:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/42/f8/42f892d7d2c6dd755e4c5b0cfdb7fa7c/0111847725.jpeg "Die Methoden und die Ausführung haben sich bei Ransomware in den letzten Jahren deutlich weiterentwickelt. Früher ging es um Profit, heute geht es um viel mehr als das. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Parallelen zu WannaCry-Malware Weltweite Ransomware-Attacke
Server-Admins erleben gerade ein Deja-Vu: Wenige Wochen nach der WannaCry Ransomware wütet erneut eine Erpressersoftware weltweit. Sie nutzt die SMB-Lücke EternalBlue, die bereits vor wenigen Wochen zum Einsatz kam - und ist trotz eines vorhandenen Patches extrem erfolgreich. Der initiale Angriffsvektor scheinen möglicherweise manipulierte Dokumente zu sein, die an Personalabteilungen verschickt wurden.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Schon wieder eine Ransomware, schon wieder ein globaler Ausbruch, schon wieder scheint die Schwachstelle MS17-010 betroffen zu sein und schon wieder sieht es so aus, als wäre das NSA-Tool „EternalBlue“ zum Einsatz gekommen.
Knapp acht Wochen nach der WannaCry-Epidemie melden weltweit Unternehmen weitreichende Infektionen ihrer Systeme. Dabei ist zum Redaktionsschluss (27.06.2017 21:16) noch nicht klar, ob es sich um eine neue Malware oder eine Abwandlung der Petya-Erpressersoftware handelt.
:quality(80)/images.vogel.de/vogelonline/bdb/1229200/1229200/original.jpg "Die Ransomware WannaCrypt0r schlug weltweit zu, tausende Systeme wurden infiziert. Per Zufall fanden Forscher einen Kill Switch und stoppten den Angriff. (pixabay / SecureList)")
Update: NSA Exploit sorgt für weltweite Attacke
WannaCry Ransomware infiziert tausende Systeme
Ausgehend von der Ukraine hat diese neue Malware-Welle zahlreiche Unternehmen infiziert. Laut der dänischen Maersk-Gruppe sind „Maersk IT-Systeme an verschiedenen Orten und Geschäftseinheiten“ angegriffen. Auch die Ruine des Atomreaktoren Chernobyl ist von der Malware betroffen. Laut einem Sprecher musste das System zur Strahlungsmessung offline genommen werden. Die Mitarbeiter würden Handmessungen durchführen, so ein Sprecher, die restlichen technischen Systeme würden aber weiterarbeiten.
Die Sicherheitsfirma F-Secure hat uns Daten von Honeypots der letzten 12 Stunden zur Verfügung gestellt. Demnach ist in Russland, den USA, Hong Kong, Indien und der Ukraine ein deutlich erhöhter SMB-Traffic festzustellen. Das kann laut den Experten darauf hinweisen, dass diese Länder besonders betroffen sind bzw. infizierte Server von dort das weltweite Netz nach verwundbaren Systemen absuchen.
Die Daten werden vom Hersteller Kaspersky bestätigt: „Die telemetrischen Daten von Kaspersky Lab deuten derzeit auf etwa 2.000 attackierte Nutzer hin. Organisationen aus Russland und der Ukraine sind am häufigsten betroffen. Wir haben zudem auch Treffer unter anderem in Deutschland, Frankreich, Großbritannien, Italien, Polen und den USA registriert,“ so das Unternehmen. Allerdings geht man dort nicht davon aus, dass es sich um die Petya Malware handelt sondern sieht es als eine neue Malware.
Posteo deaktiviert Kontaktadresse
Scheinbar hatten die Kriminellen einen Account beim deutschen Anbieter Posteo hinterlegt. Das Unternehmen hat diesen deaktiviert. „Unser Abuse-Team hat dies sofort geprüft – und das Postfach umgehend gesperrt. Wir dulden keinen Missbrauch unserer Plattform: Das umgehende Sperren missbräuchlich genutzter Postfächer ist ein übliches Vorgehen von Providern in solchen Fällen. Zum Zeitpunkt der Sperrung lag noch keine Berichterstattung zu der Ransomware vor“, so der Mail-Anbieter in einer Stellungnahme.
Dabei hatten die ersten Opfer scheinbar bereits das Lösegeld von 300 US-Dollar in Bitcoin überwiesen. Die in der Erpressersoftware hinterlegte Bitcoin-Adresse verzeichnet zum Redaktionsschluss 3,15 Bitcoins (etwa 7075 Euro), Tendenz stark steigend.
Patch seit März vorhanden
Sollte die Ransomware wirklich einen ähnlichen Angriffsvektor wie WannaCry nutzen, so ist eine derart weite Verbreitung eigentlich mit nichts zu erklären. Der Patch ist seit Anfang März verfügbar, im Rahmen von WannaCry wurden sogar Patches für Windows XP und Vista nachgeliefert. Firmen, die das Update noch immer nicht eingespielt hatten, sollten sich schleunigst ein neues Konzept für das Patch-Management überlegen.
BSI-Präsident Arne Schönbohm sieht dies ähnlich: „Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben."
Berichten von Experten von Hacker House zufolge könnte die ursprüngliche Attacke auf eine andere Schwachstelle über infizierte Dokumente erfolgt sein. Der Experte Sean Sullivan schätzt vorsichtig, dass möglicherweise Personalabteilungen bösartige Lebensläufe zugeschickt wurden. Im Anschluss hätte die Ransomware sich dann über das interne Netzwerk verbreiten können.
So the question is: what can companies do to protect themselves? First… focus on HR and make sure _nobody_ opens any attachments/docs today.
— Sean Sullivan (@5ean5ullivan) 27. Juni 2017
Der Anbieter ESET denkt in eine ähnliche Rechnung: „Zur Verbreitung scheint sie eine Kombination aus einem SMB Exploit (EternalBlue), wie er auch bei WannaCry zum Einsatz kam, zu verwenden. So verschafft sie sich Zugriff auf das Netzwerk, wo sie sich durch PsExec weiterverbreitet. Diese gefährliche Kombination ist wahrscheinlich der Grund für die schnelle und globale Ausbreitung.“
Möglicher "Killswitch" gefunden
Inzwischen wurde ein Killswitch gefunden, der die Ransomware scheinbar stoppt. Laut dem Sicherheitsforscher Amit Serper reicht es, im Verzeichnis "C:\Windows" eine Datei namens perfc ohne Endung zu erstellen. Findet die Malware diese Datei, wird sie nicht aktiv.
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won't run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) 27. Juni 2017
(ID:44757858)
:quality(80)/images.vogel.de/vogelonline/bdb/1912500/1912534/original.jpg "Der Weg zu militärischen Zielen führt oftmals über verbreitete Standardsoftware. (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934670/original.jpg "Laut einer von Quantum in Auftrag gegebenen Studie verschieben 78 Prozent der befragten Unternehmen ihre Daten ständig zwischen Cloud-Speichern, Data Center und Edge. (gemeinfrei)")