Auch 2024 zeigen sich Cyberkriminelle mit bewährten Mitteln – und fügen neue Methoden zu ihrem Repertoire hinzu. Während klassisches Phishing, Ransomware-Angriffe und das Ausnutzen bekannter Schwachstellen weiterhin aktuell sind, setzen Hacker ebenfalls vermehrt auf KI-gestützte Tools. Manche verwenden ChatGPT und ähnliche Modelle für das Schreiben von Malware, andere versuchen wiederum, erbeutete Daten mittels KI nutzbar zu strukturieren. Eine besonders perfide Art ist allerdings die Nutzung von Deep-Fakes, wie ein aktueller Fall illustriert:
Angriff des Monats: Deepfake-Finanzchef überlistet alle
Laut mehreren Medienberichten kam es bei einem Hongkonger Unternehmen zu einem besonderes ausgeklügelten Betrugsfall. Alles begann mit einer E-Mail, in welcher der angebliche CFO um eine hohe Überweisung auf ein Offshore-Konto bat. Nachdem der Mitarbeiter misstrauisch wurde, haben die Betrüger ihn in ein Videomeeting eingeladen. Während der Mitarbeiter dachte, dass er dort mit dem CFO sowie weiteren hochrangigen Mitarbeitenden sprach, waren diese Konferenzteilnehmer effektiv alle Deepfakes, also computergenerierte Imitationen der echten Menschen. Dadurch gelang es den Angreifern, allfällige Bedenken zu zerstreuen und umgerechnet über 22 Millionen Schweizer Franken zu erbeuten.
Cyberangriffe
Vorfall bei AnyDesk
Wie in diesem Februar bekannt wurde, kam es im Dezember 2023 bei dem Unternehmen AnyDesk zu einem Cybervorfall. Dadurch wurde die Integrität einiger Zertifikate verletzt, welches das Unternehmen bei seiner Software nutzt. Zudem kam es laut Medienberichten bereits Ende Januar zu Störungen bei einigen Kund:innen. Weitere Informationen gibt es auf der FAQ-Seite des Unternehmens.
Gemeinde Petersberg (D)
Die hessische Gemeinde Petersberg wurde Opfer eines Cyberangriffes. Betroffen sind unter anderem die Telefone und E-Mail-Adressen der Verwaltung sowie die Rathausbibliothek, welche wegen diesem Vorfall «vorerst geschlossen» bleibe. Zur Behebung setzt die Gemeinde auf externe Fachpersonen. Nach einer Woche stand die Telefonkommunikation wieder zur Verfügung, während für E-Mails weiterhin auf Ersatzadressen gesetzt wird. Angriffsversuche gehören für Gemeinden und Behörden mittlerweile zur Tagesordnung. Entsprechend relevant ist es, sich als Organisation aktiv zu schützen.
Hintergrund
Anti-Phishing-Bericht des NCSC (BACS)
Im Anti-Phishing Bericht 2023 des Bundesamtes für Cybersicherheit (BACS), ehemals NCSC, werden die Ergebnisse der Analyse von rund 554'000 Phishing-Meldungen des vergangenen Jahres vorgestellt. Dabei konnten über 10’000 Websites als Phishing-Seiten identifiziert werden. Laut dem Bericht stehen im Fokus vieler Phishing-Versuche bekannte Schweizer Markennamen sowie die von Brief- und Paketzulieferern. Nebst dem klassischen Phishing ist eine Zunahme von «Smishing» – Betrugsversuchen via SMS und anderen Kurznachrichtendiensten – feststellbar.
Der Bericht liefert zusätzlich wichtige Schutzmassnahmen und Empfehlungen, um sich vor Phishing zu schützen. Wer selbst eine Phishing-Seite entdeckt, kann diese bei antiphishing.ch und auf report.ncsc.admin.ch melden. Den vollständigen Bericht gibt es zum Nachlesen (PDF).
Phishing mit angeblichen Steuerrückerstattungen (BACS)
In einem aktuellen Sicherheitshinweis warnt das Bundesamt für Cybersicherheit (BACS) vor Phishing-E-Mails, die Empfänger:innen eine vermeintliche Steuerrückerstattung versprechen. Diese betrügerischen E-Mails enthalten Links, die auf gefälschte Webseiten führen, mit dem Ziel, persönliche Informationen zu erschleichen. Das BACS rät dringend dazu, solche E-Mails zu ignorieren. Alle aktuellen Vorfälle können auf der Seite des BACS eingesehen werden.
Meldung über «Zahnbürsten-DDoS» entpuppt sich als Ente
Anfang des Monats berichteten diverse Medien fälschlicherweise über DDoS-Angriffe, welche von gehackten, elektrischen Zahnbürsten ausgehen sollten. Dabei würden Schweizer Unternehmen das Ziel dieser Angriffe sein. Tatsächlich handelte es sich hierbei aber lediglich um ein fiktives Beispiel einer Cybersecurity-Firma, welches die Risiken von angreifbaren IoT-Geräten veranschaulichen sollte. Auch wenn in diesem Fall Entwarnung gegeben werden kann, hat die Geschichte einen wahren Kern: IoT-Geräte werden regelmässig angegriffen, um sie als Teil eines DDoS-Angriffes für kriminelle Zwecke zu missbrauchen. 'Das Netz ist politisch' bringt dazu eine ausführliche Recherche.
Probleme bei der Hackergruppe «NoName057(16)»
Die pro-russische Hackergruppe «NoName057(16)» hat sich seit Ausbruch des Ukraine-Konflikts als aktive DDoS-Gruppe einen Namen gemacht. Nebst diversen Zielen in den USA und Europa griff sie auch Organisationen in der Schweiz mehrfach an (Abraxas berichtete). Laut dem Cybersecurity-Experten Kevin Beaumont gelingt es der Gruppe weniger, die genannten Ziele offline zu nehmen.
Ransomware-Zahlungen erreichen Rekordhoch
Im Jahr 2023 verzeichneten erfolgreiche Ransomware-Angriffe ein unerwünschtes Comeback mit einer Verdopplung der Lösegeldzahlungen auf ein Rekordhoch von 1,1 Milliarden Dollar. Dies kam entgegen dem Trend des Vorjahres, in welchem die Zahlungen um 371 Millionen Dollar zurückgegangen waren. Die Zahlen stammen aus einer Studie des US-Kryptowährungsspezialisten Chainalysis, die durch die Analyse von Bitcoin-Wallet-Zieladressen die Geldströme verfolgte.
Data Breach / Datenschutz
«Mother of all Breaches» ist keiner
Ende Januar sorgte die Entdeckung eines riesigen Datensatzes mit geleakten Informationen von diversen Quellen für Furore. Mit über 26 Milliarden Einträgen übersteigt dieser Leak auf den ersten Blick sogar bisherige Breaches wie «Collection #1» oder die Leaks von «Verifications.io», welche lediglich aus knapp 800 Millionen Einträgen bestehen. Der zu «Mother of all Breaches» getaufte Fund entpuppte sich allerdings schnell als heisse Luft. Während die Daten zwar echt sind, stammen sie alle aus bereits bekannten, alten Leaks, so das Fachmedium Heise.
Datasport-Daten stehen zum Verkauf
Ein Anbieter für diverse technische Lösungen rund um die Veranstaltung von Breitensportevents wurde Opfer von Hackern. Eine Schwachstelle im System führte dazu, dass rund 1.3 Millionen Datensätze, darunter rund 900'000 von Schweizerinnen und Schweizern, nun zum Verkauf angeboten werden. Dazu gehören insbesondere Namen, Adressen, Geburtsdaten sowie in einigen Fällen E-Mail-Adressen und Telefonnummern. Betroffene müssen mutmasslich mit mehr Spam- und Phishing-Nachrichten rechnen. Zum Medienbericht
Schwachstellen
Die Schwachstellen-Übersicht zeigt aktuelle und relevante Sicherheitslücken der letzten Wochen. Administratoren betroffener Systeme wird empfohlen, umgehend gemäss Herstellerangaben zu reagieren.
Adobe
Direkt mehrere Adobe-Produkte haben Sicherheitsupdates gegen kritische Lücken erhalten. Dazu gehören insbesondere die beliebten Produkte Adobe Acrobat und Reader sowie Substance 3D Designer. Detail-Informationen
Cisco (CVE-2024-20253)
Eine Schwachstelle in mehreren Produkten von Cisco ermöglicht es nicht authentifizierten Angreifern, durch das Senden einer speziell gestalteten Nachricht aus der Ferne eigenen Code auszuführen (RCE). Die Lücke wird von Cisco mit einem Rating von 9.9 von 10 Punkten als kritisch eingestuft. Betroffene Systeme sollten umgehend gepatcht werden, kostenlose Updates wurden von Cisco zur Verfügung gestellt. Weitere Informationen von Cisco
FortiOS und FortiSIEM (CVE-2024-21762; CVE-2024-23108, CVE-2024-23109)
Die Lücke CVE-2024-21762 im FortiOS wird laut der Sicherheitsbehörde CISO (USA) aktiv angegriffen. Ein Patch ist verfügbar und sollte umgehend eingespielt werden. Auch bei FortiSIEM bestehen zwei Lücken, welche ebenfalls für RCE-Angriffe genutzt werden können. Link FortiOS / Link FortiSIEM
Google Chrome (CVE-2024-1284, CVE-2024-1283)
Mehrere Lücken mit einer Risikobewertung von «Hoch» wurden von Google in dem neusten Release behoben. Die Nutzung einer aktualisierten Chrome-Version wird empfohlen. Weitere Informationen von Google
Ivanti (CVE-2024-22024)
Die neuste Ivanti-Sicherheitslücke (CVE-2024-22024) folgt auf drei vorangegangene, im Dezember und Januar (CVE-2023-46805, CVE-2024-21887, CVE-2024-21893) bekannt gewordenen Schwachstellen. Weitere Informationen: BSI - Bundesamt für Sicherheit in der Informationstechnik
Outlook (CVE-2024-21413)
Am 13. Februar meldete Microsoft eine kritische Lücke für mehrere Versionen von Outlook. Dabei kann es bereits über die Mailvorschau zu einer erfolgreichen Ausführung des Angriffes kommen. Laut Microsoft wird diese Lücke zurzeit (Stand 15.02.2024) noch nicht aktiv angegriffen. Die dazugehörigen Updates
Windows Kerberos (CVE-2024-20674)
Eine kritische Windows Kerberos Security Bypass-Lücke betrifft eine Reihe von Windows-Betriebssystemen für Server wie auch reguläre Computer. Entsprechende Patches wurden im Januar veröffentlicht. Genaue Informationen
Über Martin Kupsky
Martin Kupsky ist freier Autor für das Abraxas Magazin und schreibt an der Schnittstelle zwischen Wirtschaft und Technik. Er besitzt einen Bachelor in Betriebswirtschaftslehre und studiert Business Innovation sowie digitale Kommunikation und Journalismus an der Universität St. Gallen.