Ransomware attackiert VPN und RDP

Ransomware wird immer gefährlicher. Hacker nutzen vor allem das Remote Desktop Protocol (RDP) und Virtual Private Networks (VPN) als Einfallstore. E-Mail-Phishing verliert dagegen an Bedeutung.

Ransomware-Angriffe auf Unternehmen, mit denen Lösegeld erpresst werden soll, haben in der ersten Hälfte des Jahres 2020 einen historischen Höchststand erreicht. Jede Hacker-Gruppe hat ihre eigenen Methoden, doch die meisten Lösegeld-Vorfälle im 1. Halbjahr 2020 lassen sich auf eine Handvoll Angriffsvektoren zurückführen. Die drei beliebtesten sind ungesicherte RDP-Endpunkte und VPN-Appliances sowie E-Mail-Phishing, wobei sich RDP eindeutig als die Quelle der meisten Lösegeldvorfälle im Jahr 2020 entpuppt.

Das liegt nicht nur daran, dass im Homeoffice RDP stärker genutzt wird, sondern dieser Trend ist schon seit einem Jahr zu beobachten. Erpresser nehmen immer weniger Privatkunden ins Visier, sondern gehen stattdessen gehäuft auf Unternehmen los. RDP ist eine weitverbreitete Technologie für die Verbindung zu entfernten Systemen. Es gibt eine Vielzahl von Computern mit RDP-Ports, die online zugänglich sind. Das macht RDP zu einem riesigen Angriffsvektor für alle Arten von Cyberkriminellen. Systeme, die schwache Benutzernamen- und Passwort-Kombinationen verwenden, können kompromittiert und dann in so genannten „RDP-Shops“ zum Verkauf angeboten werden.

Auch VPN wird immer beliebter

Im Jahr 2020 ist mit der Nutzung von Virtual Private Networks (VPN) Appliances ein weiterer wichtiger Vektor für das Eindringen in Unternehmensnetzwerke aufgekommen. Seit dem Sommer 2019 wurden mehrere schwerwiegende Schwachstellen in VPN-Appliances der wichtigsten Anbieter aufgedeckt, darunter Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks und F5. Während im vergangenen Jahr einige wenige Fälle von Lösegeldforderungen gemeldet wurden, stiegen die Zahlen im Jahr 2020 deutlich an.

Es ist also dringend notwendig, dass Administratoren diese Vektoren genau beobachten, Systeme patchen und Sicherheitsupdates installieren. Es ist eine Sache, wenn ein Angestellter einer geschickt getarnten Spear-Phishing-E-Mail zum Opfer fällt, und eine andere, wenn Sie Ihr VPN oder Ihre Netzwerkausrüstung über einen längeren Zeitraum ungepatcht lassen oder mit schwachen Benutzername und Passwörtern versehen.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

Vom DoS bis zum Datenklau – Angriffe über PDF Dokumente

PDF

Wer sich mit PDFs gegenüber Office-Dokumenten in Sicherheit wiegt, liegt falsch. Auf der Black Hat 2020 zeigte Jens Müller mehrere mögliche Angriffe.

Viele Nutzer sehen PDF-Dateien als ein vermeintlich sicheres Datenauschtauschformat für Rechnungen, Verträge und Formulare gegenüber Office-Suiten mit ihren Makro-Viren und anderen Exploits an. Sicherheitsforscher Jens Müller hat sich im Rahmen der Black Hat 2020 mit dem PDF-Standard beschäftigt und zahlreiche Implementierungsprobleme vom manchmal nicht eindeutigen Standard sowie Sicherheitsfallen im täglichen Gebrauch gefunden.

Hierzu hat Müller mit einem Editor PDF-Dokumente manipuliert. Das Resultat: Er kann mit simplen Endlosschleifen, die beim Öffnen die CPU-Last in die Höhe treiben, oder mit in den PDF eingebetteten und wenige Byte großen ZIP-Bomben, die nach dem Öffnen jedoch mehrere Gigabytes des Arbeitsspeichers in Anspruch nehmen, sogenannte DoS-Angriffe (Denial of Service) durchführen. Außerdem hat er es geschafft, dass eingegebene Daten – zum Beispiel von Formularen – an eine externe URL gesendet werden; schlimmer noch, er kann zudem auf Dateien des Anwenders zugreifen und diese im Netz veröffentlichen.

Um an Benutzerpasswörtern zu gelangen, benutzt Müller einen Network-Share als Dateipfad, über den er einen Druckauftrag startet. Damit kann er den NT User Name und NTLM Hash klauen, um diesen über einen URL Backchannel auf eine beliebige URL im Internet zu transportieren. Somit können mit einem präparierten PDF-Dokument auch Login-Daten geklaut werden – der Hash muss nur noch durch bekannte Methoden geknackt werden. Und wenn das Opfer zum Beispiel ein VPN oder Cloud-Paket wie Office 365 verwendet, kann sich der Angreifer damit in vielen Fällen ebenfalls in der Infrastruktur der Firma anmelden.

Darüber hinaus kann ein Hacker mit PDF-Dokumenten alle Dateien manipulieren, für die der Benutzer eine Schreibberechtigung hat. Ferner fand Müller eine Option zur Remote-Code-Ausführung, mit der ein Angreifer beliebigen im PDF geschmuggelten Code auf dem Zielsystem ausführen kann. Er betrachtet alle Angriffe, die eine Interaktion des Nutzers voraussetzen, als fehlgeschlagen: Oft genügt schon die Preview im Dateimanager – wie der Explorer oder Nautilus –, um den Angriff durchzuführen.

Mehr oder weniger betroffen und getestet sind 18 PDF-Reader unter Windows, zwei unter macOS, drei unter Linux sowie die Webbrowser Chrome, Firefox, Safari, Opera und Edge – unter zahlreichen Systemen von Windows 10 bis Android und Linux.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

Schadsoftware Emotet ist zurück

Emotet ist ein Computer-Schadprogramm in Form eines sogenannten „Banking-Trojaners“, das auf modernere Versionen des Betriebssystems Windows von Microsoft abzielt.

Fünf Monate lang gab es keine Angriffe mit der Schadsoftware Emotet, nun ist eine neue Angriffswelle in vollem Gange. Allein zum Auftakt am Freitag, dem 17. Juli zählte die Sicherheitsfirma Proofpoint 250.000 E-Mails, über welche die Schadsoftware vor allem in den Vereinigten Staaten und Großbritannien verbreitet wurde. Die E-Mails konnten zu den drei bekannten Emotet-Clustern Epoch 1, 2 und 3 zurückverfolgt werden.

In den letzten Monaten waren außer mehreren Testläufen mit nicht funktionierenden Links oder Anhängen, über die sich die Schadsoftware üblicherweise verbreitet, keine Angriffe mit Emotet festgestellt worden. Bei den Links oder Anhängen handelt es sich um Word-Dokumente, welche die Betroffenen durch Social Engineering zum Aktivieren der Word-Makros verleiten, über welche sich die Schadsoftware auf dem System einnistet. Teils klinkt sich die Schadsoftware auch in Konversationen ein und versendet Antworten auf E-Mails, die die Betroffenen verschickt haben – dadurch sind sie besonders schwer als Angriff zu erkennen.

Wie Sie sich schützen können:

  • Installieren Sie zeitnah bereitgestellte Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (Web-Browser, E-Mail-Clients, Office-Anwendungen usw.).
  • Setzen Sie Antiviren-Software ein und aktualisieren Sie diese immer wieder.
  • Sichern Sie regelmäßig Ihre Daten (Backups).
  • Richten Sie ein gesondertes Benutzerkonto auf dem Computer ein, um zu surfen und E-Mails zu schreiben.
  • Öffnen Sie auch bei vermeintlich bekannten Absendern nur mit Vorsicht Dateianhänge von E-Mails (insbesondere Office-Dokumente) und prüfen Sie in den Nachrichten enthaltene Links, bevor sie diese anklicken. Bei einer verdächtigen E-Mail sollten Sie im Zweifelsfall den Absender anrufen und sich nach der Glaubhaftigkeit des Inhaltes erkundigen.

Was Sie tun können, wenn Sie betroffen sind:

  • Informieren Sie Ihr Umfeld über die Infektion, denn Ihre Mailkontakte sind in diesem Fall besonders gefährdet.
  • Ändern Sie alle auf dem betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherten und eingegebenen Zugangsdaten.
  • Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor. Sollte Ihr Rechner mit Schadsoftware wie Emotet infiziert sein, dann empfiehlt das BSI, diesen Rechner neu aufzusetzen.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

Ransomware nimmt Windows- und Linux-Systeme mit neuartigem Angriff ins Visier

Die Hintermänner programmieren die Erpressersoftware in Java. Die Verteilung erfolgt über eine Java-Image-Datei. Sicherheitsforschern zufolge hilft das Vorgehen bei der Verschleierung der Aktivitäten der Malware.

Hacker setzen eine neue Art von Ransomware derzeit bei zielgerichteten Angriffen gegen Windows und Linux ein. Die Tycoon genannte Malware ist offenbar bereits seit Dezember 2019 aktiv. Auch die Art und Weise, wie sie sich Zugang zu einem Netzwerk verschafft, ist zufolge ungewöhnlich – aber wohl hilfreich, um unentdeckt zu bleiben. Die bevorzugten Ziele der Hintermänner von Tycoon sind Softwareanbieter und Bildungseinrichtungen. Auffällig ist den Forschern zufolge, dass die Ransomware in Java geschrieben wurden und als Java Runtime Environment verteilt wird. Dafür kompilieren die Hintermänner die Schadsoftware in einer Java-Image-Datei (Jimage), um ihre gefährlichen Absichten zu verschleiern.

„Das sind beides einzigartige Methoden. Java wird nur sehr selten zum Schreiben von Endpunkt-Malware verwendet, da es die Java-Laufzeitumgebung benötigt, um den Code ausführen zu können. Image-Dateien werden nur selten für Malware-Angriffe verwendet“

Die Forscher fanden zudem Ähnlichkeiten zu einer anderen Ransomware, die als Dharma oder Crysis bezeichnet wird. Unter anderem E-Mail-Adressen der Hacker, Dateinamen und sogar der Text der Lösegeldforderung legen eine Verbindung nahe.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

Motivation und Zusammenarbeit im Homeoffice

Motivation im Homeoffice sinkt, Zusammenarbeit funktioniert aber gut.

Die Corona-Pandemie hat den Tag der Arbeit dieses Jahr genau dorthin verlagert, wo mehr als jeder zweite Mitarbeiter in Deutschland aktuell arbeitet: nach Hause.

Die Online-Jobplattform StepStone hat 7.000 Menschen befragt, wie sich die anhaltende Arbeit in den eigenen vier Wänden auf ihre Jobzufriedenheit und Stimmung auswirkt. Ein Ergebnis: Die Motivation im Homeoffice lässt bei jedem Dritten allmählich nach.

Weniger Pausen, mehr Arbeit

Bei vielen Beschäftigten im Homeoffice kommt es offensichtlich dazu, dass die Grenzen zwischen Arbeit und Privatleben verschwimmen. 43 Prozent geben an, unregelmäßige Arbeitszeiten zu haben. Etwa genauso viele räumen ein, weniger Pausen einzulegen. Deutlich mehr als jeder Dritte gibt zu, in den eigenen vier Wänden mehr zu arbeiten als üblich. Sollte sich die Rückkehr zum normalen Arbeitsplatz weiter verzögern, befürchten 37 Prozent sogar gesundheitliche Probleme.

Digitale Tools kommen besser zum Einsatz

Für Millionen Beschäftigte war und ist es immer noch ungewohnt, den täglichen Arbeitsplatz in die eigenen vier Wände zu verlagern. Allerdings hat diese Ausnahmesituation auch gute Seiten. 88 Prozent betrachten es als eine positive Nebenwirkung der Corona-Krise, dass sie jetzt viele digitale Tools und Instrumente breit einsetzen. Acht von zehn Befragten finden, dass sie innerhalb des Teams aktuell genauso zuverlässig zusammenzuarbeiten wie vor der Krise. Ebenso viele haben mit ihren Kollegen inzwischen eine digitale Meeting-Struktur etabliert. Insgesamt zeigen sich 70 Prozent überrascht davon, wie gut die Zusammenarbeit im Homeoffice tatsächlich funktioniert. „Die Corona-Pandemie wird sicher nicht dazu führen, dass der Großteil der Beschäftigten nach der Krise im Homeoffice arbeitet“, sagt Dr. Tobias Zimmermann, Arbeitsmarkt-Experte bei StepStone. „Allerdings kann die derzeitige Situation für viele Unternehmen auch eine Chance sein herauszufinden, welche Modelle des mobilen Arbeitens auch nach der Krise möglich sind.“

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.