Kategorie: Allgemein

Sicherheitsforscherinnen und -forscher aus den Reihen des Chaos Computer Clubs (CCC) waren in den vergangenen Wochen wieder einmal aktiv und haben unter dem Motto „Web-Patrouille“ das Netz großflächig nach Datenlecks abgesucht. Dabei wurden sie reichlich fündig: 6,4 Millionen personenbezogene Datensätze in 50 Datenleaks, die jeweils ungesichert, offen zugänglich waren, etwa in Git-Repositories oder Elasticsearch-Instanzen.

Betroffen waren sowohl staatliche Einrichtung als auch Unternehmen. Die Reaktionen der Betroffenen waren unterschiedlich, aber immerhin wurde keine Strafanzeige gestellt, und der Großteil der Organisationen bedankte sich sogar.

https://www.ccc.de/de/updates/2022/web-patrouille-ccc

Vor etwa zwanzig Jahren machte ein neuartiges Angriffsmuster Furore, mit dem sich Viren fast perfekt tarnen und so zum fatalen Doppelklick verleiten konnten: Bei „Right-to-Left Override“ (RLO) wird ein spezielles Steuerzeichen gesendet, durch welches die Textrichtung auf rechts-nach-links umgestellt wird. Dies ist wichtig für bestimmte Sprachen wie Hebräisch oder Arabisch, bei denen von rechts gelesen wird.

In der Vergangenheit wurden so gefährliche Dateiendungen wie „.exe“ – wenn man der Anzeige glaubt – mitten im Dateinamen versteckt. Derartige Angriffe werden längst von gängigen Antivirenprogrammen erkannt, sodass sie praktisch keine Rolle mehr spielen.

Nun ist der alte Hut wieder aufgetaucht und wird aktuell etwa in Phishing-Kampagnen im Rahmen von Microsoft 365 verwendet, um gefährliche Klicks harmlos aussehen zu lassen.

https://www.darkreading.com/attacks-breaches/threat-actors-revive-20-year-old-tactic-in-microsoft-365-phishing-attacks

Auch die Malware Trickbot blickt schon auf eine wechselhafte Geschichte seit ihrer Erschaffung 2016 zurück. Im Oktober 2020 war es US-amerikanischen Behörden und ihren Partnern gelungen, die Operationen der Tätergruppe erfolgreich technisch anzugreifen und so den Betrieb von Trickbot fast zum Erliegen zu bringen.

Heute trumpft die inzwischen wiederbelebte Malware mit neuen Modulen auf, mit welchen insbesondere gezielt Kunden bekannter Unternehmen wie Amazon oder PayPal angegriffen werden sollen. Trickbot ist damit vom Bedrohungspotenzial mittlerweile wieder Nummer 1 des inoffiziellen Malware-Rankings.

In den letzten Monaten hatten wir verschiedentlich über Erfolge im Kampf gegen Ransomware berichten können. Unter anderem waren Strafverfolgungsbehörden einige spektakuläre Aktionen gegen bestimmte Ransomware-Gruppen wie REvil gelungen.

Nun scheint sich dieser Trend umzukehren. In einer gemeinsamen Stellungnahme warnen mehrere für Cybersicherheit zuständige Organisationen der USA, Australiens und Großbritanniens vor zunehmenden Ransomware-Attacken. Diese zielten besonders auf kritische Infrastrukturen ab.

https://www.zdnet.com/article/ransomware-warning-attacks-are-rising-and-theyll-keep-coming-if-victims-keep-paying/

Die Aktivitäten der staatlich gesteuerten bzw. finanzierten Hacker haben selbstverständlich nicht erst mit der Invasion begonnen. Vielmehr ist seit Jahren ein Aufrüsten aller Seiten im Cyberraum zu beobachten.

So haben vermutlich Russland zuordenbare Akteure spätestens seit Januar 2020 sensible Daten aus Waffenentwicklungsprogrammen der USA entwendet. Dies erfolgte im Rahmen einer größeren Kampagne, die auch weitere Regierungsorganisationen als Ziel hatte.

https://www.darkreading.com/attacks-breaches/russian-actors-targeting-us-defense-contractors-in-cyber-espionage-campaign

Ein besorgter Familienvater in Frankreich wollte verhindern, dass seine Kinder heimlich im Internet surfen. Diese seien im Lauf der langen Corona-Pandemie abhängig von sozialen Medien geworden.

Sein (in Frankreich wie in Deutschland illegales) Mittel – ein Störsender – schoss jedoch weit übers Ziel hinaus und legte das Mobilfunknetz der ganzen Gemeinde lahm. Nun droht dem Mann neben einer Geld- auch eine bis zu sechsmonatige Haftstrafe.

https://www.golem.de/news/stoersender-vater-knipst-versehentlich-internet-einer-stadt-aus-2202-163294.html

Die Fernwartungstechnik „Integrated Lights-Out“ (iLO) wird benutzt, um Server fernzusteuern oder Software upzudaten. Diese Funktion wurde von einer Malware ausgenutzt, um regelmäßig die Datenträger des Servers zu löschen. Weiterhin hat die Malware Persistenz, da sie ein Update der iLO-Firmware verhindert, aber einen Erfolg zurückmeldet. Hierzu wird eine falsche UI verwendet, an der die Malware erkannt werden kann. Die ausgenutzte Schwachstelle wurde schon 2017 gemeldet, aber damals anscheinend nicht ausreichend behoben.

https://www.heise.de/news/Rootkit-schluepft-durch-Luecke-in-HPEs-Fernwartung-iLO-6315714.html

Unbekannte haben in einem Cyberangriff auf das Internationale Komitee des Roten Kreuzes (IKRK) die Daten von über 515.000 Menschen gestohlen. Dabei handelt es sich um „höchst schutzbedürftige“ Personen, also etwa Vermisste, Inhaftierte oder Menschen, die durch Konflikte, Migration oder Katastrophen von ihren Familien getrennt wurden. Die Daten stammen von rund 60 nationalen Dienststellen des Roten Kreuzes und Roten Halbmondes weltweit. Das Motiv ist bisher unklar.

https://www.zdf.de/nachrichten/panorama/cyberattacke-rotes-kreuz-100.html

Ein Bug beim Cloud-Service-Provider Box ermöglichte es, die Multi-Faktor-Authentifizierung zu umgehen. Erfolgreiche Angreifer konnten die Zugangsdaten (SMS-Codes) stehlen, ohne Zugriff auf das Handy des Opfers zu benötigen. Der Fehler ist inzwischen behoben.

https://thehackernews.com/2022/01/researchers-bypass-sms-based-multi.html

Prodemokratische Hacktivisten geben an, die belarussische Staatsbahn mit Ransomware infiziert zu haben. Sie wollen damit kein Lösegeld erpressen, sondern die Freilassung politischer Gefangener der Opposition erzwingen und die Logistik für russische Truppen behindern. Der Schädling soll so beschaffen sein, dass Safety-kritische Funktionen nicht beeinträchtigt werden.

https://gizmodo.com/hackers-claim-strike-on-belarus-railway-intended-to-dis-1848411726