Schlagwort-Archive: Ransomware

Dateilose Netwalker Ransomware über Reflective Loading

Bedrohungsakteure finden permanent neue Wege, um ihre Malware an Verteidigungsmechanismen vorbei zu schleusen. So fanden die Sicherheitsforscher Angriffe der Netwalker Ransomware mit Malware, die nicht kompiliert sondern mit PowerShell verfasst ist und direkt im Hauptspeicher ausgeführt wird, ohne das tatsächliche Ransomware Binary auf Platte speichern zu müssen. Damit wird diese Variante zur dateilosen Bedrohung, die in der Lage ist, sich persistent in Systemen festzusetzen und ihre Entdeckung zu vermeiden, indem sie schon vorhandene Tools missbraucht, um die Angriffe zu starten.

Diese Art der Bedrohung setzt auf eine Technik namens Reflective (deutsch auch Reflexion oder Introspektion) Dynamic-Link Library (DLL) Injection, auch als Reflective DLL Loading bekannt. Die Technik ermöglicht das Einschleusen einer DLL aus dem Hauptspeicher statt von der Platte. Damit ist die Technik unsichtbarer als die übliche DLL Injection. Nicht nur die eigentliche DLL-Datei auf der Festplatte ist nicht erforderlich, sondern auch der Windows-Loader zum Einschleusen wird nicht gebraucht. Dadurch muss die DLL nicht als geladenes Modul eines Prozesses registriert werden und die Malware kann DLL-Load-Monitoring-Tools umgehen.

Trend Micros Sicherheitsforscher stellten schon früher fest, dass Cyberkriminelle diese Technik für die Installation der ColdLock-Ransomware einsetzten. Nun verwendete die gleiche Angriffsmethode die dateilose Ransomware Netwalker. Die technischen Einzelheiten zum Angriff liefert der Originalbeitrag.

Fazit und Empfehlungen

Reflective DLL Injection erschwert die Erkennung von Ransomware-Angriffen und auch deren Untersuchung durch Sicherheitsanalysten. Als dateilose Bedrohung steigt das Risiko von Ransomware-Angriffen noch weiter, weil die Malware persistent auf den Systemen bleibt und Verteidigungsmassnahmen umgehen kann.

Der Schutz vor kombinierten Bedrohungen, die mehrere Techniken einsetzen, erfordert eine mehrschichtiges Sicherheitskonzept, das Endpunkte effizient schützt, so etwa durch Sicherheitslösungen, die Verhaltensüberwachung und verhaltensbasierte Erkennung einsetzen.

Die folgenden Empfehlungen können dazu beitragen, Ransomware-Angriffe zu verhindern:

  • Regelmässiges Backup der kritischen Daten, um die Auswirkungen eines Ransomware-Angriffs zu minimieren.
  • Aufbringen der neuesten Software-Patches der Betriebssystem- und Drittanbieter.
  • Befolgen von Email- und Website-Sicherheitsrichtlinien.
  • Warnungen an IT-Sicherheitsteam senden, wenn Mitarbeiter verdächtige Emails und Dateien finden.
  • Einführen von Anwendungs-Whitelisting auf den Endpunkten, um unbekannte oder unerwünschte Apps zu blocken.
  • Regelmässige Schulungen für Mitarbeiter zu den Gefahren des Social Engineering.

Empfehlungen zum Schutz vor dateilosen Bedrohungen:

  • Sichere Nutzung von PowerShell mithilfe deren Logging-Fähigkeiten zur Überwachung verdächtigen Verhaltens.
  • Nutzen von PowerShell-Befehlen wie ConstrainedLanguageMode, um Systeme gegen bösartigen Code abzusichern.
  • Konfigurieren von Systemkomponenten und Deaktivieren der nicht genutzten und veralteten, um mögliche Eintrittspunkte zu blocken.
  • Keine Dateien aus unbekannten Quellen herunterladen oder ausführen.

Zudem sollten Unternehmen Sicherheitslösungen einsetzen, die Verhaltens-Monitoring bieten:

  • Trend Micro Apex One™ – setzt auf Verhaltensanalyse, die vor bösartigen Skripts, Einschleusen, Ransomware und Angriffen über den Browser oder aus der Memory schützen kann.
  • Trend Micro Worry-Free Services – Umfasst Verhaltensmonitoring, um Skript-basierte, dateilose Bedrohungen zu erkennen und Malware zu blocken, bevor sie ein System kompromittieren kann.

Symptome erkennen: Schutz für Geräte Netzwerke im Home Office

von Trend Micro

Manche Unternehmen hat der plötzliche Wechsel der Mitarbeiter zur Arbeit im Home Office unvorbereitet getroffen. Und die Folge davon sind nicht gesicherte Systeme, die im Unternehmen laufen, oder angreifbare Hardware in den Umgebungen der Mitarbeiter zu Hause. Cyberkriminelle versuchen, aus dieser Situation Profit zu schlagen. Doch Anwender und Unternehmen können sich dagegen schützen, wenn sie die Symptome eines Angriffs erkennen und Best Practices beachten.

Trend Micro stellt im Vergleich zu Dezember 2019 einen signifikanten Anstieg bei Angriffen auf Remote-Systeme und vernetzte Geräte fest.

Bild 1. Eingehende Infektionen und Angriffsversuche auf Geräte von Dezember 2019 bis März 2020, Daten aus dem  Smart Home Network (SHN) von Trend Micro

Cyberkriminelle bedienten sich bekannter Techniken und griffen über die üblichen Eintrittspunkte an, um in die Heimnetzwerke und Geräte der Benutzer einzudringen. Die Akteure weiteten ihre Aktivitäten mit den bekannten Taktiken und Methoden merklich aus, vom Ausnutzen der häufig noch vorhandenen Standardpasswörter, bis zum wiederholten Missbrauch ungepatchter Schwachstellen und den Scans nach offenen Ports und Diensten sowie der Installation von Backdoors.

Bild 2. Vergleich der wichtigsten Methoden für das Eindringen in Systeme, Dezember 2019 bis März 2020

Mit Fortschreiten der Pandemie und der steigenden Zahl von Mitarbeitern, die Home-Netzwerke für ihre Arbeit nutzten, nahmen auch die bösartigen Routinen zu, die auf Nutzer abzielten, und diese mit Coronavirus-bezogenen Nachrichten köderten. Und auch wenn nicht alle Einbrüche, bösartigen Routinen und Angriffe erkennbare Anzeichen aufweisen, gibt es verräterische Symptome, die von nicht-technischen Mitarbeitern überprüft werden können, um festzustellen, ob ihre Geräte gehackt oder mit Malware infiziert wurden. Einige bösartige Routinen weisen keine offensichtlichen Anzeichen einer Infektion oder eines Eindringens auf, und einige Symptome werden erst nach bestimmten Benutzeraktionen sichtbar.

Details, wie Sie Ihre Geräte schützen können, finden Sie in unserer Infografik. Bitte klicken zum Vergrößern

Wie können Geräte kompromittiert werden?

Cyberkriminelle ändern oder verbessern ständig ihre Techniken, um eine steigende Zahl von mobilen und intelligenten Geräten infizieren und angreifen zu können. Deshalb sollten Nutzer die folgenden Taktiken kennen und bestimmte Aktionen vermeiden:

  • Herunterladen von Apps, Software und/oder Medien aus Drittanbieter-Marktplätzen oder -Websites. Diese Apps könnten bösartige Komponenten enthalten, sich als bekannte Apps ausgeben oder Funktionen beinhalten, die nichts mit ihrem angeblichen Zweck zu tun haben.
  • Internetverbindungen über öffentliche WLAN-Netzwerke. Bedrohungsakteure können sich in diese Netzwerke dazuschalten und Informationen daraus stehlen. Auch könnten die verfügbaren Verbindungen gefälschte Hotspots sein, die Daten von den damit verbundenen Geräten kapern.
  • Anklicken von Phishing- und/oder SMShing-Links. Bedrohungsakteure verwenden in Emails oder Textnachrichten eingebettete bösartige URLs, um Gerätezugriff zu erlangen, Bank- oder persönliche Daten zu stehlen oder Malware zu verbreiten.
  • Zugriff auf bösartige und/oder infizierte Websites oder Apps. Bösartige Websites können dazu verwendet werden, Geräte zu infizieren, die absichtlich oder unabsichtlich auf diese Seiten zugreifen. Cyberkriminelle können Malware und weitere bösartige Befehle einschleusen oder eine Schicht über die legitime Seite legen, die sich als legitime Seiten ausgibt, um Besucher umzuleiten oder zu infizieren.
  • Jailbreaking. Dieses Vorgehen beinhaltet die absichtliche Aufhebung von Software- und Telekommunikationsbeschränkungen, um die eingebetteten exklusiven Funktionen des Geräts außer Kraft zu setzen, und bietet somit Ansatzpunkte, die böswillige Akteure ausnutzen können, wenn der Benutzer ins Internet geht.
  • Ungepatchte System- und/oder Medienschwachstellen. Sicherheitslücken im Betriebssystem, in der Hardware und in Anwendungen können Türen öffnen, die von Cyberkriminellen missbraucht werden.
  • Einsetzen von standardmäßigen Zugangsdaten. Standard-Benutzernamen und -Passwörter in Routern und Geräten, die von Herstellern und Netzwerk Service Providern vergeben werden, sind in der Regel für alle ihre Abonnenten ähnlich oder gleich. Cyberkriminelle können auf eine gemeinsame Liste zurückgreifen, um bei Angriffen auf diese Geräte zuzugreifen.
  • Gezielte Angriffe. Hochrangige Personen in bestimmten Branchen sind begehrte Ziele. Ihre jeweiligen Geräte können dazu verwendet werden, ihre Bewegungen zu verfolgen und an hochwertige Kontakte sowie vertrauliche Informationen heranzukommen.

Die praktisch über Nacht eingerichteten Remote-Arbeitsumgebungen könnten die derzeitige Infrastruktur überfordern, aber jedes Unternehmen sollte sie als die neue Norm betrachten. Diese neuen Business-Continuity-Verfahren haben zu einer verstärkten Nutzung von persönlichen Arbeitsgeräten geführt, die mit Heimnetzwerken verbunden sind, und dies führt unter Umständen zu Problemen mit den möglicherweise geringeren Sicherheitsmaßnahmen zu Hause im Vergleich zum Arbeitsplatz. Daher müssen vorläufige Lösungen, die sich auf die Leistungserbringung konzentrieren, in langfristige und nachhaltige Geschäftslösungen geändert werden. Mehr denn je müssen die Benutzer den Datenzugriff zwischen ihrem Zuhause und dem Büro sichern.

Trend Micro überwacht auch weiterhin alle Angriffe und bösartigen Routinen bezüglich COVID-19, die Unternehmen oder Geräte kompromittieren können. Empfehlenswert ist auch ein vielschichtiger Schutz für alle Fronten, der Nutzer zudem daran hindert auf bösartige Domänen zuzugreifen. Die Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können Malware und bösartige Domänen erkennen und blocken.

Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der Schutz wird ständig aktualisiert, um das System sowohl vor alten als auch neuen Angriffen schützen zu können. Trend Micro™ InterScan™ Messaging Security bietet umfassenden Schutz, der ankommende Bedrohungen und nach außen gehende Daten stoppt, sowie Spam und andere Email-Bedrohungen blockiert.

Nutzer können auch den umfassenden Schutz von Lösungen wie Trend Micro™ Security und Trend Micro™ Internet Security nutzen. Diese Systeme bieten einen effizienten Schutz vor Bedrohungen für IoT-Geräte, indem sie Malware an den Endpunkten erkennen. Schließlich lassen sich vernetzte Geräte über Sicherheitssoftware schützen wie Trend Micro™ Home Network Security und Trend Micro Smart Home Network™ (SHN), die den Internetverkehr zwischen dem Router und allen damit verbundenen Geräten prüfen. Die Trend Micro™ Deep Discovery™ Inspector Netzwerk-Appliance kann alle Ports und Netzwerkprotokolle überwachen und Unternehmen vor gezielten Angriffen schützen.

Weitere Informationen und Empfehlungen zum Corona-bedingten Arbeiten von zu Hause finden Sie hier.

Aktuell: Coronavirus-Ransomware überschreibt MBR

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Im Rahmen einer neuen Ransomware-Kampagne wird der Master Boot Record (MBR) des Systems des Opfers überschrieben.

Update 24. April

Die Sicherheitsforscher von Trend Micro Research analysierten kürzlich eine Coronavirus-bezogene Malware, die den Master Boot Record (MBR) des Systems des Opfers überschreibt und damit das Hochfahren des Computers verhindert. Eine tschechische Cybersicherheitsagentur NUKIB hatte die Schadsoftware in einem öffentlichen Report beschrieben. Die Malware-Datei enthält „Coronavirus Installer“ in der Beschreibung.

Bild 1. Bildschirmsperre der Malware

Wird die Schadsoftware ausgeführt, so fährt sie automatisch die Maschine wieder hoch und zeigt dann das im Bild dargestellte Fenster, das nicht geschlossen werden kann. Klickt der Nutzer auf „Help“, so erscheint die Nachricht, der Task Manager startet nicht. Auch der Button „Remove Virus“ lässt sich nicht bedienen. Schließlich erzeugt der Schädling ein verstecktes Verzeichnis namens „COVID-19“, das einige weitere Module umfasst. Wird das System per Hand neu gestartet, so wird eine weitere Binärdatei ausgeführt, und es erscheint der folgende Bildschirm.

Bild 2. Grauer Bildschirm nach einem manuellen Neustart

Die Malware sichert den ursprünglichen MBR und zeigt den Text „Created by Angel Castillo. Your Computer Has Been Trashed“ an. Auch hinterlässt der Angreifer Kontaktinformationen für den Instant Messaging-Dienst Discord und suggeriert damit, dass das Opfer mit dem Hacker kommunizieren muss, um eine Lösung zu finden. Üblicherweise liefert Ransomware Opfern die erforderlichen Informationen für die Überweisung des Lösegelds, einschließlich Betrag und Kryptowährungs-Wallet. Doch in letzter Zeit nutzen viele Malware-Akteure Discord für die Anleitungen für das Opfer.

Viele Angreifer löschen einfach den MBR zu Beginn des Prozesses, auch wenn dies eine ziemlich komplizierte Methode ist. Die Datei „Update.vbs“, die das sekundäre Modul ablegt, gibt einen Hinweis darauf, warum sein Verfasser den Prozess auf diese Weise gestaltet hat. Diese VBS-Datei zeigt ein Nachrichtenfeld an, das darauf hinweist, dass der Benutzer eine Internetverbindung benötigt (wird wahrscheinlich zwei Minuten nach Erscheinen des grauen Bildschirms angezeigt).

Wahrscheinlich wurden weitere Schritte hinzugefügt, um den Benutzer dazu zu bringen, sich mit dem Internet zu verbinden, möglicherweise weil das Opfer online sein muss, damit der MBR überschrieben werden kann. Der MBR wurde beim manuellen Neustart nicht überschrieben, als er in einer geschlossenen Offline-Umgebung getestet wurde.

Trend Micro Research analysierte auch eine Coronavirus-bezogene bösartige HTA-Datei, die möglicherweise von der SideWinder APT-Gruppe stammt. Einzelheiten dazu umfasst der Originalbeitrag.

Malware-Arten, die COVID-19 missbrauchen

COVID-19 im kriminellen Untergrund

Schutz vor diesen Bedrohungen

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Untersuchung eines Ransomware-Angriffs mit möglicher Datenexfiltration

Originalartikel von Joelson Soares, Erika Mendoza und Jay Yaneza

Die Managed XDR (MxDR) and Incident Response (IR) Teams von Trend Micro untersuchten kürzlich einen Sicherheitsvorfall bei einem Unternehmen, das Opfer der Nefilim Ransomware geworden war. Die im März dieses Jahres entdeckte Ransomware ist besonders gefährlich, weil die Hintermänner damit drohen, die von dem betroffenen Unternehmen gestohlenen Daten online zu veröffentlichen – eine doppelte Belastung für das Opfer. Denn selbst wenn die Organisation das Lösegeld zahlt und ihre Daten wiederherstellt, haben die Bedrohungsakteure weiterhin Zugang zu den Daten. Diese Masche ist nicht neu, sie wurde auch von anderer Ransomware wie Sodinokibi und DoppelPaymer bereits eingesetzt.

Abfolge des Angriffs

Mithilfe von Trend Micro Deep Discovery Inspector (DDI) konnten Sicherheitsteams die Vorfälle eines Tages Mitte März 2020 nachvollziehen: als erstes gab es den Versuch, eine bösartige Datei (Trojan.Win64.NEFILIM.A) herunterzuladen, die dann für den Download einers RAR-Archivs von einem VPS-gehosteten Server benutzt wird. Ein paar Stunden später erfolgte der Versuch, ein RAR-Archiv mit mehreren Dateien herunterzuladen (technische Einzelheiten im Originalbeitrag).

Trend Micro Deep Security™ (DS) stellte zudem verdächtige Aktivitäten im System fest, wie etwa Beenden von Aktionen oder Remote Code Execution, bis schließlich Nefilim entdeckt wurde.

Auf der Zeitachse lässt sich die Abfolge der Infektion anhand der DDI-Protokolle ablesen – beginnend mit Trojan.Win64.NEFILIM.A, der eine RAR-Datei heruntergeladen hatte, die durch die Verwendung von Batch-Dateien zu einer lateralen Bewegung innerhalb des Systems führte. Der Zielrechner ist in diesem Fall ein Citrix-Server mit Fernzugriff. Es ist unklar, ob der Angreifer Zugriff auf den Server hatte, oder ob der ursprüngliche Downloader durch andere Mittel (d.h. Phishing, Schwachstellen) eingesetzt wurde.

Darüber hinaus legt der Inhalt des RAR-Pakets nahe, dass der Angreifer die Umgebung des Opfers kannte. Interne IP-Adressen, Administrator-Benutzernamen und -Passwörter, Dienste und Prozesse wurden alle in den Batch-Dateien aufgeführt. Darüber hinaus zeigten die Daten des Trend Micro Smart Protection Network (SPN) nur zwei Treffer — einen, der diesem Vorfall entsprach, und einen weiteren in den Vereinigten Staaten –, was darauf hindeutet, dass es sich um einen sehr gezielten Angriff handelte.

Obwohl die erste Beschreibung der Funktionsweise der Nefilim-Ransomware von exponierten Remote Desktop Protocol (RDP)-Ports als Eintrittspunkte ins System ausging, könnten die Bedrohungsakteure in diesem Fall andere Eintrittspunkte benutzt haben, höchstwahrscheinlich irgendeine Form des Fernzugriffs direkt auf die Umgebung.

Kombination von Datendiebstahl und Ransomware

Bei diesem Angriff fällt auf, dass die Hintermänner nicht nur auf Nefilim setzten. Möglicherweise hatten sie die Daten bereits exfiltriert, noch bevor sie einen vollständigen Ransomware-Angriff starteten.

Der Fall zeigt, dass es nicht ausreicht, sich nur auf das Erkennen von Anzeichen eines Angriffs zu konzentrieren, sondern dass es wichtig ist, auch Hinweise auf laterale Bewegungen und Datenexfiltration innerhalb der Umgebung entdecken zu können. Der Eintrittspunkt eines Angriffs liegt möglicherweise nicht dort, wo sich die wichtigen Daten befinden. Daher sind Bedrohungsakteure auch daran interessiert, sich innerhalb der Umgebung bewegen zu können (Host-zu-Host), um in die Teile des Systems zu gelangen, in denen die interessanteren Daten gespeichert sind. Ebenso wichtig ist die Fähigkeit, ungewöhnliche Muster des ausgehenden Datenverkehrs für Hosts (Host-to-external) zu erkennen, da dies eine potenzielle Datenexfiltration darstellt.

Unterstützung durch Sicherheits-Services wie Trend Micro™ Managed XDR

Die von den Angreifern in diesem Fall angewandten Methoden wurden immer wieder beobachtet, selbst bei Bedrohungsakteuren, die andere Ransomware wie RYUK einsetzen.

Heutzutage, wo Home Office an Bedeutung gewinnt, ist eine effiziente Umsetzung der Sicherheitspolitik wichtiger denn je. Während große Organisationen in der Lage sind, Sicherheitsteams aufzubauen, die die Arbeitsumgebung sowohl im Büro als auch zu Hause im Auge behalten können, verfügen kleinere Unternehmen möglicherweise nicht über die dafür erforderlichen Ressourcen.

In solchen Fällen können Sicherheits-Services wie die von Trend Micro™ Managed XDR dazu beitragen, die Sicherheit einer Organisation zu verbessern. Sie bieten Übersichtlichkeit und ein breites Spektrum an fachkundiger Sicherheitsanalyse, die Detection-and-Response-Funktionen über Netzwerke, Endpunkte, E-Mails, Server und Cloud-Workloads hinweg integrieren.

Durch den Einsatz fortschrittlicher Analyse- und KI-Techniken (Künstliche Intelligenz) überwacht das Managed XDR-Team die IT-Infrastruktur der Organisation rund um die Uhr und ermöglicht so die Korrelation und Priorisierung von Warnmeldungen je nach Schweregrad. Organisationen können auf erfahrene Cybersicherheitsexperten zurückgreifen, die fachkundig eine Ursachenanalyse durchführen, um zu verstehen, wie Angriffe initiiert werden, wie weit sich Bedrohungen im Netzwerk ausgebreitet haben und welche Abhilfemaßnahmen ergriffen werden müssen.

Umfassend geschützt im Home Office

von Martin Rösler, Trend Micro Research

Um ihre Mitarbeiter vor einer möglichen Ansteckung mit dem neuartigen Coronavirus zu schützen, ermöglichen immer mehr Unternehmen das Arbeiten von zu Hause aus – oder ordnen dies sogar an. Als Folge meldet sich eine Vielzahl von Mitarbeitern nun remote an Unternehmensnetzwerken und Cloud-basierten Anwendungen an, und damit vergrößert sich gerade für Unternehmen, die eine solche Regelung erstmalig einführen, auch die Angriffsoberfläche für Cyber-Attacken. Trend Micro warnte bereits in seinen Sicherheitsvorhersagen für das Jahr 2019 vor der wachsenden Gefahr durch Home-Office-Modelle. Damit der Schutz vor biologischen Gefahren nicht durch erhöhte Anfälligkeit für digitale Bedrohungen erkauft wird, sollten Unternehmen eine Reihe von Vorsichtsmaßnahmen ergreifen.

Checkliste für Unternehmen

  • Aufsetzen einer Zweifaktor-Authentifizierung: Viele Websites und Services implementieren Zweifaktor-Authentifizierung (2FA). Unternehmen müssen sicherstellen, dass sich die Sicherheit von Logins nicht allein auf Passwörter beschränkt, sondern beispielsweise auch mobilen Authentifizierungs-Apps oder Biometrie genutzt werden.
  • Vorkonfigurierte Home-Office-Szenarien: Organisationen müssen ihre Sicherheitsstrategie überprüfen und klare Richtlinien für das Arbeiten von zu Hause aufsetzen. Es sollte Intrusion Prevention und ein Schutz vor Datendiebstahl vorhanden sein, am besten über IT-bewilligte Laptops.
  • Regelmäßiges Backup der Daten: Das Backup sollte der 3-2-1-Regel folgen: d.h. mindestens drei Kopien der Daten in zwei unterschiedlichen Speicherformaten, wobei mindestens eine Kopie Off-Site liegen muss (etwa auf externen SSD- oder HD-Laufwerken).
  • Ausreichend VPN-Lizenzen bereitstellen: Die Zunahme mobiler Mitarbeiter erfordert auch mehr Lizenzen für VPNs sowie ausreichend Netzwerk-Bandbreite für den Zugang.
  • Nutzung von VPNs limitieren: Arbeitgeber müssen den Zugang zu VPNs regeln und periodische Neuanmeldung erforderlich machen, etwa alle 12 Stunden oder jeden Tag.

Sicherheitsteams können sich bezüglich Unternehmensrichtlinien auch über den Guide des SANS Institutes informieren.

Checkliste für Mitarbeiter

Nicht nur das Unternehmen allein trägt die Verantwortung für das sichere Arbeiten von zu Hause. Auch die Mitarbeiter müssen einige Regeln beachten:

  • Nutzen eines Unternehmens-Laptops, wenn möglich: Den eigenen persönlichen Laptop für das Home Office zu nutzen, kann gefährlich sein, weil dieser unter Umständen weniger Sicherheitsmechanismen umfasst als die Firmen-Hardware. Den Unternehmens-Laptop sollte wiederum ausschließlich der Mitarbeiter nutzen, kein anderes Familienmitglied darf darauf zugreifen können. Muss ein Mitarbeiter dennoch den eigenen, persönlichen Computer für sein Home Office einsetzen, ist das Installieren einer vom Arbeitgeber gelieferten Sicherheitslösung unabdingbar. Auch alle vom Unternehmen geforderten Schutzmaßnahmen müssen getroffen werden.
  • Verwenden von VPNs, die das Unternehmen zur Verfügung stellt: Das bedeutet im Umkehrschluss das Vermeiden von kostenlosen, öffentlichen WLANs. Mobile Mitarbeiter sollten die dedizierten Unternehmens-VPN-Server für Netzwerkverbindungen von zu Hause nutzen — doch lediglich vom Arbeits-Laptop aus. Dennoch, Vorsicht vor Phishing-Angriffen, die VPN-bezogene Kontozugangsdaten stehlen wollen.
  • Netzwerke aufteilen: „Home Worker“ müssen ein Gast-Netzwerk nutzen, um den Unternehmens-Laptop oder -Desktop zu isolieren. Ist ein Router oder Switch mit Virtual Local Area Network (VLAN)-Funktionalität vorhanden, sollte dieses aktiviert werden und ein VLAN lediglich für die Office-Arbeit zugeteilt sein.
  • Backup-Lösung auch zu Hause einsetzen: Backup-Optionen mit Hardware wie USB-Laufwerke sind sehr nützlich, wenn etwas schiefläuft (Verbindungsverlust oder Server-Absturz). macOS-Nutzer können Time Machine für Backups aktivieren.
  • Vorsicht vor Online-Betrug: Kriminelle nutzen die aktuelle Situation und die Angst vor COVID-19 weidlich für ihre betrügerischen Aktivitäten Die Angriffe kommen über Email, bösartige Domänen, gefälschte Apps oder soziale Medien. Nutzer sollten auf verräterische Anzeichen von Phishing-Betrug achten: unbekannter Absender, eklatante Grammatikfehler, nicht übereinstimmende URLs und seltsam anmutende Geschichten. Keine identifizierbaren Informationen wie persönliche Daten und Bankkontoinformationen angeben! Stattdessen sollte das Unternehmen sofort benachrichtigt werden, wenn jemand solche Versuche feststellt.

Basissicherheit für das Netzwerk zu Hause

  • Sichern des Gateways: Der Router ist das Gateway zu allen mit dem Internet verbundenen Geräten im Home-Netzwerk. Angreifer sind dafür bekannt, dass sie Heimrouter mit Standard-Anmeldeinformationen kompromittieren. Wichtig! das Passwort für den Router regelmäßig ändern, da es möglicherweise vorher mit anderen Benutzern geteilt wurde. Empfohlen werden Passwörter, die nicht anfällig für „Wörterbuch“-Angriffe sind, d.h. solche mit mehr als 12 Zeichen und einer Mischung aus Buchstaben, Zahlen und Sonderzeichen. Ebenso ist es wichtig, die Firmware des Routers immer auf die neueste Version zu aktualisieren. Router, die von Internetdienstanbietern (ISPs) kommen, verfügen in der Regel über automatische Aktualisierungen, doch zusätzliche Sorgfalt lässt sich über die Web-Konsole des Routers üben, die über seine IP-Adresse zugänglich ist.
  • Nutzerkonten auf dem Router auf zwei reduzieren: Ein Superuser-Konto sollte lediglich für Setup und Konfiguration (lokales Konto statt remote) dienen, und ein persönliches Konto erlaubt die Verwaltung des Routers (lokales Konto statt remote). Technisch Versierte könnten auch einen Port Scan auf der IP-Adresse des Routers durchführen, oder falls dies nicht möglich ist, die eigene IP-Adresse auf Shodan überprüfen. Viele Router erlauben auch das automatische Hinzufügen neuer Geräte, allerdings sollte diese Funktion deaktiviert und unbekannte angeschlossene Geräte aus der Router-Konfiguration entfernt werden. Als Zusatzsicherheit lässt sich auch eine Backup-Internetverbindung über einen Router in Betracht ziehen, der LTE unterstützt, für den Fall, dass die normale ISP-Leitung ausfällt. Die Tethering- oder persönliche Hotspot-Funktion des Smartphones kann ebenfalls als Verbindungssicherung dienen.
  • Fortgeschrittene Nutzer können mit einem Proxy arbeiten: Gibt es im Home Office einen Raspberry Pi- oder einen alten Linux-Rechner, so ließe sich dieser als PI-„Enklave“ nutzen, um die Geräte vor Adware oder sonstigen unerwünschten Inhalten zu schützen. Alternativ ließen sich Network-Attached Storage (NAS)-Systeme konfigurieren, um solche Inhalte fernzuhalten.
  • Software immer auf aktuellem Stand halten: Jegliche Software im Betrieb muss durch regelmäßige Updates und Patches auf dem aktuellen Stand gehalten werden, um die Gefahr einer Malware-Infizierung möglichst gering zu halten.

Weitere Empfehlungen für die Sicherheit bei virtuellen Meetings gibt Udo Schneider, Security Evangelist in „Best Practices: Virtuelle Meetings ohne unerwünschte Teilnehmer“.

Best Practices: Virtuelle Meetings ohne unerwünschte Teilnehmer

von Udo Schneider, Security Evangelist bei Trend Micro

Zusammenkünfte und physischen Kontakt vermeiden, so genanntes „Social Distancing“, ist das Gebot der Stunde in Zeiten der Coronavirus-Pandemie. Eine Vielzahl von Firmen hat ihren Mitarbeitern mittlerweile Home Office verordnet. Aber für etliche Unternehmen ist diese Regelung ungewohnt und sie stehen gleichzeitig unter dem Zwang, ihre Geschäftsabläufe möglichst schnell dieser neuartigen digitalen Situation anzupassen. Das betrifft unter anderem natürlich auch die Art, wie geschäftliche Kommunikation stattfindet. Virtuelle Meetings sind jetzt eine der besten und viel genutzten Möglichkeiten, mit Kollegen, Teams, vielleicht sogar Kunden und Partnern geschäftliche Abläufe zu besprechen, zu planen oder Informationen auszutauschen. Während Nutzern mittlerweile die Notwendigkeit von Sicherheitsmaßnahmen für ihre Online-Interaktionen größtenteils bewusst ist, wird der Schutz von virtuellen Meetings häufig noch außer Acht gelassen. Best Practices beim Umgang mit Videokonferenzen sollten aber neben den technischen Sicherheitsmaßnahmen stets beachtet werden.

Der prominenteste Fall einer Sicherheitspanne dieser Art war die Videokonferenz des Bayerischen Innenministeriums zur Ausbreitung des Coronavirus, die fast öffentlich mitverfolgt werden konnte und für entsprechende Schlagzeilen sorgte.

Die Gefahr, die von der Nutzung eines Online-Kommunikationstools ausgeht, ist im privaten Bereich wahrscheinlich nicht sehr hoch. Im geschäftlichen Umfeld jedoch müssen Kommunikationstools in puncto Sicherheit ganz andere Anforderungen erfüllen, geht es doch um Vertraulichkeit und den Austausch von Geschäftsdaten bzw. -infos. Für viele Unternehmen und Anwender ist diese Art der Kommunikation ungewohnt, und sie sind darauf nicht vorbereitet. Umso wichtiger ist es, das Bewusstsein für die Sicherheit bei Videokonferenzen zu schärfen und auch Best Practices beim Umgang damit zu beachten.

Datenschutz bei Videokonferenzen

In erster Linie müssen sich Unternehmen darüber bewusst sein, dass sie die Verantwortung für die Integrität und Vertraulichkeit der geschäftlichen Daten auch beim Video-Conferencing tragen. Das bedeutet, dass ein virtuelles Meeting mithilfe eines Tools erfolgen sollte, das auf den professionellen Einsatz zugeschnitten ist und Möglichkeiten für die Absicherung der Konferenzen bietet. Dies ist bei Tools, wie Google Hangout oder Facetime für den privaten Gebrauch nicht gegeben. Auch ist es gut möglich, dass es etwa versteckte Nutzungsbedingungen einiger Hersteller gibt, die das Weiterleiten von Daten erlaubt.

Erste Voraussetzung für die Sicherheit von virtuellen Meetings im geschäftlichen Bereich ist es also, dafür zu sorgen, einen entsprechenden Dienst für die Meetings aus dem Home Office zur Verfügung zu stellen. Die meisten dieser Dienste sind mit eingebauten Sicherheitsfunktionen ausgestattet, und viele Provider liefern Sicherheitsempfehlungen für ihre Plattformen und erklären auch ausdrücklich, keine Daten weiter zu geben.

Dennoch finden Böswillige Mittel und Wege, auch diese Plattformen zu missbrauchen, sei es durch infizierte Domänen oder Dateien, sei es, um die Meetings durch Trolle zu stören oder ihre Botschaften zu verbreiten. Jüngstes Beispiel für derartigen Missbrauch ist die Plattform Zoom als Ziel dieser Akteure.

Sicherheitsempfehlungen

Umso wichtiger ist es, dass gerade diejenigen, die eine Videokonferenz aufsetzen, bestimmte Regeln und Richtlinien beachten und durchsetzen:

  • Sicherheits-Policies: Unternehmen müssen genau festlegen, welche Sicherheitsregeln bei einem virtuellen Meeting befolgt werden müssen.
  • Wiederverwendung von Zugangscodes limitieren: Wird immer derselbe Code für eine Videokonferenz verwendet, so kennen wahrscheinlich mehr Leute den Code als dem Host lieb ist.
  • Keine statischen Konferenznummern: Das Ändern dieser Nummern erschwert das Auffinden der Konferenzräume.
  • Schutz über PINs oder Passwörter: Ist das Thema einer Konferenz besonders vertraulich oder werden dabei kritische Daten ausgetauscht, lassen sich die Meetings mit der Vergabe von PINS oder Passwörtern zusätzlich schützen, oder gar eine Mehrfaktor-Authentifizierung aufsetzen
  • Dashboard für das Monitoring der Teilnehmer: Über ein Dashboard kann der Host überprüfen, ob sich jemand einwählt, der nicht eingeladen ist.
  • Konferenz abschließen: Das bedeutet, dass der Host überprüft, ob alle Teilnehmer sich eingewählt haben, um dann den Zugang zu schließen.
  • Nicht benötigte Funktionen deaktivieren: Dazu gehören unter Umständen Chats oder das Teilen bestimmter Arten von Dateien oder auch die Recording-Funktion.

Doch nicht nur die virtuelle Konferenz selbst muss abgesichert sein, sondern auch die Geräte im Home Office und die Verbindung zur Konferenz müssen entsprechend geschützt sein. Dazu gehört eine sichere WLAN-Verbindung, Systeme, die auf aktuellem Stand sind und das Vorhandensein einer Antivirus-Lösung sowie regelmäßige Backups der Daten. Empfehlungen für einen adäquaten Schutz vor Bedrohungen sowohl für die bei der Heimarbeit eingesetzten Geräte als auch für das Heimnetzwerk und die genutzten Lösungen gibt Trend Micro im Blogbeitrag „Umfassend geschützt im Home Office“.

Aktualisierung: Coronavirus in bösartigen Kampagnen

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neue Kampagnen mit Ransomware, betrügerischen Apps sowie Websites mit Fake-Versprechungen.

Update 26. März

Apps

In einer neuen Kampagne verbreiten Cyberkriminelle eine „Informations-App“ zu COVID-19, die angeblich von der Weltgesundheitsorganisation (WHO) stammt. Bleeping Computer berichtet, dass im Rahmen des Angriffs die Domain Name System (DNS)-Einstellungen in D-Link- oder Linksys-Routern gehackt werden, um Browser Alerts von besagter App darstellen zu lassen. Nutzer berichteten, dass sich ihre Browser ohne Interaktion automatisch öffneten und sie in einer Nachricht aufforderten, einen Button anzuklicken, um eine „COVID-19 Inform App“ herunterzuladen. Stattdessen wird der Oski Info Stealer auf das Gerät geladen. Diese Schädlingsvariante kann Browser Cookies, den Verlauf, Bezahlinformationen, gespeicherte Anmeldedaten, Kryptowährungs-Wallets und andere Daten stehlen.

Netwalker Ransomware

Eine neue Phishing-Kampagne verbreitet laut MalwareHunterTeam die Netwalker Ransomware, schreibt Bleeping Computer. Ein Anhang namens CORONAVIRUS.COVID-19.vbs enthält ein eingebettetes Ransomware Executable. Von den Opfern wird ein Lösegeld verlangt, das über eine Tor-Bezahlseite zu entrichten ist.

Sextortion-Betrug

Über eine neue Sextortion-Masche berichtet Sophos. Die Opfer werden per Email darüber informiert, dass der Angreifer alle Passwörter kennt und weitere Details zu dessen persönlichen Aktivitäten. Sollte sich der Betroffene weigern, die verlangten 4.000 $ in Bitcoin innerhalb von 24 Stunden zu zahlen, drohen die Cyberkriminellen, die Familie des Betroffenen mit dem Coronavirus zu infizieren. Es gibt keine Hinweise, ob der Angreifer tatsächlich Zugang zu den Daten hat.

Betrügerische Websites

Sicherheitsforscher fanden zwei Websites, (antivirus-covid19[.]site und corona-antivirus[.]com), die eine App anbieten, die angeblich vor Corona schützen kann. Erstere ist bereits nicht mehr zugänglich, die zweite schon. Die App „Corona Antivirus“ auf den Websites soll das Ergebnis der Forschung von Wissenschaftlern der Harvard Universität sein. Wer die App installiert, infiziert das eigene System mit BlackNET RAT Malware, die dann das System einem Botnet hinzufügt. Über das Botnet können die Hintermänner DDoS-Angriffe starten, Dateien auf das Gerät laden, Skripts ausführen, Screenshots erstellen, Tastaturanschläge aufnehmen, Bitcoin-Wallets stehlen und Browser Cookies sowie Passwörter sammeln.

Schließlich hat Das US-Justizministerium (DOJ) eine einstweilige Verfügung gegen die betrügerische Website coronavirusmedicalkit[.]com eingereicht. Die Website verkauft angeblich von der WHO zugelassene COVID-19-Impfstoffkits. Es sind jedoch noch keine solchen legitimen Coronavirus-Impfstoffe auf dem Markt erhältlich. Die Website verlangt 4,95 $ für die Lieferung. Dafür sollen Nutzer ihre Kreditkartendaten angeben. Die Website ist ebenfalls nicht mehr erreichbar.

Update 20. März:

Italien, eines der vom Virus am schlimmsten betroffenen Länder, wird auch von den Cyberkriminellen nicht verschont. Innerhalb der EMEA-Region steht das Land mit 11.000 Spam- und Malware-Vorfällen auf Platz drei. Die Sicherheitsforscher von Trend Micro entdeckten mehr als 6.000 Spam-Vorfälle in einer neuen Kampagne. Sowohl der Betreff („wichtige Infos zur Coronavirus-Vorsorge“) als auch die Nachricht selbst sind auf Italienisch verfasst. Der Absender verspricht ein Dokument im Anhang, das angeblich von der World Health Organization (WHO) kommt und heruntergeladen werden soll. Das bösartige Dokument enthält einen Trojaner. Die Indicators of Compromise beinhaltet der Originalbeitrag.

Update 16. März

Trend Micro entdeckte eine Email Spam-Kampagne, die chinesische und italienische Anwender zum Ziel hat. Die Erwähnung von Coronavirus im Betreff der chinesischen Variante soll potenzielle Opfer dazu bringen, einen bösartigen Anhang herunterzuladen. Weitere Untersuchungen ergaben, dass die genutzte Payload HawkEye Reborn ist, eine neuere Variante des Information Stealers HawkEye. Die Datei ist ein stark verschleiertes AutoIT-Skript, das zu einer ausführbaren Datei kompiliert wurde.

Im Fall des italienischen Spams wurde der Name der Infektion nicht im Betreff erwähnt sondern befand sich in der URL. Der Betreff bezog sich auf Rechnungen, und der Anhang enthielt Malware, die über die Ausführung eines PowerShell-Befehls eine Datei von einer COVID-19 bezogenen URL herunterlud.

Business Email Compromise (BEC)

Ein Business Email Compromise (BEC)-Angriff, der Coronavirus erwähnt, wurde von Agari Cyber Intelligence Division (ACID) gemeldet. Dahinter steckte Ancient Tortoise, eine cyberkriminelle Gruppe, die bereits von früheren BEC-Vorfällen bekannt ist. Sie kontaktieren zuerst die Buchhaltung eines Unternehmens und fordern eine Liste mit ausstehenden Zahlungen an, um dann die entsprechenden Kunden anzugehen und diese über Änderungen bei Bankverbindung und Zahlungsmethode aufgrund der Coronakrise zu „informieren“.

Malware

Eine interaktive Coronavirus-Karte wurde eingesetzt, um einen Information Stealer zu verbreiten, berichtete Brian Krebs. Die Karte, die die Johns Hopkins Universität erstellt hatte, ist ein interaktives Dashboard, das die Verbreitung des Coronavirus und die davon verursachten Todesfälle in der Welt anzeigt. Dies nutzten russische Mitglieder von Untergrundforen aus, um digitale Corona-Infektions-Kits zu verkaufen, die eine Java-basierte Malware installieren.

Ransomware

Eine neue Ransomware-Variante namens CoronaVirus wurde über eine gefälschte Wise Cleaner-Site verbreitet, die vorgeblich Systemoptimierung anbot, so das MalwareHunterTeam. Opfer luden dabei unwissentlich die Datei WSGSetup.exe von der Site herunter. Besagte Datei dient als Downloader für zwei Arten von Malware: die CoronaVirus Ransomware und ein Trojaner namens Kpot, der Passwörter stiehlt. Diese Kampagne folgt dem Trend, nicht allein Daten zu verschlüsseln, sondern auch Informationen zu stehlen.

Eine mobile Ransomware namens CovidLock kommt über eine bösartige Android App, die vorgeblich dabei hilft, COVID-19-Infizierte auszumachen. Die Ransomware sperrt die Smartphones ihrer Opfer und verlangt innerhalb von 48 Stunden ein Lösegeld von 100 $ in Bitcoin. Die Hintermänner drohen auch mit dem Löschen der Daten auf dem Telefon und der Veröffentlichung von Social-Media-Kontoinformationen.

Coronavirus-bezogene Angriffe in den verschiedenen Regionen der Welt

Trend Micro-Forscher haben die Coronavirus-bezogene Malware und die Spam-Angriffe im ersten Quartal 2020 (von Januar bis heute) auf Anwender weltweit analysiert und sie nach Regionen bewertet – Asia Pacific Region (APAC), Lateinamerika (LAR), Nordamerika (NABU) und Europa, Mittlerer Osten & Afrika Region (EMEA).

Die Daten stammen aus dem Smart Protection Network und wurden auf Basis heuristischer Muster zusammengestellt. Die Anzahl des Spam entspricht den Spam-Mails mit dem Wort „coronavirus” im Betreff. Die Zählung der Malware besteht hauptsächlich aus den mitgelieferten Malware-Dateien.

Bild 1. Weltweite Coronavirus-bezogene Malware- und Spam-Angriffe in Q1 2020

Die Grafik zeigt, dass bei den Anwendern in der EMEA-Region mit etwa 130.000 jeweils für Malware und Spam die meisten Angriffe zu verzeichnen waren. Es zeigt sich, dass in der EMEA-Region auf die Anwender in Großbritannien etwa ein Drittel aller Malware- und Spam-Angriffe (jeweils 41.000) der Region entfielen, gefolgt von Frankreich mit fast 24.000 Malware- und ca. 23.000 Spam-Angriffen.

Spam

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang, so auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 2. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Liefervorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferungsdatum enthalten. Im folgenden Beispiel etwa soll der Anhang Einzelheiten über ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 3. COVID-19 -bezogene Spam-Email mit dem Thema verspäteter Liefertermin

Andere Spam-Mails waren in Italienisch oder Portugiesisch verfasst.

Malware-Dateien

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Eine entsprechende Liste umfasst der Originalbeitrag.

Andere Sicherheitsforscher fanden Coronavirus-Landkarten und -Dashboards, die von Cyberkriminellen missbraucht werden. Forscher von Reason Labs fanden gefälschte Websites, die zum Herunterladen und Installieren von Malware führen. Eine Liste der heruntergeladenen Malware finden Sie im Originalbeitrag.

Domänen

Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Coronavirus als Köder in Spam, Malware und bösartigen Domänen

Von Trend Micro

Wie nicht anders zu erwarten war, nutzen mittlerweile Angreifer die Thematik rund um das Coronavirus (COVID-19) als Köder in ihren Email Spam-Attacken. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, sowie auch die häufigere Verwendung der Wörter „coronavirus“ und „corona“ in Malware-Namen und bösartigen Domänen.

Trend Micro-Sicherheitsforscher haben weltweite Samples gesammelt und festgestellt, dass viele Emails vorgeben, von offiziellen Organisationen zu kommen und Neuigkeiten sowie Empfehlungen bezüglich der Infektion zu enthalten. Wie die meisten anderen Spam-Angriffe auch umfassen sie einen bösartigen Anhang. So auch das folgende Beispiel mit dem Betreff „Corona Virus Latest Updates“ und dem US-Gesundheitsministerium als vermeintlicher Absender. Natürlich enthält der Anhang Malware.

Bild 1. COVID-19-bezogene Spam-Email

Viele der Spam-Mails beziehen sich auf Versandvorgänge, die sich angeblich wegen der Infektionen verschieben oder ein neues Auslieferdatum enthalten. Im folgenden Beispiel etwa soll vorgeblich der Anhang Einzelheiten für ein späteres Lieferdatum enthalten. Die Email gibt vor, aus Japan zu kommen und umfasst auch Details in Japanisch (im Screenshot unkenntlich gemacht)

Bild 2. COVID-19 -bezogene Spam-Email mit dem Thema Lieferverspätung

Andere Spam-Mails waren auf Italienisch oder Portugiesisch verfasst.

Malware-Dateien und Domänen

Trend Micro fand auch Schadsoftware mit „corona virus“ im Dateinamen. Ebenso nutzen Domänennamen häufiger das Wort „corona“. Eine Liste beider umfasst der Originalbeitrag.

Schutz vor diesen Bedrohungen

Trend Micros Endpoint-Lösungen wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Smart Factory Honeypot zeigt mögliche ICS-Angriffe

Originalbeitrag von Ian Heritage

Die Welt wird immer smarter, und dazu gehören auch Fabriken und Industrieanlagen, die mit Internet-of-Things (IoT)-Systemen vernetzt werden, um so die Geschäftsprozesse zu verschlanken und die Produktivität zu steigern. Aber dieses Rennen um Innovation hat seinen Preis. Infolge der Konvergenz der Betriebstechnik (Operational Technology, OT) mit der IT entstehen Bedrohungen durch veraltete Kommunikationsprotokolle, IT-Silos und Hardware, die nicht für regelmäßiges Patching ausgelegt ist. Geht es um Bedrohungen der Industrie 4.0, so spricht man oft von ausgeklügelten, von Nationalstaaten unterstützten Versuchen, die Stromversorgung zu unterbrechen oder Produktionslinien zu sabotieren. Doch in der Praxis sind „alltägliche“ Angriffe ein größeres, unmittelbares Problem. Doch neben den Schutzmaßnahmen dagegen sollten Unternehmen den defensiven Maßnahmen Vorrang einräumen. Trend Micro hat mithilfe eines Honeypots die Bedrohungen für Smart Factories untersucht.

Honeypots stellen für Sicherheitsforscher eine bewährte Methode dar, um entscheidend wichtige Erkenntnisse über die Gegner zu erhalten. Doch auch die Angreifer sind zu solchen Taktiken fähig, und die White Hats müssen sich besonders anstrengen, um ihre Systeme so zu tarnen, dass sie legitim wirken. Trend Micro präsentierte sich in dem Projekt als kleine industrielle Prototyping-„Boutique“-Beratung, mit sensiblen Projekten für hochspezialisierte Kunden. Zu diesem Zweck erstellten die Forscher eine komplette Website und Social-Media-Profile für die „Mitarbeiter“ der Firma.

Um den Honeypot authentischer erscheinen zu lassen, verwendete das Forscherteam reelle Industrial Control System (ICS)-Hardware und eine Mischung aus physischen Hosts und VMs. Mehrere Programmable Logic Controller (PLCs), Human Machine Interfaces (HMIs), getrennte Roboter- und Engineering-Arbeitsplätze sowie ein Dateiserver vervollständigten die Installation. Als Köder für die Angreifer wurden bestimmte Ports ohne Passwörter offen gelassen, um Dienste wie VNC zu ermöglichen, und Informationen wurden in Pastebin veröffentlicht, um die gefälschte Firma leichter aufzufinden.

Ergebnisse

Der Honeypot wurde in einem Kryptojacking-Angriff kompromittiert, zwei separate Ransomware-Läufe zielten darauf, und der Honeypot wurde für Betrugstricks genutzt – vor allem für das Upgrading von Handykonten der Opfer für den Kauf neuer iPhones und Einlösen von Flugmeilen für Geschenkkarten. Dies gibt einige interessante Einblicke in die Sicherheit der Smart Factory.

Erstens geht es nicht nur um ausgeklügelte, mehrstufige Versuche, Prozesse zu stören und/oder hochsensible Unternehmensinformationen zu stehlen. Diese Angriffe waren ziemlich banal, aber immer noch ausreichend, um vor allem kleineren Organisationen einige bedeutende Probleme zu bereiten.

Zweitens ist klar, dass bewährte Sicherheitsmaßnahmen funktionieren. Selbst die grundlegendsten Sicherheitsmaßnahmen, die die Forscher eingerichtet hatten, hielten Angreifer zunächst davon ab, den Honeypot zu infiltrieren. Erst als sie etwa den VNC-Port öffneten, wurde er mit Kryptowährungs-Malware infiziert.

Daher sind IT-Sicherheitsleiter, die Smart Factory-Umgebungen zu managen haben, gut beraten sicherzustellen, dass sie die Anzahl der von ihnen geöffneten Ports begrenzen und strenge Zugangskontrollrichtlinien nach dem „Prinzip der geringsten Privilegien“ befolgen.

Doch dies ist lediglich der Anfang. Diese Richtlinien sollten mithilfe zuverlässiger Sicherheitslösungen, die speziell für diese Art von Umgebungen entwickelt wurden, verbessert werden. Diese Lösungen schützen vor der Ausnutzung von Schwachstellen und ungesicherter Kommunikationskanäle und bieten zudem Einsichten in OT-Ressourcen.

Sicherheit für die Cloud-vernetzte Welt im Jahr 2020

Originalbeitrag von Ross Baker

Für CISOs war 2019 ein hartes Jahr. Die letzten zwölf Monate fuhren einen neuen Rekord ein bei Datenschutzverletzungen, Cloud-Fehlkonfigurationen und Sicherheitsbedrohungen auf DevOps-Ebene. Angriffe durch Ransomware, dateilose Malware und auch die Bedrohungen durch Business Email Compromise (BEC) nahmen weiterhin zu. Allein Trend Micro blockte in der ersten Hälfte 2019 mehr als 26,8 Mrd. einzigartige Bedrohungen. Die Situation wird sich in diesem Jahr nicht verbessern, und die Verantwortlichen für Cybersicherheit müssen sicherstellen, dass sie mit vertrauenswürdigen Partnern zusammenarbeiten – Anbietern mit einer klaren Zukunftsvision. Während des letzten Jahres hat eine überzeugende Mischung aus Produktinnovation, Übernahmen und die Anerkennung durch unabhängige Branchengremien Trend Micro als einen solchen Partner qualifiziert.

Risiken durch digitale Medien

Wenn es heute um digitale Transformation geht, so heißt das zumeist Cloud-Computing-Systeme. Die Investitionen in Plattformen wie AWS, Azure und andere haben den Unternehmen enorme Vorteile gebracht, denn sie unterstützen Organisationen dabei, skalierbarer, effizienter und agiler zu werden. Cloud-Plattformen geben Entwicklern die Flexibilität, die sie benötigen, um DevOps und Infrastructure-as-Code (IaC)-Initiativen voranzutreiben, um innovative Kundenerlebnisse zu bieten, und die Plattformen mit wenigen Klicks an die Marktanforderungen anzupassen.

Die Kehrseite davon bedeutet aber, dass diese IT-Transformation die Organisationen einer Reihe neuer Risiken ausgesetzt hat. Bei so vielen potenziell lukrativen Kundeninformationen, die in Cloud-Datenbanken liegen, sind sie zu einem Hauptziel für Hacker geworden. Trend Micro prognostiziert für 2020 eine Flut von Angriffen gegen Cloud-Anbieter über das Einschleusen von Code. Des Weiteren werden Schwachstellen in Container- und Microservices-Architekturen auftauchen, viele davon durch die Wiederverwendung von quelloffenen Komponenten. Fast 9 Prozent der 2018 weltweit heruntergeladenen Komponenten enthielten einen Fehler. Recherchen ergaben, dass 30 Prozent davon kritisch waren.

Die Komplexität von Multi- und hybriden Cloud-Systemen erhöht den Druck auf IT-Admins. Wenn so viel auf dem Spiel steht, ist es unvermeidlich, dass dies zu menschlichen Fehlern führt. Fehlkonfigurationen sind im Jahr 2019 zu einer der Hauptnachrichten geworden. Die Untersuchungen von Trend Micro im vergangenen Jahr ergaben auch, dass über die Hälfte der DevOps Teams in globalen Organisationen nicht über die geeigneten Werkzeuge verfügen, um ihre Arbeit richtig machen zu können.

Sicherheit einfach gestalten

Trend Micro will die Kunden bei ihrem Weg durch diese instabile Landschaft zur Seite stehen. Nur ein paar Beispiele dessen, was der japanische Anbieter zum Schutz der Kunden unternimmt:

Cloud Conformity: Die Übernahme dieses führenden Anbieters von Managementlösungen für Cloud-Sicherheit bietet globalen Anwendern dringend benötigte Fähigkeiten für die permanente Überprüfung. Am auffälligsten ist die Fähigkeit von Cloud Conformity, komplexe Cloud-Umgebungen zu durchleuchten und aufzuzeigen, wo Fehlkonfigurationen existieren und einfache Schritte zur Abhilfe zu ergreifen.

SnykTrend Micro arbeitet mit diesem entwicklerorientierten Open-Source-Sicherheitsanbieter zusammen mit dem Ziel, die Risiken von DevOps zu verringern, die sich aus gemeinsam genutztem Code ergeben. Trend Micro Container-Image-Scans zeigen Schwachstellen und Malware in der Software-Build-Pipeline auf, und virtuelles Patching schützt gegen deren Ausnutzung zur Laufzeit. Mit Snyk Applications Security Management können Entwickler diese Fehler in ihrem Code schnell und einfach beheben.

CloudOne: Trend Micro kombiniert alle Cloud-Sicherheitsfähigkeiten in einer schlanken Plattform, und deckt damit CSPM, Anwendungssicherheit, Container-, Workload-, Cloud-Netzwerk- und Dateispeicher-Sicherheit ab. Die Plattform stellt eine automatisierte, flexible, einheitliche Lösung dar, die die Komplexität von modernen hybriden und Multi-Cloud-Umgebungen vereinfacht.

Anerkennung durch Analysten: Kürzlich hat etwa IDC Trend Micro im neuesten „Worldwide Software Defined Compute Workload Security Market Shares, 2018“ als „dominanten Leader“ aufgeführt. Trend Micro hält mehr als zwei Fünftel der Marktanteile im SDC Workload-Sicherheitsmarkt, nahezu dreimal so viele wie der nächste Mitbewerber.