Top Thema
Ryuk-Zuck, Conti-nentaldrift: Die Wandlung der Ransomware
Kurzzeitig hatten Beobachtende und (potenziell) Betroffene zuletzt aufatmen können: Ransomware-Gangs wie die berüchtigte REvil-Gruppe waren durch konzertierte Aktionen von Strafverfolgungsbehörden unter Druck geraten. In der Folge hatten die Cyberkriminellen bestimmte Aktivitäten eingestellt; die sogenannte „victim shaming“-Site von REvil, auf der die gehackten Organisationen samt einem Teil ihrer gestohlenen Daten präsentiert wurden, um den Druck zur Zahlung des Lösegelds zu erhöhen, ging offline.
Nun scheint in den letzten Wochen eine Verlagerung der Aktivitäten und Anpassung der „Geschäftsmodelle“ stattgefunden zu haben. Die Kampagne „Conti“ etwa ist laut Informationen auf ihrer eigenen Website dazu übergegangen, neben den bisherigen Standbeinen „Lösegeld für Entschlüsselung“ und „Lösegeld oder wir leaken die Daten“, zusätzlich Zugriff in die Netze der gehackten Organisationen zum Kauf anzubieten.
Noch wird spekuliert, was der wirkliche Grund für diesen „Pivot“ ist. Einerseits würde dieser Schritt FIN12 – der Gruppe hinter Conti und Ryuk – eine zusätzliche Einnahmequelle ermöglichen. Zum anderen scheint das verlässliche und systematische Leaken von Daten, ohne das die Erpressung nicht wirken kann, die Gruppen vor erhebliche Herausforderungen zu stellen – technisch sowie hinsichtlich der Strafverfolgung. Denn Tor-/Onion-Sites im „Darknet“ haben eine geringe Bandbreite, während öffentliche Downloadseiten im Internet schneller gesperrt werden können. Es bleibt also zu beobachten, in welche Richtung sich die Marktbereinigung und Reorganisation weiterentwickelt und ob die Schläge von FBI und Co. am Ende eine positive Auswirkung hatten.
https://krebsonsecurity.com/2021/10/conti-ransom-gang-starts-selling-access-to-victims/
Neuigkeiten
Es rappelt in den Kisters: Ransomware ereilt Energie-Supply-Chain
Als nächsten neuralgischen Punkt einer wichtigen Supply-Chain hat es die Energiebranche erwischt: Die Firma Kisters ist außerhalb des Sektors Wenigen bekannt, stellt aber einen wichtigen Dienstleister und Single Point of Failure dar. Dies wurde schmerzlich bewusst, als zentrale Systeme von Kisters durch eine Ransomware verschlüsselt wurden. Durch diese wurden die Mitarbeiterinnen und Mitarbeiter aus den eigenen Systemen ausgesperrt und konnten so zeitweise auch keinen Kundensupport leisten. Bisher gibt es keine Hinweise darauf, dass ausgelieferte Software kompromittiert wurde.
https://energie.blog/cyber-angriff-auf-kisters-ag-durch-orchestrierte-ransomware-attacke/
HiSolutions
Training für Ihre IT-Sicherheit
Für die Realisierung Ihrer institutionellen Informationssicherheit ist es wichtig, Ihre Mitarbeitenden ausreichend zu sensibilisieren. Wir bieten zielgerichtete Schulungen und Trainings, in denen das Verständnis und Bewusstsein umzusetzender Sicherheitsmaßnahmen vermittelt werden. Ziel ist, dass sich jeder Mitarbeitende seiner Rolle bewusst ist und bei auftretenden sicherheitskritischen Situationen unterstützend agieren kann.
Nutzen Sie den Vorteil des reduzierten unternehmensinternen Aufklärungsaufwands durch die Unterstützung der erfahrenen HiSolutions-Experten.
https://www.hisolutions.com/security-consulting/academy
Finale rulez: Final Rule für US-Banken
Die US-Bankenaufsicht hat hart durchgegriffen und die sogenannte „Final Rule“ veröffentlicht: Demnächst müssen US-Banken und ihre Dienstleister Security Incidents innerhalb von 36 Stunden melden.
Zusätzlich sind „asap“ auch betroffene Kunden zu informieren, wenn es plausibel erscheint, dass ein Ausfall oder eine Störung durch einen Cyber-Vorfall mehr als vier Stunden dauern könnte. Die Regelung tritt am 1.5.2022 in Kraft.
https://www.fdic.gov/news/board-matters/2021/2021-11-17-notational-fr.pdf
Als Hitler den gelben Impfausweis stahl
Die Sicherheit der Impfzertifikats-PKI ist in manchen Ländern noch eine Baustelle. So präsentierten Unbekannte Impfzertifikate, die sie auf den Namen „Adolf Hitler“ ausstellen konnten. Angeblich hatten sie Zugriff auf die privaten Schlüssel der CA-Zertifikate von Frankreich und Polen. Allerdings ist die Kompromittierung der Root-CA nur eine mögliche Erklärung dieses Zwischenfalls. Leider ist die Aufklärung des Sachverhalts erschwert, da das zuständige Gesundheitsministerium keine Details zum Sperrverfahren preisgeben möchte.
Zwergenaufstand: Neue Rekorde bei Quantencomputern
Zwar fallen die Specs von Quantencomputern im Vergleich zu handelsüblichen „klassischen“ Rechnern immer noch bescheiden aus, allerdings wurden auf diesem Gebiet in den letzten zwei Jahren erhebliche Fortschritte erzielt.
Ganze 256 „Qubits“ (Quanten-Bits) umfasst nun ein neu angekündigter Chip, und nächstes Jahr soll die Kilo-Qubit-Grenze fallen. Noch reicht dies nicht, um Algorithmen wie RSA, Diffie-Hellman und elliptische Kurven zu brechen. Sollte die Entwicklung allerdings in diesem Tempo weitergehen, müssen wir Schätzungen ernst nehmen, nach denen Quantencomputer in „5-15“ Jahren verfügbar sein könnten und die heute genutzte Kryptographie in weiten Teilen nutzlos machen würden.
Zwergensuche: Minikameras finden Minikameras
Miniaturkameras, inzwischen für kleines Geld in Reiskorngröße zu bekommen, stellen eine zunehmende Gefährdung dar. Angebracht in Einrichtungs- und Alltagsgegenständen wie etwa in Hotels oder Ferienwohnungen bedrohen sie nicht nur Geschäftsgeheimnisse, sondern vor allem auch die Privatsphäre. Dies wiederum lässt sich bisweilen zu erpresserischen Zwecken ausnutzen.
Forscher haben nun eine App entwickelt, mittels derer ein Smartphone unter Nutzung des Entfernungssensors einen Raum nach diesen Spionageeinrichtungen erfolgreich scannen kann. Eine Veröffentlichung der App ist geplant.
https://www.helpnetsecurity.com/2021/11/23/find-hidden-cameras-smartphone
Leerzeichen bombensicher: Was wirklich gebruteforced wird
Forscher der „Deception“-Abteilung von Microsoft haben ihre Honeypots umfangreich ausgewertet und dabei interessante Erkenntnisse über Brute-Force-Angriffe gewonnen. So stellte sich heraus, dass Angreifer eher selten versuchen, Passwörter mit einer Länge von mehr als zehn Zeichen zu erraten. Zahlen als Teil des Passworts werden oft probiert, Sonderzeichen hingegen schon seltener.
Geheimtipp: Leerzeichen als Teil des Passworts vermuten die Angreifer scheinbar nie. ;-)
https://therecord.media/attackers-dont-bother-brute-forcing-long-passwords-microsoft-engineer-says/
Medientipps
Aus den Verhandlungen
Neue Forschung zum Thema Ransomware-Ökonomie inklusive Original-Beispielen aus Erpresserverhandlungen: https://research.nccgroup.com/2021/11/12/we-wait-because-we-know-you-inside-the-ransomware-negotiation-economics/
Auf die Ohren
Manuel Atug von HiSolutions zu Gast im Percepticon-Podcast von Matthias Schulze zum Thema Ransomware: https://percepticon.de/2021/11/30-ransomware-invite-manuel-atug/
Der nächste HiSolutions-Cybersecurity Digest erscheint vor Weihnachten 2021.
Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!