Total verraten: VirusTotal verpetzt Honda(-Angreifer)

Ein Angreifer? Hondate! Wie viele Ransom-Viren Honda heimgesucht haben, ist ungewiss. Dass der Autohersteller Opfer einer Ransomware-Attacke wurde, welche zweitweise den weltweiten (IT-)Betrieb zum Erliegen brachte, war spätestens dann klar, als auf dem zu Google gehörenden Analysedienst VirusTotal eine verdächtige Datei hochgeladen wurde, die eine Referenz auf eine nur innerhalb des Honda-Netzes erreichbare Domain enthielt. Auch wenn es bequem ist Erkennungsraten von Schadsoftware auf die Art und Weise messen zu lassen: Angreifer wie Analysten unterschätzen häufig, wie viele sensitive Informationen an Dienste wie VirusTotal übermittelt werden.

https://techcrunch.com/2020/06/09/honda-ransomware-snake/

Keine Gnade trotz Corona: Ransomware-Angriff auf Gesundheitskonzern

Auch der börsennotierte Gesundheitskonzern Fresenius ist Opfer eines Angriffs geworden. Die mutmaßliche Ransomware-Attacke hat zeitweise die Produktion eingeschränkt. Die Versorgung der Patientinnen und Patienten in den firmeneigenen Krankenhäusern und Dialyseeinrichtungen war jedoch durchgängig gewährleistet.

https://www.zdnet.de/88379488/ransomware-angriff-auf-fresenius

Ähnliche Ransomware-Fälle, darunter auch auf medizinische Einrichtungen und KRITIS-Unternehmen, häufen sich gerade. Auch auf der Incident-Response-Hotline von HiSolutions ist keinerlei Corona-bedingte Zurückhaltung bei Angriffen zu erkennen.

Shame On You If I Can Hack You – Star-Daten als Geisel

Nicht nur Unternehmen und Behörden werden Opfer von Ransomware-Attacken, sondern auch Privatpersonen. Gerade dann, wenn sie bekannter sind. Angreifer haben einer Anwaltskanzlei mutmaßlich 756 GB an Daten über prominente Kunden gestohlen und fordern nun 21 Mio. US-Dollar Lösegeld. Ein Screenshot des Künstlervertrags von Madonna wurde bereits im Internet geleakt. Bei den Kriminellen scheint es sich um die gleiche Gruppe zu handeln, die zum Jahreswechsel die Reisebank Travelex heimgesucht hatte.

https://www.engadget.com/hackers-21-million-ransom-celebrity-lawyer-064511797.html

Bei Lady Gaga hat sich angeblich die geforderte Summe bereits verdoppelt:

https://www.spiegel.de/netzwelt/web/madonna-und-lady-gaga-betroffen-anwaltskanzlei-mit-promi-kunden-gehackt-a-9681af23-8326-4bec-980b-7ced75f01c1f

Neue Ransomware „CovidLock“

Der Dienst DomainTools berichtet über eine Webseite, auf der eine „Corona-App“ heruntergeladen werden kann, die angeblich in Echtzeit den Coronavirus-Ausbruch trackt. Hinter dieser Android-App ist die neue Ransomware „CovidLock“ versteckt, welche als Screen-Lock-Angriff fungiert: Wenn das Handy einmal gesperrt ist, fordern die Angreifer innerhalb von 48 Stunden 100$ in Bitcoins. Sie drohen, andernfalls das Telefon komplett zu löschen und Inhalte aus Social-Media-Konten zu veröffentlichen.

https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware

Runter vom Gas: Ransomware stoppt Pipeline

Ransomware hat schon des Öfteren industrielle Anlagen lahmgelegt: Von Containerverladung bis zur Schokoladenproduktion: Überall, wo komplexe verbundene IT-Systeme im Einsatz sind, gab es bereits Opfer. Bisher weitgehend verschont geblieben sind die Automatisierungsbereiche von kritischen Infrastrukturen wie Wasser oder Energie. Nun hat es einen Gasbetreiber in den USA getroffen: Über Spearphishing in die Office-IT konnte der Angriff auf die – in der hehren Theorie stark absegmentierte – OT (Steuerungsstechnik) übergreifen, sodass eine Pipeline zwei Tage lang stillstand. Nicht betroffen waren angeblich die Steuerungsanlagen. Die Täter konnten wohl in diesem Fall (noch) keine Prozesse manipulieren.

https://www.spiegel.de/netzwelt/web/ransomware-zwingt-pipeline-betreiber-zu-zwangspause-a-07f7f69f-e251-4363-b93a-9528d02f828c

Ich weiß, wo Du online Geld verdienst: Cyber-OK lernt dazu

Ransomware ist seit vielen Monaten die größte Geißel der IT – und zumindest derjenigen Menschen, die für diese verantwortlich sind. Erst letztens hatten wir berichtet, dass Emotet und Co. dazugelernt haben und statt mit dummen Standard-E-Mails in schlechter Übersetzung, nun frühere Kommunikationsstränge wiederverwerten, um so die Klickrate auf die Malware deutlich zu erhöhen. Unterdessen hat die im Hintergrund die Geschäftsprozesse spinnende organisierte Cyber-Kriminalität (Cyber-OK) anscheinend gelernt, dass es noch weitere gemeine Hebel gibt, um Opfer zur Zahlung zu bewegen. Es gilt schließlich für die Angreifer, die empfindlichste Stelle eines Unternehmens zu finden und auszunutzen. Denn je mehr Unternehmen auf starke Backup-Konzepte mit schreibgeschützten Sicherungen und realistischen, regelmäßigen Restoretests umstellen, desto mehr bewegt sich das Wettrüsten in Richtung anderer Erpressungsvektoren.

Mit salamitaktikhafter Veröffentlichung gestohlener Informationen haben Erpresser ebenfalls bereits gedroht (teils erfolgreich, teils nicht). Was lässt sich – möglichst (teil-)automatisiert, denn das Ganze soll ja skalieren – einem Unternehmen außer Datenkidnapping noch antun? Nun wurde eine weitere Masche in freier Wildbahn gesichtet: Für Publisher – „Verlage“, wie es in der alten Welt heißt – ist das Wertvollste die Schnittstelle zu ihren Anzeigenkunden, heutzutage meist vermittelt über Internetgiganten wie Google. Statt also die Webserver in Geiselhaft zu nehmen, haben Angreifer begonnen, die Anzeigen auf den Seiten derart oft klicken zu lassen, dass dies bei Google, Facebook & Co. als Werbemissbrauch gewertet wird und die dortigen Sicherheitsmechanismen den Werbeträger automatisch sperren. Bei Wiederholung droht sogar eine permanente Verbannung von der Werbeplattform – mithin der Entzug der Existenzgrundlage.

Selbstverständlich bietet die freundliche Gang von nebenan da zufälligerweise ein „Traffic Management“ an, das sich gegen Einwurf geeigneter Bitcoins gerne um dieses Problem kümmert und den Betrug-Betrug umgehend beendet.
Auf eine Art ist dies alles in der analogen Welt schon da gewesen. Überträge in die digitale ergeben trotzdem immer wieder neue und überraschende Gemengelagen.

https://krebsonsecurity.com/2020/02/pay-up-or-well-make-google-ban-your-ads

Dass Eingeweihte dies bereits seit langem wussten, dokumentiert sehr schön dieser Blog-Post von Security-Guru Bruce Schneier inklusive der Kommentare:

https://www.schneier.com/blog/archives/2020/02/crypto_ag_was_o.html

23 auf einen Streich – Ransomware schlägt koordinierter zu

Kommunen in der westlichen Welt, insbesondere den USA, klagen seit längerem über Ransomware-Angriffe, welche in der Vergangenheit bereits des Öfteren ganze Stadtverwaltungen lahmgelegt haben. Diesmal hat es 23 kleine texanische Städte gleichzeitig getroffen. Angesichts dessen kann nicht mehr von Zufallstreffern gesprochen werden, vielmehr muss von einem koordinierten Angriff ausgegangen werden. Aufgrund des Zwischenfalls wurde die zweithöchste Stufe (“Level 2 Escalated Response”) des dortigen Katastrophenschutzamtes (Department of Emergency Management) ausgelöst.

Auch die HiSolutions-Notfallhotline verzeichnet seit geraumer Zeit eine zunehmende Professionalisierung der Angriffe.

https://www.cnbc.com/2019/08/19/alarm-in-texas-as-23-towns-hit-by-coordinated-ransomware-attack.html

Reale Windows gehackt: Fensterbauer lahmgelegt

Fenster-Expertise hilft nicht automatisch gegen Ransomware: Der Sorpetaler Fensterbau ist das neueste in einer langen Reihe von Unternehmen, die nach einer erfolgreichen Attacke – und deren Bewältigung – an die Öffentlichkeit gegangen sind, damit andere daraus lernen können. In diesem Fall waren Backups auf externen Festplatten vorhanden, sodass nach sechs Stunden der erste Server wieder einsatzbereit war. Trotzdem dauerte es bis zur kompletten Wiederherstellung mehrere Tage. Der Schaden lag bei mehreren zehntausend Euro. Dass es beileibe nicht immer so glimpflich ausgeht, zeigen die Erfahrungen der HiSolutions-Incident Response-Hotline. So ist in einem nicht unerheblichen Teil der Fälle entweder kein umfassendes Backup vorhanden oder der Restore hat mangels vorhergehender Tests nicht erwartungsgemäß funktioniert. Teilweise waren sogar Backups durch den Trojaner gleich mitverschlüsselt worden.
https://www.welt.de/regionales/