NotPetya – Ransomware oder Waffe?

Nachdem betreffend NotPetya in den letzten Tagen einige offene Fragen zumindest ansatzweise geklärt wurden bleibt die Frage nach dem Zweck des Angriffes offen.

Unter anderem hat auch Kaspersky festgehalten dass die Malware eine zerstörerische Wirkung zeigt, und gar nicht auf die Einnahmen aus Erpressung ausgelegt ist.

Das wird unter anderem dadurch belegt dass der MBR gar nicht wiederherstellbar ist, dass der ganze Prozess für die Lösegeldzahlung nicht funktionsfähig implementiert ist.

Mit hoher Wahrscheinlichkeit also ein politischer Angriff auf die Ukraine mit Hilfe einer aus den Beständen von NSA geleakten Schwachstelle (Enternal Blue).

Ein Fazit zumindest für betroffene: Lösegeld zahlen nützt in diesem Fall wirklich nichts.

Neue Malware Angriffswelle in Europa

Gemäss Heise und NYT sowie weiteren Quellen findet zur Zeit ein erneuter massiver Angriff mit Ransomware und Fokus Europa statt.

Gemäss ersten Informationen wird dafür der Kryptotrojaner Petya verwendet welcher zuletzt 2016 grossflächig eingesetzt wurde, dieser Trojaner verschlüsselt nicht nur Dateien sondern auch den Master Boot Sektor.

Der Trojaner verwendet dieselbe SMB Schwachstelle wie unlängst Wannacry – wer also die Schwachstelle noch nicht gepatcht hat soll dies dringend nachholen.

Betroffen sind unter anderem die Ukrainische Bahn, der Konzern Beiersdorf mit insbesondere dem Konzernbereich Nivea sowie weitere grosse Unternehmen

Video: Hackerangriff auf das US Stromnetz

Eine US Energiefirma hat ein Red-Team beauftragt das eigene Stromnetz anzugreifen – was in relativ kurzer Zeit auch gelang.

Massive Ransomware Angriffe in 99 Ländern

Seit heute Vormittag stellen Sicherheitsfirmen fest dass weltweit massive Angriffe mit Ransomware stattfinden.

Firmen, Organisationen und Behörden sind Ziele der Cyberattacke – Avast hat von bisher mehr als 75’000 Angriffen in 99 Ländern berichtet.

Die Ransomware verschlüsselt alle Dateien auf den infizierten Computern und fordert ein Lösegeld für die Freigabe der Daten.

Besonders betroffen sind Spitäler in England, wo Ärzte nicht mehr auf Patientendaten zugreifen können, so dass Notfallabteilungen dringende Fälle an andere Spitäler weiterleiten müssen.

In den USA waren z.B. Server der FedEx betroffen, eine der weltweit grössten Versand- und Logistikfirmen.

Kaspersky berichtet von 45’000 Angriffen in 75 Ländern.

Im Russischen Innenministerium sind ca. 1000 Computer betroffen, 1% der vorhandenen Systeme. Interne Experten konnten die Ausbreitung stoppen und aktualisieren derzeit die Antiviren-Software.

Die Ransomware mit dem Namen WannaCry war in den gestohlenen und durch die Gruppe Shadow Brokers veröffentlichen NSA Daten, zugänglich sind diese Daten seit Ende letzten Jahres. Microsoft hat im März einen Patch veröffentlicht – aber Hacker profitieren jetzt offensichtlich davon, dass vor allem Spitäler Ihre Systeme entweder nicht updaten konnten, oder dem Rat von Microsoft nicht gefolgt sind.

Die Schadsoftware wurde via Mail verbreitet, in Form von verschlüsselten und komprimierten Attachments.

Spitäler wurden noch heute Vormittag gewarnt, allerdings bereits zu spät. Mindestens 36 Spitäler und Arztpraxen haben einen entsprechenden Alarm ausgelöst weil sie von dem Angriff betroffen sind.

Es wird vermutet dass der tatsächliche Umfang der Angriffe zur Zeit noch nicht bekannt ist.

Gefährliche Lücke in IIS 6

In Version 6 von Microsoft  IIS (Internet Information Server) wurde ein Leck gefunden, das es einem möglichen Angreifer erlaubt, auf dem betroffenen System beliebigen Code auszuführen. Der Support für Windows 2003 und somit IIS 6 ist 2015 ausgelaufen. Statistiken von Netcraft zeigen dass nach wie vor ca. 180 Millionen Webseiten unter IIS 6 laufen.
Abhilfe gegen die Lücke schafft die deaktivierung von Webdav, oder das einspielen eines von Acros entwickelten Patches.

Dun & Bradstreet verliert DB mit 33 Millionen Kontaktdaten

Die Datenbank mit Kontaktdaten von 33 Millionen Personen steht inklusive Mailadressen im Netz zum Download auf einschlägigen Seiten zur Verfügung.

Die Datenbank ist 52 Gigabyte gross und enthält hauptsächlich Adressdaten von US Firmen und Bürgern.

Es wird damit gerechnet dass die Daten für personalisierte Phishing Angriffe verwendet werden.

BSI warnt vor veralteten Cloud Installationen

Mehr als 20’000 Owncloud und Nextcloud Installationen sind gemäss einer Meldung des Bundesamtes für Sicherheit in der Informationstechnik BSI alleine in Deutschland veraltet und weisen bekannte Sicherheitslücken auf.

Owncloud und der Ableger Nextcloud werden von Firmen, Privaten und Vereinen für den Betrieb einer eigenen Cloud Lösung installiert.

Das BSI hat Hoster mit entsprechenden Kunden gebeten diese zu Informieren – bisher hat nur ein fünftel der angeschriebenen Cloud Betreiber reagiert und die Installationen aktualisiert.

Betreiber von eigenen Cloud Installationen sollten diese regelmässig aktualisieren und auf Sicherheitslücken testen.

Scanner für Owncloud

Scanner für Nextcloud

Chrome 56 warnt vor unverschlüsselten Webseiten

Google Chrome Browser ab Version 56 warnt standardmässig beim Aufruf von unverschlüsselten Webseiten sobald ein Login Formular auf dieser Seite angezeigt wird, resp. sobald ein HTML Element

<input type=password>

auf der Seite angezeigt wird.

Dies ist ein weiterer Schritt zur grundsätzlichen Warnung beim Aufruf von unverschlüsselten Webseiten welche Google Chrome in naher Zukunft implementieren wird.

Kritische Lücke in Ciscos TelePresence Multipoint Control Unit

Eine kritische Lücke in Ciscos TelePresence Multipoint Control Unit erlaubt es Angreifern mit verhältnismässig wenig Aufwand entsprechende Cisco Geräte lahmzulegen oder die Kontrolle zu übernehmen.

Cisco arbeitet an einem Patch – weitere Informationen bei Cisco.

CVSS Score 9.8/10, CVE-2017-3792

Nachtrag: Um die Lücke zu schliessen können Nutzer von Passtrough auf Transcoded umstellen oder die von Cisco verfügbaren Patches installieren.

Mirai Botnetz crasht 900’000 Telekom Router

Vor einigen Tagen fielen innert kurzer Zeit 900’000 von Kunden der Deutschen Telekom aus – zuerst hiess es die Geräte seien auf Grund einer Schwachstelle gehackt worden.

Inzwischen hat sich gezeigt dass das Botnetz nur versucht hat eine bekannte Schwachstelle auf den Routern auszunützen – obwohl die Schwachstelle auf diesen Geräten gar nicht vorhanden war.

Der Prozess hat aber die Router überlastet und so unbrauchbar gemacht – ein Reboot der betreffenden Geräte hat bereits geholfen um die Funktion wieder herzustellen.

Viele andere Routertypen weisen aber tatsächlich eine Schwäche auf, werden vom Botnetz Mirai infiziert und dienen so wiederum zur Neuinfektion von weiteren Geräten.

Die Politik fordert inzwischen sicherere Geräte – User sollen sich darauf verlassen können dass die Geräte sicher sind und ihre Funktion jederzeit erfüllen.