UnLockedBit: Verärgerter Mitarbeiter leakt Ransomware-Tool

Das entscheidende Intellectual Property (IP) der erfolgreichsten Ransomware-Gang der letzten Jahre, LockBit, ist geleakt worden. Laut dem Sprecher der Gruppe hat ein verärgerter „Mitarbeiter“ den sogenannten Builder ins Internet gestellt. Mit diesem kann sich jeder leicht Verschlüsselungstrojaner mit eigenen Schlüsseln, gewünschter Konfiguration und diversen Zusatztools erzeugen.

Während das für die Gruppe LockBit selbst einen empfindlichen Schlag darstellt, steht zu befürchten, dass andere Gruppen die Tools nutzen werden und es so zu einer Zunahme von Ransomware-Angriffen kommt.

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-builder-leaked-online-by-angry-developer-/

Lese- und Medientipps August 2022

Erzählt

Die Folge „The French Knight’s Guide to Corporate Culture“ von Tim Harfords lehrreichem Podcast „Cautionary Tales“ (17.6.2022) macht anhand der Niederlage einer eigentlich erdrückenden Übermacht französischer Ritter den Engländern gegenüber eindrücklich klar, wie entscheidend Kultur in Organisationen ist.

https://timharford.com/2022/06/cautionary-tales-the-french-knights-guide-to-corporate-culture/

Erkältet

Die „Perspektive“-Kolumne unseres Vorstands Timo Kob im Tagesspiegel Background Cybersecurity beleuchtet, warum „Der deutsche Patient“ digital so sehr dahinsiecht.

https://background.tagesspiegel.de/cybersecurity/der-deutsche-patient

Aller Anfang ist schwer: Security-Policy für Start-ups

Es fehlt im Netz nicht an Tipps, gut gemeinten Ratschlägen und Top-10-Listen für Dinge, die ein KMU, ein kleiner Handwerksbetrieb oder eine Ich-AG in Bezug auf Security als Erstes tun sollten. Ryan McGeehan, ehemals Facebook Security, hat dem Thema „Security für Startups“ sehr viel Aufmerksamkeit geschenkt und einige Handreichungen produziert, was er für essenziell für den Einstieg hält. Insbesondere sollen seine Leitlinien für alle Mitarbeitenden verständlich sein.

Zwar taugt das Ganze nur begrenzt als Startpunkt für eine Compliance etwa zum IT-Grundschutz oder zur ISO 27001, aber diskussionswürdig sind seine Empfehlungen allemal.

https://medium.com/starting-up-security/starting-up-security-policy-104261d5438a

KI schlägt KI: VideoIdent-Verfahren geknackt

KI-basierte VideoIdent-Verfahren haben sich in letzter Zeit als kostengünstige Möglichkeit der Identitätsprüfung etabliert, da sie nicht nur den Verbraucherinnen und Verbrauchern den Weg zur Post, sondern auch den Betreibern die Beschäftigung von Personal ersparen. Angriffsvektoren auf diese Methoden sind grundsätzlich seit Jahren bekannt. Doch nun hat ein vernichtendes Gutachten aus dem Chaos-Computer-Club-Umfeld aufgeschreckt. Nachdem deutlich wurde, mit wie wenig Aufwand marktübliche Verfahren mithilfe von KI hinters Licht geführt werden können, hat etwa die gematik den Krankenkassen die Nutzung von VideoIdent für die Telematikinfrastruktur untersagt. Befürworterinnen und Befürworter befürchten, dass dies der Digitalisierung im Bereich Gesundheit einen empfindlichen Dämpfer versetzen könnte.

https://www.heise.de/news/eHealth-Chaos-Computer-Club-hackt-Videoident-Verfahren-7216044.html

Gute IDEAS: Security by Design Decisions in der Automatisierung

Im Rahmen des Forschungsprojekts IDEAS (Integrated Data Models for the Engineering of Automation Security) werden Ansätze entwickelt, wie sich Security (Engineering) systematisch in den Herstellungsprozess (z. B. in der Industrieautomatisierung, aber auch in der IT) integrieren lässt.

Security by Design Decisions bezeichnet dabei eine Reihe von Modellen, die beschreiben, wann und wie Security-Prozesse mit den eigentlichen Produktionsprozessen gekoppelt, harmonisiert, von diesen getriggert oder in sie eingebaut werden können. Der Ansatz kann helfen sicherzustellen, dass Security nicht nur in Form eines abstrakten „Sikos“ lebt, das den Entwicklungsprozess nur selten oder unter großem Daueraufwand beeinflusst.

https://fluchsfriction.medium.com/automation-security-by-design-decisions-5619b97126c0

ReinRaaSig: Ransomware as a Service in Azure

„Die Cloud“ gilt gemeinhin als etwas Ransomware-sicherer als On-Prem-Infrastrukturen, allein schon, weil Backup und Restore häufig als native Operationen zur Verfügung stehen. Nun hat sich herausgestellt, dass bestimmte Sicherheitsfeatures der Cloud verwendet werden können, um Angreifern die erpresserische Verschlüsselung sogar zu erleichtern.

Mit Funktionen wie Auto Save lassen sich in M365 bzw. SharePoint Online eine bestimmte konfigurierbare Anzahl alter Versionen einer Datei behalten – zunächst einmal ein Sicherheitsgewinn. Und mit geeigneten Zugriffsrechten können Angreifer auch nicht direkt diese früheren Versionen manipulieren. Es genügt jedoch, wenn sie entweder eine große Anzahl verschlüsselter Versionen einer Datei erzeugen, um alle Versions-Slots zu überschreiben, oder aber das „Versionslimit“ auf 1 setzen – dann genügen zwei Speichervorgänge, um alle unverschlüsselten Kopien zu tilgen.

Microsoft beteuert zwar, auch „überschriebene“ Versionen seien innerhalb von 14 Tagen mithilfe des Supports wiederherstellbar, dies konnte jedoch in der Praxis nicht bestätigt werden.

Elasticheimsuch: NoSQL-Datenbanken geransomed

Ransomware muss nicht unbedingt Clients oder Infrastrukturen befallen. Datenbanken können auch direkt heimgesucht werden, so wie im Fall von mindestens 1.200 Elasticsearch-Instanzen. Angreifer hatten über eine unsichere Konfiguration der Authentifizierung die Daten durch Erpresserbriefe ersetzt.

Elasticsearch ist nicht die erste „next generation“-Datenbank, die auf solche Weise heimgesucht wird. 2020 stellten Sicherheitsforschende fest, dass in ca. der Hälfte der damals exponierten MongoDB-Instanzen ebenfalls der Inhalt durch eine ähnliche Ransom-Note ersetzt worden war.

https://www.secureworks.com/blog/unsecured-elasticsearch-data-replaced-with-ransom-note

Uns blutet das Herz: Hertzbleed leakt Geheimnisse

Auch wenn es Mode geworden ist, verdienen nicht alle Schwachstellen einen albernen Namen und ein noch alberneres Logo. „Hertzbleed“ hat beides – und das zurecht. So erlaubt doch diese neu entdeckte Side-Channel-Schwachstelle das Stehlen von Geheimnissen aus allen Intel- und vielen AMD-CPUs.

Hertzbleed nutzt dabei die Tatsache aus, dass moderne Prozessoren zum Performance-Gewinn ihre Taktfrequenz dynamisch hoch- oder herunterfahren. So kann über Timing-Unterschiede unter bestimmten Bedingungen etwa auf Krypto-Schlüssel zurückgeschlossen werden.

Standardmaßnahmen wie die Entwicklung von Krypto-Code als „Constant Time“ helfen hier nicht, da der „Bug“ ein Feature der Hardware ist. Intel und Co. planen zurzeit keinen Patch, sodass für jedes kritische Kryptosystem einzeln überprüft werden muss, ob es durch Hertzbleed angreifbar ist. Das generelle Abschalten des sogenannten Turbo Boost/Turbo Core empfiehlt sich aufgrund des empfindlichen Performance-Verlusts nicht.

https://www.hertzbleed.com/