicht es, Systeme so lange abzusichern, bis der Anbieter einen Patch dafür bereitstellt.

Folgende Komponenten waren von den Sicherheitslücken betroffen:

  1. Core SMB Service
  2. Microsoft Internet Explorer und Microsoft Edge
  3. Graphics Device Interface

CVE-2017-0016

Hier handelt es sich um einen Speicherbeschädigungs-Fehler (Memory Corruption) beim Handling des SMB-Verkehrs durch Windows. Um einen solchen Angriff durchzuführen, muss ein Computer oder Nutzer geködert werden, sich mit einem bösartigen SMB-Server zu verbinden. Der Server liefert Pakete, die dann den Computer zum Absturz bringen. Machbarkeits-Exploit-Code für diese Lücke ist bereits öffentlich geworden.

Die Sicherheitslücke erlaubt keine Remote-Ausführung von Code, und die Auswirkungen sind auf eine Denial-of-Service beschränkt. Gegenmaßnahmen könnten folgende sein:

  • Einschränken des nach draußen gehenden Ports 139 und 445,
  • Einsatz von IPS-Schutz.

CVE-2017-0037

Dabei handelt es sich um eine Art „Confusion“-Lücke im Microsoft Internet Explorer und Edge Browser. Um die Schwachstelle auszunützen, muss ein Angreifer einen Nutzer überzeugen, einen bösartigen Weblink anzuklicken. Den Link kann ein potenzielles Opfer über eine Mail, einen Chat oder eingebettet in Dokumente erhalten. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Bei einer Attacke kann der Angreifer mit denselben Privilegien wie der angemeldete Nutzer beliebigen Code ausführen. Folgende Maßnahmen sind nützlich:

  • Einsatz von IPS-Schutz,
  • E-Mail-Filter für Phishing-Angriffe,
  • Web Reputation, um gehostete Skripts zu blocken
  • Reduzieren von Konten mit Administratorrechten

CVE-2017-0038

Die Lücke befindet sich in der Graphics Device Interface (GDI)-Komponente von Windows. GDI wird zum Rendern etwa von Bildern und Fonts auf einem Gerät oder Drucker verwendet. Ein Angreifer müsste einen Nutzer dazu „überreden“, ein Image oder einen Font darzustellen. Diese könnten auch in ein Dokument eingebettet werden. Der Angriff wird über einen Mail-Anhang oder über File-Sharing gestartet. Details zur Lücke, einschließlich eines Proof-of-Concept Codes ist bei Google Project Zero erhältlich.

Die Lücke legt Hauptspeicher offen, sodass vertrauliche Informationen durchgestochen werden. Folgende Maßnahmen sind sinnvoll:

  • Einsatz von IPS-Schutz
  • Schulung von Mitarbeitern, keine Anhänge zu öffnen oder Links, die nicht aus vertrauensvollen Quellen kommen anzuklicken.

Trend Micro Deep Security™ schützt vor diesen Sicherheitslücken. Details zu den Regeln und Veröffentlichungsterminen rund um die Sicherheitslücken liefert die folgende Übersicht.

CVE

Deep Security Rule Release-Datum

Veröffentlichungsdatum

Rule Name

CVE-2017-0016

Feb 2, 2017

Feb 1, 2017

1008138-Microsoft Windows Stack Overflow Remote Code Execution Vulnerability

CVE-2017-0038

Feb 20, 2017

Feb 21, 2017

1008171-Microsoft Windows Graphics Component Information Disclosure Vulnerability (CVE-2017-0038)

CVE-2017-0037

Feb 27, 2017

Feb 25, 2017

1008153-Microsoft Internet Explorer And Edge Memory Corruption Vulnerability (CVE-2017-0037)

TippingPoint-Kunden sind über die folgenden MainlineDV-Filter geschützt:

  • 26893: SMB: Microsoft Windows mrxsmb20.dll Denial-of-Service Vulnerability
  • 26904: HTTP: Microsoft Windows EMF Parsing Information Disclosure Vulnerability

 

Weiterführende Artikel:

  1. Lektion im Patching: Der Aufstieg der SAMSAM Crypto-Ransomware
  2. Außer der Reihe-Patch für eine weitere Windows Zero-Day-Lücke
  3. Internet Explorer Zero-Day betrifft alle Versionen des Browsers

Achtung bei Pokémon Go – Werbe App schlägt Kapital

Originalbeitrag von: Shawn Xing und Ecular Xu (Mobile Threat Response Engineers)

Das mobile, ortungsbasierende Augmented-Reality-Spiel Pokémon Go erobert die Welt im Sturm. Unter lautem Trommeln am 6. Juli im Markt eingeführt, hat die App bereits mehr Nutzer auf Android-Geräten gefunden als die entsprechende Facebook-App. Apple hat sogar vermeldet, dass es keine andere App gibt, die in der ersten Woche nach ihrem Erscheinen häufiger heruntergeladen wurde. So verwundert es wenig, dass Betrüger und Cyberkriminelle diese hohe Popularität schnell zu Geld machen wollen. So haben sie bösartige Versionen des Spiels und diesbezügliche Hilfe-Apps kreiert, die Bildschirme sperren und Scareware sowie Adware, ja sogar einen Remote-Access-Trojaner auf die Geräte laden.
Weiterlesen

INTERPOL nimmt mutmasslichen Cyberkriminellen fest

Originalbeitrag von Senior Threat Researchers bei Trend Micro

Dank der Zusammenarbeit zwischen Trend Micro-Forschern, INTERPOL und der nigerianischen Economic and Financial Crime Commission (EFCC) ist im Kampf gegen Business-Email-Compromise (BEC)-Betrügereien ein Schlag gelungen. So wurde ein vierzigjähriger nigerianischer Staatsbürger mit Namen „Mike“ verhaftet, der im Verdacht steht, der Mastermind hinter verschiedenen Online-Betrügereien wie BEC, 419 und Liebes-Scams zu sein.
Weiterlesen