Schlüsselwort-Archiv: malware\

1,4 Milliarden US-Dollar Schadensersatz: Ein Wendepunkt für Cyberversicherer

Hallo!

Seit meiner letzten iNews-Veröffentlichung, aka Cyber-News von der dunklen Seite, ist bereits einige Zeit vergangen. Mit dem heutigen Beitrag möchte ich dieser Artikelreihe neues Leben schenken, um Sie, meine Leser, mit den besten Highlights atemberaubender Cyber-Infos zu versorgen, von denen Sie vermutlich nichts in Ihren üblichen Nachrichtenquellen erfahren würden…

In diesem Artikel soll es ausnahmsweise nur um ein einziges Highlight gehen – das es dafür aber in sich hat!

Hier eine kurze Zusammenfassung zur Orientierungshilfe: Nach einem langwierigen Gerichtsverfahren in den USA gewinnt der Pharmariese Merck eine Schadensersatzklage in Höhe von 1,4 Milliarden US-Dollar gegen seine Versicherungsfirma und wird so für die im Jahr 2017 durch NotPetya (alias ExPetr oder Petya) entstandenen Verluste entschädigt.

Wir springen zurück ins Jahr 2017…

Im Juni 2017 erscheint wie aus dem Nichts ein technologisch fortschrittlicher Erpressungstrojaner – NotPetya – der sich wie ein Lauffeuer verbreitet. Zunächst zielt dieser nur auf die Ukraine ab, wo er Opfer über eine beliebte Buchhaltungssoftware angreift – zu den Opfern zählen damals Banken, Regierungsstellen, der Flughafen Charkow, die Überwachungssysteme des Kernkraftwerks Tschernobyl (!!!) uvm. Danach breitet sich die Epidemie erst in Russland, danach auf der ganzen Welt weiter aus. Viele Quellen gehen mittlerweile davon aus, dass NotPetya bis dato der folgenschwerste Cyberangriff aller Zeiten ist. Ja, das scheint sehr plausibel, wenn man die Zahl der angegriffenen Unternehmen zählt (von denen Dutzende jeweils Hunderte Millionen US-Dollar verloren haben, während der Gesamtschaden für die Weltwirtschaft auf mindestens 10 Milliarden US-Dollar geschätzt wurde)!

Eines der nennenswertesten Opfer des globalen Cyberangriffs ist zu dieser Zeit der US-Pharmariese Merck. Lektüren zufolge, werden innerhalb von 90 Sekunden (!) nach Beginn der Infektion rund 15.000 seiner Computer bereinigt, während das Rechenzentrum-Backup des Unternehmens (verbunden mit dem Hauptnetzwerk) fast im selben Atemzug verloren geht. Bis zum Ende des Angriffs verliert Merck rund 30.000 Workstations und 7.500 Server. Nach dem Angriff wird monatelang versucht zu retten, was zu retten ist – die Kosten belaufen sich dabei auf ~1,4 Milliarden US-Dollar. Und nicht nur das: Merck sieht sich aufgrund der Unterbrechungen seiner Produktionsabläufe dazu gezwungen, Impfstoffe im Wert von 250 Millionen US-Dollar von externen Quellen zu leihen.

So viel zu den Hintergrundinformationen; jetzt aber zum Wesentlichen:

Der Policen-Vertrag zwischen Merck und der Versicherungsgesellschaft Ace American deckte alle möglichen Risiken ab; auch den Datenverlust im Falle eines Cybervorfalls. Die Versicherungssumme für derartige Schäden belief sich auf sagenhafte 1,75 Milliarden US-Dollar. Ace American weigerte sich jedoch, den NotPetya-Angriff als gedeckten Verlust anzuerkennen, und wollte den geforderten Betrag daher nicht zahlen; sie stuften den Angriff als Ereignis höherer Gewalt ein. Um dies zu untermauern, sagten sie, dass Russland NotPetya entwickelt hatte, um den Trojaner als Cyberwaffe im Krieg gegen die Ukraine einzusetzen, und der Versicherer nicht dazu verpflichtet sei, Folgeschäden einer militärischen Aktion zu ersetzen. Um diese Aussage zu bestärken, zitierte Ace American die öffentlichen Ankündigungen der Regierungen des Vereinigten Königreichs und der USA, die Russland offiziell für diesen Cyberangriff verantwortlich gemacht hatten.

Im Jahr 2019 verklagte Merck seinen Versicherer mit der Begründung, der Angriff sei keine offizielle Aktion eines Nationalstaats gewesen und könne daher nicht als Militäraktion oder bewaffneter Konflikt gewertet werden. Darüber hinaus betonten die Anwälte des Pharmaindustrieunternehmens, dass Cyberangriffe nicht in den Ausnahmen vom Versicherungsschutz der Police aufgeführt waren. Letztendlich entschied das Gericht zugunsten von Merck, mit der Begründung, dass Ace American wusste, dass Cyberangriffe als militärische Aktionen anerkannt werden können, sich jedoch bewusst dazu entschieden hatte, dies nicht in der Versicherungspolice aufzuführen.

Ich bin mir sicher, dass viele Versicherungsunternehmen diesen Fall aufmerksam verfolgt haben und ihre Einheitspolicen von jetzt an auf Herz und Nieren prüfen werden. Dies gilt übrigens genauso für die vielen Opfer unzähliger Cybervorfälle, die höchstwahrscheinlich auch einen genaueren Blick auf die Bedingungen ihrer Versicherungsverträge geworfen haben, um festzustellen, ob ihnen aufgrund dieses Präzedenzfalls von Merck möglicherweise eine Schadensersatzzahlung zusteht. Versicherten und Versicherern sollte jedoch klar sein, dass sie die Langzeitwirkung im Auge behalten müssen: Werden die „Spielregeln“ verändert, sind deutliche Erhöhungen der Versicherungsprämien vermutlich unausweichlich.

Ich lehne mich sogar noch weiter aus dem Fenster und behaupte, dass sich Cyberrisiko-Versicherungen eines Tages in ein sehr großes Geschäft verwandeln werden – und zwar in Form einer Übertragung der traditionellen Versicherungspraxis auf den Bereich der Cybersicherheit, wodurch Anbieter diesen gesamten Versicherungssektor erheblich – wenn nicht sogar irreparabel – schädigen könnten. Die meisten Cybersicherheitsunternehmen garantieren heute immerhin einen 50%igen Schutz gegen Ransomware wie NotPetya.

Doch ein 50%iger Schutz ist ungefähr so als würde man Kameras, Wachleute, Alarmanlagen und Co. einfach durch ein Schild über der Haustür mit der Aufschrift: „Einbrecher nicht erlaubt“ ersetzen! Deshalb gilt: entweder Sie erhalten einen 100%igen Schutz oder gar keinen. Übrigens bietet nur ein Unternehmen 100%igen Schutz vor Ransomware. Raten Sie mal, von welchem ich spreche!

Die Situation sieht also ungefähr folgendermaßen aus: die Risiken eines Cyberangriffs können massiv sein, was bedeutet, dass Unternehmen diese Risiken selbstverständlich versichern wollen. Gleichzeitig wird jeder klardenkende Versicherer, der Zeuge des Vorfalls Merck geworden ist, sein Bestes geben, um sicherzustellen, dass Cyberrisiken nicht in den Versicherungspolicen aufgeführt werden. Was uns zu einer absolut revolutionären Situation führt: Versicherungen wollen Cyberrisiken nicht versichern, obwohl ihre Kunden unbedingt eine Cyberrisiko-Versicherung abschließen möchten.

Was kann man in einem solchen Fall tun? Selbstverständlich die Risiken eines Angriffs auf digitale Infrastrukturen weitgehend minimieren. Mit anderen Worten: die Infrastruktur muss so aufgebaut werden, dass anfällige und kritische Segmente quasi immun gegen externe (und auch interne) Angriffe sind, während der andere Teil der Infrastruktur durch eine mehrschichtige Sicherheitslösung geschützt wird!

Erpressung: Zahlen oder nicht zahlen? Das ist hier die Frage.

In manchen Artikeln zum Thema „was tun bei Ransomware-Angriffen“, las ich teilweise Folgendes: „Ziehen Sie eine Lösegeldzahlung in Erwägung.“ Diese Worte lösen bei mir immer einen tiefen Seufzer aus … ich lasse die Luft langsam aus meinen aufgeblasenen Backen entweichen, während ich den Browser-Tab schließe. Warum ich so reagiere? Weil man Erpressern unter keinen Umständen Lösegeld zahlen sollte! Die Tatsache, dass man damit kriminelle Aktivitäten unterstützt, ist auch nicht der einzige Grund dafür. Es gibt da noch einige weitere Gründe. Folgend werde ich sie einzeln erklären:

Erstens: Weil mit dem Lösegeld Malware gesponsert wird

Read on: Erpressung: Zahlen oder nicht zahlen? Das ist hier die Frage.

Flickr Foto-Stream

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

Ransomware: Hier hört der Spaß auf!

Zunächst einige Informationen zur Vorgeschichte:

Am 10. September wurde das Universitätsklinikum Düsseldorf Opfer eines Cyberangriffs bei dem insgesamt 30 interne Server durch die Ransomware-Malware DoppelPaymer verschlüsselt werden konnten; der Patientendurchsatz sah sich durch diesen Vorfall enorm beeinträchtigt. Nur wenige Tage später war das Klinikum infolge des IT-Ausfalls seiner Installationen dazu gezwungen, einer lebensbedrohlich erkrankten Patientin die Krankenhausaufnahme und eine damit verbundene Notoperation zu verwehren. Die Frau wurde umgehend in ein Wuppertaler Krankenhaus umgeleitet, verstarb allerdings noch auf dem Weg ins benachbarte Klinikum. Es handelt sich hierbei um den ersten bekannten Ransomware-Angriff mit Todesfolge.

Der tödliche Unfall (vorausgesetzt, die Angreifer waren sich einem solch schwerwiegenden Ausgang nicht bewusst) ist und bleibt tragisch – vor allem die Tatsache, dass in diesem Fall grundlegende Regeln der Cybersicherheitshygiene ganz klar vernachlässigt wurden, lässt einiges zu wünschen übrig. Dazu gesellt sich die offensichtliche Unfähigkeit der Strafverfolgungsbehörden, den beteiligten organisierten Kriminellen erfolgreich entgegenzutreten.

Die Hacker konnten das Krankenhausnetzwerk über eine Schwachstelle auf den Citrix Netscaler-Servern, die als Shitrix bekannt ist und bereits im Januar dieses Jahres gepatcht wurde, angreifen. Es scheint, als hätten die Systemadministratoren also viel zu lange mit der Installation des Patches gewartet. Diese Nachlässigkeit ermöglichte es den Kriminellen, in das Netzwerk einzudringen und eine Backdoor zu installieren.

Bis zu diesem Punkt handelt es sich um harte Fakten. Im Anschluss folgen einige Vermutungen, die bis dato so nicht bestätigt werden konnten, die aber dennoch mehr als wahrscheinlich sind …

Es ist nicht auszuschließen, dass die Backdoor in Untergrundforen als „Universitäts-Backdoor“ an andere Hacker verkauft wurde. Tatsächlich zielte der Angriff ursprünglich auf die nahe gelegene Heinrich-Heine-Universität ab. Das geht immerhin aus der von den Erpressern verfassten E-Mail hervor, in der diese ein Lösegeld für die Freigabe der von ihnen verschlüsselten Daten fordern. Nachdem die Hacker auf ihr tatsächliches Angriffsziel aufmerksam wurden, händigten sie dem Krankenhaus umgehend alle Schlüssel zur Entsperrung der Systeme aus (und tauchten ab). All das erweckt den Eindruck, dass Cyberkriminelle kein besonderes Interesse an Krankenhäusern zu haben scheinen. Sie gelten als zu „toxisch“ (wie dieser Vorfall auf die schlimmste – tödlichste – Art und Weise gezeigt hat).

Hinter der Malware DoppelPaymer wird die russischsprachige Hackergruppe Evil Corp, der weitere hochkarätige Cyber- und Ransomwareangriffe (darunter auch der Angriff auf das Garmin-Netzwerk) zugeschrieben werden können, vermutet. Im Jahr 2019 erhob die US-Regierung deshalb bereits Anklage gegen Einzelpersonen der Gruppe Evil Corp und setzte eine Belohnung in Höhe von fünf Millionen US-Dollar für Unterstützung bei der Festnahme dieser Personen aus. Merkwürdig ist, dass die Kriminellen keine Unbekannten sind, sondern bis vor kurzem sogar noch mit ihrem glamourösen Gangster-Lifestyle prahlten – auch in den sozialen Medien.

Quelle

In unserer Welt scheint momentan einiges gewaltig schief zu laufen. Zum einen wäre da die Tatsache, dass Krankenhäuser überhaupt unter den kriminellen Machenschaften skrupelloser Ransomware-Hacker zu leiden haben – auch, wenn das Klinikum den Kriminellen in diesem Fall ganz offensichtlich nur durch eine Verwechselung zum Opfer gefallen ist. Dennoch ist auch das zweite Szenario, das sich aus eben dieser Verwechslung ergibt, nicht besonders vielversprechender: denn es bedeutet nur, dass nun auch Universitäten ins Blickfeld von Cyberkriminellen geraten sind (oft, um Forschungsdaten zu stehlen – einschließlich COVID-19-bezogene Daten). Doch auch aus Cybersicherheitsperspektive gibt es einiges zu bemängeln …

… denn, wie kann ein Krankenhaus überhaupt so nachlässig sein? Eine Schwachstelle nicht rechtzeitig zu patchen, sodass Cyberkriminellen Tür und Tor weit offenstehen und Backdoors ohne Probleme installiert werden können? Wie oft haben wir in der Vergangenheit schon betont, dass FreeBSD (damit arbeitet Netscaler) in keinster Weise sicher, sondern genau das Gegenteil der Fall ist: Hierbei handelt es sich um den „falschen Freund“ eines jeden Cybersicherheitsexperten. Dieses Betriebssystem ist keineswegs immun und weist Schwachstellen auf, die sich für ausgeklügelte Cyberattacken ausnutzen lassen. Und dann wäre da natürlich noch die Tatsache, dass eine so kritische Einrichtung wie ein Krankenhaus (also infrastrukturelle Organisationen) einen mehrstufigen Schutz benötigen, bei dem jede Ebene die andere unterstützt: Hätte das Krankenhaus einen zuverlässigen Schutz für das interne Netzwerk installiert, hätten es die Hacker vermutlich nie so weit geschafft.

Die deutsche Polizei untersucht nun die Vorgänge, die zum Tod der Patientin geführt haben. Und ich hoffe wirklich, dass sich die deutschen Behörden mit einem formellen Ersuchen für Zusammenarbeit bei der Festnahme der beteiligten Kriminellen an die russischen Behörden wenden werden.

Damit die Polizei ein Strafverfahren einleiten kann, muss zumindest eine formelle Erklärung / ein formeller Antrag oder der Gegenstand eines begangenen Verbrechens vorgelegt werden. Presseartikel oder jegliche Art informeller Kommentare oder Ankündigungen werden vom Rechtssystem nicht anerkannt. Mit anderen Worten: Kein formeller Antrag – kein Fall. Wenn es jedoch glaubwürdige Beweise für ein begangenes Verbrechen gäbe, dann würde ein zwischenstaatliches Interaktionsverfahren greifen, das befolgt werden muss. Alles sehr formal, aber so ist es nun mal. Die Regierungen müssen ihre politischen Vorurteile überwinden und gemeinsam handeln. Denn, wie dieser Fall gezeigt hat, stehen bereits Menschenleben auf dem Spiel. Während die internationale Zusammenarbeit durch die Geopolitik weitgehend eingefroren ist, werden Cyberkriminelle immer wieder neue verdorbene Handlungen gegen die Menschheit einleiten.

UPDATE: Der erste Schritt zur Wiederaufnahme der Zusammenarbeit im Bereich Cybersicherheit ist bereits getan. Ich drücke weiterhin die Daumen …

Übrigens: Ist Ihnen aufgefallen, dass es kaum Nachrichten über erfolgreiche Angriffe von Ransomware-Hackern auf russische Organisationen gibt? Haben Sie sich jemals gefragt, warum das so ist? Ich persönlich werde diese sinnlosen Verschwörungstheorien über Hacker, die angeblich für russische Geheimdienste arbeiten (Humbug, es gibt weltweit viele Ransomware-Gruppen, nicht nur in Russland) nicht einen Augenblick lang in Erwägung ziehen. Meiner Meinung nach liegt das daran, dass die meisten russischen Unternehmen durch hochwertigen Cyber-Schutz geschützt sind. Und schon bald werden sie durch ein cyber-immunes Betriebssystem geschützt sein. Ja, genau dieser Schutz, der für den Einsatz in staatlichen US-Institutionen verboten wurde. Stellen Sie sich das mal vor.

UPDATE 2: Erst gestern wurde ein Ransomware-Angriff auf eine der größten amerikanischen Krankenhausketten, die UHS, gemeldet: Ihre Computer, die etwa 250 Einrichtungen im ganzen Land versorgen, wurden lahmgelegt, was dazu führte, dass Operationen abgesagt, Krankenwagen umgeleitet und Patientenregistrierungen auf Papier ausgefüllt werden mussten. Es gibt noch keine weiteren Einzelheiten zu diesem Vorfall …

 

Das Versteckspiel… mit Fileless-Malware.

Bösartige Codes… irgendwie gelangen Sie überall…

Sie verhalten sich ein bisschen wie Gas, denn auch Gas möchte sich immer ausbreiten. Denn wie auch das Gas, finden bösartige Codes immer wieder „Löcher“ (Schwachstellen), durch die Sie entweichen können und unsere Computersysteme angreifen. Unsere Aufgabe (eher gesagt eine davon) ist es also, solche Löcher zu finden und zu stopfen. Dabei soll dies proaktiv geschehen, d.h. noch bevor die Malware die Schlupflöcher entdeckt. Somit können wir auf Malware lauern und sie gegebenenfalls abfangen.

Tatsächlich ist es gerade der proaktive Schutz und die Fähigkeit, die Angriffsmuster vorauszusehen und im Voraus eine effektive Schutzbarriere zu schaffen, die wirklich ausgezeichnete, hochtechnologische Cybersicherheit von dem Marketingmist anderer unterscheidet.

Heute möchte ich Ihnen hier ein weiteres Beispiel vorstellen, anhand Sie sehen werden, wie unser proaktiver Schutz vor einer weiteren, besonders raffinierten Art von Malware schützt: sogenannte Fileless-Malware (aka – dateilose Malware). Bei dieser gefährlichen Art von Geister-Malware handelt es sich um einen ausgeklügelten Schadcode, der gelernt hat, die architektonischen Nachteile von Windows zu nutzen, um Computer zu infizieren. Doch auch hier bietet unsere patentierte Technologie einen Schutz und eine effektive Bekämpfung dieser speziellen Cyber-Krankheit. Wie gewohnt erkläre ich Ihnen die komplexen technischen Zusammenhänge in verständlichen Sätzen ohne Fachchinesisch, und zwar genau so, wie Sie es wünschen: als leichten, packenden Cyber-Thrillers mit Spannungselementen.

Zunächst einmal, was bedeutet Fileless?

Nun, sobald Fileless-Malware einmal in ein Computersystem gelangt ist, kopiert sie sich nicht von selbst in Form von Dateien auf der Festplatte und vermeidet somit die Erkennung durch herkömmliche Methoden, zum Beispiel mit einem Antiviren-Monitor.

Wie kann also solche „Geister-Malware“ in einem System existieren? Tatsächlich befindet sie sich im Arbeitsspeicher von vertrauenswürdigen Prozessen! Schrecklich, oh ja!

Unter Windows (eigentlich nicht nur unter Windows) gab es schon immer die Möglichkeit, dynamische Codes auszuführen, die insbesondere für die Just-in-Time-Kompilierung verwendet werden, d.h. die Umwandlung von Programmcode in Maschinencode, und zwar nicht sofort, sondern nach Bedarf. Dieser Ansatz erhöht bei einigen Anwendungen die Ausführungsgeschwindigkeit. Und um diese Funktionalität zu unterstützen, erlaubt Windows Anwendungen, Codes im Arbeitsspeicher (oder sogar in einen anderen vertrauenswürdigen Prozessspeicher) zu platzieren und auszuführen.

Vom Sicherheitsstandpunkt aus kaum eine gute Idee, aber was kann man dagegen tun? Auf diese Weise funktionieren seit Jahrzehnten Millionen von Anwendungen, die in Java, .NET, PHP, Python und anderen Sprachen und für andere Plattformen geschrieben wurden.

Irgendwie war es zu erwarten, dass die Cyberbösewichte den dynamischen Code ausnutzen und dadurch Missbrauchsmöglichkeiten erschaffen würden. Eine der bequemsten und daher am weitesten verbreiteten Angriffsmethoden ist die so genannte „reflective PE Injection“. Hört sich kompliziert an, deshalb erkläre ich es Ihnen (Es ist eigentlich ziemlich interessant!).

Um eine Anwendung zu starten, muss man nur auf das Anwendungssymbol auf dem Desktop klicken: Einfach und unkompliziert, oder? Es sieht zwar einfach aus, aber in Wirklichkeit geht unter der Haube alles Mögliche vor sich: Es wird ein Systemlader aufgerufen, der die jeweilige Datei von der Festplatte nimmt, in den Speicher lädt und ausführt. Und dieser Standardprozess wird von Antiviren-Programmen kontrolliert, die die Sicherheit der Anwendung überprüfen.

Bei einer „Reflexion“ wird der Code ohne den Systemladers (und damit auch unter Umgehung des Antiviren-Monitors) geladen. Der Code wird direkt in den Speicher eines vertrauenswürdigen Prozesses platziert, wodurch eine „Spiegelung“ des ursprünglichen ausführbaren Moduls erzeugt wird. Eine solche Reflexion kann wie ein echtes Modul ausgeführt werden, das mit einer Standardmethode geladen wird, aber es ist nicht in der Liste der Module registriert und hat, wie oben erwähnt, keine Datei auf der Festplatte.

Im Gegensatz zu anderen Techniken der Code-Injection (z.B. über Shellcode) erlaubt eine Reflexions-Injektion zudem die Erzeugung von funktional fortgeschrittenen Codes in höheren Programmiersprachen und Standard-Entwicklungsframeworks ohne jegliche Einschränkungen. Man erhält also: (i) keine Dateien, (ii) eine Verschleierung hinter einem vertrauenswürdigen Prozess, (iii) Unsichtbarkeit für traditionelle Schutztechnologien und (iv) freie Hand, um Schaden anzurichten.

So waren natürlich die reflektierten Injections bei den Entwicklern von bösartigen Codes ein Megahit: Zuerst tauchten sie in Exploit-Packs auf, dann kamen Cyber-Spione ins Spiel (z.B. Lazarus und Turla), dann fortgeschrittene Cyber-Kriminelle (da es eine nützliche und legitime Art der Ausführung von komplexen Codes ist!), dann kleine Cyber-Kriminelle.

Auf der anderen Seite der Tatsachen sind Fileless-Infektionen nicht so einfach zu besiegen. Es ist also eigentlich kein Wunder, dass die meisten Cybersicherheitsmarken nicht allzu heiß darauf sind. Einige können es kaum schaffen.

Read on: Das Versteckspiel… mit Fileless-Malware.

Ein Update der Quarantäne-Cybernachrichten: März 92, 2020

Die meisten Menschen auf der ganzen Welt sind seit etwa drei Monaten eingesperrt! Sie gehören bestimmt auch dazu, daher bin ich mir sicher, dass Sie in den letzten Monaten vieles über einen konkreten Film gehört haben: Und täglich grüßt das Murmeltier ist nämlich keine Komödie mehr! Dann das Wetter: Wenn es noch nass und winterlich ist, ist es deprimierend für alle (abgesehen von der Erfahrung, zuhause eingesperrt zu sein). Wenn es besser und sommerlich wird, bleibt es auch weiterhin eine Enttäuschung für alle, da niemand hinausgehen kann, um das prima Wetter zu genießen!

Dennoch nehme ich an, dass es vielleicht ein Trost ist, dass wir alle im selben Boot sitzen. Vielleicht. Aber wir sind gesetzestreue Menschen. Was ist mit den Cyberkriminellen? Wie geht es ihnen wohl zu Hause? Nun, ich habe neulich einige Statistiken und Trends dazu veröffentlicht. Heute möchte ich weitere Daten veröffentlichen, denn ja, Cyberkriminelle handeln schnell. // Ach ja, und übrigens, wenn Sie an weiteren Cyber-Nachrichten von der dunklen Seite interessiert sind, verpassen Sie nicht diesen Tag, der alle Beiträge sammelt.

Zuerst einmal ein paar mehr Statistiken – aktualisierte und beruhigende dazu…

Im März und vor allem im April sprang die gesamte Cyberkriminalität sprunghaft an; im Mai ist sie jedoch wieder stark zurückgegangen – bis etwa auf das Niveau vor der Coronakrise im Januar-Februar:

Gleichzeitig haben wir einen stetigen Rückgang aller Malware, die mit dem Coronavirus in Verbindung stehen, verzeichnet:

// Mit „Malware, die mit dem Coronavirus in Verbindung stehen“ sind Cyberattacken gemeint, die das Coronavirus-Thema in irgendeiner Weise dazu benutzt haben, um kriminellen Ziele zu erreichen.

Es scheint also, dass die Nachrichten vielversprechend sind. Die Cyberschurken treiben weniger als früher ihr Unwesen. Was die Statistiken jedoch nicht zeigen, ist das warum; oder – was tun sie stattdessen? Sicherlich haben sie sich nicht den ganzen Monat Mai freigenommen, der in vielen Teilen der Welt eine recht hohe Zahl von freien Tagen hat, einschließlich der Tage, an denen das Ende des Zweiten Weltkriegs gefeiert wird. Nein, das kann nicht sein. Was dann?…

Leider weiß ich es nicht. Sie erzählen mir ja nichts über ihre kriminellen Geschäftspläne. Aber ich habe meine eigene Hypothese: Vielleicht haben sie es im April so sehr übertrieben, dass sie sich im Mai eine Auszeit nehmen mussten, um ihren „Fang“, also die Masse an Daten, zu analysieren. Es braucht nämlich durchaus etwas Zeit, um sie zu sichten und richtig zu monetarisieren. Das ist nur eine Vermutung, aber durchaus möglich.

Deshalb glaube ich, dass es noch zu früh ist, um sich in der neuen „Normalität“ in Sicherheit zu wiegen. Cyber-Bösewichte haben schon immer gehackt, hacken immer noch und werden auch in der Zukunft hacken. Und alle verschiedenen Arten von Hacks nutzen immer noch die Panik rund um Corona aus, um ihnen bei ihren bösen Taten zu helfen. Viele APT-Gruppen haben es zum Beispiel in Phishing-E-Mails verwendet. Es gibt jedoch einige besondere Verwendungen des Coronavirus als Leitmotiv (apropos, es gibt auch einige Angriffe, die das Coronavirus nicht als Köder verwenden), die besonders hervorgehoben werden müssen:

So hat in letzter Zeit zum Beispiel die Hackergruppe Transparent Tribe (über die wir kürzlich einen APT-Bericht geschrieben haben), die sich auf Angriffe auf indische Unternehmen, den öffentlichen Sektor und militärische Einrichtungen spezialisiert, noch weitere, dunklere Schritte gewagt. Sie haben sich als die offizielle indische Coronavirus-App, die auf allen Geräten im Land installiert werden muss, ausgegeben, um Android-Backdoors zu verbreiten. Und es sieht so aus, als würden sie Ziele angreifen, die beim Mlitär arbeiten.

Am 20. April wurde auf dem 4chan-Forum ein Beitrag über ein Leak von Logins und Passwörtern des Instituts für Virologie von Wuhan veröffentlicht. Kurz darauf gab es in vielen Beiträgen auf verschiedenen Social-Media-Plattformen einen Aufschrei (und auch viel Medientrubel) über angeblich durchgesickerte Daten nicht nur vom Wuhan-Institut, sondern auch von der WHO, der Weltbank, der Gates Foundation und anderen Organisationen. Unsere eigene interne Untersuchung des Leaks ergab, dass die meisten Daten aus älteren Leaks stammten. Darüber hinaus wurden die Informationen, die in verschiedenen Foren gepostet wurden, meist als vermutlicher Beweis für eine absichtliche Verbreitung von SARS-CoV-2 / COVID-19 herangezogen. Im Großen und Ganzen sieht es nach echten gefälschten (!) Nachrichten mit politischen Untertönen aus. Wer da wohl dahintersteckt?

Quelle

Die nächste Nachricht steht nicht direkt mit dem Coronavirus in Verbindung; allerdings wurden viele der gehackten Supercomputer zur Erforschung von COVID-19 genutzt, so dass die Forschung verlangsamt wurde. Wie auch immer…

Eines Tages, Anfang Mitte Mai, wurden mehrere Supercomputer weltweit gleichzeitig gehackt. Archer in Edinburgh, das deutsche bwHPC, das Swiss National Supercomputing Centre (das derzeit das Coronavirus-Protein analysiert) und viele weitere Hochleistungsrechenzentren in Europa, Nordamerika und China. Unsere Analyse zeigte, wie die Cyberkriminellen Backdoors benutzten, um… Krypto-Währung zu minen! All das Superhacken von Supercomputern nur deswegen? Sicherlich nicht. Da Cryptomining heutzutage wohl kaum der profitabelste Bereich der Cyberkriminalität ist, bleibt die Frage nach einem Grund: Was hatten sie wirklich vor? Ein Testlauf für etwas viel Größeres, das noch kommen wird? Und wieder einmal bleibt das Wer und Warum ein Rätsel.

Eine interessante, in Forbes veröffentlichte Untersuchung behauptet, dass Xiaomi-Smartphones die Internet-Links und Suchanfragen aller Benutzer zusammen mit Metadaten über ihre Geräte an… die Server von Alibaba gesendet haben! Jepp, der Forscher installierte seinen eigenen Browser auf seinem Telefon und das hat er entdeckt. Xiaomi dementiert natürlich alles, versprach aber trotzdem ein Software-Update und fügte ein Kontrollkästchen hinzu, mit dem die Benutzer sich gegen das Senden von Daten entscheiden können.

Source

Und zu guter Letzt noch ein weiteres Unternehmen, dessen Ruf kürzlich aufgrund von Sicherheitsproblemen einen weiteren Imageschaden erlitt: Zoom. Die Probleme waren so eklatant schlimm, dass ich beschloss, ihre Software (seit Beginn des Corona-Lockdowns) nur auf einem „leeren“ Computer zu verwenden, sofern ich zur Benutzung von Zoom gezwungen wurde. Trotzdem muss man es Zoom lassen – in zwei Monaten haben sie die Dinge wirklich geändert. Mit jedem Patch verbessern sie die Sicherheit, und sie haben ein gutes Bug-Bounty-Programm gestartet (unter der Leitung von Katie Moussouris, die ein solches Programm zuvor bei Microsoft eingeführt hatte). Und erst kürzlich gab Zoom bekannt, dass es den Kryptodienst Keybase zum Schutz der übermittelten Daten kaufen wird. Ich hoffe also, dass Zoom ein gutes Beispiel dafür wird, wie eine gute Einstellung zur Sicherheit zum Geschäftserfolg führt – und dass sogar Zoom den Weg auf meinen „Kampf“-Laptop findet). Gut gemacht, Zoom!

Und das war’s für heute. Wenn weitere Cyber-Meldungen von der Quarantäne-Front auftauchen, werde ich Sie bald darauf auf den neuesten Stand bringen. Und jetzt… zurück an die Arbeit!

Der Cyberpuls der Welt während der Pandemie

Eine der häufigsten Fragen, die mir in diesen schwierigen Zeiten gestellt wird, ist, wie sich die cyber-epidemiologische Situation verändert hat. Wie sich die Cybersicherheit im Allgemeinen durch den massenhaften Übergang zum Homeoffice (oder zur Arbeitslosigkeit, für die Unglücklichen, die es getroffen hat) verändert hat. Konkret auch welche neuen listigen Tricks sich Cyberkriminelle ausgedacht haben und was man tun sollte, um sich weiterhin vor ihnen zu schützen.

Lassen Sie mich daher die Antwort(en) auf diese Frage(n) in diesem Blogpost zusammenfassen…

Wie immer beobachten Kriminelle – auch Cyberkriminelle – die sich ändernden Bedingungen genau und passen sich ihnen an, um ihr kriminelles Einkommen zu maximieren. Wenn also der größte Teil der Welt plötzlich praktisch zu einem vollwertigen „Bleib-zu-Hause“-Regime übergeht (Homeoffice, Home-Entertainment, Home-Shopping, soziale Interaktion zu Hause usw.), adaptieren auch Cyberkriminelle diese Taktik.

Cyberkriminelle haben bemerkt, dass die meisten Menschen, die sich in Quarantäne befinden, viel mehr Zeit im Internet verbringen. Dies bedeutet eine größere allgemeine „Angriffsfläche“ für ihre kriminellen Taten.

Viele der Arbeitnehmer, die jetzt leider von zu Hause aus arbeiten müssen, werden von ihren Arbeitgebern nicht mit einem hochwertigen, zuverlässigen Cyber-Schutz ausgestattet. Das bedeutet, dass es jetzt mehr Möglichkeiten für Cyberkriminelle gibt, sich in die Unternehmensnetzwerke zu hacken, mit denen die Mitarbeiter verbunden sind, und die für die Bösewichte eine potenziell sehr ertragsreiche kriminelle Beute darstellen.

Natürlich sind die Bösewichte hinter dieser verlockenden Beute her. Bestätigt wird dies durch die starke Zunahme von Brute-Force-Angriffen auf Datenbankserver und RDP (Remote Desktop Technologie, die es beispielsweise einem Angestellten erlaubt, vollen Zugang zu seinem Arbeitsrechner – seine Dateien, seinen Desktop, also alles – aus der Ferne, z.B. von zu Hause aus, zu erteilen).

 

Passwort-Kombinationen, die durch Brute-Force entschlüsselt wurden, werden verwendet, um in Unternehmensnetzwerke einzubrechen und dort Ransomware, also Erpressungstrojaner wie Crusis-, Cryakl– und Phobos-Malware einzuschleusen. Seit Anfang des Jahres stieg die durchschnittliche tägliche Zahl der mit dieser Technik angegriffenen Einzelbenutzer um 23%. Betrachtet man das Diagramm jedoch in absoluten Zahlen, so wird klar, dass die Angriffe sprunghaft angestiegen sind. Diese plötzlichen Zunahmen waren praktisch auf der ganzen Welt einheitlich.

Bestätigt wird die diese Tendenz durch den weltweiten Anstieg der Web-Bedrohungen: 25% mehr in vier Monaten. Doch besonders auffällig war vor allem der starke Anstieg der Anzahl der 1.) Modifikationen von Browser-Skripten, die an schlecht geschützte Websites angehängt werden und den Bösewichten die Bankkartendaten der Opfer zukommen lässt, und 2.) Cookie-Dropping-Angriffe (dabei handelt es sich um die versteckte Installation von Cookie-Dateien, die nichts mit einer besuchten Website zu tun haben).

 

Und schließlich gab es einen, wenn auch nicht besonders starken, Anstieg der durchschnittlichen täglichen Warnmeldung von Antivirenprogrammen (+8% seit Jahresbeginn). Malware-Skripte sind zusammen mit böswilligen Verknüpfungen (.js, .vbs) am häufigsten daran schuld (sie ermöglichen die schnelle Entwicklung neuer Malware, indem sie einfach einen PowerShell-Befehl in eine Verknüpfung integrieren). Oh, und noch etwas: Ein unerwarteter, nicht willkommener Gast aus der Vergangenheit ist wieder aufgetaucht: die Reinkarnation des ziemlich alten polymorphen Virus (oh ja!) Sality! Unsere Produkte erkennen täglich etwa 50.000 einzigartige Dateien, die damit infiziert sind.

Aber Moment! Im Februar gab es bereits eine ähnliche Meldung, als wir die Infizierung durch KBOT registriert haben (ja, das fiese Parasitenvirus, das bösartige Codes in ausführbare Dateien injiziert: das erste „lebende“ Computervirus, das wir vor Jahren in freier Wildbahn entdeckt haben). Aber wir glauben, dass es noch etwas zu früh ist, um zu behaupten, dass es wirklich eine Rückkehr in die Ära der Viren geben wird. Die Anzahl der Malware der „alten Schule“ ist in der Gesamtheit der täglichen Infektionen, immer noch sehr gering.

Insgesamt stieg der Anteil neuer Malware (von allen Malware-Programmen) im April um 7,9 %. Ich möchte Sie daran erinnern, dass wir täglich (!) mehr als 340.000 neue (!) Malware-Instanzen abfangen und in unsere Datenbank aufnehmen! Und im April war das ein Anstieg von fast 10 %.

Merkwürdig ist, dass in den ersten beiden Maiwochen fast alle aufgelisteten Zunahmen von Schwachstellen, die wir festgestellt haben, tatsächlich zurückgegangen sind: durchschnittlicher Alarm von Antivirenschutzprogrammen: -7,2%; Web-Virenschutzprogramme -5,27%; und neue Malware -31%. Die einzigen Zunahmen konnten bei Brute-Force-Angriffen auf Datenbankserver und RDP (+0,27%) verzeichnet werden. Ich frage mich, warum? An den Maifeiertagen war es sonnig, vielleicht haben sich die Cyberkriminellen ein paar Tage frei genommen?! Mal sehen, ob der Trend für den Rest des Monats anhält…

Zusammenfassung

Die cyber-epidemiologische Situation verläuft wie erwartet, und hier bei K und auf den Computern, Geräten, Servern und Netzwerken unserer Nutzer ist alles unter Kontrolle.

Dennoch schlage ich vor, dass jeder die Grundregel der Cybersicherheit befolgt – nämlich die Cyber-Hygiene aufrechtzuerhalten! 🙂 Die wichtigste Regel lautet: Klicken Sie nicht auf Dinge, die Sie zum anklicken verleiten (die Hände nach dem Klicken mit Seife zu waschen hilft nicht); installieren oder starten Sie keine Programme, auf die Sie zufällig gestoßen sind; verwenden Sie einen VPN-Dienst, ebenso wie die Zwei-Faktor-Authentifizierung, und verwenden Sie immer – auch bei der Heimarbeit – einen guten Cyber-Schutz. Mehr über effektives Homeoffice erfahren Sie unter unserem Tag Homeoffice auf unserem Blog.

Cybernews: Wenn Aramco unsere Antidrone-Lösung hätte…; und Honeypots, um IoT-Malware zu stoppen!

Hey Leute!

Vor Kurzem gab es eine sehr überraschende Cybernachricht von der Dunklen Seite. Sie werden mit Sicherheit davon gehört haben, da die News tagelang in den Nachrichten kursierten. Ich spreche von dem Drohnenangriff auf Saudi-Aramco, der die Gewinnung von Millionen Barrel von Rohöl lahmlegte und Schaden in Höhe von hunderten Millionen Dollar anrichtete.

Leider fürchte ich, dass dies nur der Anfang ist. Erinnern Sie sich an die Drohnen, die den Flugverkehr von Heathrow (oder war es doch Gatwick?) vor einiger Zeit zum Stillstand gebracht haben? Nun, das ist nur ein weiterer Schritt. Es wird sicherlich noch mehr solcher Vorfälle geben. In Saudi-Arabien haben sich die Huthis zum Anschlag bekannt, aber sowohl Saudi-Arabien als auch die USA geben dem Iran die Schuld. Der Iran lehnt die Verantwortung jedoch ab. Kurz gesagt: dasselbe alte Säbelrasseln im Nahen Osten. Aber darüber möchte ich hier nicht sprechen, denn das ist Geopolitik, die wir nicht betreiben. Nein, ich möchte eigentlich darauf hinweisen, dass wir in der Zwischenzeit eine Lösung gefunden haben, um Drohnenangriffe wie diesen auf Aramco zu stoppen. Soooo, meine Damen und Herren, ich stelle hiermit der Welt… unsere neue Lösung Antidrone vor!

Wie funktioniert unsere Lösung?

Während Antidrone die Koordinaten eines sich bewegenden Objekts ermittelt, entscheidet ein neuronales Netzwerk, ob es sich um eine Drohne handelt. Falls dies der Fall sein sollte, blockiert Antidrone die Verbindung zwischen dem Objekt und dessen Fernkontrolle. Infolgedessen kehrt die Drohne entweder dorthin zurück, wo sie abgehoben ist oder sie landet dort, wo sie abgefangen wurde. Die Lösung kann stationär oder mobil sein – und beispielsweise auch in ein Kraftfahrzeug integriert werden.

Das Hauptaugenmerk unserer Antidrone-Lösung liegt auf dem Schutz von kritisch wichtigen Infrastrukturen, Flughäfen, Industrieobjekten und anderem Eigentum. Der Vorfall in Saudi-Aramco hat gezeigt, wie dringend eine solche Technologie erforderlich ist, um ähnliche Fälle zu verhindern, Tendenz steigend: 2018 wurde der Weltmarkt für Drohnen auf 14 Milliarden US-Dollar geschätzt; Bis 2024 sollen es 43 Milliarden Dollar werden!

Offensichtlich wird der Markt für den Schutz vor böswilligen Drohnen auch schnell wachsen. Gegenwärtig ist unsere Antidrone-Lösung jedoch die einzige auf dem russischen Markt, die Objekte über neuronale Netze per Video erkennen kann, und die weltweit erste, die mit Laserscanning den Standort von Drohnen aufspüren kann.

 

 

 

Und nun zum anderen Thema des heutigen Posts: Honeypots…

Wie ist der aktuelle Stand von Malware auf IoT-Geräten? Die Antwort lautet: sehr schlecht, da die IoT-Bösartigkeit exponentiell mit der Entwicklung der IoT-Technologie wächst. Mehr IoT = mehr Cyberattacken. Darüber hinaus ist das Verhältnis zwischen der Anzahl und Vielfalt der Geräte und der Malware von Angreifern nicht linear – es ist viel schlimmer. Und das habe ich schon oft genug erwähnt.

Seit 2008 beobachten wir Malware, die IoT-Geräte angreift. Eine Möglichkeit, dies zu tun, ist die Verwendung spezieller Fallen, so genannter Honeypots (nicht zu verwechseln mit Honeypots für Spione 🙂 ). Diese Fallen simulieren echte, verwundbare Systeme, die böswillige Angriffe anziehen, genau wie Fliegen von ******* angezogen werden. Entschuldigen Sie den Kraftausdruck. Sobald wir die Malware in unsere Hände bekommen, analysieren wir sie und entwickeln den erforderlichen Schutz (einschließlich proaktiver Maßnahmen).

In den letzten zehn Jahren haben wir eine ganze Infrastruktur von Honeypots aufgebaut, die ständig wächst und optimiert wird. Zum Beispiel ändern wir ab und zu die IP-Adressen unserer Fallen, da Botnet-Besitzer Honeypots aufspüren und nach einer Weile die Kits trainieren, um sie zu umgehen. Darüber hinaus werden Listen von IP-Adressen von Honeypots im Darknet gehandelt.

QuelleQuelle

 

Kürzlich haben wir die Ergebnisse unserer einzigartigen Forschung über IoT-Malware veröffentlicht, die ein ganzes Jahr dauerte.

Wir haben weltweit mehr als 50 Honeypots errichtet, die durchschnittlich alle 15 Minuten etwa 20.000 Mal angegriffen wurden. Insgesamt haben wir im ersten Halbjahr von 2019 105 Millionen Angriffe von 276.000 einzigartigen IP-Adressen festgestellt. Zum Vergleich: 2018 haben wir im gleichen Zeitraum des ersten Halbjahres nur 12 Millionen Angriffe von 69.000 IP-Adressen festgestellt. Die Hauptinfektionsquellen im ersten Halbjahr 2019 waren Brasilien und China. Gefolgt von Ägypten, Russland und den Vereinigten Staaten. Die Gesamtzahl der aktiv infizierten IoT-Geräte ist weiterhin hoch: Jeden Monat versuchen Zehntausende von Geräten, Malware mithilfe von Passwort-Brute-Forcing und anderen Sicherheitslücken zu verbreiten.

Quelle

Das Internet der Dinge wächst rasend schnell – genau wie seine Bedrohungen. Wir planen daher, unsere Möglichkeiten zur Aufdeckung und Untersuchung dieser Bedrohungen zu erweitern. Das Wissen über Bedrohungen ist eines der Schlüsselelemente für die Gewährleistung der Cybersicherheit, und unsere „Honeypots as a Service“ sind ausgereift und einsatzbereit. Wir sammeln und bündeln eingehende Verbindungen und alle verarbeiteten Daten werden in nahezu Echtzeit verfügbar gemacht. Sie haben Interesse? Schreiben Sie uns!

Wenn ich jedes Mal Geld für die Frage bekäme, die ich seit 30 Jahren gestellt bekomme…

Hey!

Können Sie sich vorstellen, welche Frage mir während Interviews und Pressekonferenzen am meisten gestellt wird?

Die Frage folgte mir ab 1990er Jahren auf Schritt und Tritt und wurde schnell zu der gefürchteten Frage, die mich dazu brachte, die Augen zu verdrehen (obwohl ich der Versuchung oft widerstand 🙂 ). Dann, nach einigen Jahren, entschied ich mich einfach dazu, die Unvermeidbarkeit und Unabwendbarkeit der Frage zu akzeptieren, und fing an, ein bisschen zu improvisieren und meine Antworten mit zusätzlichen Details zu bestücken. Auch noch heute, obwohl meine Antworten wahrscheinlich in allen Massenmedien der Welt veröffentlicht und ausgestrahlt wurden (und das mehr als einmal), werde ich immer und immer wieder danach gefragt.

Schon eine Vermutung, um welche Frage es sich handelt?

Die Frage lautet: „Welcher Virus war der Erste, den Sie entdeckt haben?“  (sowie Fragen dazu, wie und wann ich den Virus gefunden habe, wie ich den infizierten Computer gerettet habe usw.).

Klar, eine wichtige Frage…, da es mein eigener Rechner gewesen war! Vielleicht hätte ich auch sonst keinen drastischen Karriereumbruch unternommen; Möglicherweise hätte ich nicht das beste Virenschutzprogramm der Welt entworfen. Ich hätte vielleicht nicht eines der größten privaten Unternehmen für Cybersicherheit gegründet und noch vieles mehr nicht gemacht. Ja, eine schicksalhafte Rolle spielte dieser Virus… ein Virus, der zu den frühen Vorboten dessen gehörte, was folgen würde: Milliarden seiner „Nachkommen“, später Cyberkriminalität, Cyberkriegsführung, Cyberspionage und all die Cyberganoven, die dahinter stecken – und zwar in jeder Ecke der Welt.

Wie auch immer, wie lautet denn jetzt die Antwort auf die Frage?

Der Name des Virus war Cascade.

Aber warum plötzlich so nostalgisch wegen einem Virus?

Ganz einfach, denn dieses Jahr, 2019, sind ganze 30 JAHRE seit dieser bedeutsamen Eroberung von Cascade vergangen! Und das heißt, es sind auch 30 JAHRE vergangen, seitdem ich angefangen habe, in der Branche zu arbeiten, in der ich mich heute noch befinde!

Grundgütiger! 30 Jahre?! Nun, es ist eine schöne runde Zahl (ich frage mich, wie viele andere Cybersicherheitsexperten von damals noch an der Front sind ?!), und darüberhinaus auch noch ein Jubiläum. Diese Gelegenheit brachte mich dazu, über nostalgische statistische Analysen nachzudenken, wie es natürlich jeder Mathematiker tun würde, der zum Experten für Cybersicherheit wird 🙂 . Immerhin repräsentieren diese 30 Jahre praktisch den gesamten Zeitstrahl der Evolution der Cyberkriminalität! Das ist auf jeden Fall einen Blick wert.

Also, wo sollen wir anfangen? Ach ja, vor 30 Jahren. Und womit sollen wir beginnen? Achso. OH NEIN! Diese Frage! Na gut, ein weiteres Mal wird nicht schaden:„Wie haben Sie Cascade besiegt?“ 🙂

Dann spulen wir mal bis zum Zeitpunkt – kurz bevor mein Computer mit Cascade infiziert wurde – zurück…

Über Computerviren erfuhr ich zum ersten Mal in einer sowjetischen Computerzeitschrift. Das war Ende der 1980er Jahre. Die UdSSR trat ihren letzten Lebensabend an und es gab Glasnost, Perestroika und Genossenschaften. Es erschienen auch erstmals Fachzeitschriften rund um den Computer.

Aus irgendeinem Grund war ich sehr neugierig auf Viren. Ich machte mir eine Notiz – und teilte dem Management meiner Firma, die nichts mit Viren zu tun hatte, mit, dass es solche Gefahren gibt und dass das firmeninterne Computerinventar von Zeit zu Zeit überprüft werden müsste, um festzustellen, ob eine Infektion vorlag.

Dafür besorgte ich mir eine Diskette mit einigen „Antivirus“ -Programmen. Damals wurden sie als Shareware vertrieben. Man konnte diese kostenlos verwenden, und, wenn man sie mochte, konnte man einen kleinen, aber dankbaren Betrag an die Entwickler zahlen. Damals hatte ich kaum Geld, also waren sie im Grunde genommen Freeware für mich (nicht, dass ich sie für kommerzielle Zwecke verwendet hätte). Wenn ich mich recht erinnere, befanden sich auf dieser Diskette zwei Virenschutzprogramme: VIRUSCAN von John McAfee selbst und ANTI-KOT, eine sowjetische Entwicklung des in Moskau ansässigen Programmierers Oleg Kotik.

So fing ich jede Woche an, meinen Arbeits-Desktop-Computer auf Viren zu überprüfen. Dann, eines Tages, im Herbst 1989, genau vor 30 Jahren, entdeckte mein ANTI-KOT den Virus Cascade. Ich entfernte die Infektion, um den Computer zu retten. Zudem habe ich eine Kopie der infizierten Dateien erstellt. Später, als ich die Zeit hatte, zerlegte ich den Code des Virus, schrieb ein Desinfektionsprogramm dafür und teilte es mit Kollegen und Freunden. Das war das Ereignis, das, wie man so schön sagt, den Stein ins Rollen brachte…

Ein paar Monate später klopfte ein ständiger Strom von Leuten an meine Tür auf der Suche nach einem Heilmittel für ihre schlecht funktionierenden Computer. Woah. Plötzlich war das alles nicht nur neugierig, sondern auch aufregend, und da ich sehr neugierig bin und den Nervenkitzel liebe, war ich total in meinem Elemente („in meiner Schokolade“, wie man in Russland sagt. Da merkte ich plötzlich, dass ich bis dato in der falschen Branche gearbeitet hatte. Computer zu retten… war das tatsächlich meine Berufung? Und so gab ich meinen ursprünglichen Job auf, um mich einer Computergenossenschaft anzuschließen und professionellen Schutzlösungen zu entwickeln – solche wie diese:

Ach du meine Güte! 30 Jahre seit den ersten Schritten ?! Schwer, sich an alles zu erinnern. Dementsprechend haben wir hier eine Infografik mit Retro-Pixeln zusammengestellt, die alle Hauptereignisse des letzten und doch so nahen Drittels eines Jahrhunderts in der Welt der Computervirologie und Antivirologie aufzeichnet. Klicken Sie hier für die Vollversion des Bildes:

Einige der Daten, die wir für die Infografik verwendet haben, sind komischerweise an sich von Interesse. Die folgende Grafik zeigt beispielsweise den exponentiellen Anstieg der entdeckten Malware im letzten Jahrzehnt(Daten für 2019 beziehen sich auf die ersten sechs Monate des Jahres):

Hier ist die Wachstumskurve der Bedrohungen für mobile Geräte:

Und hier – Malware für Linux:

Und für MacOS:

Wenn Sie sich die Infografiken ansehen, werden Sie merken, wie sehr sich die Welt in den letzten 30 Jahren verändert hat. Es gab einige wirklich historische Ereignisse – vom Zusammenbruch der Sowjetunion und der Schaffung der Europäischen Union bis hin zum Klonen lebender Organismen und der Entstehung des Internets, wie wir es heute kennen. Umso befriedigender ist es, sich daran zu erinnern, dass wir bei K uns in Bezug auf das, was wir letztendlich tun, überhaupt nicht verändert haben und unsere Aufgabe, die Welt vor Cyberkriminalität zu schützen, weiterhin verfolgen. Natürlich haben sich unsere Methoden geändert, viele sogar, aber die Mission und das Ziel bleiben gleich. Und wenn wir uns unser drittes Jahrzehnt als Unternehmen näher betrachten, ist es noch befriedigender, genau zu wissen, in welche Richtung wir uns in dieser sich ständig verändernden Welt bewegen – und wie wir sie verbessern können.

E. KASPERSKY ERLÄUTERT SEINE GESCHICHTE: WIE ER VOR 30 JAHREN IM CYBERSECURITY-GESCHÄFT FUß GEFASST HAT, UND EINIGE INTERESSANTE STATISTIKEN, DIE SCHNELL DIE ENTWICKLUNGSGESCHICHTE VON MALWARE DARSTELLEN.Tweet

 

Cyber-News von der dunklen Seite. Cyberheuchelei, ein Blick auf Mirai, GCHQ is watching you und BlueKeep wird im Schach gehalten.

Hallo zusammen!

Legen wir mit ein paar guten Neuigkeiten los…

„Am häufigsten getestet und ausgezeichnet“ – noch immer ).

Erst kürzlich hat das angesehene unabhängige Testlabor AV-Comparatives die Ergebnisse seiner jährlichen Umfrage veröffentlicht. Ende 2018 wurden in dieser weltweit 3 000 Befragte ähm befragt. Unter den 19 gestellten Fragen war eine: „Welche Desktop-Anti-Malware-Sicherheitslösung verwenden Sie hauptsächlich?„. Und raten Sie mal, wer bei den Antworten für Europa, Asien und Süd- und Zentralamerika ganz vorne lag! Ganz genau: K! In Nordamerika kamen wir auf Platz zwei (ich bin mir sicher, dass sich das bald ändern wird). Daneben wurden wir in Europa als die am häufigsten verwendete Sicherheitslösung für Smartphones gewählt. Auch auf der Liste für Unternehmen, deren Produkte am häufigsten getestet werden sollen, stehen wir ganz oben. Und das sowohl bei den Heimlösungen als auch unter den Antivirusprodukten für Unternehmen. Genial! Wir lieben Tests und es ist ganz klar, warum! Und übrigens, hier finden Sie Details zu den unabhängigen Tests und Reviews unserer Produkte.

„Heuchler, zieh zuerst den Balken aus deinem Auge!
Und dann wirst du klar sehen, um den Splitter aus deines Bruders Auge zu ziehen.“
– Matthäus 7,5

Im Mai wurde eine weitere Hintertür mit Funktionen gefunden, die extrem nützlich für Spionage ist. Und wer hat die Hintertür erfunden? Russland? China? Nein, es war wirklich Cisco (schon wieder)! Ging das groß durch die Medien? Eine endlose Titelstory und Diskussionen über Bedrohungen der nationalen Sicherheit? Cisco-Geräte zurück an die USA gehen lassen? Ach was, das haben Sie auch verpasst? Zur gleichen Zeit wird Huawei nicht nur international durch die Mangel gedreht, nein, es wird auch ohne solche Hintertüren und ohne irgendwelche überzeugenden Beweise gemangelt.

Quelle

HiddenWasp DetectedWasp.

Um beim Thema Hintertüren zu bleiben: Es wurde neue Malware entdeckt: HiddenWasp. Was ist daran interessant?

Nun, erstmal ist diese Malware für Linux (Kinnlade hoch!). Zweitens wurde sie anfänglich von den meisten Anivirussystemen nicht erkannt. Diese neue Malware wird bei gezielten Angriffen auf zuvor infizierte Linux-Computer verwendet. Ihre Funktionsweise unterscheidet sich von der moderner Linux-Malware (DDoS-Angriffe und Krypto-Mining): Sie verbirgt Dateien, die auf einen infizierten Computer geladen wurden, kopiert den Inhalt von Festplatten, führt Programme aus und zwingt aktive Prozesse auf dem infizierten System zum Abbruch. Die Malware verwendet Speicher in Hongkong und die Dateinamen waren auf Chinesisch. Da können Sie sich jetzt Ihren eigenen Reim raus machen. Aber in der Zwischenzeit möchte ich unseren Benutzern versichern, dass wie diese Malware und all ihre Modifikationen erkannt haben.

Quelle

Auwei, auwei, au Mirai.

Jedem, der sich gerne in die Welt der neusten Cyberbedrohungen begeben möchte, rate ich zu unserem Quartalsbericht. Da finden Sie einiges über finanzielle Bedrohungen, die zunehmende Anzahl von mobilen Ransomware-Trojanern, den Verschlüsselungs-Malware-Angriff von LockerGoga auf Großunternehmen und die Analyse des Mirai-IoT-Botnet.

Zu Letzterem gibt es einige interessante Entdeckungen. Zunächst hat Mirai sein Opfernetzwerk erweitert und gelernt, wie IoT-Geräte von Unternehmen angegriffen werden können. Wenn der Wurm dann entdeckt, dass er in einer Sandbox (einer künstlichen isolierten Umgebung für die sichere Ausführung von Computerprogrammen) ausgeführt wird, stellt er einfach seine Funktion ein. Darüber hinaus wurde in einer Version von Mirai ein Mechanismus zum Reinigen der Umgebung anderer Bots erkannt. Sieh mal einer an! Also versteckt er sich nicht nur, sondern entledigt sich auch aller Konkurrenz!

LockerGoga-Dance.

Im März dieses Jahres wurde der norwegische Metallriese Norsk Hydro schwer von dem Verschlüsselungsvirus LockerGoga getroffen (und das war nicht alles: Der Virus infizierte auch die Systeme mehrerer anderer Industrieunternehmen). Die Infektion legte praktisch das ganze IT-System des Unternehmens flach, was zu einem Zusammenbruch der Produktionsanlagen und -büros führte. Anfang Juli veröffentlichte das Unternehmen seinen Finanzbericht für das erste Quartal 2019, in dem der finanzielle Schaden des Cyberangriffs schwarz auf weiß ans Licht kam: rund 70 Millionen Dollar!

Quelle

Big Brother: Update 1: GCHQ is watching you!

Kürzlich kritisierten in einem offenen Brief 47 Großunternehmen, Assoziationen und NROs (einschließlich Microsoft, Apple, Google, WhatsApp und Human Rights Watch) den Vorschlag des britischen Government Communications Headquarters (GCHQ), verschlüsselte Nachrichten an den Staat weiterzuleiten. In dem Brief wurde angemerkt, dass die Pläne des GCHQ die Glaubwürdigkeit von Verschlüsselungsdiensten untergrübe und das Recht auf Privatsphäre und Meinungsfreiheit der Nutzer bedrohe. Der Vorschlag des GCHQ wurde Ende 2018 in einer offenen Abhandlung veröffentlicht. Die Autoren schlugen vor, dass der Geheimdienstler Nachrichten in verschlüsselten Chats liest und die Nutzer nicht erfahren, dass sie ausspioniert werden. Angeblich entspricht diese Lösung „aktuellen Überwachungspraktiken“ und unterscheidet sich nicht vom Abhören unverschlüsselter Telefongespräche. Solche Vorschläge von Regierungen sind keine Einzelfälle, sondern ein weltweiter Trend. Die Zeitschrift „Der Spiegel“ berichtete kürzlich über ein bereits entworfenes Gesetz. Dies besagt, dass verbreitete Instant-Messenger wie WhatsApp gezwungen werden würden, bei Gerichtsbeschluss mit Strafverfolgungsbehörden zusammenarbeiten und unverschlüsselte Chat-Texten bereitstellen zu müssen. Ähnliche Versuche werden durch Staatssicherheitsbehörden in Russland unternommen, die sich an den verbreiteten Yandex-E-Mail-Anbieter und die Instant-Messenger-Dienste von Telegram richten.

Big Brother: Update 2: BlueKeep im Schach halten.

Noch kürzlich wurde eine ernste Schwachstelle namens BlueKeep in Windows entdeckt, die alte Versionen des Betriebssystems, die nicht länger von Microsoft unterstützt werden, bedroht. Für die, die wie ich kein großer Fan von Windows 10 sind, sind das sehr unerfreuliche Nachrichten. Ganz davon abgesehen war es unser Team, das als erstes einen Schutz für diese Lücke entwickelte und ihn mit unseren Kollegen der Branche teilte, sodass alle Antiviren den Angriff schnell abwehren konnten. Microsoft selbst verstand, wie schwerwiegend diese Schwachstelle war und veröffentlichte sogar einen Patch für das „nicht unterstützte“ Windows XP. Aber…!

Denke Sie etwa, dass XP-Nutzer weltweit keine Zeit für das Patch und ein Update verloren hätten? Ganz genau: Nein.. Das heißt, dass ein Hacker die Lücke ausnutzen und „einen Wurm auf seinen Weg durch Millionen PCs schicken könnte“. Ups. Ach du Schande! Also, bleiben Sie auf dem Laufenden und drücken Sie die Daumen…

Cyber-News von der dunklen Seite – SAS 2019.

Hallo zusammen!

Es folgt ein weiterer Beitrag aus meiner Serie „gelegentliche iNews, alias „Cyber-News von der dunklen Seite“ – dieser Artikel beschäftigt sich mit einigen der Vorträge, die ich mir letzten Monat auf unserem jährlichen Security Analyst Summit in Singapur ansehen durfte.

Unsere jährliche SAS-Konferenz zeichnet sich vor allem durch die höchstinteressanten Vorträge unserer geladenen Experten aus aller Welt aus, bei der Analysten, im Gegensatz zu anderen geopolitisch korrekten Konferenzen, Entdeckungen über jede beliebige Cyberbedrohung mit dem Publikum teilen; und das völlig unabhängig von dem Ursprung dieser Bedrohungen. Denn Malware ist und bleibt Malware, und Nutzer haben ein Recht darauf, vor allen ihrer Arten geschützt zu werden, ohne Rücksicht auf die erklärte Bedeutung der Absichten der dahinterstehenden Organisationen, Gruppen etc. Erinnern Sie sich noch an den „Bumerangeffekt„?

Und wenn bestimmte Medienkanäle als Reaktion auf diese prinzipientreue Position offensichtlich Lügen über uns verbreiten, dann sei es so. Und es sind nicht nur unsere Prinzipien, die angegriffen werden, weil wir praktizieren, was wir predigen: Wir sind der Konkurrenz weit voraus, wenn es um die Anzahl gelöster Cyberspionage-Operationen geht. Und wir planen nicht, unsere Einstellung und Position in irgendeiner Weise zum Nachteil unserer Nutzer zu ändern.

Im Anschluss folgt eine Zusammenfassungen der großartigsten Untersuchungen und Analysen, die Cyber-Experten aus aller Welt auf dem diesjährigen SAS vorgetragen haben. Darf ich vorstellen? Die interessantesten, schockierendsten, gruseligsten und verrücktesten Vorträge der SAS-Konferenz 2019:

1. TajMahal

Im vergangenen Jahr haben wir einen Angriff auf eine diplomatische Organisation aus Zentralasien entdeckt. Natürlich sollte es für eine solche Organisation keine Überraschung sein, dass Cyberkriminelle besonderes Interesse an ihr zeigen. Es ist kein Geheimnis, dass Informationssysteme von Botschaften, Konsulaten und diplomatischen Vertretungen für andere Staaten und ihre Geheimdienste oder generell für Bösewichte mit ausreichenden technischen Fähigkeiten und finanziellen Mitteln schon immer von Interesse waren. Ja, wir alle haben Spionageromane gelesen. Aber in diesem Fall gab es eine interessante Neuigkeit: Und zwar wurde für die Angriffe auf diese Organisation ein zweiter, wahrhaftiger ‚TajMahal‘ errichtet – und zwar in Form einer APT-Plattform mit unzähligen Plug-ins (das Ausmaß war selbst für uns überraschend), die für jegliche Arten von Angriffsszenarien unter Verwendung verschiedener Tools verwendet wurden.

Die Plattform besteht aus zwei Hauptpaketen: Tokyo und Yokohama. Bei Tokyo handelt es sich um die primäre Backdoor, die darüber hinaus die Zustellfunktion des letzteren Schadprogramms erfüllt. Yokohama hat eine sehr umfangreiche Funktionalität: den Diebstahl von Cookies, das Abfangen von Dokumenten aus der Druckerwarteschlange, die Aufzeichnung von VoIP-Anrufen (einschließlich WhatsApp und FaceTime), das Erstellen von Screenshots und vieles mehr. Das TajMahal-Framework ist seit mindestens fünf Jahren aktiv und seine Komplexität lässt vermuten, dass es entweder noch weitere, bisher unbekannte Opfer oder weitere Versionen dieser Malware gibt – oder möglicherweise beides.

Weitere Details zu diesem ausgereiften APT-Framework finden Sie hier.

2. Gaza-Cybergang

Wir haben erstmals im Jahr 2015 über die Gaza-Cybergang berichtet, obwohl dieses arabischsprachige, politisch motivierte Kollektiv interagierender Gruppen von Cyberkriminellen bereits seit 2012 aktiv ist. Ihren Fokus legt(e) die Cybergang dabei hauptsächlich auf Ziele im Nahen Osten und in Zentralasien. Die Mehrheit der Angriffe fanden in den palästinensischen Gebieten, Jordanien, Israel und dem Libanon statt. Besonderes Interesse zeigte die Gaza-Cybergang bislang an Botschaften, Regierungsstellen, Medien und Journalisten, Aktivisten, politischen Parteien und Einzelpersonen sowie Bildungseinrichtungen, Banken, Gesundheitsorganisationen und Vertragsunternehmen.

Die Gruppe besteht aus mindestens drei Untergruppen, die ähnliche Absichten und Zielsetzungen verfolgen, aber unterschiedliche Werkzeuge und Techniken einsetzen. Über zwei der Gruppen – mit erstzunehmenden technischen Fähigkeiten – haben wir bereits hier und hier berichtet. Die dritte Untergruppe – MoleRATs – wurde erstmals auf dem SAS 2019 vorgestellt und ist maßgeblich an der Operation SneakyPastes beteiligt gewesen (SneakyPastes leitet sich von der starken Nutzung von Paste-Sites durch die Angreifer ab).

Ihre mehrstufigen Angriffe beginnen mit maßlosem Phishing: eine E-Mail zu einem aktuellen politischen Thema, die scheinbar irgendeine Art von Verhandlungsprotokollen oder Korrespondenzen einer scheinbar legitimen, respektierten Organisation enthält. Ein ungeschulter Büroangestellter öffnet derartige Anhänge, ohne darüber nachzudenken. Sobald dieser Fall eintritt, startet die auf den ersten Blick harmlose (aber tatsächlich mit Malware versehene) Datei eine Reihe von Infektionsversuchen. Sobald sich die Cyberkriminellen im System befinden, verbergen sie die Präsenz der Malware vor AV-Lösungen und gehen dann schrittweise in weitere Angriffsstadien über.

Schlussendlich wird auf dem Zielgerät ein RAT installiert, der nicht nur ein Ass im Ärmel hat: er kann Dateien ganz einfach herunter- und hochladen, Anwendungen ausführen, nach Dokumenten suchen und Daten verschlüsseln. Er findet zudem alle .pdf-, .doc-, .docx-, und .xlsx-Dateien auf dem System, speichert diese in Ordnen für temporäre Dateien, klassifiziert, archiviert und verschlüsselt diese und sendet sie dann über Domain-Strings an den C&C-Server. Und so, meine Damen und Herren, funktioniert Spionage im Jahr 2019!

Sie möchten mehr darüber erfahren? Kein Problem!

3. Finanzbetrug und digitale Klone

Wenn Sie glauben, dass all unsere Untersuchungen lediglich Angriffe betreffen, die scheinbar direkt aus einem Detektiv-, Spionage- oder Sci-Fi-Roman stammen, denken Sie noch einmal genauer darüber nach. Denn die dritte Untersuchung, von der ich Ihnen erzählen möchte, betrifft unglaublich viele Menschen. Eine ganz simple Form des Cybercrimes, die so alltäglich geworden ist, dass die Medien einfach nicht mehr darüber berichten. Obwohl das mehr als angebracht wäre! Die Rede ist vom guten alten Finanzbetrug. Laut einer zuverlässigen Quelle beliefen sich die Verluste durch Kreditkartenbetrug im Jahr 2018 auf rund 24 Milliarden US-Dollar. Ja -Sie haben richtig gelesen : M-I-L-L-I-A-R-D-E-N! Zum Vergleich: Das jährliche Budget der NASA liegt bei rund 21,5 Milliarden US-Dollar, während die Olympischen Spiele in Tokio 25 Milliarden Dollar kosten!

Für den heutigen, modernen Kreditkartenbetrug wurde ein neuer Begriff erfunden: Carding. Obwohl Banken und Zahlungssysteme dem Thema Sicherheit besondere Aufmerksamkeit schenken, entwickeln die Betrüger ständig neue Tools, um Geld über Bankkarten zu stehlen.

Unser Experte Sergey Lozhkin berichtete auf dem SAS 2019 über eine völlig andere Art des Finanzbetrugs. Er entdeckte einen ganzen Markt namens Genesis im Darknet, auf dem gestohlene „digitale Fingerabdrücke“ gekauft und verkauft werden. Hierbei handelt es sich im Wesentlichen um Datenpakete mit dem Online-Verhalten eines Nutzers sowie seinem digitalen Fingerabdruck – der Verlauf besuchter Seiten, Informationen über das Betriebssystem, den Browser und so weiter. Wofür all das benötigt wird? Nun ja, es sind eben Daten wie diese, die von verschiedenen Online-Systemen zur Nutzerverifizierung zum Schutz vor Betrug verwendet werden. Wenn also ein digitaler Fingerabdruck mit dem vorher verwendeten Fingerabdruck übereinstimmt, „erkennt“ die Sicherheitslösung die Person und genehmigt die Transaktion – beispielsweise einen Kauf im Onlineshop oder eine Überweisung via Online-Banking. Der Preis für einen solchen digitalen Fingerabdruck variiert je nach Datenvolumen zwischen fünf und 200 US-Dollar.

Wie werden solche Fingerabdrücke gesammelt ? Mit der Verwendung verschiedener Schadprogramme. So kann sich Malware beispielsweise auf Ihrem Computer einschleichen und unbemerkt alle erreichbaren Daten sammeln – während Sie davon rein gar nichts bemerken.

Zudem haben Betrüger eine andere Methode entwickelt, um Schutzlösungen zu täuschen und zu umgehen: sie geben sich vor dem System als völlig neuer Nutzer aus. Dies kann mithilfe eines speziellen Dienstes namens Sphere erfolgen, mit dem eine digitale ID samt ihrer Parameter zurückgesetzt werden kann. Somit ist der Kriminelle in den Augen der Schutzlösung völlig „clean“.

Was können wir dagegen tun? Zum einen müssen sich Banken kontinuierlich über die neuesten Cyber-Betrugsmethoden informieren und ausnahmslos die Zwei-Faktor-Authentifizierung verwenden. In Zukunft werden sie wahrscheinlich auch noch biometrische Daten, Fingerabdrücke, Iriserkennung usw. als zusätzliche Schutzmaßnahme auf ihre Liste schreiben müssen. In der Zwischenzeit möchten wir Ihnen zum wahrscheinlich zehntausendsten Mal folgenden Rat mit auf den Weg geben: Gehen Sie vorsichtig mit Ihren Daten (Passwörter, Bankkartennummern, Verwendung von Computern an öffentlichen Orten und Gebrauch von öffentlichen WLAN-Hotspots) um. Und verwenden Sie eine gute Sicherheitslösung, die alle schädlichen Faktoren erkennt, die es möglicherweise auf Ihre digitale Identität abgesehen haben.

4. „The secret power of YARA“

Gegen Ende des diesjährigen SAS hielt Vitaly Kamluk eine Pecha-Kucha-Präsentation (20 Folien á 20 Sekunden) über die Fähigkeiten von YARA (eine Art Suchmaschine, die nach Attributen in ausführbaren Dateien sucht).

In diesem Vortrag namens „The Secret Power of YARA“ wandte er seine speziellen Jedi-Kräfte auf dieses spezifische Tool an… das Endergebnis war ein ASCII-Art-Kunstwerk! Das Publikum konnte seinen Augen kaum trauen. Aber das war noch längst nicht alles – unter Anwendung zusätzlicher Magie, übernahm im selben ASCII-Regime plötzlich der erste Teil der Computerspiel-Serie DOOM den Bildschirm! Das Publikum war gebannt, hypnotisiert, fasziniert … Sehen Sie selbst!

5. Was, wenn …

Im abschließenden SAS-Vortrag gab der Direktor unseres GReAT, Costin Raiu, dem Publikum die Gelegenheit, über theoretisch mögliche Methoden der Malware-Penetration und über mögliche Verschleierungsmethoden auf tiefster Hardwareebene nachzudenken. Was machen wir, wenn diese Hypothesen tatsächlich zur Realität werden? Und wie kann die Cybersicherheitsbranche darauf reagieren? Darum ging es bei Costins Präsentation – eine Art Benutzerhandbuch für Start-ups auf diesem Terrain.

Das waren die „Greatest Hits“ des SAS 2019. Wir freuen uns schon auf nächstes Jahr!

PS: Auf der SAS-Konferenz 2019 wurden rund 70 Präsentationen gehalten, und dies hier waren lediglich die „Auserwählten“, die es ins Finale geschafft haben. Ich könnte Ihnen nicht von allen Vorträgen auf diesem Blog berichten, aber in Kürze sollte das vollständige Konferenzvideo auf unserem YouTube-Kanal zur Verfügung stehen!