Alle Nachrichten

2017-06-22 06:09:21

Wenn auch Sie Schaden von dem Verschlüsselungstrojaner „Jaff“ genommen haben dann haben wir gute Nachrichten!

Einem Sicherheitsforscher von Kaspersky ist es gelungen den Trojaner zu entschlüsseln. Das Entschlüsselungstool mit dem Namen RakhniDecryptor stellt Kaspersky kostenlos zur Verfügung.

Dieses Tool soll alle derzeit im Umlauf befindenden Jeff Versionen entschlüsseln.

Eine Anleitung zur Verwendung finden Sie unter:

https://www.heise.de/security/meldung/Entschluesselungstool-fuer-Erpressungstrojaner-Jaff-veroeffentlicht-3744042.html

Quelle: heise.de

2017-06-08 07:08:49

Durch den jüngsten Ransomware Verschlüsselungstrojaner (WannaCry) sieht sich Microsoft gezwungen auch für XP ein Sicherheitspatch herauszugeben.

Obwohl Microsoft offiziell seit 2016 keine Sicherheitsupdates mehr für Windows XP bereitstellt,

hat der Konzern auf WannaCry mit einem Sicherheitspatch reagiert.

Der Verschlüsselungstrojaner verbreitet sich über eine Sicherheitslücke im Windows-Dateifreigabeprotokoll SMB.

Quelle: heise.de

2017-06-06 14:04:40

Diesen Juni schließt Google mehrere Sicherheitslücken in Ihrem mobilen Betriebssystem Android.
Betroffen sind mehrere Android-Versionen ab Android 4.4.4(KitKat).


Wer ein Gerät von Google selber hat sollte dies baldig aktualisieren. Aber auch Nutzer von anderen Herstellergräten sollten überprüfen ob es einen Sicherheitspatch gibt.
Insgesamt gibt es 101 Schwachstellen die CVE-Nummern zugeteilt sind. Davon sind 29 als „Kritisch“ und 44 als „Hoch“ eingestuft.
Weitere Infos finden Sie unter:


https://source.android.com/security/bulletin/2017-06-01

Quelle: heise.de/security

2017-06-01 14:48:17

Zurzeit werden wieder vermehrt E-Mails mit manipulierten PDF-Anhängen versendet. Wer diese Dokumente unter Microsoft’s Windows öffnet, kann sich unter Umständen die Ransomware „Jaff“ einfangen.
„Jaff“ verschlüsselt die Dateien und versieht sie mit der Dateiendung „.wlu.“

Das LKA Niedersachsen warnt öffentlich vor „Jaff“.

Die Erpresser verlangen zur Entschlüsselung rund 2 Bitcoin (Das entspricht ca. 4200 €).
Derzeit gibt es für Jaff noch kein Entschlüsselungstool. Halten sie die Webseite ID-Ransomware im Blick dort kann man schauen ob es bereits ein kostenloses Entschlüsselungstool gibt.

2017-05-12 10:46:50

Sicherheitsforscher stießen bei der Sicherheitsanalyse von HP-Business-Notebooks auf ein seltsames Keylogging. So wie es aussieht, schrieb der Audio-Treiber alle Tastatureingaben einschließlich sensibler Daten des Anwenders in eine öffentlich lesbare Datei.

Der Treiber MicTray64.exe ist bei den meisten HP-Notebooks ab Werk installiert. Dieser Treiber klinkt sich in die Windows-Tastatureingabe-Funktion ein. Damit kann dieser Treiber per Tastenkombination gesteuert werden, zum Beispiel wenn der Anwender die Lautstärke per Tastenkombination ändern möchte.

Allerdings werden die Tastenkombinationen des Treibers in eine öffentliche Datei gespeichert (C:\Users\Public\MicTray.log;).

Warum ist dies so gefährlich?
Stellen Sie sich vor, ein Angreifer hat bereits ein Schadprogramm auf Ihrem Rechner installieren können, zum Beispiel durch einen versehentlichen Klick auf eine Phishing-Mail. Hat das Schadprogramm Zugriff auf Ihren Rechner und ist so konfiguriert, dass es sich die Datei die der Audio-Treiber öffentlich abspeichert aneignet, besteht die Möglichkeit, dass Ihre Passwörter und Bankdaten an den Cyberkriminellen übermittelt werden.

Aktuell ist hierfür keine Lösung seitens HP geplant. Bislang unternahmen HP keinerlei Anstalten, um die Sicherheitslücke zu schließen oder zu beseitigen.

Was können Sie tun (Achtung: technisch!)
Ob das eigene Notebook betroffen ist kann man leider nur mit einem Tool (https://www.heise.de/download/product/debugview-41274) feststellen oder mit der Existenz der Log-Datei MicTray64 version 1.0.0.46 (nutzen Sie die Windows-Suchfunktion).

Alternativ: Schalten Sie Ihr Laptop immer aus, nutzen Sie nicht die Standby bzw. Suspend-Funktion!

Quelle: heise.de/security

2017-03-06 15:05:47

In den Jahren 2015 und 2016 wurden vereinzelte Yahoo-Konten über falsche Cookies gekapert. Yahoo teilte erst Monate später mit, das es sich hierbei um 32 Millionen Opfer handelt. Dieser Hack ist allerdings der bislang kleinste bei Yahoo. Man spricht über 500 Millionen Konten bei Rekordhacks.

Der Cookie-Angriff, so glaubt Yahoo, wurde von einer staatlichen Einrichtung durchgeführt, die im Jahre 2014 mehr als eine halbe Milliarde Konten auf einmal kopiert hat. Welcher Staat hinter dem Angriff stecken soll, teilte Yahoo nicht mit. Soweit bekannt wurden E-Mail Adressen, Telefonnummern, Geburtsdaten und Passwort-Hashes abgegriffen.

 

Sammelklagen nehmen zu
Bisher war es der größte bekannt gewordene Hack der IT-Geschichte. Allerdings musste Yahoo im Dezember mitteilen, dass bereits im Jahr 2013 die Daten mehrerer Yahoo-Konten in falsche Hände geraten sind.

Das diese Vorfälle nicht ohne juristische Folgen bleiben, sollte jedem klar sein. Es gibt in den USA ungefähr 43 Sammelklagen betroffener User, hinzukommen vier Klagen von Aktionären und eine Aktionärssammelklage.

Yahoo muss die Hälfte aller Kosten und Strafen aus den Gerichtsverfahren übernehmen.

Mittlerweile ist bekannt, dass das Management nicht minder beteiligt war, denn der Vorfall aus dem Jahr 2014 wurde von einem Security-Team bemerkt, dieses reagierte auch mit neuen Sicherheitsmaßnahmen. Viele Manager und Mitarbeiter wussten am Ende des Jahres 2014 über die Sicherheitslücken und die damit verbundenen Sicherheitsmaßnahmen bescheid. Allerdings haben einige führende Manager das Problem anscheinend nicht verstanden und haben unzureichend reagiert.

 

Quellen: yahoo.de // heise.de

2017-02-23 07:35:56

Cyber-Angriffe auf Webseiten nehmen jährlich zu. Diese Attacken haben viel weitreichendere Folgen, als viele Webseitennutzer annehmen. Dies ging aus einer Untersuchung der Firma Link 11 hervor.

DDoS-Angriffe werden in Deutschland immer häufiger und werden immer öfter ein Problem für die Allgemeinheit. In den letzten Monaten des Jahres 2016 stachen Cyber-Angriffe mit großer Öffentlichkeitswirkung hervor, wie zum Beispiel Attacken auf die Webseiten der Kandidaten des US-Präsidentschaftswahlkampfes sowie der Angriff auf den DNS-Dienstleister Dyn durch den ein Wochenende lang Spotify, Netflix und Twitter ausfielen und nicht zuletzt die virtuelle Belagerung des französischen Hosters OVH (Minecraft).

Diese Angriffe wirkten sich auf weite Teile der Gesellschaft aus. Eine zweite Reihe von Angriffen die zum Jahresende auftraten, waren Angriffe über sogenannte Botnetze, die ihre Rechenpower aus dem Internet of Things (IoT) statt herkömmlichen Desktop-Systemen oder Servern ziehen. Hier sorgte vor allem das Botnez Mirai für zahlreiche Schlagzeilen.

Die Anzahl der DDoS-Angriffe hat sich seit 2015 laut Link 11 zwar verdoppelt, allerdings treten wirklich große Attacken in Deutschland relativ selten auf. Link 11 zählte dreizehn Angriffe mit einem höheren Traffic-Aufkommen. Einen Großteil der Angriffe betreffen einzelne Firmen. Das bedeutet, dass diese Art der Attacken gegenüber der Öffentlichkeit verborgen bleibt. Die meisten Angriffe auf Webseiten finden im Zusammenhang mit Erpressungsversuchen gegen die Betreiber statt. Laut Link 11 ist dies bei 21% der DDoS-Angriffe der Fall.

Nichtsdestotrotz werden Angriffe mit erkennbaren Auswirkungen für große Teile der Internetnutzer häufiger. Unsichere IoT-Geräte sind hier meistens die größten Sicherheitslücken, leider fühlt sich niemand für die Sicherheit dieser Geräte zuständig.

Quelle: heise.de

Was ist das Internet der Dinge?
Nachzulesen bei Wikipedia: https://de.wikipedia.org/wiki/Internet_der_Dinge

2017-02-15 07:19:03

Liebe Portalbenutzer,

nun ist es endlich soweit. Unser Portal geht mit der ersten Beta-Phase an den Start. Sicherlich finden Sie noch den ein oder anderen Schreibfehler.

Wenn Sie Schreibfehler oder andere Anmerkungen haben, würden wir uns freuen, wenn Sie uns kurz eine E-Mail an office@awareness-experte.de mit der Information, wo sich der Fehler befindet oder was wir noch ausbauen können, zukommen lassen.

Wir arbeiten stetig am Portal und füllen dieses kontinuierlich mit Informationen.

Wir wünschen Ihnen viel Spaß beim Stöbern und klicken.

Ihr Bewusst-sicher Team.

2017-02-09 09:32:06

Mozilla und Google warnen vor Problemen, die Sicherheitsprodukte verursachen, wenn diese HTTP-S-Verbindungen überwachen. Laut Forschern seitens Google und Mozilla handeln die Hersteller hierbei "fahrlässig".

In einer Studie haben Forscher den Umfang und die Auswirklund von gesicherten HTTPS-Verbindungen untersucht.

Firmen-Proxies und Antiviren-Software terminieren häufig die TLS-Verschlüsselung, um den Inhalt unter anderem auf Schadsoftware untersuchen zu können. Erschreckend sind die Ergebnisse der Studie durchaus, denn der Anteil der überwachten Verbindungen ist deutlich höher als bisher angenommen wurde, dies führt zu dramatischen Sicherheitsproblemen. Es wurden in der Studie 8 Milliarden TLS-Verbindungen untersucht, unter anderem waren darunter TLS-Verbindungen zum Firefox-Update-Dienst, sowie einigen E-Commerce-Seiten und Dienste bei Cloudflare. Hierbei wurde festgestellt das bis zu 10% der gesicherten Verbindungen nicht mehr die typischen Verbindungsparameter des verwendeten Browsers aufweisen. Das bedeutet dass diese unterwegs irgendwo unterbrochen wurden. Dies führt dazu, dass die Sicherheit der Verbindungen nicht mehr gewährleistet ist.

Zu erwähnen ist hier, das Sicherheitsfirmen fahrlässig handeln. Das bedeutet, dass etwa 13 von 29 untersuchten Antiviren-Programme sich in verschlüsselte TLS-Verbindungen einklinken. Und alle ausschließlich eines verschlechterten dabei die Sicherheit der Verbindung.

In den meisten Fällen konnten Forschern den Schützern die massive Sicherheitslücke aufweisen. Produkte wie Avast, Bitdefender, Bullguard, Dr.Web, Eset, G Data und Kaspersky erlaubten direkte Angriffe auf die gesicherten Verbindungen.

Hersteller von Antiviren-Software wurden aufgefordert ihre Praxis der TLS-Überwachung dringend noch einmal zu überdenken. Überhaupt sollte darüber nachgedacht werden, in welcher rasanten Geschwindigkeit das HTTPS-System sich entwickelt und ob namhafte Antiviren-Software Hersteller wirklich Schritt halten können und wollen.

Quelle: heise.de

 

 

2017-01-18 12:38:48

Seit letztem Jahr ist es bekannt. Auch die gut bewährten OS X sind für Ransomware nicht mehr sicher. Wer auf der Suche war, nach dem BitTorrent-Client Transmission (V. 2.90) und diesen von der offiziellen Webseite herunterlud, wusste garantiert nicht, das sich dahinter eine Ransomware verbrigt - KeRanger. Es handelt sich um einen Erpressungs-Trojaner, welche Lösegeldforderungen an den Anwender stellt. Es ist davon auszugehen, dass immer mehr solcher Trojaner nun auch auf dem Mac anzutreffen sind.

keRanger lässt sich allerdings sehr leicht identifizieren. Der Name des Prozesses lautet "kernel_service" VORSICHT: nicht zu verwechseln mit Kernel_Task!. Sie können den Prozess "Kernel_Service" sofort beenden. Sollten im verzeichnis ~/Libary Dateien wie .kernel_pid, .kernel_complete, .kernel_time oder kernel_service vorhanden sein, entfernen Sie diese. Meistens sind diese Dateien versteckt, das bedeutet, Sie müssen erst einmal diese wieder einblenden mit Hilfe eines Terminal-Befehls, dieser lautet:

defaults write com.apple.finder AppleShowAllFiles TRUE; killall Finder

FALSE und TRUE legen hier die Sichtbarkeit fest.

Wenn Ihr MAC von KeRanger befallen ist, ist es äußerst wichtig, diesen vom Netzwerk zu nehmen.

2017-01-04 08:17:35

Laute einem Sprecher von Apple steht die erste Beta von Apples Mobilbetriebssystem kurz vor dem öffentlichen Release. Anscheinden wird noch an der Benutzeroberfläche von iOS 10.3 gearbeitet. Sonny Dickson, einer der bekanntesten Apple-Blogger hatte zum Wochenende hin verschiedene Gerüchte zur nächsten iOS-Version publiziert. Die ersten Vorabversionen von iOS 10.3. werden noch in der ersten Hälfte dieses Monats an betatester verteilt, was relativ ungewöhnlich ist, denn Apple hatte vor Weihnachten die iOS Betaversion 10.2.1 ausgegeben.

Neue Funktionen können ein Grund sein, dass die Beta des neuen Systems so früh gestartet wird. Laut Dickson wäre es möglich, das eine der neuen Funktionen ein "Theatre"-Modus ist. Dieser Modus bietet wohl eine Abdunklungsmöglichkeit des Bildschirms. Praktisch für Kinobesuche oder Flugreisen. 

 

2016-12-16 10:19:27

Thunderbird ist ein kostenloses E-Mail Programm des Mozilla-Projekts. Es ist neben Outlook eines der weit verbreitesten Programme zum Lesen und Verwalten von E-Mails. Doch der Client zeigte einige Sicherheitslücken auf. So kann dieser im schlimmsten Fall ohne Authentifizierung aus der Ferne einen Schadcode ausführen. Hier sind auch DoS-Attacken oder das Ausspähen von Nutzerdaten durchaus denkbar, warnt Mozilla. Zwei größere Lücken gelten hier als kritisch, sechs andere sind mit dem Bedrohungsgrad "hoch" eingestuft wurden. Das BSI (Bundesamt für Sicherheit) schätzt das Risiko sehr hoch ein.
Wer Thunderbird nutzt sollte die neuste Version 45.6 installieren.


Der alleinige Empfang einer manipulierten E-Mail ist jedoch nicht gefährlich.

2016-12-14 09:52:18

Unternehmen bekommen es immer häufiger mit Ransomware wie Goldeneye oder Locky zu tun. Beide Trojaner sind Schadprogramme, die Inhalte von Computer verschlüsseln und anschließend Geld für die Freigabe fordern. In Baden-Württemberg sind im vergangenen Jahr 600 Fälle bekannt geworden. Erpresser fordern mehrere tausend Euro von den betroffenen Firmen. Hierbei handelt es sich um einen Schaden von 17 Millionen Euro.

Nicht nur die Wirtschaft leidet unter der Ransomware. 57 Prozent aller Ransomware-Infektionen (Januar 2015 bis April 2016) fallen auf den Verbraucher zurück.

Angriffe mit Verschlüsselungstrojanern auf Unternehmen sind oft zielgerichtet und auf das jeweilige Angriffsziel zugeschnitten. Attacken auf Privatpersonen verlaufen hier eher nach dem Sprinkler-Prinzip ab. in Opfer die genannte Summe zahlt, hängt auch davon ab, wo es lebt. In den USA ist die Bereitschaft zu zahlen wesentlich höher als in anderen Ländern. Das liegt daran, dass das FBI damals geraten hat zu zahlen, mittlerweile wurde diese Empfehlung aber aufgeweicht. Das BSI (deutsche Bundesamt für Informationstechnik befürwortet diese Zahlungen nicht. Sie raten dringend davon ab, da die Dateien oder Programme auch nach dem Bezahlen der geforderten Geldsumme in vielen Fällen nicht entschlüsselt werden. Es wird hier geraten, den Bildschirm mit der Erpressungsnachricht zu fotografieren und Anzeige zu erstatten.

2016-12-14 09:44:22

Laut BSI-Präsident Arne Schönbohm werden Cyberangriffe mittlerweile viel gezielter und hochspezialisiert vorgenommen. Das Regierungsnetz sei bisher aber noch nicht geknackt worden.

Die Cyber-Attacken auf deutsche Behörden und Unternehmen werden nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) immer raffinierter und effektiver. "Bis vor wenigen Jahren glichen Cyber-Angriffe einem elektronischen Flächen-Bombardement, dadurch hatten Angreifer große Streuverluste", sagte BSI-Präsident Arne Schönbohm der Bild-Zeitung. "Heute sind Cyber-Attacken sehr viel präziser und auf einzelne Ziele, wie den Bundestag, angelegt. Das ist leider auch viel erfolgreicher."

Hohe Zahl an Angriffen

Sein Amt sei in erster Linie für den Schutz des Regierungsnetzes verantwortlich, und "das hat noch kein Hacker geknackt". Allerdings sei die Frequenz der Angriffe – ob auf private oder öffentliche Einrichtungen – schon enorm, sagte Schönbohm. "Volkswagen gibt die Zahl der Cyber-Attacken auf sein IT-Netz mit 6000 Fällen pro Tag an. Und wir stellen jeden Tag allein mehr als 20 hochspezialisierte Angriffe auf das Regierungsnetz fest. Die Zahl der Cyber-Attacken ist also sehr hoch."

Einige Bundesländer bauen im Kampf gegen Cybercrime und terroristische Aktivitäten im Netz ihre Ermittlungsbehörden zum Teil erheblich aus. Sie planen etwa neue Spezialabteilungen und stellen Staatsanwälte, Ermittler und IT-Experten ein. Sicherheitsexperten befürchten, dass Terroristen oder Staaten über Cyberattacken versuchen könnten, für die Versorgung der Gesellschaft überlebenswichtige Anlagen – etwa bei der Wasser- oder Energieversorgung – anzugreifen. (dpa) /(kbe)

 

Quelle: heise.de

2016-12-14 09:05:18

Seit einiger Zeit werden Apple Nutzer, die die iCloud verwenden mit einer bisher weniger verbreiteten Spam-Variante konfrontiert. Es handelt sich hierbei um nervige Werbung per Kalender-Einladung. Hier versuchen unseriöse Anbieter Ihre Produkte an den Mann zu bringen - gleichzeitig wollen Sie aber die angeschriebenen E-Mail Adressen verifizieren.

Das Problem dabei ist, das Apple bei den Kalender-Einladungen dem Nutzer nur drei Optionen anbietet zur Wahl - "Annehmen, Vielleicht, Ablehnen" - klickt der Nutzer auf eine der drei Optionen wird die Antwort dem Absender der Einladung übermittelt, damit hat er die bestätigung, das die E-Mail verifiziert ist und konfrontiert den Nutzer mit nur noch mehr Spam. Derat valide E-Mails werden unter Cyberkriminellen hoch gehandelt.

In den etwas älteren OS X Versionen gab es die Option "Löschen und nicht benachrichtigen" - leider ist diese in den neueren Updates verschwunden.
Leider bietet Apple hier noch keine Lösung an. Es gibt hier einige aufwändige Workflows, um auf solche Spam-Einladungen zu reagieren.

Legen Sie einen Kalender an, extra für solche SPAM-Einladungen. Verschieben Sie die Einladungen anschließend in diesen Kalender. Nun können Sie den Kalender einfach löschen und die Einladungen sind ebenfalls Geschichte.

Es kann durchaus hilfreich sein, hier mal einen Screenshot der Einladung zu machen. Diesen screenshot können Sie anschließend an abuse@icloud.com senden. Die Folge davon ist eine Sperrung für das genutzte iCloud Konto.

2016-11-27 12:41:39

Testen Sie Ihr Wissen in den verschiedensten Bereichen der IT-Sicherheit. Das Awareness Quiz ist der ideale Einstieg für Mitarbeiter, Ihre Kentnisse in den verschiedensten Bereichen nachhaltig zu verbessern. In unserem Bereich Awareness-Quiz finden Sie die unterschiedlichsten Quiz-Bereiche. Jeder Quiz-Bereich beinhaltet diverse Multiple-Choice Fragen. Selbstverständlich wird am Ende aufgelöst und aufgeklärt.

2016-11-27 12:41:39

Die User-Guides befassen sich mit verschiedenen Bereichen in der IT-Sicherheit. Anhand von Beispielen wird erklärt, wie die IT-Sicherheit in Unternehmen in den verschiedensten Bereichen verbessert werden kann. Oft sind sich die Mitarbeiter gar nicht bewusst, wie leicht sensible Daten entwendet werden können. Durch kleine, aber signifikante Verbesserungen wird stetig die IT-Sicherheit erhöht. Die User-Guides unterstützen hier die Nachhaltigkeit.

2016-09-16 13:09:03

Sicherheitsforschern zufolge hat es Miner-C unter anderem auf Netzwerkspeicher von Seagate abgesehen, um von da aus Computer zu infizieren und Kryptowährung zu schürfen

Weltweit sollen 5000 NAS-Server die Malware Miner-C verteilen. Bei einem Großteil davon handele es sich um den Netzwerkspeicher Central von Seagte, berichten Sicherheitsforscher von Sophos.

Greift ein Windows-Computer auf ein Gerät zu auf dem Miner-C hinterlegt ist, könne der Schädling unter gewissen Umständen den Computer befallen. Anschließend sollen die Drahtzieher hinter Miner-C Sophos zufolge infizierte Computer zum Schürfen der Krpytowährung Monero missbrauchen. Sophos geht davon aus, dass die Kriminellen so bereits rund 77.000 Euro geerntet haben.

In ihrem Bericht sprechen die Sicherheitsforscher von einer Schwachstelle im NAS Central, die Angreifer zum Hochladen der Malware missbrauchen können. Das Problem dabei ist, dass selbst ein anonymer Nutzer Dateien auf dem Netzwerkspeicher hinterlegen kann, wenn der Fernzugriff aktiviert ist. Dateien landen in dem öffentlich zugänglichen Public-Ordner.

Fake-Windows-Ordner

Klickt ein potentielles Opfer auf die platzierte Datei, springt Miner-C auf den Computer über und zwackt dessen Leistung zum Schürfen von Monero ab. Um Opfer hinters Licht zu führen, setzen die Malware-Entwickler auf einen Trick: Der Schädling befindet sich im Public-Ordner in einer Datei namens Photo.scr. Diese Dateiendung zeichnet unter Windows Bildschirmschoner aus. Das Icon der Datei sieht jedoch wie ein Windows-Ordner aus. Da Windows in der Regel die Namenserweiterung ausblendet, kann ein Opfer denken, es öffnet einen Ordner, führt nach einem Doppelklick aber die Malware aus.

Sophos zufolge können sich Besitzer des Netzwerkspeichers nur schützen, wenn sie den Fernzugriff deaktivieren. In diesem Fall kann man aber auch nicht mehr über das Internet auf seine Dateien zugreifen.

Quelle: heise.de

2016-09-16 13:00:53

Sicherheitsforschern zufolge kann Locky sein Schadenswerk jetzt auch offline ohne Kontakt zum Command-and-Control-Server der Kriminellen verrichten.

Die Ransomware Locky hat dazugelernt und kann nun auch Daten auf Windows-Computern verschlüsseln, die nicht an das Internet angebunden sind, erläutern Sicherheitsforscher von Avira. In vorigen Versionen konnte der Schädling auf Offline-Systemen nichts ausrichten, da die Drahtzieher die Verschlüsselung erst über einen vom Command-and-Control-Server (C&C) aus gesendeten Befehl anstoßen konnten.

Der neue Ansatz bringt zudem mit sich, dass Locky für Offline-Opfer keine individuellen RSA-Schlüssel (Public Key) für die Verschlüsselung erzeugt. In der Vergangenheit wurde der für die Entschlüsselung benötigte geheime Schlüssel außer der Reichweite der Opfer auf dem C&C-Server verwahrt. Wo sich dieser nun befindet, ist derzeit nicht bekannt.

Nicht nur Vorteile

Ohne C&C-Server können die Kriminellen noch besser im Verborgenen arbeiten, schließlich benötigen sie keine kostenintensive Server-Infrastruktur mehr, deren Standort sie verschleiern müssen. Für die Bezahlung des Lösegelds setzt Locky aber weiterhin auf URLs, die auf Hidden Services in das anonymisierte Tor-Netzwerk verweisen.

Strafverfolgungsbehörden haben ohne C&C-Server noch weniger Ansatzpunkte für Ermittlungen. Doch die Umstellung bringt nicht nur Vorteile für die Kriminellen mit sich und sie müssen auf Infektions-Statistiken der C&C-Server verzichten.

Neuer Loader

In der Regel versuchen Kriminelle Opfer mit gefälschten E-Mails dazu zu bringen, den Datei-Anhang dieser Mails zu öffnen, um so eine Infektion einzuleiten. Doch im Anhang befindet sich nicht direkt der Schädling, sondern ein Office-Dokument mit Makro-Code oder ein Skript, das nach dem Öffnen den Schädling auf den Computer holt. Dafür kommen sogenannte Loader zum Einsatz.

Neuerdings soll Locky über den Quant Loader auf Computer gelangen, berichten Sicherheitsforscher von Forcepoint. Der Loader werde in russischen Untergrund-Foren zum Verkauf angeboten und wirbt neben dem Download von Schädlingen unter anderem auch mit der Möglichkeit, Nutzer-Rechte erhöhen zu können. Letzteres können die Sicherheitsforscher aber nicht bestätigen.

Zudem lockt der Anbieter damit, dass der Quant Loader von Grund auf neu entwickelt wurde und sich effektiv vor Viren-Wächtern verstecken kann. Einer Analyse von Forcepoint zufolge ist das aber nicht der Fall und der Quant Loader baut auf dem Code des Madness DDoS Systems auf, das bereits von vielen Viren-Wächtern erkannt wird. (des)

 

 

Quelle: heise.de

2016-09-05 17:50:51

Unsere Themenwelten umfassen die verschiedensten Bereiche in der IT-Sicherheit. Egal ob Sie unterwegs sind, Zuhause oder in Ihrem Büro arbeiten. Viele Mitarbeiter wissen nicht, wie schnell sensible Daten wie Kundeninformationen, Auftragsnummern oder sogar Kreditkartennummern verschwinden können.

bewusstsicher grey

Mit dem bewusstsicher Mitarbeiterportal bleiben Sie immer informiert!


Security & Awareness Experten GmbH
Splieterstr. 25 b
48231 Warendorf

Tel: 02581 98 84 790
Mail: info@awareness-experte.de

Themenwelten

passwortsicherheit

Passwortsicherheit

Alles über die Passwortsicherheit

phishing

Pishing

Was ist Phishing und wie gehen Social Engineerer vor?

cleandesk

Clean Desk

Produktiver werden durch Clean Desk Policy

onlinebanking

Online-Banking

Seien Sie vorsichtig beim Online-Banking

wlan

WLAN

Über die Gefahren beim WLAN

emails

E-Mail

Alles rund um das Thema E-Mail