Top Thema
Abkaseyiert? REvil Supply Chain(saw) Massaker
Das erste Juli-Wochenende 2021 wird in die Geschichte eingehen als eines der größten Cyberattacken seit Maschinen(ge)denken. Wieder steckt die Gruppe „REvil“ dahinter. Diesmal traf es den IT-Dienstleister Kaseya, der Business- und Cloud-Management-Software sowie Überwachungslösungen verkauft bzw. vermietet. So konnten durch eine für den Hersteller nicht gerade glorreiche Schwachstelle in der Fernzugriffssoftware VSA 800 bis zu 1.500 unwissende Kaseya-Kunden angegriffen werden.
Weiterhin sind nach Aussagen des BSI nicht nur direkte Kunden von Kaseya gefährdet, sondern zusätzlich viele Unternehmen durch den Supply-Chain-Angriff auf ihre IT-Dienstleister, die Kaseya-Software zur Betreuung der Kunden-IT einsetzen. HiSolutions unterstützte bisher fünf betroffene deutsche Unternehmen. Derweil prahlte REvil im Darknet damit, mehr als eine Million Geräte infiziert zu haben und forderte zunächst 70 Millionen US-Dollar in Bitcoin für einen Generalschlüssel für alle betroffenen Systeme. Dies wäre eine Rekord-Erpressungssumme für Erpressungen – und möglicherweise ein Hinweis, dass sich das Erpressungsgeschäft immer mehr lohnt.
Am 13. Juli verschwanden dann allerdings urplötzlich die Repräsentanzen der REvil-Gruppe aus dem Internet und dem Darknet; einschlägige Seiten waren nicht mehr aufrufbar, sodass die bekannten Foren für die Verhandlung um Lösegelder nicht mehr zur Verfügung standen.
Und am 22. Juli konnte Kaseya vermelden, dass von einer „Trusted Third Party“ ein Generalschlüssel übergeben wurde. Ob Kaseya über Dritte ein Lösegeld bezahlte oder aber staatliche Stellen eingegriffen haben, ist zur Stunde unbekannt.
Immerhin hatte Kaseya die direkten Kunden schnell über die ursprüngliche Bedrohung informiert, allerdings verzögerten sich die Reaktionszeiten vieler Unternehmen aufgrund des Wochenendes. Außerdem war das Ausmaß zu Beginn schwer abzuschätzen, sodass Unternehmen, die Opfer der Supply-Chain wurden, nicht rechtzeitig gewarnt wurden. Glück im Unglück hatten europäische und asiatische Unternehmen, da die Hacker sich auf Amerika konzentrierten und zur dortigen Hauptarbeitszeit am Freitag angriffen. Viele der europäischen Systeme waren zu diesem Zeitpunkt bereits für das Wochenende abgeschaltet und kamen so glimpflich davon.
Neuigkeiten
Nightmare on Druckstraße: Versehentlicher Zero Day PrintNightmare
Im Zuge von Vorbereitungen der kommenden Security-Konferenz Black Hat im August hatten Forscher Details zu einem Printer-Spooler-Bug in Windows veröffentlicht. Erst im Anschluss stellte sich heraus, dass der von ihnen präsentierte Exploit eine bisher ungepatchte Lücke ausnutzt und somit nun als Zero-Day im Umlauf ist. Microsoft hatte im Juni eine ähnliche Schwachstelle (CVE-2021-1675) geschlossen. Die Lücke „PrintNightmare“ erlaubt u. U. das Übernehmen eines Windows-Systems aus der Ferne.
Einige Experten vermeldeten allerdings umgehend, dass der von Microsoft hastig nachgelegte Out-of-Band-Notfallpatch nicht erfolgreich sei. Das liegt laut Microsoft jedoch an unsicheren Registry-Einträgen.
Als Workaround können auch der Print Spooler abgeschaltet und die TCP-Ports 135 und 445 gesperrt werden. Betroffen sind Windows 7 bis 10 sowie Server 2008 bis Server 2019.
https://redmondmag.com/articles/2021/07/09/microsoft-clarifies-printnightmare-advice.aspx
HISOLUTIONS
Gut geübt ist halb gewonnen
Ob neue Angriffsmethoden, steigende Komplexität der IT-Landschaft oder unvorhergesehene Naturereignisse – Organisationen sehen sich heutzutage einer zunehmenden Gefährdungslage konfrontiert. Übungen und Tests sind daher integraler Bestandteil einer resilienten Organisation.
Als qualifizierter Partner verfügt HiSolutions über einen mehr als 25-jährigen umfassenden Erfahrungshorizont. Unser Übungsportfolio enthält eine Vielzahl an Durchführungsmöglichkeiten, Übungsarten und -schwerpunkten. Gemeinsam gestalten unsere Experten mit Ihnen die für Ihre Vorstellungen und Zwecke passende Übung.
Große Überraschung: Trojaner in illegaler Software
Groß ist bei vielen die Versuchung, illegale Software wie z. B. nicht lizensierte Adobe-Photoshop-Versionen oder Computerspiele zu installieren, um Geld zu sparen. Eine Studie analysiert nun einen Trojaner, der im Zeitraum von 2018 bis 2020 sein Unwesen trieb und in ebensolcher Software enthalten war. Gesammelt wurden dabei verschiedenste Daten, u. a. 26 Millionen Login-Daten, eine Million E-Mail-Adressen, zwei Milliarden Cookies und 6,6 Millionen Dateien. Weiterhin sind 22 % der gestohlenen Cookies immer noch gültig. Sie enthalten neben aktiven Sessions auch viele datenschutzrelevante Details, über die sich die Besitzer nicht unbedingt bewusst sind.
Besonders unangenehm an diesem namenlosen Trojaner ist, dass Fotos mit der Webcam geschossen wurden, sobald ein Gerät infiziert wurde. Dieses und andere Bilder, die auf dem Gerät gespeichert sind, wurden dann gestohlen.
https://cybernews.com/security/custom-trojan-stole-data-from-3-million-windows-devices-analysis/
Mehr Worte passen nicht: Bisher größte Sammlung an Passwörtern veröffentlicht
Einhundert Gigabyte groß ist die Passwortsammlung, die in einem populären Hackerforum veröffentlicht wurde. Sie enthält 8,4 Milliarden Passwörter und ist damit die größte Sammlung aller Zeiten. Getauft wurde sie auf den Namen „RockYou2021“. Allerdings ist die Sammlung nicht so beeindruckend, wie sie auf den ersten Blick scheint, denn viele der enthaltenen Passwörter entstammen früheren Leaks und Breaches. Weiterhin enthält sie nur Passwörter und keine dazugehörigen Nutzernamen oder E-Mail-Adressen. Trotzdem ist eine solche Sammlung interessant, um Wörterbuchangriffe durchzuführen oder neuronale Netze zu trainieren.
Passwörter sind von jeher ein Angriffspunkt, von dem aus mit einfachen Methoden viel erreicht werden kann, da sie häufig nicht ausreichend komplex gewählt sind. Nicht selten werden diese dann sogar noch mehrfach benutzt. Es gibt mehrere Websites, die anbieten zu prüfen, ob das eigene Passwort in Leaks enthalten ist.
https://cybernews.com/security/rockyou2021-alltime-largest-password-compilation-leaked/
HISOLUTIONS
SUSPEKTRUM 2021
Am 15. & 16. September findet in Köln die SUSPEKTRUM - Fachkonferenz gegen Wirtschaftskriminalität statt.
Erstmals in einem hybriden Format wird ein Einblick in das Vorgehen von Kriminalbeamten, Juristen, Psychologen und erfahrenen Führungskräften aus den Bereichen Security und Compliance vermittelt.
Für die persönliche Anwesenheit gilt eine Teilnehmerbegrenzung, die sich an den aktuellen Empfehlungen und behördlichen Auflagen orientiert. Egal ob behördliche Auflage oder nicht - wir stellen FFP2-Masken, Schnelltests und sorgen für ausreichende Abstände.
Programm und Tickets für digital und vor Ort unter: https://suspektrum.de/
Sicher kenn’se schon das Zeichen? IT-Sicherheitskennzeichen kommt
Mit dem IT-Sicherheitsgesetz 2.0 wurde das BSI mit der Entwicklung eines freiwilligen „IT-Sicherheitskennzeichens“ beauftragt. Dieses soll helfen, mehr Transparenz für Verbraucherinnen und Verbraucher zu schaffen. Ab Ende 2021 sollen Produkte ein solches IT-Sicherheitskennzeichen tragen können. Zunächst werden Anträge zu den Produktkategorien Breitbandrouter und E-Mail-Dienste möglich sein. Das IT-Sicherheitskennzeichen wird durch die Hersteller beantragt, das BSI vergibt das Kennzeichen dann nach erfolgreicher Plausibilitätsprüfung des Antrags inklusive der Herstellererklärung. Die entsprechende Informationsseite für Hersteller sowie für Verbraucherinnen und Verbraucher wurde kürzlich freigeschaltet.
1,023FA: Der lange Weg zur Zweifaktorauthentifizierung
Mehrfaktorauthentifizierung ist unbestritten eine der wirksamsten Einzelmaßnahmen, um die Security von Anwendungen zu erhöhen. Allerdings braucht es einen langen Atem, um User freiwillig in diese Richtung zu bewegen. Statistiken von Twitter zeigen, dass die Nutzung von 2FA im Jahresvergleich zwar um 9 % zugenommen hat, allerdings mit 2,3 % noch auf extrem niedrigem Niveau liegt. Davon nutzen fast 80 % die sicherheitstechnisch suboptimale SMS als zweiten Faktor.
https://transparency.twitter.com/en/reports/account-security.html#2020-jul-dec
Lesetipps
Sarah Fluchs mit einem Erklärbär-Exkurs über Security im Rahmen der Störfallverordnung
https://fluchsfriction.medium.com/security-im-rahmen-der-st%C3%B6rfallverordnung-8d5429f839ae
Konrad Degen mit einem Vergleich der öffentlich verfügbaren B3S
Jason Lee über die Frage, wie man bei einem der am schnellsten wachsenden Unternehmen aller Zeiten (Zoom) ein Security-Programm und Product Security gleichzeitig einführt
Der nächste HiSolutions-Cybersecurity Digest erscheint Ende August 2021.
Lesen Sie hier auch alle HiSolutions-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!