Sicherheitsinformationen zum (Kar-)Freitag (25.03.2016)

Publiziert am 25. März 2016 von Günter Born

Zum Einstieg in das Osterwochenende fasse ich in diesem Blog-Beitrag noch einige Sicherheitsinfos zusammen, die mir die Tage unter die Augen gekommen sind. Ransomware allerorten und fröhliche Urstände bei Industrie 4.0 markieren die Bandbreite.

Anzeige

Ransomware erfordert IT-Abschaltung in Klinik in Kentucky

Sicherheitsblogger Brian Krebs berichtet in diesem Beitrag, dass das Methodist Hospital in Kentucky durch den Locky-Trojaner befallen war. Der Verschlüsselungstrojaner breitete sich über das Netzwerk der Klinik aus und befiel deren Systeme. Die Angreifer forderte 4 Bitcoin (ca. 1.600 US $) Lösegeld. Bisher ist, laut Krebs, noch nicht entschieden, ob man das Lösegeld zahlt.

Die IT sah sich gezwungen, das Netzwerk herunterzufahren, um die Systeme von Locky zu befreien. Die Klinik arbeitet dann in einem "papiergestützten" Modus im Notfallmodus (es gab wohl entsprechende Pläne, die vor Jahren erstellt worden waren). Während dieser Zeit bekamen Besucher der Klinik-Webseite eine Bannerwarnung mit dem Hinweis auf die Infektion angezeigt. Wer die Webseite des Methodist Hospital jetzt aufruft, bekommt aber keinen Hinweis mehr auf die Locky-Infektion angezeigt. (via)

Kanadische Klinik-Website verteilte Ransomware

Das Ottawa Hospital in Kanada war nach diesem Bericht durch Ransomware befallen. Angeblich sollen nur vier Computer von 9.800 Systemen von der Infektion betroffen worden sein. Die IT behauptet, dass keine Patientendaten verschlüsselt oder Daten kompromittiert wurden. Scheint also glimpflich abgegangen zu sein, denn die Festplatten der vier Systeme wurde einfach formatiert und dann wurden diese neu aufgesetzt.

Im Blog von Malwarebytes gibt es diesen Beitrag, der einen anderen Aspekt aufwirft. Angeregt durch diese Meldung haben die Sicherheitsforscher von Malwarebytes sich die Webseiten weiterer Kliniken in Kanada angesehen. Die Webseite des Norfolk General Hospital in Ontario war wohl gehackt und hat Ransomeware ausgeliefert. Von Malwarebytes aufgesetzte Honeypots wurden beim Besuch der Klinik-Website durch einen Angler Exploit Kit infiziert. Dieser wurde vom (gehackten) Sourecode der Website ausgeliefert. Laut Malwarebytes lief Joomla 2.5.6 (aktuell ist 3.4.8), welches verschiedene Sicherheitslücken aufweist. Diese wurden wohl beim Angriff ausgenutzt, um den Angler Exploit Kit zu injizieren. Konkret wurde eine TeslyCrypt-Variante verteilt.

Generell schreibt Malwarebytes, dass man in Kanada eine größere Anzahl (mehrere 10.000) an Ransomware-Infektionen festgestellt habe. In diesem Malwarebytes-Blog-Beitrag gibt es neue Informationen über die EITest/Angler Exploit Kit-Kampagne und die geänderten Angriffswege über Flash.

Neue Maktub Locker-Ransomware

In diesem Blog-Beitrag gehen die Autoren bei Malwarebytes auf die neue Ransomware Maktub ein, die per Spam verteilt wird. Es wird eine Aktualisierung der Geschäftsbedingungen in der E-Mail angekündigt, wobei im Anhang vorgeblich eine PDF- oder Textdatei, aber mit der Dateinamenerweiterung .scr ausgeliefert wird.

(Quelle: Malwarebytes)

Öffnet der Empfänger die Anhänge, wird wohl ein Dokument (RTF) angezeigt, während die Verschlüsselung der Dokumentdateien im Hintergrund beginnt. Dabei braucht der Trojaner nicht mal eine Online-Verbindung, um den Schlüssel anzufordern.

Anzeige

Petya-Erpressungstrojaner sperrt den (Windows)-Rechner

Von einem weiteren Erpressungstrojaner mit dem Namen Petya, der wohl auch in Deutschland aktiv ist, berichtet heise.de in diesem Artikel. Die Verteilung erfolgt über Spam-Mails, die angeblich Bewerbungsunterlagen enthalten. Diese "Dokumente" finden sich auf einem Dropbox-Online-Speicher. Versucht der Nutzer die Dokumente zu öffnen, wird die Datei Bewerbungsmappe-gepackt.exe ausgeführt. Als Icon wird das Logo eines Packprogramms angezeigt. Bei der Infektion wird wohl der Master-Boot-Record des Rechners überschrieben, was die vorherige Zustimmung des Benutzers per Benutzerkontensteuerung erfordert.

Die Ransomware erzeugt dann einen Blue Screen, um beim Booten eine ASCII-Meldung mit dem Hinweis, dass der Rechner verschlüsselt sei, einzublenden. Bezüglich der Frage, ob der Trojaner die Festplatte verschlüsselt, gibt es widersprüchliche Informationen. Nutzer berichten, dass die Reparatur des MBR das System wieder nutzbar macht. Heise schreibt, dass bei einem Test die Festplatte durch die Reparatur des MBR nicht mehr nutzbar wurde – lediglich die Meldung beim Booten erschien nicht mehr.

Bei Reddit.com hat übrigens jemand einen deutschsprachigen Sub-reddit zu Erpressungstrojanern eingerichtet. Ist aber noch arg leer.

Nachtrag: Zwischenzeitlich zieht das Thema im Web Kreise – so finden sich hier und hier Beiträge zu Petya.

Bei heise.de gibt es zwischenzeitlich diesen Artikel mit Hinweisen, wie man Petya stoppen kann.

RedDoor: Drohung mit DDoS-Angriffen gegen deutsche Webseiten

Wer eine populärere Website betreibt, wird früher oder später mit DDoS-Angriffen konfrontiert. So war die Website von Dr. Windows zeitweise nicht erreichbar und die Betreiber mussten – nach meiner Beobachtung – für ein paar Tage Cloudflare vorschalten, um den Angriff ins Leere laufen zu lassen. Auch der Webserver, auf dem meine Blogs laufen, wird häufiger durch DDoS-Attacken angegriffen. Dann ist die Reaktionszeit zeitweise schlecht. Hier versucht HostEurope gegenzusteuern.

Wie heise.de hier berichtet, versucht nun eine Gruppe mit dem Namen RedDoor Firmen in Deutschland, Österreich und der Schweiz mit Online-Auftritten zu erpressen. Es sollen 3 Bitcoin gezahlt werden, andernfalls erfolge ein DDoS-Angriff auf die Webseite. Laut heise.de soll es sich aber um einen Bluff handeln.

Betrugsmails an Webseitenbetreiber

Eine andere Geschichte ist der Versuch diverser Firmen mit vorgegaukelten Betrugsmeldungen über Domainverlängerungen oder infizierte Webseiten Geschäftsbeziehungen einzugehen.

So bekomme ich als Admin-C diverser Webseiten regelmäßig Mails, die auf eine angeblich auslaufende Domain-Registrierungs (Domain expiration notice) hinweisen, die gegen Zahlung von X Euro verlängert werde. Die Betrüger können die Kontaktdaten ja öffentlich über die Admin-C-Records einsehen. Zuständig für Domainverlängerungen ist üblicherweise der Provider – und bei genauer Lektüre der Mails fällt auf, dass diese nichts mit der Verlängerung einer Domain-Registrierung zu tun haben, sondern von diversen "Dienstleistern" stammen, die irgend etwas rund um Webseiten (SEO-Optimierung, Sicherheit etc.) anbieten.

Und noch eine Masche läuft. Im Januar erhielt ich eine Mail von einem Anbieter mit dem Hinweis, dass meine Website bei Kaspersky, Avira, ESET, Sophos, Fortinet auf der Blacklist stehe. Er bot mir gegen Geld an, die Infektion zu beseitigen und Details zu nennen. Da meine Site kurz vorher fälschlich wegen der PayPal-Geschichte (Borncity.com blacklisted auf OpenDNS) auf Blacklists kam, schrillten natürlich alle Alarmglocken. Ich habe sofort die Site bei Virustotal extern scannen lassen – ohne Befund. Auch die intern in WordPress mitlaufenden Virenscanner erbrachten keinen Befund, die Site borncity war also sauber. Mich hat auch keine Leser-Mail erreicht, dass da ein Virenscanner Alarm schlug.

PS: Wer bei HostEurope seinen Webauftritt hostet und keine eigene Schutzsoftware auf dem Server laufen lässt, kann bei diesem Anbieter auch Sicherheitslösungen buchen. Hier gibt es einen Artikel im HostEurope-Blog zu Antimalware-Schutz und eine Beschreibung des Diensts Site Lock zum Schutz der Website. Site Lock beinhaltet Malware-Scans und ggf. Bereinigung einer Infektion – Details im HostEurope-Blog.

Ungepatchte Git-Server/-Client anfällig für Schadcode

Das Versionsverwaltungssystem Git ist bei Softwareentwicklern recht populär. Die Entwickler der Git-Plattform haben in der Software (Client und Server) Sicherheitslücken entdeckt und auch geschlossen. Wer ältere Git-Softwareversionen (Client und Server) einsetzt, läuft Gefahr, dass diese Sicherheitslücken ausgenutzt werden. Falls jemand betroffen ist, findet er in diesem heise.de-Artikel nähere Informationen.

Dein Android ist veraltet

Eine weitere Schadsoftware zielt auf Android-Nutzer. Im Blog von Malwarebytes wird berichtet, das Nutzer beim Besuch einer Website im Browser die Meldung

WARNING: Your Android system is expired!

in einem Popup angezeigt erhalten. Gleichzeitig erscheint ein Hinweis, wie man sein Android über einen "Play Store" update kann. Wer dieser Aufforderung Folge leistet, bekommt im besten Fall den Hinweis, dass das Update für sein Land nicht verfügbar sei. Im schlechtesten Fall werden Viren ausgeliefert.

Den Schuss nicht gehört – Maschinensteuerung aus ERP

Hier im Blog habe ich ja diverse Male meine Zweifel, ob der Frage, ob wir mit Industrie 4.0, Internet of Things und die allgegenwärtige Vernetzung, sicherheitstechnisch auf dem richtigen Weg sind, ausgedrückt. Mir erscheint es kaum realistisch, mit Software und Standards, die teilweise vor Jahrzehnten entworfen wurde, eine abgesicherte und nicht angreifbare Vernetzung von Geräten hin zu bekommen. Die Hacks in der Industrie sprechen ja eine deutliche Sprache (Stahlwerk und Energieversorger angegriffen und lahm gelegt, Verschlüsselungstrojaner-Angriffe oder Hacks von Industrieanlagen zur Spionage als tägliche Meldung etc.).

Da würde ich erwarten, dass Industrienutzer und auch die Anbieter mal ein Moratorium abhalten und überlegen, wohin es mit Vernetzung und Industrie 4.0 aus Sicherheitsgründen gehen soll. Mir stechen daher Meldungen ins Auge, die dieser Überlegung konträr entgegen stehen. Auf eine solche Meldung bin ich mal wieder bei heise.de im Artikel Maschinensteuerung direkt aus der Buchhaltung gestoßen. Nach dem Motto CeBIT lässt grüßen, wird über eine ERP-Anwendung von Abas berichte, die in der neuesten Version Funktionen enthält, um aus der Auftragsbearbeitung Roboter in der Fabrikhalle oder in einem Hochregallager anzusprechen. Ich weiß nicht, wie es euch geht, aber für mich war der Schuss deutlich zu hören: Auftragsbearbeitungssysteme finden sich im Office-Bereich von Unternehmen – da, wo Trojaner und Schadsoftware wirken. Hacks von Industriesteuerungen fanden m.W. meist über genau diese Office-Bereich von Unternehmen per kompromittiertem E-Mail-Anhang statt und verbreiteten sich über das Unternehmensnetzwerk, bis der Produktionsbereich und damit die Steuerungen erreichbar waren. Wir dürften bald noch mehr Fälle zu vermelden haben, in denen mal eine Produktion durch solche Lösungen per Hack ausspioniert oder lahmgelegt wurde.

Ähnliche Artikel:
Wichtige Sicherheitsinfos (24.3.2016)
Sicherheits-News zum Wochenstart (21.3.2016)
Cyber-Sicherheit: größte Sorgen europäischer Unternehmen
IBM Studie: Chefetage wiegt sich häufig zu sehr in IT-Sicherheit
Sicherheitsrisiko beim 3D-Druck …
Mega-Fail: IT und Bordelektronik im Auto …
Erpressungs-Software auf dem Vormarsch
Cyber-Crime: (keine) Räubergeschichten zum Sonntag

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Virenschutz abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.