[datensicherheit.de, 25.10.2017] Fast vier Monate nach der letzten großen Ransomware-Welle verbreitet sich offensichtlich derzeit eine neue Variante von „Petya“ mit dem Namen „Bad Rabbit“. Infektionen sollen neben Russland und der Ukraine auch schon aus Deutschland und der Türkei gemeldet worden sein. Nach Erstinfektion mit „Bad Rabbit“ verbreite sich die Payload der Ransomware wie schon bei den Vorgängern aus eigenem Antrieb innerhalb des Unternehmensnetzwerks, weshalb diese Malware als hochansteckend gilt.

Gefälschtes Icon eines „Adobe Flash Player“-Downloads

Seinen Ausgangspunkt habe diese neue Infektionswelle bei den beiden russischen Nachrichtenagenturen Fontanka und Interfax genommen. Von dort aus erfolge ein Redirekt zu einer weiteren infizierten Seite, welche die ausführbare Payload der Ransomware enthalte.
In dem von der „Zscaler Cloud Sandbox“ erkannten Payload handele es sich unter anderem um ein gefälschtes Icon eines „Adobe Flash Player“-Downloads.

Nach erfolgter Infektion automatischer Neustart des befallenen Systems

Nach der erfolgten Infektion starte sich das befallene System neu – und der Anwender werde durch den folgenden Ransom-Bildschirm mit der Erpressungsforderung konfrontiert:
Dessen Anzeige weise darauf hin, dass die Daten verschlüsselt worden seien und nicht mehr zur Verfügung stünden. Um weitere Anweisung zur Zahlung der Erpressungssumme zu erhalten, werde nach der Eingabe des persönlichen Installations-Keys verlangt.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware-Kampagne: Bad Rabbit tarnt sich als Flash-Update

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

[datensicherheit.de, 25.10.2017] Die „Unit 42“, das Malware-Analyseteam von Palo Alto Networks, meldet die Enttarnung eines gefälschten „Adobe Flash“-Updates als Ransomware. Diese Erpressersoftware agiere ähnlich wie die vielbeachtete Kampagne „Petya/NotPetya“, bei der vor wenigen Monaten Cyber-Kriminelle komplette Festplatten verschlüsselt hatten. Bisher sei jedoch kein Fall bekannt geworden, bei dem nach dem Bezahlen des Lösegelds die Daten tatsächlich wieder freigegeben wurden.

Bereits mehrere Länder in Europa betroffen

Die aktuelle Ransomware-Kampagne „Bad Rabbit“ betreffe aktuell mehrere Länder in Europa.
Auch wenn diese Ransomware noch nicht so weit verbreitet sei wie vorab „Petya/NotPetya“, so habe sie bereits Schäden angerichtet: In der Ukraine habe beispielsweise das CERT (Computer Emergency Response Team) schon eine offizielle Warnung veröffentlicht.

Infizierte Website als Ransomware-Quelle ermittelt

Die Angriffe mit dieser Ransomware scheinen laut Palo Alto Networks „nicht zielgerichtet“ zu sein, sondern richteten sich an eine wohl eher zufällig ausgewählte Gruppe von Opfern.
Diese würden durch ein gefälschtes „Adobe Flash“-Update auf eine infizierte Website geleitet. Sobald „Bad Rabbit“ dann auf den Rechner gelangt, versuche sich die Ransomware auf weitere Systeme innerhalb des jeweiligen Netzwerks auszubreiten.

„Flash“-Updates immer nur direkt von echten Adobe-Website herunterladen!

Auch wenn sich „Bad Rabbit“ von „Petya/NotPetya“ unterscheide, so sei die Attacke nicht zu unterschätzen:
Da der Angriff mit einem „falschen“ Update von „Adobe Flash“ beginne, rät Palo Alto Networks den Nutzern dringend, „Flash“-Updates nur direkt von der echten Adobe-Website herunterzuladen.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2017
Neue Ransomware grassiert: Bad Rabbit bringt Branche in Aufruhr

paloalto NETWORKS, 24.10.2017
Palo Alto Networks Protections Against Bad Rabbit Ransomware Attacks

Teile der Webseite sowie Dienste betroffen, Einsatz wird für Spiele beibehalten

Carsten Pinnow im Gespräch mit Wolfgang Kandek, Qualys

[datensicherheit.de, 05.01.2016] Carsten Pinnow (CP) für datensicherheit.de im Gespräch mit Wolfgang Kandek, CTO bei Qualys, zum Ende des Einsatzes von Adobe Flash auf Teilen der Website und für die Services.

CP: Herr Kandek, wie viel sicherer werden Facebook und seine User durch die Nutzung von HTML5 Video anstelle von Flash?

Kandek: Die kurze Antwort lautet, dass die Sicherheit stark verbessert werden sollte. Zum Beispiel konnten alle bis auf drei der von Adobe diesen Monat (Dezember 2015) veröffentlichten Updates für Remote-Code-Ausführung genutzt werden. Wenn diese Aktualisierungsrunde 79 Fehlerkorrekturen beinhaltete, dann bekommt man eine Vorstellung vom Ausmaß des betroffenen Problems.

CP: Ist es aus Sicht der Informationssicherheit nicht ein bisschen kurzsichtig, Flash für Spiele beizubehalten?

© Qualys

Wolfgang Kandek, CTO bei Qualys

Kandek: Flash ist eine potentiell nützliche, eigenständige Plattform. Das Problem besteht darin, dass Flash im Laufe der Zeit immer stärker genutzt wurde und somit eine Codebasis hat, die angegriffen werden kann, wenn sie viele verschiedene Browser- und Gerätekombinationen unterstützen muss. Man könnte zu dem Konzept übergehen, dass Nutzer auf Arbeitsgeräten keine Spiele spielen dürfen und Flash automatisch blockiert wird, aber das kann weitere Probleme verursachen, wenn Flash eine Komponente anderer Arbeitsplätze ist.

Die beste Methode ist, sicherzustellen, dass alle Maschinen, auf denen Flash installiert sein muss, kontinuierlich auf ihre Sicherheit überprüft werden. Denn: Ist Flash zwar vorhanden, jedoch nicht auf dem aktuellen Stand, können diese Assets während dem Durchführen von Updates automatisch blockiert werden.

CP: Wie gefährdet sind Facebook und seine Nutzer durch Hacker, die Flash nutzen könnten, um Zugriff auf die Systeme/Nutzer-Konten zu erlangen?

Kandek: Ich denke nicht, dass Facebook selbst anfällig für Angriffe ist. Das Problem ist vielmehr, dass dadurch genau das angegriffen wird, was Facebook so wertvoll macht: seine Nutzer. Wenn diese Nutzer das Gefühl haben, dass es gefährlich oder riskant ist, Facebook zu nutzen, werden sie die Plattform verlassen. Dieses Risiko einzugehen, kann sich Facebook nicht erlauben.

[datensicherheit.de, 23.01.2015] Eine neue Zero-Day-Sicherheitslücke greift „Adobe Flash“ an, betroffen sind fast alle Nutzer von „Microsoft Windows“ und möglichwerweise auch  Nutzer von Linux und Apple Mac OS  X, die die weitverbreiteten Browser „Firefox“ und „Internet Explorer“ nutzen. Angreifer können dadurch Code ausführen und Malware installieren, ohne dass die Anwender es bemerken. Noch gibt es keinen Patch für die Schadsoftware – das japanische IT-Sicherheitsunternehmen Trend Micro zeigt daher, wo die Gefahren liegen und was Anwender jetzt tun sollten.

Die Bedrohungsforscher Trend Micros haben in den vergangenen Tagen schadhafte SWF-Dateien untersucht, die vom Angler-Exploit-Kit genutzt werden. Sie sind demselben Zero-Day-Exploit zuzurechnen, der bereits bekannt ist, stammen nach Meinung der Forscher jedoch aus einer anderen Infektionskette. Seit gestern konnte ein deutlicher Anstieg in der Aktivität des Schadsoftware-Servers verzeichnet werden.

Die entdeckten Angriffe nutzen Banner-Werbung („malvertisements“) zur Verbreitung der Schadsoftware. Anwender droht Gefahr auch auf vertrauenswürdigen Websites, denn die Angriffe betreffen gezielt die Server von Drittanbietern, die Anzeigen auf legitimen und beliebten Websites bereitstellen. Erschwerend kommt hinzu, dass die Sicherheitslücke von einem Exploit-Kit verwendet wird – einem Werkzeug, das Cyber-Kriminelle an andere Cyber-Kriminelle verkaufen, so dass diese auch Angriffe durchführen können. Im vorliegenden Fall handelt es sich um das „Angler-Exploit-Kit“.

Die wichtigsten Dinge, die Anwender jetzt tun sollten, sind:

• Sie sollten ihren Rechner und ihre Programme auf dem aktuellen Stand halten.
• Sie sollten eine ausgereifte, umfangreiche Sicherheitslösung einsetzen.
• Sie sollten den „Adobe Flash Player“ deaktivieren. Wer dies nicht tun kann, sollte Werbe-Blocker-Software oder -Erweiterungen herunterladen.

Da es sich um eine Zero-Day-Sicherheitslücke handelt, ist der erste der gerade aufgeführten Schritte nicht ausreichend, so Trend Micro!

Sobald Adobe einen Patch veröffentlicht, sollten Anwender diesen so schnell wie möglich installieren.

Zum jetzigen Zeitpunkt gibt es laut Trend Micro keinen Hinweis darauf, dass die Angreifer auch Adobe Flash auf anderen Plattformen wie Mac oder Android im Visier haben. Dennoch sollten Nutzer dieser Plattformen sicherstellen, dass sie Sicherheits-Software installiert haben und sie sollten Patches von Adobe so schnell wie möglich installieren.

Weitere Informationen zum Thema:

blog.trendmicro.de
Flash geht mit einem Zero-Day ins neue Jahr