Bad Cop Masche: Gefälschte Bußgeldbescheide per E-Mail

Bad Cop Masche: Gefälschte Bußgeldbescheide per E-Mail

Im Namen der Brandenburger Polizei und der Zentralen Bußgeldstelle werden derzeit gefälschte Bußgeldbescheide wegen zu schnellen Fahrens per E-Mail versendet.
Das Hornetsecurity Security Lab meldet aktuell ein erhöhtes Aufkommen solcher Betrugs-E-Mails.

Die E-Mail allein richtet noch keinen Schaden am System der Betroffenen an! Die Sicherheitsexperten von Hornetsecurity raten beim Erhalt einer solchen E-Mail in keinem Fall einen der ausgewiesenen Links zu klicken.

Bei der Betrugsmasche handelt es sich um eine klassische Phishing-E-Mail. Es wird ein Bußgeldbescheid der Brandenburger Polizei nachgebildet. Neben einer relativ gut formulierten Strafandrohung enthält die Betrugs-E-Mail zwei Links, die auf eine beinahe exakte Kopie der Website der Brandenburger Polizei weiterleiten.

Dort wird der Adressat dazu aufgefordert ein Captcha auszufüllen, wodurch schließlich ein zip-Archiv mit einem enthaltenen Visual Basic Skript (*.vbs) heruntergeladen wird. Laut VirusTotal wurde das VBS Skript bisher nur von einem Antivirus Scanner erkannt.

Bis jetzt ist jedoch noch nicht bekannt, was nach dem automatischen Ausführen des Skripts geschieht. Derzeit ist das Hornetsecurity Security Lab noch dabei, das Skript zu analysieren.

Die Phishing Seite ist mittlerweile nicht mehr erreichbar. Die Domain wurde vor ca. 10 Tagen registriert.

Domain Name: brandenburg-polizei.com
Creation Date: 2019-06-09T07:00:00Z

Die Polizei selbst berichtete bereits über das Vorgehen auf ihrer offiziellen Website und gibt an, um entsprechend reagieren zu können, dass Betroffene Strafanzeige erstatten sollten.

Die Zukunft der Verschlüsselungstechnik? Quantencomputer und Post-Quanten-Kryptographie erklärt

Die Zukunft der Verschlüsselungstechnik? Quantencomputer und Post-Quanten-Kryptographie erklärt

Sie können komplexe Probleme der Mathematik lösen, große Molekülstrukturen abbilden und komplexe Verkehrsflüsse berechnen. Die Rede ist von Quantencomputern, deren Entwicklung in den letzten Jahren kleine Fortschritte gemacht hat. Doch nicht nur auf die Mathematik, die Medizin oder Logistik würde ein funktionsfähiger Quantencomputer große Auswirkungen haben, sondern auch auf die IT-Sicherheit.

Wir sind im Jahr 2035: Quantencomputer knacken alle Public-Key-Algorithmen, die im Jahr 2019 noch für den Schutz sensibler Daten gesorgt haben. Hacker gelangen mit Quantencomputern an Daten aus privaten E-Mails, staatliche Behörden an Daten verdächtiger Institutionen. Die Bezahlung mit EC-Karten ist nicht mehr möglich und der Handel mit Kryptowährungen wie Bitcoin ist angreifbar.

Dieses Szenario erscheint aus unserem heutigen Blickwinkel unrealistisch. Forscher sagen jedoch voraus, dass es in zehn bis fünfzehn Jahren funktionierende Quantencomputer gibt, die mathematische Probleme wie die Primfaktorzerlegung sehr großer Zahlen millionenfach schneller rechnen können als heutige normale Computer und damit als sicher geglaubte Verschlüsselungsverfahren knacken können. Wie realistisch ist diese Aussage und was bedeutet sie für die Entwicklungen in der IT-Sicherheitsbranche?

Unterschied zwischen normalen Computern und Quantencomputern

Normale Computer speichern Informationen in Form von Bits, die zwei verschiedene Zustände annehmen können: 0 oder 1. Die Geschwindigkeit, in der ein solcher Computer rechnet, hängt unter anderem von der Anzahl der Prozessorkerne, der Größe des Cache und des Arbeitsspeichers ab. Ein Quantencomputer dagegen rechnet mit Quantenbits, auch Qubits genannt. Qubits können nicht nur die Zustände 0 und 1 annehmen, sondern unendlich viele Zwischenzustände. Diese Überlagerung beider Zustände wird Superposition genannt, die durch bisher nicht vollständig erforschte quantenmechanische Effekte entsteht. In dieser Superposition befinden sich die Qubits, bis sie gemessen werden.

Ein Quantencomputer mit einem Qubit kann zwei Zustände gleichzeitig annehmen, einer mit 25 Qubits schon zwei hoch 25 gleichzeitig, also 33.554.432 Zustände. Damit kann ein Quantencomputer zur selben Zeit um ein Vielfaches mehr Zustände einnehmen als ein normaler Computer und mehr Rechenwege parallel ausführen. Ein Quantencomputer mit vielen Qubits bräuchte somit nur wenige Minuten für eine Berechnung, für die ein normaler Computer mehr Zeit brauchen würde als ein Menschenleben andauert.

Hornetsecurity News

 

 

Bleiben Sie informiert

 

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Entwicklungsstand von Quantencomputern und aktuelle Herausforderungen

Obwohl bereits seit über zwanzig Jahren an Quantencomputern geforscht wird, ist es noch nicht gelungen, einen kommerziell nutzbaren Quantencomputer zu entwickeln. Um die Entwicklung eines leistungsfähigen Quantencomputers bemühen sich unter anderem große Institutionen wie die NSA, Google, IBM und Microsoft. IBM hat Anfang dieses Jahres einen 2,5 mal 2,5 Meter großen, nicht kommerziellen Quantencomputer vorgestellt, der mit 20 Qubits arbeitet. Bereits ein Quantencomputer mit 50 Qubits wäre schneller als ein Supercomputer, der mit vielen Prozessoren rechnet.

Dass es bisher noch keine kommerziell nutzbaren Quantencomputer gibt, liegt an den zahlreichen Herausforderungen, für die bisher noch keine Lösungen gefunden wurden: Zum einen sind Quantencomputer schwer zu bauen, weil Qubits in der Superposition stabil gehalten werden müssen.

Bis jetzt ist es lediglich gelungen, Laufzeiten von bis zu wenigen Mikrosekunden zu erreichen. Zum anderen werden viele miteinander verschränkte Qubits benötigt, um hohe Rechenleistungen zu erhalten. Allerdings steigt dadurch auch die Anzahl der Fehler, die bei Berechnungen mit vielen Qubits entstehen, stark an. Auch in Berechnungen mit normalen Computern entstehen solche Rechenfehler, wofür es im Gegensatz zu Quantencomputern Korrekturalgorithmen gibt. Das bedeutet, dass neue Algorithmen entwickelt werden müssen, damit Quantencomputer fehlerfrei und effizient rechnen können.

Mit der erfolgreichen Entwicklung eines Quantencomputers entstände auch der Einsatz von quantenkryptografischen Verschlüsselungsverfahren, deren Entwicklung allerdings zum jetzigen Zeitpunkt vor ähnlich großen Problemen stehen. Quantenkryptografische Verschlüsselung verspricht abhörsichere Kommunikation. Sobald ein Lauscher versucht, den Wert eines Teilchens auszulesen, verändert sich der Wert, der Lauscher würde sich verraten und könnte die Nachricht nicht lesen, so weit die Überlegung in der Theorie. Allerdings sind bisherige Verbindungen sehr fehleranfällig, denn die Teilchen müssen abso-lut störungsfrei übertragen werden. Zudem eignet sich das bisher aufgebaute Netzwerk nicht, um eine mit Quantenschlüsseln gesicherte Kommunikation zu übertragen.

Daten vor Quantencomputern sichern: Post-Quanten-Kryptografie

Um die Entschlüsselung von sicher geglaubten Verfahren zu verhindern, wird bereits jetzt an neuen, quantenresistenten Verschlüsselungsalgorithmen geforscht: der Post-Quanten-Kryptografie. Die bisher verwendete asymmetrische Public-Key-Verschlüsselung wie RSA verwendet die Multiplikation großer Primzahlen zur Verschlüsselung. Normale Computer bräuchten Jahrzehnte, um die Primzahlen wieder zu zerlegen, weshalb die Verfahren bisher als sicher galten. Für Quantencomputer hingegen wurde bereits ein Algorithmus entwickelt, der große Zahlen in Primfaktoren zerlegen kann und damit die asymmetrische Verschlüsselung in wenigen Minuten knackt. Bisher existiert dieser Algorithmus nur in der Theorie, da Quantenrechner noch nicht leistungsfähig genug sind. Die Anzahl der benötigten Qubits ist relativ genau bekannt: Es werden 2.300 bis 4.000 Qubits benötigt, um asymmetrische Verschlüsselungsverfahren in kurzer Zeit zu knacken.

Zurzeit werden viele Forschungsgelder und viel Energie in die Entwicklung quantenresistenter Verschlüsselungsverfahren gesteckt. Es gibt zahlreiche mögliche Verfahren, um deren Standardisierung sich das amerikanische Institut NIST (National Institute of Standards and Technology) bemüht. Aktuell befinden sich 48 Verfahren in der Prüfung, von denen ausgegangen wird, dass sie quantenresistent sind. Eines dieser Verfahren ist beispielsweise das Schlüsselaustauschverfahren Supersingular Isogeny Diffie-Hellmann (SIDH), das im Gegensatz zu anderen Verfahren den Vorteil hat, dass es weniger speicherintensiv ist. Auch bei der Entwicklung von quantenresistenten Verschlüsselungsverfahren steht man vor einigen Problemen: Zum einen ist der benötigte Speicherplatz und Rechenaufwand bei vielen Verfahren sehr groß. Zum anderen kann ihre Sicherheit zum aktuellen Zeitpunkt nicht zuverlässig beurteilt werden.

Dass die Bedrohung durch Quantencomputer ernst genommen wird, zeigt die Entwicklung quantenresistenter Verschlüsselungsverfahren. Wann und ob Quantencomputer überhaupt einsatzfähig werden, ist allerdings völlig unklar. In der Studie Entwicklungsstand Quantencomputer von Mai 2018 ist es laut Bundesamt für Sicherheit und Informationstechnik (BSI) aufgrund des hohen Aufwands der Fehlerkorrektur „auf absehbare Zeit unwahrscheinlich und vermutlich auch wirtschaftlich uninteressant für akademisch und industrielle Labors, einen kryptografisch relevanten Quantencomputer zu realisieren“. Beispielsweise für Geheimdienste kann die Entwicklung aber durchaus relevanter sein. Ob und wie realistisch das anfängliche Szenario ist, hängt davon ab, wie weit einerseits die Entwicklung der Quantencomputer voranschreitet und andererseits welche effektiven, quantenresistenten Verschlüsselungsverfahren entwickelt werden.

Quellen
  • BSI. Entwicklungsstand Quantencomputer. [abgerufen am 31.05.2019]
  • Böck, Hanno. Die leeren Versprechen der Quantenkryptographie. [abgerufen am 31.05.2019]
  • Böck, Hanno. Zu viele Vorschläge und zu viele Bytes. [abgerufen am 31.05.2019]
  • Dubois, Laura. Was ist eigentlich ein Quantencomputer? [abgerufen am 31.05.2019]
  • Killer, Achim. Quantencomputer bedrohen die Datenverschlüsselung. [abgerufen am 31.05.2019]
  • Lindinger, Manfred. Der Quantencomputer verlässt das Labor. [abgerufen am 31.05.2019]
  • Jennifer Chu. The beginning of the end for encryption schemes? [abgerufen am 31.05.2019]
  • t3n. Sind Quantencomputer das Ende der Kryptographie? [abgerufen am 31.05.2019]
  • t3n. Wirklich alles, was du über Quantencomputer wissen musst. [abgerufen am 31.05.2019]
    Mirai – Das Botnet of Things

    Mirai – Das Botnet of Things

    Die Dynamik des Internet of Things führt uns den täglichen Fortschritt der Digitalisierung vor Augen. Immer mehr Geräte sind mit dem Internet verbunden und ermöglichen den Nutzern Komfortabilität und Effizienz. Der Markt wird stets mit neuen Devices gefüllt und die Vielfalt an Funktionen macht die Nutzung für viele User attraktiv. Bereits heute besteht ein riesiges Netzwerk an Daten, Servern und vernetzten intelligenten Geräten – was jedoch durch die nicht bedachten Sicherheitslücken der Smart Devices eine neue und vor allem enorme Angriffsfläche für Cyberkriminelle darstellt.

    Das Schadprogramm Mirai nutzte genau diese Schwäche aus: Im Oktober 2016 erlangte der Botnet-Virus erstmalig große Bekanntheit durch die bis dato größte gestartete DDoS-Attacke, unter anderem auf den DNS-Provider „Dyn“. Hierdurch waren Websites und Services vieler internationaler Konzerne, darunter Amazon, Netflix und Spotify, für eine längere Zeit nicht erreichbar. Für die Unternehmen kann das einen Verlust in Millionenhöhe bedeuten. Was genau steckt hinter der Malware, die sich die Schwächen des technologischen Fortschritts zu Nutze macht?

    Die Entstehung des Mega Botnet

    2016 war nicht das erste Mal, dass so ein IoT-Botnet „zuschlug“: Laut des unabhängigen Security-Journalisten Brian Krebs von „krebsonsecurity.com“, gab es bereits seit 2014 Mirai-ähnliche Vorgänger, bekannt als Bashlite, Gafgytm, QBot, Remaiten und Torlus. Der Botcode von Mirai entstand aus den verbesserten Codes seiner Vorläufer, zusammengetragen von mehreren Entwicklern. Finalisiert wurde er durch eine Gruppe Hacker, die sich im Jahr 2014 zusammenschloss und unter dem Pseudonym „lelddos“ mittels des Mirai Botnets DDoS-Attacken auf konkurrierende Minecraft-Server startete, um diese zu verlangsamen oder vom Netz zu nehmen, was deren Betreiber um viel Geld brachte.

    Mirai wurde so programmiert, dass es die Malware von bereits infizierten IoT-Geräten entfernt und schließlich selbst übernimmt. Befallene Devices wiederum suchten nach weiteren anfälligen Geräten, um sie zu übernehmen. Durch die wachsende Anzahl an durch Mirai kontrollierten IoT-Produkten, wurde auch das Botnetz immer umfangreicher und die Hacker probierten sich an größeren Zielen. Im September 2016 fiel das französische Hosting-Unternehmen OVH einer DDoS-Attacke, mit einer Gesamtkapazität von bis zu 1,5 Terabit pro Sekunde, zum Opfer.

    Kurz nach diesem Angriff veröffentlichte einer der Co-Entwickler Mirais, unter dem Namen „Anna-Senpai“, den Quellcode des Schadprogramms online. Dadurch ermöglichte der Autor vielen Hackern den Code zu kopieren und weiterzuentwickeln. Die Herausgabe führte zu einem raschen Anstieg von Nachahmern, die ihre eigenen Mirai-Botnets betrieben. Diese führten schließlich nur einen Monat später zum Angriff auf den Server von Dyn. Durch die Menge an neu entstanden Variationen von Mirai, wurde die Rückverfolgung der Verantwortlichen deutlich schwieriger. Das FBI kam jedoch nur ein paar Monate später drei jungen US-Amerikanern auf die Spur.

    Am 5.Dezember 2017 bekannten sich die Hacker vor Gericht in Alaska schuldig, das Schadprogramm entwickelt und zu einem Botnet zusammengeschlossen zu haben, um Unternehmen und „anderen Zielen“ zu schaden. Den Gerichtsdokumenten zufolge plante die cyberkriminelle Gruppe darüber hinaus, mit einem eigenen DDoS-as-a-Service Angebot sowie als Schutzgelderpresser Geld zu verdienen. Um einer Gefängnisstrafe zu entgehen, stimmten die damals 21- und 22-Jährigen zu, das FBI bei der Aufklärung komplexer Cyberkriminalitätsuntersuchungen zu unterstützen. Trotzdessen umfasste das Strafmaß eine fünfjährige Bewährungszeit, 2.500 Stunden gemeinnützige Arbeit und eine Zahlung von Rückerstattungen in Höhe von 127.000 Dollar. Auch wenn die kriminellen Malware-Entwickler nun in „Schach“ gehalten werden, ist der Code noch immer in Umlauf und kann von anderen Hackern wiederverwertet, umfunktioniert und verbessert werden.

    Die Rückkehr von Mirai

    Im März 2019 entdeckten Sicherheitsexperten nun eine neue Variante von Mirai, die es vor allem auf die IoT-Geräte innerhalb von Unternehmen abgesehen hat. Cyberkriminelle versprechen sich damit eine noch höhere Angriffskraft, da sie über Unternehmensnetze Zugriff auf eine größere Bandbreite erhalten. Die neue Mirai-Version enthält mehrere zusätzliche Funktionen, darunter 11 weitere Exploits, womit die Malware insgesamt nun 27 Exploits aufweist. Diese zusätzlichen Features verleihen der Software eine noch größere Angriffsfläche. So verbreitet sich das Schadprogramm vor allem über Präsentationssysteme, Smart-TVs, Router und IP-Kameras.
    Unternehmen wird geraten die Anmeldedaten ihrer eingesetzten IoT-Geräte zu ändern und die Sicherung dieser Geräte in ihrer IT-Sicherheit-Strategie ebenso zu berücksichtigen.

    Diese Entwicklung zeigt die Unsicherheit, mit der IoT-Devices in der digitalisierten Welt konfrontiert sind – der Sicherheitsfaktor ist entscheidend, hinsichtlich der Unternehmen sowie der Nutzer. Eine Studie der Berkeley School of Information und das Center for Long-Term Cybersecurity (CLTC) ermittelte die Gesamtkosten auf Konsumentenseite, die bei einem Hack eines Smart Devices und durch zusätzlichen Stromverbrauch entstehen, wenn dieses Gerät bei einem Cyberangriff involviert wird: Beispielsweise betrugen die zusammengerechneten Kosten der Attacke auf das Unternehmen Dyn im Oktober 2016 für die IoT-Nutzer rund 115.000 Dollar. Im Worst-Case Szenario ergibt der Kalkulator eine Summe von etwa 68 Millionen Dollar, umgerechnet über 100 Dollar pro User, bei einer DDoS Attacke mit 600.000 involvierten IoT-Geräten.

    Aufstieg der DDoS-Attacken

    Die zusätzliche Angriffsfläche, die sich mit dem doch sehr schwach geschützten Internet-of-Things ergibt, macht sich unter anderem in der steigenden Anzahl an DDoS-Attacken auf Unternehmen bemerkbar.

    Hornetsecurity News

     

     

    Bleiben Sie informiert

     

    Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

    Gab es vor drei Jahren noch rund 9.000 Angriffe pro Quartal auf Unternehmens-Infrastruktur und Server im DACH-Raum, nahmen die Attacken von Jahr zu Jahr zu.
    Im 1. Quartal 2019 wurden bereits 11.177 DDoS-Attacken allein in Deutschland, Österreich und der Schweiz registriert. Doch nicht nur die Anzahl der Angriffe ist im Aufschwung, auch das Volumen wächst deutlich. Laut des Link11 DDoS Reports Q1 2019 erreichte die größte DDoS-Attacke im deutschsprachigen Raum ein Volumen von 224 Gigabit pro Sekunde. Mit einem Zuwachs von 70 Prozent gegenüber dem Vorjahreszeitraum, betrug der Durchschnitt der mittleren Bandbreite dieses Quartal bereits 3,8 Gbps. Das Internet of Things trägt maßgeblich zu der erhöhten Leistungsfähigkeit der Attacken bei – ein Fakt, der wieder einmal die Cybersicherheit auf eine neue Ebene hebt.

    GandCrab 5.2 – Analyse der Ransomware

    GandCrab 5.2 – Analyse der Ransomware

    Am vergangenen Mittwoch berichtete Hornetsecurity über das vermehrte Aufkommen von Bewerbungs-E-Mails mit schadhaftem Anhang. Wie sich wenig später herausstellte, handelt es sich hierbei um eine neue GandCrab 5.2. Kampagne, bei der gezielt Unternehmen angegriffen werden. Die GandCrab Ransomware ist nicht unbekannt, bereits Anfang des Jahres berichtete Hornetsecurity über das Schadprogramm. Jedoch hat sich die Vorgehensweise der Cyberkriminellen geändert: Mittels des verschlüsselten Dokuments, versuchen die Hacker Anti-Virenprogramme zu umgehen.
    Das Hornetsecurity Security Lab untersuchte die aktuelle Spam-Welle tiefergehend und unterzog das infizierte Dokument der Schad-E-Mail gründlichen Analysen.

    Hierfür wurde das verschlüsselte Office Dokument mit dem Python Programm msoffcrypto-Tool entschlüsselt und das Makro mit dem “olevba3” Modul aus dem “oletools” Paket ausgewertet.

    Ersichtlich werden übliche Methoden, wie sie auch bereits in größeren Emotet Kampagnen in Erscheinung traten: Mit der “Document_Open” Funktion startet das Makro in dem Dokument automatisch weitere Prozesse.

    Der Befehl “URLDownloadToFileA” wird zum Downloaden eines Objektes aus dem Internet verwendet. In der Regel werden URLs im Makro Code, über die der eigentliche Schadcode eingeschleust wird, mittels Verschleierungsmethoden versteckt, jedoch ist diese im Code als Klartext des analysierten Dokuments ersichtlich.
    Eine Überprüfung der Whois-Daten der Domäne “machustonecadunfe.info” ergibt Informationen zu dem Registrierungsdatum, welches auf den 01.01.2019 datiert ist.

    Im Rahmen der GandCrab 5.2 Kampagne werden primär URLs mit der Top-Level-Domäne “.info” genutzt. Weitere häufig verwendete Domänen lauten “inmercelainhameso.info”, “machustonecadunfe.info” sowie “whessetervennielo.info”.
    Das Hornetsecurity Security Lab geht davon aus, dass die genannten Links explizit für die Distribution von GandCrab erstellt wurden und bereits in den ersten Kampagnen dieser Malware Art zum Jahresstart in Erscheinung getreten sind.
    Zum aktuellen Zeitpunkt befindet sich ein Nginx-Template auf der Hauptseite aller oben genannten Domänen (Im Beispiel zu sehen ist die URL “machustonecadunfe.info”). Dies ist ein Indiz für einen neu aufgesetzten Webserver, dessen Konfiguration nicht abgeschlossen wurde oder dessen Grundfunktionen (das Bereitstellen von Dateien) dem Betreiber bereits für sein Vorhaben genügen.

    Das auf dem Webserver befindliche Dokument “word1.tmp” ist eine PE-Datei (PE32 executable [GUI] Intel 80386, for MS Windows), die den Rechner im Security Labor von Hornetsecurity mit der Gandcrab Ransomware infizierte.

    Kurz nach der Ausführung der Datei, ändert sich der Desktop Hintergrund des infizierten Rechners:

     

    Verschlüsselt durch GANDCRAB 5.2: Geehrter Administrator, Ihre Dateien unterliegen einem starken Zugriffsschutz durch unsere Software. Um sie wiederherzustellen, müssen Sie den “Entschlüsseler” kaufen. Für weitere Schritte lesen Sie NTGDOLT-DECRYPT.txt, welcher sich in jedem verschlüsselten Ordner befindet.

    Sämtliche Dateien wurden verschlüsselt und sind an der neuen Dateiendung “.ntgolt” zu erkennen.

    In jedem Pfad wurde zusätzlich eine Readme-Datei erstellt, die textliche Anweisungen für das weitere Vorgehen und zum Entschlüsseln der durch GandCrab Ransomware infizierten Dateien enthält.


    —= GANDCRAB V5.2 =—

    ***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

    *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

    Attention!

    All your files, documents, photos, databases and other important files are encrypted and have the extension: .NTGDOLT

    The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.

    The server with your key is in a closed network TOR. You can get there by the following ways:

    —————————————————————————

    | 0. Download Tor browser – https://www.torproject.org/

    | 1. Install Tor browser
    | 2. Open Tor Browser
    | 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/ffa8d913d402425b
    | 4. Follow the instructions on this page

    ————————————————————————–

    On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

    ATTENTION!

    IN ORDER TO PREVENT DATA DAMAGE:

    * DO NOT MODIFY ENCRYPTED FILES
    * DO NOT CHANGE DATA BELOW

    Für eine Überprüfung des eigenen Netzwerks auf infizierte Systeme empfiehlt Hornetsecurity das Suchen der Datei “word1.tmp” in Web-Logs.

    IoCs

    1. 316532969.doc (CDFV2 Encrypted) – SHA256 2addae338445a427cf2dfb7e486d130f6fe863506ba7a715af9e87cbf83b0978

    2. word1.tmp (PE32 executable (GUI) Intel 80386, for MS Windows) – SHA256 9b7229403e4729d9347d2d66a4dc6a75fd87a646cbb1027d2857b066a3bbb354

    Auch weiterhin konnte das verschlüsselte, mit der Ransomware infizierte Dokument noch von keinem Antivirus-Programm entdeckt werden – das zeigt das Online-Analyse Portal Virus Total. Zum Check!

    Bei der GandCrab Kampagne handelt es sich um gezielte Angriffe: So sollten sich vor allem HR-Abteilungen auf den Erhalt solcher E-Mails gefasst machen. Doch auch info@ E-Mail Adressen von Unternehmen jeder Größe werden bewusst adressiert. Seit dem 07. Mai beobachtet das Hornetsecurity Security Lab bereits einen immensen Anstieg an mit GandCrab infizierten E-Mails: Allein am 08. sowie 09. Mai verzeichneten die Hornetsecurity Filter ein Wachstum an versendeter GandCrab Malware von insgesamt über 200%.

    Informationen für Hornetsecurity Kunden: Die Advanced Threat Protection Technologie stellt E-Mails aus der GandCrab 5.2 Kampagne unter Quarantäne. Die Lösungen von Hornetsecurity überprüfen E-Mail Anhänge im Gesamtkontext zum gesamten E-Mail Inhalt und globalen E-Mail Traffic, um Anomalien automatisch in Echtzeit erkennen und blockieren zu können.

    Schädliche Bewerbungen im Umlauf!

    Schädliche Bewerbungen im Umlauf!

    Getarnt als professionell gestaltete Bewerbungsmail mit verschlüsseltem Anhang verbreitet sich grade ein noch nicht identfizierter Virus. Das meldetet das Hornetsecurity Security Lab.

    Achten Sie auf E-Mails mit dem Betreff “Bewerbung auf Ihre Stellenausschreibung” oder “Bewerbung auf die aktuelle Jobausschreibung” und einem Anhang, welcher verschlüsselt ist. Zum Öffnen des Dokuments wird ein Passwort im Anschreiben der E-Mail mitgesendet. Durch die verschlüsselte .pdf, .doc oder zip-Datei versuchen Cyberkriminelle lokale Virenscanner zu umgehen, da der enthaltene Schadcode dadurch “versteckt” wird. Mit der Entschlüsselung des Anhangs wird jedoch der Virus nachgeladen und infiziert das Computersystem.

    Um Vertrauen bei dem Empfänger dieser E-Mail zu wecken, wird oftmals noch ein Bewerberbild in guter Qualität beigefügt und auf die Website des Unternehmens verwiesen, auf der der angebliche Bewerber die Stellenausschreibung gefunden hat.

    Das Hornetsecurity Security Lab ist derzeit noch dabei herauszufinden, um welche Malware es sich hierbei genau handelt.

    Zusammenfassung der Eckdaten der schadhaften E-Mail:
    -Anschreiben ist in gutem Deutsch verfasst, mit professionell wirkenden Details des “Bewerbers”
    -Der Anhang enthält ein verschlüsseltes Dokument im .pdf, .doc oder zip Format
    -Das Passwort zum entschlüsseln des Anhangs wird ebenfalls in derselben E-Mail mitgesendet
    -Die sprachliche Ausdrucksweise variiert zu der unten angezeigten Beispielmail

    IoCs – SHA256:
    d17646f0eb60e8844959480ef9a57eb38efc8cd55775d5585510d4df4cde29b7 (application/msword)
    93e5705c467d4b92a2a1dde1c1216472e127787b58feb45804b83087b68125ad (application/msword)

    Beispiel einer aktuellen Schad-E-Mail

    +++UPDATE – 10.05.+++

    Wie die Sicherheitsforscher vom Hornetsecurity Security Lab nun herausfanden, handelt es sich bei der verbreitenden Malware um eine neue Gandcrab Kampagne. Bereits im Januar diesen Jahres und Herbst 2018 beobachteten Security-Experten ein erhöhtes Aufkommen dieser Malware-Art. Das perfide an der Spam-Welle ist jedoch das verschlüsselte Dokument, welches die GandCrab Ransomware herunterlädt. Die Verschlüsselung hebelt klassische Überprüfungen vom Makro Code aus, da eine statische Analyse des Dokuments nicht möglich ist. So konnte die verschlüsselte Datei von keinem klassischen Anti-Virus Programm erkannt werden.

    Sobald der Empfänger das angehängte Dokument öffnet und entschlüsselt, wird der Benutzer aufgefordert, auf die Schaltflächen „Bearbeitung aktivieren“ und „Inhalt aktivieren“ zu klicken. Tut man dies, startet das im Office Dokument vorliegende Makro ein verstecktes Terminal und führt PowerShell Kommandos aus, um die GandCrab Ransomware aus dem Internet herunterzuladen und auszuführen.

    Anschließend verschlüsselt die GandCrab Ransomware sämtliche Daten auf dem infizierten Rechner und ersetzt den Desktop Hintergrund mit einer Forderungsnachricht.

    Crypto Mining – Vom Goldrausch in der digitalen Welt

    Crypto Mining – Vom Goldrausch in der digitalen Welt

    Mehr als ein Jahrhundert ist es her, als in Alaska der so genannte „Klondike-Goldrausch“ ausbrach. Etliche versuchten ihr Glück als Schatzsucher und machten sich unter schwierigsten Bedingungen auf die Suche nach dem begehrten Edelmetall. Seitdem hat sich einiges getan und echte Goldgräber kommen meist nur noch in Abenteuer-Geschichten vor. Denn im Zeitalter des Internets und dem Aufkommen digitaler Währungen haben sich neue, deutlich attraktivere Wege herauskristallisiert, um vermeintlich schnell an das große Geld zu gelangen. Einer von ihnen hat sogar erstaunlich viel mit dem legendären Klondike-Goldrausch gemeinsam: „Crypto Mining“ -zu Deutsch: “Schürfen von Kryptowährungen“.

    Das Vorgehen bei illegalem Crypto Mining

    Kryptowährungen haben sich mittlerweile als legitimes Zahlungsmittel etabliert. Da die als „Bitcoin“ oder „Monero“ bezeichneten Bezahleinheiten weder von Staaten, noch Banken ausgegeben werden, müssen sie auf andere Art und Weise generiert und transferiert werden. Dieser, als „Mining“ bezeichnete Prozess, kann durch die Nutzer selbst, mithilfe von Computern, durchgeführt werden. Doch ganz so einfach ist es nicht: Damit die digitalen Währungen generiert werden können, müssen die Systeme komplexe algorithmische Aufgaben lösen. Je mehr Einheiten generiert werden sollen, desto komplexer gestalten sich auch die Rechenaufgaben. Der Austausch der Währungen ist dezentral organisiert und kann mithilfe der Blockchain direkt zwischen den Nutzern über ein Peer-to-Peer-Netzwerk abgewickelt werden.

    Dadurch ergibt sich für die Miner folgende Devise: Durch mehr Rechenleistung können die Aufgaben schneller gelöst werden und dies bedeutet gleichzeitig mehr Bitcoins, Moneros und Co. Hierbei sind sehr viele Systemressourcen im Einsatz, weswegen die Grafikkarte sowie der Prozessor nicht unerheblich belastet werden. Hinzu kommt, dass der rechenintensive Prozess einen immensen Stromverbrauch mit sich bringt. Dies führt im Umkehrschluss dazu, dass hohe Strompreise und der große Verschleiß an Hardware Crypto Mining oft unrentabel macht – vor allem dann, wenn der Kurs der Währungen gerade einmal nicht mitspielt.

    Hohe Gewinnmargen dank Bot-Netz

    Kriminelle Crypto Miner haben aufgrund dessen verschiedene Methoden entwickelt, um die hohen Strompreise, wie sie insbesondere in Industriestaaten vorkommen, zu umgehen. Eine Variante ist das groß angelegte Schürfen von Kryptowährungen in Ländern mit äußerst niedrigen Energiepreisen. Hierfür werden in Staaten wie Island, Georgien und Venezuela ganze Rechenzentren eingerichtet, die lediglich für die Generierung von Kryptowährungen genutzt werden.

    Bedingt durch den immensen Stromverbrauch lässt sich Crypto Mining, vor allem hierzulande, nur noch mithilfe von Bot-Netzen „lukrativ“ betreiben. Die Idee dahinter ist, dass die Cyberkriminellen die Rechenleistung der in einem Bot-Netz eingebundenen Computer kombinieren und kostenlos nutzen können. Über einen Command-and-Control-Server erlangen sie die zentrale Kontrolle über alle im Bot-Netz integrierten Geräte – doch wie schaffen sie das überhaupt?

    So schleusen Cyberkriminelle einen Crypto Miner ins System

    Um einen Computer zum Teil eines Bot-Netzwerks zu machen, müssen die Cyberkriminellen zunächst eine als „Dropper“ bezeichnete Software auf den Rechner schleusen. Bezüglich der Verbreitungswege sind der Kreativität der digitalen Verbrecher keine Grenzen gesetzt. Meist gelangt der Dropper allerdings mittels infizierter Webseiten auf die Geräte, doch auch die Kombination mit Spam-E-Mails stellt einen beliebten Verbreitungsweg dar. Hierbei verschicken die Cyberkriminellen Spam an eine große Anzahl von E-Mail-Adressen, in der Hoffnung, dass die Empfänger auf den in der E-Mail platzierten Link klicken. Auf den infizierten Webseiten wird der Dropper unbemerkt im Hintergrund heruntergeladen und im Anschluss ausgeführt. Er selbst stellt noch nicht die eigentliche Gefahr dar, denn er lädt erst den Crypto Miner und ein spezielles Tool herunter, welches dem Miner Anweisungen gibt.

    Das Tool kann dem Crypto Miner beispielsweise mitteilen, dass dieser seine Aktivitäten drosseln soll, sobald eine ressourcenbeanspruchende Anwendung gestartet wird. So ist es weniger wahrscheinlich, dass dem Opfer der Betrug auffällt. Doch damit nicht genug: Einige Versionen der Schadsoftware sind sogar in der Lage, Antivirenprogramme zu deaktivieren und den Miner wiederherzustellen, wenn eine Anwendung versucht diesen zu entfernen. IT-Sicherheitsexperten gehen davon aus, dass einzelne Bot-Netze teilweise bis zu 200.000 US-Dollar pro Monat einspielen können.

    Wie sieht die derzeitige Bedrohungslage aus?

    Noch im Jahr 2018 standen Crypto Miner ganz vorne auf der Malware-Beliebtheitsskala der Cyberkriminellen – noch vor der bekannten Erpresser-Masche mittels Ransomware. Bei insgesamt 9,7 % aller verzeichneten Malware-Attacken kam, laut dem Cyberthreat Report von Hornetsecurity, ein Crypto Miner zum Einsatz. In Zahlen entspricht das rund 29 Millionen von insgesamt 300 Millionen Malware-Attacken weltweit. Beim AV-Spezialisten GDATA befanden sich unter den Top 10 der abgewehrten Malware-Programme gleich drei Versionen von Crypto Minern. Doch momentan schwächeln die Kryptowährungen. Insbesondere der Bitcoin-Kurs gleicht einer Achterbahnfahrt. Bedingt dadurch, ist der Einsatz von Crypto Mining für Cyberkriminelle natürlich längst nicht so effektiv wie zur bisherigen Hochkonjunktur von Bitcoin und Co. im Dezember 2017 – doch bedeutet dies auch zeitgleich, dass illegales Crypto Mining nur eine Modeerscheinung darstellt und der große Hype schon lange vorbei ist?

    Crypto Mining Infografik von Hornetsecurity

    Ganz im Gegenteil, denn renommierte Finanzexperten sind sich sicher: Momentan handle es sich schlicht um eine Blase und sobald diese platze, würden die Investitionen in das digitale Geld wieder sprunghaft ansteigen. Der Bitcoin-Experte Aaron Lasher geht sogar noch weiter: Er vertritt die Meinung, dass ein Bitcoin in zehn Jahren schon etwa 200.000 Euro wert sein könnte. Bestätigt wird er in der Annahme von Harvard-Experte Dennis Porto, der berechnet hat, dass der Bitcoin-Kurs in den kommenden fünf Jahren auf bis zu 100.000 Euro ansteigen werde. Da Crypto Mining und der Kurs von Kryptowährungen Hand in Hand gehen, werden illegale Crypto Mining Aktivitäten beim Eintritt dieses Szenarios voraussichtlich ebenso erheblich zunehmen.

    Schutz vor dem Ernstfall: Wie sichere ich mich effektiv gegen Crypto Miner ab?

    Ein herkömmliches Antiviren-Programm reicht zum Schutz vor der komplexen Malware längst nicht aus. Es empfiehlt sich daher, auch auf andere Art und Weise vorzusorgen. Da ein Crypto Miner erst dann seine Arbeit aufnehmen kann, wenn eine infizierte Datei oder Website geöffnet wird, sollte der Zugriff im besten Fall schon vorher unterbunden werden.

    Dies kann in Unternehmen insbesondere durch den Einsatz von Managed Security Services gewährleistet werden. Um die Einfallstore effektiv zu schließen, eignet sich eine Kombination aus Spamfilter, Webfilter und Advanced Threat Protection. Der Spamfilter sorgt dafür, dass verdächtige E-Mails, die Links zu infizierten Webseiten enthalten, rigoros ausgefiltert werden. So kann der Empfänger nicht einmal versehentlich auf den Schad-Link klicken, da die E-Mail erst gar nicht in das E-Mail-Postfach gelangt.

    Advanced Threat Protection greift ein, wenn sich im Anhang einer E-Mail eine infizierte Datei befindet, die zum Beispiel den „Dropper“ eines Crypto Miners beinhaltet. Der Eindringling wird genau wie Spam-E-Mails unter Quarantäne gesetzt und vom Eindringen in die E-Mail-Postfächer abgehalten. Beim Surfen im Internet bietet ein Webfilter Sicherheit vor schädlichen Inhalten. Er unterbindet den Zugriff zu gefährlichen Seiten, auf denen beispielsweise ein Crypto Miner installiert ist, zuverlässig und klärt den Nutzer über die dort lauernde Bedrohung auf.

    Die Goldgräberstimmung der Cyberkriminellen muss also keineswegs einfach so hingenommen werden. Je schlechter es um die Kurse der Kryptowährungen steht und je mehr Nutzer sich bereits im Vorfeld gegen Crypto Miner absichern, desto weniger läuft man Gefahr, der Masche zum Opfer zu fallen.