HiS-Cybersecurity Digest Juli 2017
Die Top Themen des letzten Monats: Prüfer und Kompetenz für kritische Infrastrukturen, „Industroyer“ ist neuer Stuxnet, 1 Million für Kryptoschlüssel, 3 Millionen für Datenverlust, Security-Hersteller versichern Cyber, Gerätehersteller werden Makler, Seitenkanalangriff auf GnuPG und was Britney Spears‘ Instagram-Account wirklich verbreitet hat.
Top Thema
Petya oder NotPetya – das ist hier die Frage
Nur wenige Wochen nach WannaCry sorgte der nächste weltweite Ausbruch einer Schadsoftware für Aufregung. Nach ersten Überprüfungen wurde der Schädling als eine neue Variante des bereits 2016 beobachteten Kryptotrojaners Petya eingestuft – eine Einschätzung, die später jedoch wieder zurückgezogen wurde. Seitdem wird die Bezeichnung NotPetya verwendet.
Der Ausbruch betraf anfangs offenbar überwiegend die Ukraine. Etwas später waren auch große internationale Konzerne wie der dänische Container-Riese Maersk und der Hafen in Rotterdam betroffen. Das BSI geht davon aus, dass die Infektion über ukrainische Tochterunternehmen nach Westeuropa gelangte. Der Kosmetikkonzern Beiersdorf aus Hamburg ("Nivea") war besonders stark betroffen: Nicht nur E-Mail-Server und die Telefonanlage waren tot, auch sämtliche Produktionsstätten weltweit wurden lahmgelegt. Auch bei Mondelez ("Milka", "Toblerone") stand die Produktion etliche Tage still.
https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/
Neuigkeiten im Juni:
NotPetya – Verbreitungswege und Motive
Als Angriffsvektor wurde erstmals ein manipuliertes Softwareupdate eingesetzt, und zwar für die von allen Unternehmen in der Ukraine genutzte Steuererklärungssoftware MeDoc. Das Update war mit einem gefälschten Microsoft-Zertifikat signiert, was die Verbreitung erleichtert hat, da einige Virenscanner sich mit einer oberflächlichen Prüfung der Zertifikatsinformationen zufriedengaben.
Für die weitere Verbreitung wird diesmal das lokale Netzwerk sorgfältig ausgeforscht, bevor ein Angriff auf andere Systeme gestartet wird. Damit wird auffälliger Netzwerkverkehr vermieden. Dabei kommt zwar auch die schon bei WannaCry verwendete Schwachstelle EternalBlue zum Einsatz, darüber hinaus werden aber auch andere Verfahren für die Infektion eingesetzt.
Üblicherweise achten Erpresser darauf, dem "Kunden" zumindest angeblich einen verlässlichen Weg für die Entschlüsselung der Daten anzubieten. In diesem Fall aber war dafür die Kommunikation via E-Mail erforderlich. Der Anbieter Posteo sperrte jedoch den anonymen Mail-Account der Erpresser kurz nach Bekanntwerden der Angriffe. Eine Entschlüsselung war dementsprechend nicht mehr möglich, die Zahlungsbereitschaft nahm stark ab. Die Informationen, welche den Geschädigten genannt wurden, waren für die Entschlüsselung zudem gar nicht geeignet, da eine eindeutige Zuordnung nicht möglich war. Das kann als Hinweis darauf gedeutet werden, dass finanzielle Interessen nicht im Vordergrund standen. Möglicherweise sollte einfach ein größtmöglicher Schaden angerichtet werden, oder es könnte sich um eine Machtdemonstration gehandelt haben. Andere Sicherheitsexperten gehen jedoch davon aus, dass diese Fehler auf Schlampigkeit der Täter zurückzuführen sind.
Ausgestanden ist die Gefahr noch nicht, da scheinbar weitere Backdoors installiert wurden, die nun auf hunderttausenden von Systemen darauf warten, aktiviert zu werden.
--------------------------------------------------------------
HiSolutions:
Prüfer und Kompetenz für kritische Infrastrukturen/Schulung 25.-27.9.2017
Betreiber Kritischer Infrastrukturen sind im Rahmen des IT-Sicherheitsgesetzes dazu verpflichtet, umfangreiche Nachweispflichten zu erbringen. Eine dreitägige Schulung der HiSolutions AG zu diesem Thema richtet sich nicht nur an interne Revisoren und Auditoren, sondern insbesondere auch an Betreiber, deren Dienstleister und weitere interessierte Teilnehmer. Diesen vermittelt die Schulung einen KRITIS-Überblick und versetzt sie in die Lage, eine zielorientierte Vorbereitung auf Prüfungen nach § 8a BSIG vorzunehmen. Die nächste Schulung findet vom 25.- 27.09.2017 an unserem Standort in Berlin statt. Interessierten bieten wir auch eine Inhouse-Schulung an sowie einen eintägigen Rundumblick ohne Zertifizierungsprüfung.
HiSolutions verfügt aktuell über die meisten vom BSI gelisteten Prüfer für kritische Infrastrukturen mit zusätzlicher Prüfverfahrenskompetenz nach § 8a BSIG. Darüber hinaus wird HiSolutions vom BSI als Schulungsanbieter für die zusätzliche Prüfverfahrens-Kompetenz nach § 8a BSIG anerkannt.
https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/Was_tun/Nachweise/Schulungsanbieter/Schulungsanbieter_node.html
--------------------------------------------------------------
Noch nie artig, jetzt auch nicht mehr einzig – „Industroyer“ ist neuer Stuxnet
Sicherheitsforscher des slowakischen Antivirenherstellers ESET haben ein „zweites Stuxnet“ entdeckt. Der hochentwickelte Trojaner „Industroyer“ soll für den Angriff auf den ukrainischen Stromversorger Ukrenergo kurz vor Weihnachten verantwortlich gewesen sein. Damit ist er nach Stuxnet die zweite speziell für Industrieanlagen programmierte Schadsoftware, deren Angriff auf eine aktive Anlage bekannt geworden ist.
https://www.welivesecurity.com/deutsch/2017/06/12/industroyer-bedroht-kritische-infrastrukturen/
--------------------------------------------------------------
Nicht gepatcht – 1 Million für Kryptoschlüssel
Der südkoreanische Webhoster Nayana hat die Rekordsumme von 1,3 Milliarden Won (1,14 Millionen US-Dollar) gezahlt, um wieder an die Daten zu kommen, welche durch einen Kryptotrojaner verschlüsselt waren – 153 Webserver inklusive Backups. Ursprünglich hatten die Erpresser mehr als das Doppelte gefordert. Die hinter dem Angriff stehende Schadsoftware Erebus war früher nur für Windows ausgelegt, wurde aber kürzlich modifiziert, um auch Linux-Systeme angreifen zu können. Bei Nayana waren stark veraltete Versionen des Linux-Kernels sowie von Apache und PHP im Einsatz, für die es zahlreiche Exploits gibt.
http://www.zdnet.de/88301695/ransomware-webhoster-zahlt-1-million-dollar-loesegeld/
--------------------------------------------------------------
Durchschnittsschaden – 3 Millionen für Datenverlust
Eine neue IBM-Studie beziffert die durchschnittlichen Kosten für einen Datenverlust in Deutschland auf 3,4 Millionen Euro. In einem Viertel der Fälle waren jedoch nicht Angriffe dafür verantwortlich, sondern menschliches Versagen. Im Jahresvergleich sind die einzelnen Datenpannen gewachsen (plus 1,8 Prozent auf 24.000 Datensätze pro Panne), die Kosten pro Datensatz jedoch um 12 % auf 141 Euro gesunken.
https://de.statista.com/infografik/9914/durchschnittliche-kosten-je-datenpanne/
--------------------------------------------------------------
Vollkasko? Security-Hersteller versichern Cyber
Während das Thema Cyberversicherungen weiter an Fahrt gewinnt, springen nun erste Hersteller von Security-Produkten auf den Zug auf und versprechen ihren Kunden Garantien in Form von Versicherungen. Teilweise wird bis zu 1 Million Euro an Schäden übernommen, wenn die gekaufte Firewall oder Appliance etwa den Kryptotrojaner doch nicht hat abwehren können. Das Modell scheint lukrativ zu sein: für die Hersteller aufgrund des Marketingeffekts, für die dahinterstehenden Versicherer zur Erschließung neuer Kundengruppen sowie wegen des möglicherweise tatsächlich leicht geminderten Risikos. Allerdings ist eine wie auch immer begrenzte finanzielle Kompensation in bestimmten Schadensfällen nur ein schwacher Trost – zumal in der Regel nur bestimmte Schäden abgedeckt sind. Zudem ist es in der Praxis nicht immer einfach nachzuweisen, dass die Bedingungen für die Kostenerstattung erfüllt sind.
https://www.heise.de/tr/artikel/IT-Sicherheit-mit-Garantie-3761532.html
--------------------------------------------------------------
Rundum sorglos? Gerätehersteller werden Makler
Bestimmte große Hersteller von Standardgeräten gehen noch einen Schritt weiter und nutzen ihre Marktmacht, um ihren Kunden günstigere Cyberversicherungen zu verschaffen. Mit dem Argument, ihre Geräte seien grundsätzlich weniger anfällig gegenüber Hackerangriffen, versuchen Apple und Cisco die Prämien zu drücken. Der eigentliche Effekt dürfte aber auch hier über ihre Rolle als Großmakler entstehen.
https://blogs.cisco.com/security/apple-and-cisco-partnering-to-deliver-the-deepest-visibility-and-security-control-for-a-mobile-work-force/
--------------------------------------------------------------
Vorwärts, rückwärts, SEITWÄRTS, run: Seitenkanalangriff auf GnuPG
Die für die Verschlüsselung von Emails oder Daten genutzte Software GnuPG bzw. die zugrundeliegende Bibliothek libgcrypt war für einen sogenannten Seitenkanalangriff anfällig. Dabei konnten über Informationen aus dem Prozessor-Cache zuverlässig private 1024-Bit-RSA-Schlüssel rekonstruiert werden. Der Angriff funktionierte auch mit den heute viel genutzten 2048-Bit-Schlüsseln, aber nur in 13 % der Fälle. Grundsätzlich war für den Angriff lokaler Zugriff auf das System erforderlich, dieser konnte ggf. jedoch auch über die Grenzen von virtuellen Maschinen hinweg erfolgen. Inzwischen ist die Lücke gefixt.
http://derstandard.at/2000060807740/GnuPG-Sicherheitsforschern-gelingt-es-geheime-Schluessel-auszulesen/
--------------------------------------------------------------
Ooops she did it again – Britney Spears‘ Instagram-Account steuert Backdoor-Trojaner
Angreifer nutzen zuweilen kreative Methoden, um die Verbindung ihrer Botnetz-Zombies zu C&C-(Command-and-Control)-Servern zu verschleiern. Eine Steigerung der bereits 2015 genutzten Tarnung in Verbindungen des Satelliten-Internetstellt diese aktuelle Masche dar, bei der mutmaßliche russische Hacker das Instagram-Konto von Britney Spears genutzt haben, um geschickt getarnte geheime Befehle an das von ihnen kontrollierte Heer von Schädlingen zu senden.
https://www.heise.de/security/meldung/Hacker-operieren-getarnt-ueber-Satelliten-Internet-2810339.html
--------------------------------------------------------------
LESETIPPS
In dieser neuen Rubrik möchten wir Ihnen zukünftig interessante Beiträge zum Weiterlesen vorstellen.
3x iX
Im Magazin für professionelle Informationstechnik iX finden Sie aktuell drei spannende Artikel unserer Experten:
* IT-Sicherheit wird in ihrer Gänze immer schwerer beherrschbar. Warum weniger Komplexität zwingend notwendig ist und was uns andernfalls droht, erklärt die Titelgeschichte „Kampf gegen die Komplexität“ von David Fuhr, Head of Research bei HiSolutions, in iX 7/2017. https://www.heise.de/ix/heft/Ueberstrapaziert-3754398.html
* Im Beitrag „Erweiterte Sicherheitszone“ beschreiben die HiSolutions-Experten Manuel Atug, Kai Mettke-Pick und Dennis Pohl, wie mit dem frisch verabschiedeten Korb II der BSI-KRITIS-Verordnung nun auch die Sektoren Finanzen und Versicherungen, Gesundheit sowie Transport und Verkehr Berücksichtigung finden. Dazu wird erläutert, welche Strategien Betreiber Kritischer Infrastrukturen anwenden sollten, um ihr ISMS und Notfall- und Krisenmanagement auf den zu ermittelnden Geltungsbereich auszurichten, innerhalb der gesetzlichen Fristen das Meldeverfahren aufzusetzen und fristgerecht Prüfnachweise an das BSI zu senden. https://www.heise.de/select/ix/2017/7/1499120708609717/
* Ronny Frankenstein, Director bei HiSolutions, gibt im iX Special 2017 in der Rubrik Security & Recht wertvolle Tipps zur Auswahl externer Partner: „Auf Kurs. Management von Projekten der Informationssicherheit“. https://www.heise.de/select/ix/2017/13/1498256265377863/
Der nächste HiS-Cybersecurity Digest erscheint Anfang August 2017.
Für Rückfragen und Anregungen kontaktieren Sie uns gern!
