Security-Briefing September 2024: Cyberattacken positiv sehen

Hackerangriff via Papier
In München und Umgebung wurden kürzlich laut Mitteilung des Bayerischen Landeskriminalamts Bitcoin-Paper-Wallets in einem Klarsichtbeutel auf der Strasse verteilt. So funktioniert der Betrug: Der beiliegende gefälschte Zahlungsbeleg über 10'000 Euro verleitet zur Annahme, das Papier-Wallet enthalte diese Summe. Wer den QR-Code scannt, wird dann allerdings auf eine gefälschte Website umgeleitet. Hier werden persönliche Daten gestohlen. Ausserdem sollen die Finder:innen eine Gebühr zur Auslösung des in Bitcoin hinterlegten Betrags zahlen.

Neue Ransomware-Gang attackiert Thuner Softwarefirma
Laut inside-it.ch handelt es sich bei «Ransomhub» um eine neue Bande, die ihre Aktivitäten ausgeweitet hat. In der Schweiz hat sie zuletzt die Thuner Schneider Software angegriffen. Diese war mehrere Tage nicht erreichbar und musste ihre Systeme neu aufsetzen. Ausserdem sei ein Teil der Geschäftsdaten gestohlen worden. Lösegeld habe das Unternehmen nicht bezahlt, so der Bericht.

Angriff auf Trauernde
Das Sicherheitsunternehmen Malwarebytes warnt vor einem neuen Betrug, der über Facebook läuft und bei dem Cyberkriminelle die Trauer von Hinterbliebenen ausnützen. Sie platzieren unter der offiziellen Nachricht des Bestattungsunternehmens einen gefälschten Kommentar, in dem sie zu Spenden aufrufen oder einen Link zu einem angeblichen Live-Stream der Trauerfeier anbringen.

Fortinets Sharepoint-Server gehackt
Ein Hacker namens «Fortibitch» hat laut Bleeping Computer 440 GB Daten aus dem Sharepoint-Server der Cybersecurity-Firma Fortinet abgezogen. Das Unternehmen habe dies bestätigt. Allerdings seien nur wenige Kunden betroffen. Zudem habe es sich um einen Zugriff auf ein Dateilaufwerk eines Drittanbieters gehandelt. Das Unternehmensnetzwerk von Fortinet sei nicht betroffen.

Wenn sich die Steuerbehörde meldet
Proofpoint berichtet über den Schädling «Voldemort». Dieser nistet sich in Google-Tabellen ein. Bis zu 6'000 Unternehmen pro Tag in Europa, Asien und den USA werden laut dem Report von der «Steuerbehörde» kontaktiert. In der E-Mail wird behauptet, dass aktualisierte Steuerdokumente vorliegen würden. Wer auf den Link klickt, glaubt ein PDF vor sich zu haben. Im Hintergrund nimmt die Malware Kontakt mit einer Google-Tabelle auf, die neue Befehle enthält und zeitgleich als Datenbank für die gestohlenen Daten dient. So fliegen die Hacker unter dem Radar.

Wenn du plötzlich im Kiosk-Modus bist…
OALABS-Forschende haben eine neue, ungewöhnliche Angriffsmethode entdeckt, die bereits ihre Opfer gefunden hat. Die Malware schaltet den Browser in den Kiosk-Modus, einen Anzeigemodus ohne Navigations- und andere Elemente. ESC- und F11-Tasten sind dabei blockiert. Das soll den Nutzer frustrieren. Scheinbar einziger Ausweg ist die Eingabe der Google-Anmeldedaten. Diese werden daraufhin gestohlen. Sicherste Lösung: ein Hard-Reset des Computers und beim Neustart im Safe Mode (F8) einen vollen Antivirus-Scan durchführen. Nicht gespeicherte Daten gehen dabei aber verloren.

So sind Angriffe auf Service-Chatbots möglich
«Prompt Injection» nennt sich eine Angriffsmethode auf Service-Chatbots. Vor ihr warnt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) schon lange. Ein Sicherheitsforscher hat nun ein plakatives Video veröffentlicht und zeigt, wie ein solcher Angriff funktioniert. Dabei drängt er einen Chatbot mit Prompts in die Ecke, sodass dieser Geschäftsgeheimnisse verrät. Umsichtig entwickelte Chatbots verhindern solche Angriffe.

Wie man Hacker sonst noch übertölpeln kann
Im neu gegründeten Christian-Doppler-Labor für Sicherheit und Transparenz im Softwareschutz (Astra) an der Uni Wien arbeitet ein Team an neuen Strategien zur Abwehr von Hackern. Darüber berichtet derstandard.at. Einer der Ansätze: Man lässt Softwarecode komplizierter aussehen als er wirklich ist. Dazu gibt es mehrere unterschiedliche Verfahren. Eine andere Methode sind «digitale Fingerabdrücke». Damit kann ein Programm sich selbst auf Veränderungen prüfen. Ausserdem lässt sich der Code an gewisse Messdaten binden. Die Wiener Forschenden wollen nun Compiler so umbauen, dass sie gleichzeitig übersetzen und verschleiern. Dieser Ansatz wurde bisher nur theoretisch bestätigt.

Oracle-Gründer will die Schwachstelle Mensch angehen
«Keine menschliche Arbeit, keine menschlichen Fehler», fasst Katharina Jochum, die neue Chefredaktorin von inside-it.ch, in ihrem Bericht von der Oracle Cloud World in Las Vegas die Vision von Oracle-Gründer Larry Ellison zur Stärkung der IT-Sicherheit zusammen. Ellison plädiert für autonome Systeme und nennt vier Bereiche für ihren Einsatz: Daten-, App- und Netzwerksicherheit sowie Benutzeridentität. Zudem will Ellison mit ZPR (Zero Trust Packet Routing) nur autorisierte Datenübertragungen ermöglichen.

Gesundheitswesen im Fokus von Ransomware-Banden
Cybersecurity-Anbieterin Barracuda zeigt im jährlichen Threat Spotlight die Trends der Branche auf. Weltweit am stärksten von Ransomware-Angriffen betroffen ist das Gesundheitswesen (21 Prozent). Dahinter folgen der Technologiesektor (13 Prozent) und das Bildungswesen (9 Prozent). Die aktivsten Banden setzen auf Ransomware-as-a-Service (RaaS). Erkannt werden die meisten Angriffe anhand von lateralen Bewegungen im Netzwerk und weil die Angreifer Daten erstellen. Nur 14 Prozent der Angriffe werden anhand von Abweichungen in Aktivitätsmustern erkannt.

So will Microsoft ein neues Crowdstrike-Debakel verbinden
In einem längeren Blog-Beitrag fasst Microsoft zusammen, wie ein neuer Zusammenbruch von IT-Systemen vermieden werden kann. Kernpunkt: Microsoft will mit Sicherheitsfirmen in einen Dialog treten und hat bereits einen Windows Endpoint Security Ecosystem Summit veranstaltet. Ein Best-Practices-Plan soll entstehen. Einer der Knackpunkte: der Zugriff von Sicherheitssoftware auf den Windows-Kernel. Bis eine Lösung vorliegt, bieten laut Microsoft Disaster-Recovery- und Business-Continuity-Pläne einen besseren Schutz vor Ausfällen.

Wie man mit Ransomware-Gangs verhandelt
Soll man Lösegeld bezahlen? Natürlich nicht, aber… Wenn eine Forderung eintrifft, braucht es einen Verhandlungsführer, schon nur um Zeit zu gewinnen. Oder um an die Moral der Gangster zu appellieren, wenn es etwa ein Spital getroffen hat. Im SRF-Podcast erzählt ein Schweizer «Ransomware Negotiator», wie er mit den Cyberkriminellen umgeht. Ein spannender Blick hinter die Kulissen eines globalen Geschäfts, aber keine eindeutige Antwort auf die Lösegeldfrage.

Rambo-Angriff auf Air-Gapped-Systeme
Wenn Systeme aus Sicherheitsgründen nicht an einem Netzwerk betrieben werden («Air Gapped»), sind sie nicht unbedingt vor Angriffen sicher. Das zeigt eine neu entwickelte Angriffstechnik. Dabei muss das Zielsystem zunächst mit einer Malware infiziert werden, etwa mit einem USB-Stick, der vor Ort angeschlossen wird. Anschliessend kann die Malware laut dem israelischen Sicherheitsforscher Mordechai Guri über die systeminternen Speicherbusse Funksignale erzeugen. Diese lassen sich mit spezieller Hardware und einer Antenne auswerten. Der Trick: Kontrollierte Lese- und Schreibzugriffe auf den Speicher erzeugen aus dem RAM elektromagnetische Emissionen. In seinem Papier erläutert der Forscher Abwehrstrategien.

Microsoft schliesst gleich 79 Schwachstellen
Im monatlichen Softwarerelease hat Microsoft ein ganzes Bündel an Schwachstellen adressiert. Nach Einschätzung von inside-it.ch sind besonders vier davon wichtig, weil sie gerade aktiv ausgenutzt werden: Sie werden mit 9.8 CVSS-Punkten (Remote-Code-Ausführung in Windows Update), 7.8 (im Windows Installer), 7.3 (Windows Publisher) und 5.4 (Windows Mark of the Web) bewertet. Für die am tiefsten bewertete Schwachstelle gibt es sogar einen Exploit Code auf Github.

Veeam patcht fünf kritische Lücken
Veeam Software hat in ihren Backup- und Datenmanagement-Lösungen 18 Lücken geschlossen, fünf davon sind kritischer Natur. Als gefährlichste Lücke mit einem CVSS-Wert von 9.8 gilt CVE-2024-40711. Sie betrifft Veeam Backup & Restore (VBR) bis Version 12.1.2.172. Angreifer können darüber die volle Kontrolle über ein System erlangen.

FakeUpdates an der Spitze
Malware verbreitet sich über Schwachstellen. In der Schweiz handelt es sich oft um den Downloader FakeUpdates. In den letzten sechs Monaten war er jeweils international und in der Schweiz auf Platz 1 der «Most wanted Malware». An zweiter Stelle steht das Botnetz «Androxgh0st», das sensible Informationen stiehlt.

Gitlab behebt Lücken in den Serverversionen
Admins selbst gehosteter Instanzen von Gitlab sollten ihre Systeme aktualisieren. Durch 15 jetzt geschlossene Sicherheitslücken in den Serverversionen konnten Angreifer Code einschleusen und fremde Konten übernehmen.