Der unheimliche Pakt zwischen Emotet, TrickBot und der Ransomware Ryuk

Der unheimliche Pakt zwischen Emotet, TrickBot und der Ransomware Ryuk

Nach einer kurzen Winterpause ist er zurück: Das Hornetsecurity Security Lab beobachtet erneut ein erhöhtes Vorkommen von Malspam E-Mails, die den allgemein bekannten Trojaner Emotet enthalten. Und Emotet bringt zwei weitere Schadprogramme mit sich, die da heißen TrickBot und die Ransomware Ryuk. Bereits Ende 2018 wurde eindringlich vor TrickBot gewarnt, der über Emotet nachgeladen wird und einigen Unternehmen Schaden in Millionenhöhe beschert. Vom Banking-Trojaner betroffen waren hierzulande beispielsweise Krauss Maffei und das Klinikum Fürstenfeldbruck. Maschinen standen tagelang still, den Unternehmen kostet das finanzielle Summen im fünf- wenn nicht sogar sechsstelligen Bereich. Nun hat sich die Ransomware Ryuk dem Duo angeschlossen und verleiht der Attacke ein ganz neues Niveau von Cyberkriminalität.

Das Vorgehen bei Ryuk

Die drei gefährlichen Schadprogramme gehen folgendermaßen vor: Getarnt in einem Word-Dokument, dringt Emotet beim Ausführen der Datei in ein Unternehmensnetzwerk ein und kundschaftet dieses aus. Als „Türöffner“ lädt er den Banking-Trojaner TrickBot nach, der unter anderem Kontozugangsdaten kopiert. Diese Information gibt er an die Ransomware Ryuk weiter, die schließlich als letztes nachgeladen wird. Ryuk verschlüsselt nun alle im System befindlichen Dateien, die TrickBot und Emotet zuvor als sensibel bzw. wichtig eingestuft haben.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Das besonders Hinterlistige an Ryuk ist allerdings, dass es neben der Verschlüsselung wichtiger Daten im gleichen Zuge alle hiervon existierenden Sicherheitskopien löscht und somit die Wiederherstellung erheblich erschwert. Experteneinschätzungen zufolge kristallisiert sich mit dieser Löschfunktion ein neuer Trend in der Entwicklung von Erpressungssoftware heraus. Die geforderte Summe richtet sich zudem nach dem Wert, den TrickBot als derzeitigen finanziellen Verfügbarkeitsrahmen des Unternehmens ausmachen konnte. Dabei ist die Attacke nach ersten Informationen sehr zielgerichtet und betrifft vor allem Unternehmen, die in der Lage sind, eine hohe Summe zu zahlen, um wieder Zugriff auf ihre Daten zu erlangen.

Nach Spiegel Informationen tauchte Ryuk erstmalig im August 2018 auf und erwirtschaftete seitdem mindestens 705 Bitcoins Lösegeld – umgerechnet entspricht das derzeit 2,25 Millionen Euro. Welche Hackergruppe dahinter steckt sei bislang noch unklar.

Das Einfallstor bei Ryuk

Unser Security Lab hat das Trio ebenfalls unter die Lupe genommen. Das Trio verbreitet sich über folgende Aufmachung:

Ryuk Emotet E-Mail

Abbildung 1: Darstellung der Emotet E-Mail

In den jüngsten Emotet E-Mails ist die Rede von einer Auflistung eines aktuellen Guthabens zugunsten des Empfängers. Diese befindet sich als Word-Dokument (.doc) im Anhang. Der Inhalt der Emotet E-Mails variiert zwischen den Malspam Kampagnen stark. So wurde beispielsweise zu Weihnachten Emotet als Weihnachtsgrußkarte getarnt in E-Mails versandt.

Öffnet sich das Word-Dokument, erscheint wie bei vorherigen Emotet-Wellen, folgende Information:

Getarntes Office-Dokument bei Ryuk

Abbildung 2: Das getarnte Office-Dokument

Das Dokument wurde angeblich in einer alten Version von Microsoft Office erstellt. Öffnet sich das Dokument im geschützten Modus, soll der Empfänger „Enable Editing“ („Bearbeitung aktivieren“) und danach „Enable Content“ („Inhalt zulassen“) klicken. Dadurch startet im Hintergrund automatisch ein Makro, das den Emotet-Trojaner lädt.

Makros bei Ryuk

Abbildung 3 (Auszug Makro) Die AutoOpen-Funktion in Makros dient der sofortigen Ausführung des Makro Codes, wenn ein MS Word Dokument geöffnet wird.

Information für Hornetsecurity Kunden:

Hornetsecurity Advanced Threat Protection erkennt Emotet und Ryuk mühelos und stellt beide Malware-Programme unter Quarantäne. Bereits in der ersten Analyse-Instanz wird der Emotet-Trojaner identifiziert. Die nachgelagerten Trojaner Ryuk und TrickBot können mithilfe der dynamischen Verhaltensanalyse in der ATP Sandbox entlarvt werden. E-Mails, die die perfiden Schadprogramme enthalten, werden den Empfängern demnach nicht zugestellt.

Weiterführende Informationen:

 

Cybercrime Trends 2019 – Worauf wir uns gefasst machen können

Cybercrime Trends 2019 – Worauf wir uns gefasst machen können

Im vergangenen Jahr rückte Cyberkriminalität so stark in den Fokus der Öffentlichkeit wie nie zuvor: Massive Datenlecks, neue aggressive Formen von Schadsoftware, finanzielle Schäden in Milliardenhöhe. Im aktuellen Hornetsecurity Cyberthreat Report berichten wir über die dynamischen Entwicklungen der Cyberkriminalität und beleuchteten die Angriffsarten des vergangenen Jahres.

Mit Blick auf die fortschreitende Digitalisierung ist dies jedoch erst der Beginn der wachsenden Gefahr durch Cyberattacken – die schon jetzt zu den größten globalen Bedrohungen gehören. Auf Basis der Entwicklungen und Veränderungen der letzten Monate im Bereich der IT-Kriminalität, geben wir einen Ausblick auf die Cybercrime Trends 2019.

Deutsche Industrie und kritische Infrastrukturen sind verstärkt im Fokus

Die Anbindung von Produktionssystemen ans Internet und an Clouddienste verspricht im Zuge der Industrie 4.0 mehr Effizienz und Produktivität im Industrie- und Infrastruktursektor – jedoch bieten zusätzliche digitale Komponenten eine deutlich höhere Anzahl an Schwachstellen und Angriffsmöglichkeiten für Hacker. Als eine der größten Industrienationen steht Deutschland ganz oben auf der Liste von Cyberkriminellen: In den vergangenen zwei Jahren wurden sieben von zehn Industrieunternehmen Opfer von Sabotage, Datendiebstahl oder Spionage durch Schadsoftware, wobei ein Gesamtschaden von rund 43 Milliarden Euro entstand. Im Juni 2017 führte eine globale Angriffswelle von Ransomware, bekannt als „Petya“ und „WannaCry“, zum Produktionsstopp und Geschäftsstillstand mehrerer betroffener Unternehmen.

Auch 2018 führten Cyberangriffe unter anderem zu Leistungseinbußen der Produktionsabläufe beim deutschen Maschinenbaukonzern Krauss Maffei, legten IT-Systeme von Krankenhäusern lahm und eine DDoS-Attacke führte dazu, dass die Website des Energieversorgers RWE für mehrere Stunden nicht mehr erreichbar war. Darüber hinaus warnte das Bundesamt für Sicherheit in der Informationstechnik mehrmals eingehend vor Cyberangriffen, speziell auf deutsche Energieversorger, und einer wachsenden Bedrohung durch Schadsoftware.

Im Fall der RWE geht die Öffentlichkeit bis dato davon aus, dass die Cyberattacke auf den deutschen Energiekonzern mit dem stark kritisierten Vorhaben des Unternehmens (die Abholzung des Hambacher Forstes zum Braunkohle-Abbau) in Verbindung steht. Dies zeigt deutlich, dass sich öffentliche Konflikte jederzeit in den Cyber-Raum übertragen können. Generell steht Deutschland mit seinen weltmarktführenden Industrieunternehmen im Fokus von Cyberkriminellen.

Die digitale Zukunft wird Gegenwart: Industrie 4.0, Internet of Things und Cloud-Computing

Die Digitalisierung ist ein globaler Megatrend – doch Deutschland hinkt noch stark hinterher: Nur ein Fünftel der deutschen Unternehmen ist digitalisiert, das zeigt der Digital-Atlas des Instituts der Deutschen Wirtschaft in Zusammenarbeit mit Google Germany. Sorge um mangelnde Datensicherheit, eingeschränkte Breitbandversorgung, Engpässe von Fachkräften und Kompetenzen, hoher zeitlicher sowie finanzieller Aufwand und rechtliche Unsicherheiten hindern viele Unternehmen daran, den Schritt in die digitale Wirklichkeit zu wagen.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Das soll sich laut Bundesregierung in den kommenden Jahren ändern: Schnelles Internet bis 2025, Online-Behördengänge (laut BMWi hat sich Deutschland gesetzlich dazu verpflichtet, dass Bürger und Unternehmen bis spätestens 2022 Anträge und Berichtspflichten an Bund, Länder und Kommunen online abwickeln können), Umschulungen und Weiterbildungen von Mitarbeitern in Vorbereitung auf innovative Technologien, internetfähige sowie vollwertig technisch ausgestattete Schulen und der Transfer der Unternehmens-IT-Infrastruktur in die Cloud.

Viele deutsche Unternehmen haben das Thema Cloud-Computing und dessen Vorteile mittlerweile für sich erkannt. Auch die Skepsis gegenüber der Datenwolke sinkt weiter stark, denn Cloud-Anwendungen werden kontinuierlich weiterentwickelt und verbessert. Der Fokus liegt hierbei vor allem auf der Sicherheitsinfrastruktur für die Cloud-Technologie. Sicherheitsbedenken gelten laut einer Bitkom-Studie für sechs von zehn Unternehmen als das größte Hemmnis, ihre Daten in die Cloud zu verlagern.

Im digitalen Wandel müssen Unternehmen jedoch dem wachsenden Innovationsdruck standhalten: Lösungen müssen immer auf dem neusten Stand sein, um mögliche Sicherheitslücken zu vermeiden und den aktuellen gesetzlichen Regelungen zu entsprechen und darüber hinaus mit dem Wettbewerb mitzuhalten. Externe Cloud-Security Provider bieten dementsprechend innovative Schutzmechanismen, hohe Expertise sowie compliance-konforme IT-Sicherheitsservices, die Vertraulichkeit, Verfügbarkeit und Integrität von sensiblen Daten sicherstellen. So entscheiden sich immer mehr deutsche Unternehmen für den Umstieg in die Cloud: 2018 stellten bereits zwei Drittel aller befragten Unternehmen ihre IT-Infrastruktur über das Internet bereit, für nur 13 Prozent war im vergangenen Jahr Cloud-Computing kein Thema.

Doch gerade in der „Industrie 4.0“ spielen Cloud-Computing-Services eine wichtige Rolle, um Produktionsumgebungen intelligent miteinander zu vernetzen. Die wichtigsten Ziele sind hierbei vor allem die Steigerung der Effizienz, Transparenz in Produktionsabläufen sowie Kostensenkungen. Neben Industrie und Mittelstand ist das Internet of Things ein weiterer Antrieb der totalen digitalen Vernetzung.

Immer mehr Daten, Informationen, sensible Dokumente und Unterlagen werden zukünftig in digitaler Form orts- und zeitlich unabhängig voneinander abrufbar sein – alles wird schneller, effizienter, einfacher. Und leidet darunter zukünftig nicht nur unsere digitale, sondern auch physische Sicherheit?

Die zunehmende Vernetzung aller Versorgungsbereiche (Transport, Verkehr, Energie, Versorgung usw.) stellen den modernen Lebensstandard sicher, den wir bisher kennen. Unsere „kritischen Infrastrukturen“ sind demnach ebenso von der Digitalisierung betroffen, wie andere wirtschaftliche Unternehmen auch, jedoch sind dort enthaltene Daten aufgrund ihrer Einstufung als „sensible, teilweise als nationale Sicherheit gefährdende“ Informationen für Cyberkriminelle wesentlich wertvoller. Im November 2018 stahlen Hacker mehr als 11.000 Datensätze von den Servern des französischen Bauunternehmens „Ingérop“, welches unter anderem im staatlichen Auftrag handelt und sensible Informationen verarbeitet. Unter den Dokumenten befanden sich Baupläne zu kritischen Infrastrukturen, wie Atomkraftwerke, Hochsicherheitsgefängnisse sowie Straßenbahnnetze – ein gravierender Eingriff in die Sicherheit des Staates.

Im vergangenen Jahr waren vor allem Energieversorger und Krankenhäuser von Cyberangriffen betroffen. Die Gefährdungslage ist insgesamt auf einem hohen Niveau, die Zahl der Cyberattacken auf Industrieunternehmen und kritische Infrastrukturen wird auch zukünftig weiter steigen und die Qualität wird neue Dimensionen erreichen.

Cyber Century: Die Ausmaße von Cyberangriffen wachsen

Laut einer aktuellen Bitkom-Studie gehen 82% befragter Unternehmen davon aus, dass sich die Anzahl von Cyberattacken auf ihren Betrieb in den nächsten zwei Jahren deutlich erhöhen wird. Den meisten Schaden verursachten vergangenes Jahr Malware-Angriffe, gefolgt von Software-Schwachstellen und Phishing-Angriffen sowie DDOS Attacken. Für die Cyberkriminellen am wertvollsten sind dabei vor allem Daten: E-Mails, Kunden- und Finanzdaten, kritische Unternehmensinformationen sowie Patente werden über Hacking-Angriffe gestohlen, kopiert und ausspioniert. Für die betroffenen Unternehmen bedeutet das, neben datenschutzrechtlichen Maßnahmen, erhebliche finanzielle Einbußen.

Durch die Vernetzung von Daten, Digitalisierung von Produktions- und Betriebsabläufen und in einem Zeitalter in dem Daten, ganz besonders persönliche Informationen, immer mehr an Wert gewinnen (manche behaupten Daten seien die wichtigste Ressource unserer Zeit), ist davon auszugehen, dass Cyberkriminalität und vor allem Angriffe auf IT, digitale Spionage und Diebstahl nicht nur zunehmen werden, sondern die Gefährdung durch Hacker eine neue Qualität annimmt. Die Motivation von Cyberkriminellen bleibt gleich – Profitgier, Neugier, Spionage oder Vergeltung – doch die Dynamik der Angreifer, bei der Weiterentwicklung von Schadprogrammen und Angriffswegen, wird deutlich höher.

Die steigende Vernetzung von Hackern untereinander lässt darauf schließen, dass sogenannte „Zero-Day-Exploits“ zukünftig zu den größeren Bedrohungen zählen. Bei diesen Angriffen werden Sicherheitslücken bei einer Software ausgenutzt, bevor diese durch den Hersteller am selben Tag geschlossen werden können.

Aufgrund der aktuellen „positiven“ Kursentwicklung von Kryptowährung, wie Bitcoin und Co., werden Malware-Angriffe, insbesondere Cryptomining und Ransomware, deutlich zunehmen. Die Bedrohung durch Cryptomining wird aktuell von Unternehmen deutlich unterschätzt, da manche den Angriff über längere Zeit hinweg womöglich gar nicht mitbekommen. Besonders beim Einsatz von Cloud-Computing können die rechenintensiven Cryptominer den finanziellen Schaden stark in die Höhe treiben. Zusätzlich wird durch die im Mai 2018 in Kraft getretene europäische Datenschutz-Grundverordnung Ransomware immer mehr an Bedeutung gewinnen. So führten die empfindlichen Strafandrohungen der EU-Richtlinie bereits zu einer gestiegenen Bereitschaft von Unternehmen, einer Lösegeldforderung nachzugeben, um mögliche finanzielle und rechtliche Maßnahmen sowie negative Berichterstattung zu vermeiden.

Auch 2019 sollten sich Unternehmen auf eine größere Bedrohung durch diese Art von Schadsoftware gefasst machen. Darüber hinaus wird das Versenden von „gemischte Formen“ an Schadprogrammen immer beliebter: Derzeit wird wieder der Trojaner „Emotet“ als Spam- und Phishing-E-Mail verschickt, welcher Dateien und Programme durchsucht, schließlich eine weitere Malware, namens „Trickbot“ nachlädt, die Kontozugangsdaten abfischt. Daraufhin kommt die Ransomware „Ryuk“ ins Spiel: Sie verschlüsselt wichtige Dateien und fordert vom Opfer ein Lösegeld in der Höhe, die laut Kontostand möglich ist. Die Wiederherstellung wird noch weiter erschwert, indem das Schadprogram alle gefundenen Sicherungskopien löscht. Laut aktuellen Informationen hat die Erpressersoftware bisher knapp 3,7 Millionen US-Dollar in Bitcoins „erwirtschaftet“. Es ist stark davon auszugehen, dass diese Formen von Cyberattacken und ihre Qualität weiter zunehmen werden.

Der Faktor Mensch – Sicherheitslücke durch Social Engineering

Die Art und Weise wie Cyberkriminelle sich Zugang zu den Servern und Systemen ihrer Opfer verschaffen, wird immer ausgefeilter: Social Engineering steht hierbei hoch im Kurs. CEO-Fraud ist mittlerweile bekannt, Cyberkriminelle werden jedoch weiterhin auf die größte Systemschwachstelle zählen: den Menschen – denn er trifft zu 80% emotionale Entscheidungen. Angst, Mitleid, Vertrauen – diese Empfindungen versuchen Hacker bei ihren Opfern auszulösen. Und sind Cyberkriminelle erst einmal in ein System gelangt, ist die Wahrscheinlichkeit eines weiteren Angriffs sehr hoch. APT, Backdoors, Spear-Phishing sind auch 2019 nicht zu unterschätzen. Und professionelle Hacker verlassen sich längst nicht mehr auf den Zufall – sensible Daten und wichtige Informationen sind in großen Mengen Millionen wert.

Platin, Gold & Daten

Datenleck bei Sky, Apollo, Marriott, Google und Facebook, um nur einige Unternehmen zu nennen, bei denen E-Mails, Kontodaten und Nutzerprofile von Tausenden von Kunden kopiert und gestohlen wurden. Daten und Informationen zählen in unserer Zeit zu den wertvollsten Ressourcen – das zeigen ganz besonders die Kosten, die für Unternehmen anfallen, wenn eine solche Datenpanne öffentlich wird. In Deutschland müssen die Betriebe mit rund 188 US-Dollar pro Kunde rechnen.

Bei etwa 500.000 verlorenen Datensätzen betragen die geschätzten Kosten rund 94 Millionen Dollar. Für viele Unternehmen bedeutet das bereits den Ruin. Am meisten Wert haben vor allem Bank- und Kreditkarteninformationen (20-40 € pro Datensatz), Zugangsdaten zu Online-Banking (Wert je nach Höhe des Kontostands, zwischen 20-250 €), Ausweispapiere (50 € pro Dokument) sowie Gesundheitsdaten (50 € pro Datensatz). Je mehr Daten digital verfügbar sind und je mehr man mit gestohlenen Informationen im Digitalisierungs-Zeitalter erreichen kann, desto wertvoller werden sie auch – für die Privatperson, für Unternehmen, für den Staat und damit auch für Cyberkriminelle.

IT-Security Trends, denen man sich annehmen sollte

Die E-Mail-Kommunikation ist und bleibt weiterhin das Haupteinfallstor für Cyberangriffe: Sie gilt als besonders erfolgsversprechend und bietet verschiedene Möglichkeiten, um schadhafte Dateien in interne Systeme zu schleusen und Zugang zu sensiblen Informationen zu erhalten. Zudem suggeriert der Austausch über E-Mail und die professionelle Tarnung als Freund, Kollege, Bank oder bekannter Postlieferant oftmals Vertrauen und Sicherheit beim Empfänger.

Besonders weil Hacker immer mehr auf die soziale Schiene setzen, um sich Zugang zu verschaffen und im Hinblick auf die steigende Gefahr durch Cyberangriffe, sollten Unternehmen vor allem ihre Mitarbeiter für mögliche Angriffe sensibilisieren. Awareness, starke Passwörter und 2-Faktor-Authentifizierung sind bereits gute Voraussetzungen, um die Sicherheit der Unternehmens-IT zu gewährleisten. Darüber hinaus sollten Unternehmen die Angebote und Services professioneller IT-Security Provider hinzuziehen. Bei der fortgeschrittenen Professionalität der Cyberkriminellen kann heutzutage nicht mehr davon ausgegangen werden, dass alleine herkömmliche Viren- und Spamfilter die komplette Unternehmens-IT absichern.

Cybersicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung und Sicherheit ist bekanntermaßen eines der Grundbedürfnisse des Menschen – wieso sollte es nicht auch in einer digitalen Welt so sein?

Bald verfügbar: Hornetsecurity Cyberthreat Report – Ausgabe 2

Cyberkriminalität befindet sich auf dem Vormarsch. Weltweit sorgt sie für immer größere Schäden und wird bereits als die drittgrößte Bedrohung eingestuft – nach Umweltkatastrophen und geopolitischen Spannungen. Auch Unternehmen werden vermehrt zur Zielscheibe von Hackern, insbesondere Deutschland gilt als attraktives Ziel.

Melden Sie sich jetzt für unseren Newsletter an und profitieren Sie noch vor dem offiziellen Veröffentlichungsdatum von der neusten Ausgabe des Hornetsecurity Cyberthreat Reports. Neben exklusiven Einschätzungen unserer IT-Sicherheitsspezialisten zu aktuellen Entwicklungen aus der Welt der Cyberkriminalität, erhalten Sie ausführliche Informationen zu den bekanntesten Bedrohungen, wie Malware, APTs und Phishing.

Cyberthreat Report Ausgabe 2
Phishing E-Mails – auf Angeltour am Datenfluss

Phishing E-Mails – auf Angeltour am Datenfluss

Die vermeintliche E-Mail von der Hausbank kam komplett unerwartet, ihr Design täuschend echt, der Inhalt auf den ersten Blick unverdächtig: „Wir haben eine Sicherheitslücke in unseren Systemen festgestellt. Bitte melden Sie sich unverzüglich in ihrem Account an, um ihre Identität zu verifizieren“ – viele Empfänger einer solchen E-Mail sind nicht in der Lage, den sich dahinter versteckenden Betrug zu durchschauen. Denn hierbei handelt es sich nicht etwa um eine Sicherheitslücke oder einen gut gemeinten Rat des Kreditinstituts, sondern um eine ganz klassische Phishing-E-Mail.

Doch wie funktioniert Phishing eigentlich und ist man als Laie überhaupt in der Lage, die Masche zu durschauen? Was passiert, nachdem ich doch auf den Schwindel hereingefallen bin? Warum heißen Phishing E-Mails überhaupt so und wie kann ich mich vor ihnen schützen? Fragen zum Thema Phishing gibt es wie Sand am Meer. Dieser Blogbeitrag möchte etwas Licht in die Abgründe der Phishing-Masche bringen und zeigt nicht nur, wie man Phishing-E-Mails mit ein paar simplen Tricks entlarven kann, sondern auch, wie man sie gar nicht erst in sein E-Mail-Postfach lässt.

Der Name ist Programm

Das Wort „Phishing“ etablierte sich in den 1990er-Jahren in den USA und hat an sich eher weniger mit dem offenen Meer und seinen Bewohnern zu tun, doch Parallelen zum englischen Wort „fishing“, zu Deutsch „angeln“, lassen sich dennoch durchaus ziehen. Denn beim Phishing „angeln“ sich die Cyberkriminellen wortwörtlich die persönlichen Daten ihrer Opfer auf betrügerische Art und Weise.

Auch das Wort „Phreaking“ spielte eine Rolle bei der Namensgebung. Es beschreibt das Erschleichen von kostenfreien Telefonaten, indem ein 2600-Hertz-Ton erzeugt wird. Beim Einspielen in den Telefonhörer täuscht dieser bestimmte Vermittlungsstellen in beispielsweise den USA, Frankreich oder Japan, um Telefongespräche aufzubauen. Amüsant hieran ist, dass sich genau dieser 2600-Hertz-Ton mit einer Spielzeug-Pfeife erzeugen lässt, die einst eine Beilage der „Captain Crunsh“-Cerealien war. Die moderne Vermittlungstechnik ermöglicht diese Methode jedoch nicht mehr, allerdings ist dieses Verfahren der Beginn des heute bekannten „Hacking“. Der Begriff „Phishing“ ist eine Wortneuschöpfung aus den beiden Worten „Fishing“ und „Phreaking“.

Wie funktioniert Phishing?

Bei einem Phishing-Angriff handelt es sich um einen digitalen Identitätsdiebstahl. Hierbei verschicken die Hacker betrügerische E-Mails, die beispielsweise das Design bekannter Internetdienstleister, wie Amazon oder auch PayPal sowie renommierter Kreditinstitute nachahmen.

Die teilweise täuschend echt aussehenden Nachrichten versuchen ihre Empfänger mithilfe von perfiden Vorwänden auf gefälschte Webseiten zu locken, damit sie dort ihre persönlichen Daten preisgeben. Sie geben zum Beispiel vor, dass es einen Hackerangriff gegeben habe und der vermeintlich betroffene Account nicht mehr sicher sei. Nur wenn man seine Daten auf der über einen Link zu erreichenden Website verifiziere, sei die Sicherheit des Accounts wieder gewährleistet.

Der in der E-Mail enthaltene Link ist oftmals nur sehr schwer als Mogelpackung zu entlarven. Dies liegt schlicht daran, dass die Cyberkriminellen sehr viel Wert darauf legen, dass die verwendeten Links möglichst authentisch aussehen. Durch den Kauf von Domains, wie beispielsweise „amazn.com“, die dem Original nahezu ähnlich sehen, kann der Betrug erstaunlich hohe Erfolgsraten vorweisen. Knapp 114.000 solcher Phishing-Seiten sind laut der Anti-Phishing Working Group (APWG) im März 2018 online gewesen.

Um den Betrug perfekt zu machen, gilt dies selbstverständlich auch für die Absenderadressen der Phishing-E-Mails. Die eigentliche Amazon-Absenderadresse moc.n1550461668ozama1550461668@ylpe1550461668ron1550461668 wird dann gerne zu moc.n1550461668ozma@1550461668ylper1550461668on1550461668 abgewandelt.

Auch ist es bei bestimmten E-Mail-Clients möglich, absurde Absenderadressen, wie moc.n1550461668imaod1550461668@rekc1550461668ah1550461668, die nichts mit – in unserem Fall Amazon – zu tun haben, über einen Anzeigenamen zu tarnen. Optisch ist dieser Schwindel nur bei sehr genauem Hinsehen zu erkennen und fällt den meisten Opfern gar nicht oder zumindest erst dann auf, wenn es bereits zu spät ist. Denn hat die Zielperson erst ihre persönlichen Daten auf der schadhaften Website eingegeben, gelangen diese auf direktem Wege in die Fänge der Cyberkriminellen.

Phishing und seine Variationen

Reguläre Phishing-E-Mails, sind, genau wie Spam-E-Mails, für den Massenversand bestimmt. Cyberkriminelle kaufen hierfür große Mengen an E-Mail-Adressen zu oder nutzen eigenständig erbeutete Daten.Die Betrugsnachrichten werden anschließend meist millionenfach an unterschiedliche Personen versendet. Auch wenn bei so manchen Phishing-E-Mails selbst nicht viel Wert auf Details gelegt wird, können sie dennoch oft beachtliche Erfolgsraten erzielt werden – zumindest, wenn man totale Zahlen betrachtet. Ganz anders sieht es beim so genannten Spear-Phishing aus. Die Methode basiert im Wesentlichen auf der herkömmlichen Phishing-Masche, allerdings handelt es sich hier um einen gezielten E-Mail-Betrug.

Dieser kann sowohl auf ein bestimmtes Unternehmen, als auch auf eine einzelne Person zugeschnitten sein. Ziel ist es, sensible Finanz- oder Login-Daten zu stehlen. Mittels Social Engineering finden die Cyberkriminellen im Vorfeld so viele persönliche Informationen über ihr Ziel heraus, dass sie eine täuschend echt aussehende E-Mail-Kommunikation vortäuschen können. Das Opfer merkt bestenfalls nichts von dem Betrug und wird mithilfe eines Vorwands auf eine gefälschte Website geleitet, wo es im Anschluss seine Daten preisgibt.

Worauf sind die digitalen Piraten aus?

Meistens handelt es sich bei den durch die Cyberkriminellen „erangelten“ Informationen um Zugangsdaten für Online-Banking-Accounts oder andere webbasierte Banking Dienstleistungen, aber auch generell Kreditkarteninformationen stellen ein beliebtes Zielobjekt dar.

Die Motivation der Angreifer kann dabei durchaus verschieden sein und reicht von finanzieller Bereicherung in Form von Kontoplünderungen oder dem Verkauf von Daten, bis hin zu Hackerangriffe auf Unternehmen, die durch die Informationen der erbeuteten Daten durchgeführt werden.

Ich bin Opfer eines Phishing-Angriffs geworden – was ist nun zu tun?

Trotz aller Sicherheitsmaßnahmen ist es doch passiert und man ist zum Opfer einer Phishing-Attacke geworden? Oft bemerkt man diese erst, wenn es bereits zu spät ist. Jetzt gilt: Ruhe bewahren und schnell reagieren! Man sollte dazu am besten umgehend den Betreiber des betroffenen Accounts über die Phishing-Attacke informieren, damit dieser entsprechende Gegenmaßnahmen einleiten und den Betrug publik machen kann. In manchen Fällen kann man auch selbst schon aktiv werden, indem man die Zugangsdaten des betroffenen Kontos ändert oder es bei Möglichkeit selbst sperrt.

Wie kann ich mich effektiv vor Phishing schützen?

Die Erfolgsquote von Phishing-E-Mails ist erschreckend hoch. Trojaner-Info.de berichtete im Jahr 2017 sogar von einer äußerst aufwendig durchgeführten Phishing-Attacke gegen Vielflieger, die eine unglaubliche Erfolgsquote von 90 Prozent vorweisen konnte. Opfer einer Phishing-Attacke zu werden geht also schneller als einem lieb ist. Umso wichtiger ist es daher, sich bereits im Vorfeld gegen potentielle Phishing-Angriffe zu wappnen. Die wichtigsten Ratschläge haben wir daher in den folgenden Absätzen aufgeführt.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

1. Sensibilisierung

Zunächst einmal stellt die richtige Sensibilisierung im Kampf gegen Phishing E-Mails eine gute Grundlage dar. Viele Nutzer sind nicht genügend über im E-Mail-Postfach lauernde Gefahren, wie etwa Phishing-Attacken, informiert. Für sie ist es daher nur schwer, E-Mails mit betrügerischen Absichten als solche zu entlarven. Allerdings kann das Risiko einer Phishing-Kampagne mit ein wenig Vorwissen immerhin reduziert werden.

Zuallererst sollte beim Verdacht auf Phishing geprüft werden, ob die Absenderadresse auch tatsächlich mit der Original-Domain übereinstimmt oder ob Zusätze bzw. Rechtschreibfehler enthalten sind. Ist dies der Fall, kann es sich um ein erstes Indiz für einen Phishing-Angriff handeln. Ein weiterer Hinweis kann unpersönliche Anrede, wie „Sehr geehrte Damen und Herren“ sein. Außerdem sollte man Vorsicht bei in E-Mails platzierten Links oder Buttons walten lassen, da man als „normaler Nutzer“ leider nur sehr schwer nachprüfen kann, ob das vermeintliche Link-Ziel auch tatsächlich korrekt ist.

Falls die Adresse ähnlich zu der Original-Domain sein sollte und zunächst unverdächtig wirkt, dann kann man dies nachprüfen, indem man beide URLs abgleicht. Zudem sollte man niemals persönliche Daten in einer E-Mail-Kommunikation preisgeben.

2. Aktiver Schutz

Über die Sensibilisierung hinaus, gibt es Dinge die getan werden können, um sich aktiv gegen Phishing-Attacken zu schützen. Im E-Mail-Client sollte etwa die Funktion „Aktive Inhalte ausführen“ deaktiviert sein, da diese dazu führen kann, dass auch schädliche Inhalte unbemerkt und automatisch ausgeführt werden.

Wer Phishing E-Mails erst gar nicht in das E-Mail-Postfach gelangen lassen will, der sollte zudem auf einen Spamfilter Service nicht verzichten. Der Managed Spamfilter Service von Hornetsecurity filtert 99,9% aller per E-Mail versandten Bedrohungen, darunter auch Phishing E-Mails, zuverlässig aus.

Selbst gegen äußerst professionell durchgeführte Phishing-Attacken gibt es wirkungsvollen Schutz: Hornetsecurity Advanced Threat Protection ist in der Lage durch ein ganzes Bündel an Sicherheitsmechanismen, wie Fraud Attempt Analysis, Identity Spoofing-Recognition oder Targeted Attack Detection auch die ausgefeiltesten Phishing-Kampagnen zu erkennen. Das Risiko für Mitarbeiter und Unternehmen kann somit also drastisch gesenkt werden.

Beispiel für eine Phishing E-Mail:

Phishing E-Mail Beispiel

Klassische Phishing-E-Mail, bei der sich die Cyberkriminellen als Kreditinstitut tarnen. Über den Vorwand, dass es ungewöhnliche Login-Aktivitäten auf dem Konto gegeben habe, wird die Zielperson dazu genötigt, ihre Kontodaten zu verifizieren. Das Design ist von dem regulären Design der Bank nicht zu unterscheiden. Die E-Mail weist keinerlei Rechtschreibfehler auf und die Formatierung ist ordentlich. Werbeanzeigen in der E-Mail mit Verlinkungen zur echten Website sowie der QR-Coder für die Banking-App runden das Gesamtbild ab. Da es sich um ein Kreditinstitut aus Südafrika handelt, ist selbst die Absender-Domain „abSaMail.co.za“ recht glaubwürdig. Lediglich der Prefix „xiphaMe“ wirkt merkwürdig und deutet auf einen Betrug hin.

Beispiel für eine Spear-Phishing E-Mail:

Spear-Phishing E-Mail Beispiel

Beispiel für eine perfide Spear-Phishing-E-Mail*. Die Betrüger haben im Vorfeld mittels Social Engineering die Namen, die E-Mail-Adressen und höchstwahrscheinlich auch die Beziehung zweier Mitarbeiter untereinander herausgefunden. Darauf haben sie anhand der erbeuteten Informationen eine möglichst authentisch wirkende E-Mail-Kommunikation nachgebildet. Durch persönliche Anrede und Insiderwissen über den Anwalt des Unternehmens wird Vertrauen aufgebaut. Die E-Mail-Adresse des vermeintlichen Absenders wird zudem im Namensfeld mitgenannt. Auf diese Weise soll suggeriert werden, dass es sich tatsächlich um die richtige Absenderadresse handelt. Erst dahinter folgt die eigentliche Absenderadresse.

*Es handelt sich bei dem dargestellten Beispiel um eine echte Spearphishing-E-Mail. Aus Datenschutzgründen wurden sämtliche persönliche Informationen abgeändert.

Emotet: Comeback im neuen Gewand

Emotet: Comeback im neuen Gewand

+++ UPDATE 05.12.2018: Das Hornetsecurity Security Lab meldet aktuell einen immensen Anstieg an gefährlichen E-Mails, die die bösartige Schadsoftware „Emotet“ mit sich bringt. Auch das BSI informiert über die wachsende Bedrohung, durch die aktuelle Phishing- und Spam-Kampagne, durch die „Emotet“ verbreitet wird. Bei betroffenen Unternehmen kam es zu Ausfällen der kompletten IT-Infrastruktur, was einen immensen Kapitalschaden nach sich zieht.

Getarnt als Office-Word-Dokument im Anhang einer seriös gestalteten E-Mail, wird das Schadprogramm beim Öffnen auf dem Computer installiert und liest Kontakte sowie E-Mail-Inhalte aus den Postfächern des infizierten Systems aus. Darüber hinaus verfügt Emotet über die Möglichkeit weitere Schadprogramme nachzuladen, die es den Hackern ermöglicht Zugangsdaten auszulesen und per Remote-Access auf das System zuzugreifen.

Bereits im September dieses Jahres berichtete Hornetsecurity über die Aufmachung der Schadsoftware als Rechnung im PDF Dokument getarnt, welche beim Ausführen einen Banking-Trojaner nachlädt: +++

Neue Emotet-Version

Seit der Weihnachtswelle im letzten Jahr wurden keine Großoffensiven des Banking-Trojaners Emotet mehr beobachtet. Nun erscheint er in einer neuen Gestalt und wird durch eine heimtückische Blended Attack verteilt.

Die Malware-Spezialisten aus unserem Security-Lab haben am Donnerstag den 06.09.18 eine neue Variante des Banking-Trojaners Emotet gefunden und den Angriffsweg genauer untersucht.

Frühere Varianten von Emotet wurden vornehmlich direkt in E-Mail-Anhängen oder durch Links im Body von E-Mails verteilt. Diese neue Variante setzt auf einen komplexeren Auslieferungsweg: Sie verbirgt sich hinter einem als Rechnung getarnten PDF-Dokument, das an eine Phishing-Mail angehängt wurde.

Emotet Phishing E-Mail

Phishing-Mail mit angehängtem PDF-Dokument

Emotet PDF-Dokument

PDF-Dokument mit Link zur Office-Datei

Im Inhalt dieses PDF-Dokuments befindet sich ein Link zu dem Download einer Office-Datei.

Emotet Office-Dokument

Office-Dokument

Öffnet das Opfer die Datei, wird ein Makro ausgeführt, das die gefährliche Malware herunterlädt.

Statische Analyse Emotet Code-Fragment

Statische Analyse – Code-Fragment

Diese Verschleierungstaktik nutzt Emotet, um Virenfilter und Sandbox-Analysen zu umgehen. Bisher scheint dies gut zu funktionieren, denn nicht mal ein Drittel, der auf VirusTotal gelisteten Antiviren-Programme, stuft die Datei als gefährlich ein.

Mit Advanced Threat Protection auf der sicheren Seite

Das URL-Scanning-Feature der Advanced Threat Protection von Hornetsecurity findet auch diese noch so gut versteckte Datei und schützt Kunden vor dieser hartnäckigen Blended Attack schon vor dem Eintreffen der Phishing-Mail.

In einem früheren Artikel haben wir einer anderen Variante von Emotet unter die Haube geschaut und ihr Verhalten analysiert.

Malware – Des Cyberkriminellen liebstes Kind

Malware – Des Cyberkriminellen liebstes Kind

Wenn die Frage in den Raum geworfen wird, was es eigentlich mit dem Begriff „Malware“ auf sich hat, dann haben die allermeisten nur eine unklare Vorstellung. Nicht selten fallen dann Wörter wie „Virus“ oder „Trojaner“. Das ist nicht unbedingt falsch, aber auch nicht wirklich richtig. Denn das Thema ist wesentlich komplexer und dreht sich längst nicht nur um Viren und Trojaner.

Der folgende Blogbeitrag gibt einen Einblick in die Welt der Malware und klärt darüber auf, für was der Begriff überhaupt steht, aus welchen Gründen Cyberkriminelle Malware einsetzen und wie man sich am besten davor schützen kann.

Viel mehr als nur Viren und Trojaner

Bei „Malware“ handelt es sich um eine Wortneuschöpfung, die sich aus den beiden englischen Wörtern „malicious“ und „software“ zusammensetzt; zu Deutsch: „schädliche Software“. Fälschlicherweise wird Malware oft synonym mit den Wörtern Virus oder Trojaner verwendet, doch die Welt der Malware ist wesentlich größer und komplexer. Denn genau genommen handelt es sich bei Malware lediglich um einen Sammelbegriff für unterschiedliche Schadprogramme, zu denen neben Viren und Trojanern auch noch „Exploits“, „Backdoors“, „Spyware“ „Würmer“ und „Ransomware“ gehören – um nur einige wesentliche Vertreter zu nennen.

Wie einer Studie von av-test.org über das erste Quartal 2018 zu entnehmen ist, stellten Trojaner mit 51,48 Prozent den Löwenanteil von unter Windows verbreiteter Malware dar. Weit abgeschlagen dahinter folgen Viren mit 18,93 Prozent sowie auf Platz drei Skripte mit einem Anteil von 10,56 Prozent. Alle anderen Malware-Arten, wie z.B. Ransomware stellen in der Häufigkeit ihres Auftretens nur eine untergeordnete Rolle dar.

Anteil von Malware-Arten

%

Trojaner

%

Viren

%

Skripte

Viren, Trojaner und Würmer – wo liegen die Unterschiede?

Computerviren sind die klassische Art der Malware und wurden bereits in den frühen 1970er-Jahren entwickelt. Sie sind darauf programmiert, sich in andere Dateien einzunisten und können sich von einem auf ein anderes Computersystem verbreiten und es ebenfalls infizieren. Ohne menschliches Zutun können Viren allerdings nicht ihre Arbeit aufnehmen, da die kompromittierte Datei zuerst ausgeführt werden muss.

Bei einem Trojaner handelt es sich hingegen um keinen Virus, sondern um ein Schadprogramm, das sich als gutartige Anwendung tarnt – deshalb auch die häufig vorkommende Bezeichnung „Trojanisches Pferd“. Anders als Viren, vervielfachen sich Trojaner nicht eigenständig. Sie ermöglichen den Hackern über eine so genannte „Backdoor“, die Kontrolle über das infizierte System zu übernehmen.

Im Vergleich zu Viren, unterscheiden sich Computerwürmer durch die Fähigkeit, sich durch die Nutzung einer Datenschnittstelle ohne Zutun zu verbreiten. Da sich der Wurm innerhalb des Systems replizieren kann, besteht die Gefahr, dass am Ende nicht nur ein Wurm, sondern hunderte oder gar tausende Kopien versendet werden können. In letzter Instanz kann dies dazu führen, dass ein betroffenes System so viele Ressourcen bereitstellen muss, dass es zu keinen- oder nur noch extrem verlangsamten Rückmeldungen kommt.

Spyware – Der Spion im System

Spyware gilt als der Spion unter den Malware-Arten. Sie ist darauf aus, eingegebene Benutzerdaten zu protokollieren und zu stehlen. Beispielsweise zeichnet sie Logins in Social Media Accounts auf oder spioniert Kontodaten beim Online-Banking aus. Im Anschluss werden die erbeuteten Daten an die Hacker übertragen, die sie entweder weiterverkaufen oder für eigene, meist finanzielle Interessen missbrauchen.

Malware Infografik von Hornetsecurity

Dabei kann Spyware durchaus mit unterschiedlichen Gesichtern auftreten. Zum einen ist es möglich, dass ein so genannter „Keylogger“ verwendet wird, der Tastatureingaben aufzeichnet. Zum anderen kann mittels „Screencast“ die Bildschirmaktivität des Users ausspioniert werden. Des Weiteren können die Hacker auf einen so genannten „Browser-Hijacker“ zurückgreifen, der die Standard-Einstellungen des Webbrowsers manipuliert. Auf diese Weise wird es den Cyberkriminellen ermöglicht, Suchanfragen mitzulesen oder den Nutzer auf gefälschte Webseiten zu leiten.

Ransomware – Wenn der Computer Lösegeld verlangt

Bei Ransomware handelt es sich um eine Form der Malware, die in der Lage ist, den Zugriff auf sämtliche, auf einem Computer gespeicherten Daten zu unterbinden. Die Hacker verschlüsseln die auf der Festplatte gespeicherten Dateien und lassen nach einer erfolgreichen Infektion im Normalfall eine Nachricht auf dem Bildschirm der Zielperson zurück, mit der Forderung, Lösegeld zu zahlen. Geschieht dies nicht, wird damit gedroht, dass die verschlüsselten Dateien – je nach Ausführung der Ransomware – nicht mehr entschlüsselt- oder gar gelöscht werden.

Wege, den Computer mit Ransomware zu infizieren, gibt es zu Genüge. Das mit Abstand häufigste Einfallstor stellt allerdings die E-Mail-Kommunikation dar. Oft geben die Cyberkriminellen sich mittels Social Engineering als bekannte Organisation oder befreundete Person aus, um Vertrauen zu suggerieren.

Die Ransomware ist in vielen Fällen in einem Office-Dokument enthalten, das als Anhang mitgeschickt wird. Durch einen Vorwand wird der Empfänger dazu gebracht die Datei zu öffnen und sämtliche Daten werden auf der Festplatte verschlüsselt. Insbesondere in den vergangenen Jahren kam es zu einer regelrechten Flutwelle an Ransomware-Angriffen, die unter Namen wie „WannaCry“ oder „Petya“ bekannt wurden. Auch wenn Ransomware in der Häufigkeit des Auftretens nur eine untergeordnete Rolle spielt: Der Schaden, der durch die aggressiven Kryptotrojaner entstehen kann, sollte keineswegs unterschätzt werden! In absoluten Zahlen dargestellt, ist ein Prozent vom gesamten Malware-Aufkommen weltweit immer noch eine beachtliche Summe.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Exploits und Backdoors – Der geheime Trumpf

Exploits sind ein beliebtes Werkzeug von Hackern, um Schwachstellen oder Sicherheitslücken von Software auszunutzen und über diese in Computersysteme einzudringen. Bei einem Exploit kann es sich sowohl um eine rein theoretische Beschreibung einer Schwachstelle handeln, aber auch um einen direkt ausführbaren Programmcode.

Die Bandbreite an verschiedenen Exploit-Arten ist so groß, dass es zu fast jedem Anlass den richtigen Exploit gibt. Sie unterscheiden sich sowohl in der Angriffsart, als auch in ihren Auswirkungen. Je nach Art können sie beispielsweise Daten schreiben oder lesen oder auch ein System zum Absturz bringen. Prominente Exploit-Arten sind der so genannte Zero-Day-Angriff und der Denial-of-Service-Exploit (DoS-Exploit).

Eine Backdoor stellt hingegen einen alternativen, meist versteckten Zugang zu einer Software oder auch einem Hardwaresystem dar. Dieser ermöglicht es dem Hersteller und seinen Partnern (beispielsweise Geheimdiensten), aber auch eventuell Hackern, den Zugriffsschutz zu umgehen und sich Zugang zu dem System zu verschaffen. Wie bereits erwähnt, verfügen auch Trojaner über eine Backdoor, allerdings muss man hier eine klare Abgrenzung ziehen: Der Trojaner dient nur als Mittel zum Zweck, da er sich als nützliches Programm ausgibt und dafür sorgt, dass der Rechner über die eingebaute Backdoor kompromittiert werden kann. Die Backdoor alleine benötigt keinen Trojaner, da sie bereits von Anfang an in einem System installiert sein kann.

Viele Malware-Arten, eine Lösung?

Die Professionalität von Malware-Attacken nimmt von Tag zu Tag zu. Insbesondere Angriffe mittels Ransomware liegen bei Cyberkriminellen stark im Trend. Wer denkt, dass es DIE eine Lösung gegen Malware gibt, der irrt leider. Vielmehr sollte ein Unternehmen über ein ausgeklügeltes Sicherheitskonzept mit vielen verschiedenen Maßnahmen verfügen. Welche das im Einzelnen sein können, beschreiben wir im Folgenden.

Viele Komponenten müssen wie eine gut geölte Maschine zusammenspielen, damit ein optimaler Schutz gegen Malware erzielt werden kann. Der wichtigste Punkt ist hierbei allerdings die Sensibilisierung des Personals vor Cyberangriffen. Die Mitarbeiter eines Unternehmens müssen sich den Gefahren bewusst sein, die von Malware ausgehen. Aufklärung über die verschiedenen Malware-Verbreitungswege sollte also zum Beispiel in regelmäßig stattfindenden Schulungen in den Arbeitsalltag integriert werden.

Um auf Nummer Sicher zu gehen, empfiehlt es sich für Unternehmen außerdem, auf einen Spamfilter-Service zurückzugreifen, damit bösartige E-Mails erst gar nicht in die E-Mail-Postfächer der Mitarbeiter gelangen. Falls es doch einmal dazu kommt, dass es eine Malware bis auf den Rechner eines Mitarbeiters schafft, dann ist ein Antivirenprogramm in vielen Fällen nach wie vor eine sinnvolle Methode, um dem Eindringling den Garaus zu machen.

Auch Updates sollten nicht nur bei Antivirenprogrammen gang und gäbe sein. Es empfiehlt sich einen Prozess zu etablieren, der die Aktualität von eingesetzten Programmen regelmäßig auf den Prüfstand stellt, um sie gegebenenfalls auf den neusten Stand der Dinge zu bringen. Wer diese Tipps beherzigt, der wird zumindest weniger wahrscheinlich zum Opfer für Cyberkriminelle.

Weiterführende Informationen:

 

Hacker stehlen tausende sensible Daten zu französischen Atomanlagen

Hacker stehlen tausende sensible Daten zu französischen Atomanlagen

Laut NDR-Informationen (Quelle) gelang es aktuell noch unbekannten Hackern mehr als 65 Gigabyte sensibler Daten zu kritischen Infrastrukturen von den Servern des französischen Bauunternehmens Ingérop zu entwenden. Unter den insgesamt mehr als 11.000 Datensätzen befinden sich auch Baupläne von Atomkraftwerken, Hochsicherheitsgefängnissen und Straßenbahnnetzen. Ingérop bestätigte den Angriff auf Anfrage.

Was genau haben die Cyberkriminellen gestohlen?

Bei den entwendeten Datensätzen handelt es sich laut dem Unternehmen um Informationen zu einem Dutzend Großprojekten in Frankreich, Spanien und Südamerika.

Nicht alle der Bauvorhaben seien auch tatsächlich umgesetzt worden, darunter auch ein geplantes Atommüllendlager im Norden Frankreichs. Ebenfalls Teil des Datenlecks sollen auch persönliche Daten von mehr als 1.200 Ingérop-Mitarbeitern sowie firmeninterne E-Mails gewesen sein.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Was ist mit den Daten passiert?

Die gestohlenen Daten waren wohl zwischenzeitlich nicht nur im Darknet abrufbar, sondern auch für kurze Zeit, im Juli 2018, von einem Server des so genannten „Wissenschaftladens“ in Dortmund zum Download angeboten worden. Der „Wissenschaftladen“ ist Teil eines Kulturzentrums und vermietet Server-Kapazitäten. Man habe nicht gewusst, dass die Ingérop-Daten dort abgelegt waren, da die Server von einer Gruppe aus Rostock betrieben werden.

Im Vorfeld soll es bereits eine mehr oder weniger professionell angelegte Phishing-Kampagne auf Mitarbeiter von Ingérop gegeben haben. Die E-Mails, die von gefälschten Absenderadressen versandt wurden, führten die Mitarbeiter auf Seiten, die mit Schadsoftware infiziert gewesen waren.

Wäre der Angriff zu verhindern gewesen?

Dazu fehlen zum jetzigen Zeitpunkt noch genauere Informationen. Fakt ist jedoch, dass sich das Unternehmen bei der Speicherung der Daten einen Fauxpas erlaubt hat. Im Normalfall werden Daten zu verschiedenen Projekten getrennt voneinander gespeichert. Dies ist hier nicht der Fall gewesen und die Hacker konnten Daten aus gleich mehreren Arbeitsbereichen stehlen. Attacken dieser Art sind mittlerweile leider keine Seltenheit mehr und werden auch als “Industroyer” bezeichnet. Bereits zum Ende des Jahres 2016 gab es einen ähnlichen Angriff auf die Stromversorgung der Ukraine.  Auch lassen sich Parallelen zur im Jahr 2010 bekannt gewordenen Kampagne gegen das iranische Atomprogramm – die mittels eines als “Stuxnet” bezeichneten Computerwurms durchgeführt wurde – ziehen.

Daniel Hofmann, Geschäftsführer von Hornetsecurity, stuft den aktuellen Angriff auf das Bauunternehmen als schwerwiegend ein: „IT Sicherheit ist nicht nur eine Frage der IT-Compliance, es ist auch eine Geschäftsentscheidung. Unternehmen, die in hochwertige Cybersecurity Produkte investieren, reduzieren nachhaltig Ihre Kosten, die im Rahmen von Cyberangriffen entstehen. Pläne über Hochsicherheitsgefängnisse und Atommüll-Endlager können in den falschen Händen ungeahnte Schäden anrichten. Um dieser Verantwortung nachzukommen, bedarf es an Investitionen in die eigene IT Sicherheit und die Schulung der eigenen Mitarbeiter. Mit gut gewarteten Intrusion Detection bzw. Prevention Systemen sowie dem verschlüsselten Speichern von sensiblen Daten und einem guten E-Mail Schutz wäre eine Schadensprävention möglich gewesen. Nun steht die Ingérop Gruppe vor einem großen Image Schaden, dem möglichen Verlust von Partnern und Kunden sowie weiteren nicht absehbaren Konsequenzen.
Der Trend zeigt, dass Hacker, Phisher und Fraudster ihre Opfer gezielt auswählen und angreifen. Simple Sicherheitstechniken sind zum Schutz vor heutigen Cyberangriffen ungenügend.“

Wie geht es jetzt weiter?

Auf Anfrage der Landesregierung von Nordrhein-Westfalen, sei die Offenlegung der Daten aus Sicht der französischen Behörden geeignet gewesen, die nationale Sicherheit Frankreichs zu gefährden. Die französische Polizei wollte sich zu diesem Zeitpunkt noch nicht zu den Vorfällen äußern. Der französische Inlandsgeheimdienst ermittle aber bereits.

Weitere Hackangriffe gegen öffentliche Anlagen (Industrie, Versorgung, Atom, Infrastruktur):

Stuxnet:

Industroyer:

Schutz vor Phishing und ausgeklügelten Cyberangriffen auf Unternehmen: