Attacke – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Tue, 07 Feb 2023 21:05:43 +0000 de hourly 1 Port 427 im Visier: ESXiArgs-Ransomware-Angriffe mit Vorlauf https://www.datensicherheit.de/port-427-visier-esxiargs-ransomware-angriffe-vorlauf https://www.datensicherheit.de/port-427-visier-esxiargs-ransomware-angriffe-vorlauf#respond Tue, 07 Feb 2023 21:05:43 +0000 https://www.datensicherheit.de/?p=42880 tehtris-zeitleiste-angriffe-port-427-2023TEHTRIS-Sicherheitsforscher haben insbesondere Aktivitäten rund um den Port 427 analysiert, welcher bei den aktuellen Attacken von großer Bedeutung ist.]]> tehtris-zeitleiste-angriffe-port-427-2023

TEHTRIS hat verdächtige Aktivitäten rund um den Port 427 analysiert

[datensicherheit.de, 07.02.2023] TEHTRIS hat am 7. Februar 2023 nach eigenen Angaben eine Analyse zu der am vorherigen Wochenende bekanntgewordenen „ESXiArgs“-Ransomware-Attacke veröffentlicht. Dabei kommen die hauseigenen Experten demnach zu dem Schluss, dass den Angriffen bereits etliche Aktivitäten vorangingen, bevor die eigentliche Attacke erfolgte. Für ihre Untersuchung hätten die Sicherheitsforscher insbesondere Aktivitäten rund um den Port 427 analysiert, der bei den aktuellen Attacken von großer Bedeutung sei.

tehtris-zeitleiste-angriffe-port-427-2023

Abbildung: TEHTRIS

TEHTRIS: Spitzen von Angriffen auf Port 427 Anfang 2023

Bereits am 10. und 24. Januar 2023 Spitze von Angriffen auf Port 427

Die „ESXiArgs“-Cyber-Kampagne erhielt laut TEHTRIS ihren Namen, „da sie für jedes verschlüsselte Dokument eine ,.args’-Datei erstellt“. Dieser „ESXiArgs“-Ransomware-Attacke hätten die Cybersecurity-Forscher nun einen eigenen Blog-Beitrag gewidmet: „Er erläutert nicht nur die Hintergründe zu den Angriffen, sondern erlaubt auch Rückschlüsse auf vorangegangene Aktivitäten der Täter.“

Dank seines weltweiten Netzwerks von sogenannten Honeypots habe TEHTRIS feststellen können, „dass der am Wochenende bekannt gewordene Angriff nicht erst vor wenigen Tagen begann“. Die oben dargestellte Zeitleiste, basierend auf Daten von TEHTRIS seit dem 1. Januar 2023, zeige, dass es bereits am 10. und 24. Januar 2023 zu einer Spitze von Angriffen auf Port 427 gekommen sei – „diese Aktivitäten stiegen dann Anfang Februar wieder an“.

Die meisten über Port 427 eingehenden Angriffe auf östlichen Teil der USA, nordöstlichen Teil des asiatisch-pazifischen Raums und Westeuropa

„Einige der bösartigen IPs, die TEHTRIS in diesem Zusammenhang in seinem ,Honeypot’-Netzwerk überwacht, haben vor dem 3. Februar versucht, unter dem Radar zu bleiben.“ Sie hätten sich zwar sehr diskret verhalten, indem sie nur einen einzigen Aufruf getätigt hätten, „aber sie erreichten eine große Anzahl der ,Honeypots’“.

Betrachte man das weltweite „Honeypot“-Panel, so zeige sich, dass die meisten über Port 427 eingehenden Angriffe auf den östlichen Teil der USA, den nordöstlichen Teil des asiatisch-pazifischen Raums und Westeuropa abzielten – „und zwar praktisch auf dem gleichen Niveau“.

Weitere Informationen zum Thema:

TEHTRIS BLOG, 07.02.2023
Attacks on VMware ESXi servers

datensicherheit.de, 07.02.2023
Große Risiken für Unternehmen: Tenable warnt vor Patch-Müdigkeit / Altbekannte VMware-Schwachstelle jüngst für große Cyber-Angriffskampagne missbraucht – Unternehmen in Frankreich, Finnland und Italien am stärksten betroffenen

]]>
https://www.datensicherheit.de/port-427-visier-esxiargs-ransomware-angriffe-vorlauf/feed 0
Attacke auf Rockstar Games: Entwickler von Computerspielen wird erpresst https://www.datensicherheit.de/attacke-rockstar-games-entwickler-computerspielen-erpressung https://www.datensicherheit.de/attacke-rockstar-games-entwickler-computerspielen-erpressung#respond Wed, 21 Sep 2022 17:46:02 +0000 https://www.datensicherheit.de/?p=42412 Nach Medienberichten über eine Ransomware-Attacke auf Rockstar Games nimmt Claire Tills, Senior Research Engineer bei Tenable, Stellung zu dem Vorfall.]]>

Claire Tills von Tenable kommentiert Ransomware-Attacke

[datensicherheit.de, 21.09.2022] Nach Medienberichten über einen Ransomware-Angriff auf Rockstar Games nimmt Claire Tills, „Senior Research Engineer“ bei Tenable, Stellung zu dem Vorfall:

tenable-claire-tills

Foto: Tenable

Claire Tills: Angreifer versuchen jede Taktik, um das Opfer unter Druck zu setzen zu zahlen…

Relativ einfache Attacken – keine sehr überzeugende Verbindung zu LAPSUS$

„Es liegen noch nicht genügend Informationen vor, um den Schluss zu ziehen, dass ,LAPSUS$‘ hinter dem Leak bei Rockstar Games steckt. Die Angriffe, die mit ,LAPSUS$‘ in Verbindung gebracht werden, und der Vorfall bei Rockstar haben zwar eine gemeinsame Taktik, aber es sind relativ einfache Angriffe, was keine sehr überzeugende Verbindung darstellt“, so Tills.

Die Nachahmung von Taktiken sei unter Angreifern relativ üblich. Nach dem rasanten Aufstieg von „LAPSUS$“ und der plötzlichen Ruhephase hätten Ransomware-Betreiber und Erpresser versucht, ihre Taktik zu imitieren, „weil sie – offen gesagt – funktioniert hat“.

Attacken getrieben von opportunistischem Datendiebstahl und Drohungen

Angreifer konzentrierten sich auf opportunistischen Datendiebstahl und Drohungen, um gestohlene Daten öffentlich zu machen. „Dabei versuchen sie jede Taktik, die sie für notwendig erachten, um das Opfer unter Druck zu setzen, damit es zahlt“, berichtet Tills. Hierzu zählten z.B. die Bedrohung von Kunden, Partnern, Versicherern, Investoren und das Werben um Aufmerksamkeit in den Nachrichten und Sozialen Medien.
Im Fall von Rockstar Games drohe der Angreifer damit, weitere Inhalte von „Grand Theft Auto“ zu veröffentlichen, „was Rockstar angeblich nur verhindern kann, wenn es die Erpresser zahlt“.

Weitere Informationen zum Thema:

The Register, Thomas Claburn, 19.09.2022
Grand Theft Auto 6 maker confirms source code, vids stolen in cyber-heist / So is that three or four stars?

]]>
https://www.datensicherheit.de/attacke-rockstar-games-entwickler-computerspielen-erpressung/feed 0
Flughafenservice, Hafenanlagen, Tanklager – Cyber-Attacken reißen nicht ab https://www.datensicherheit.de/flughafenservice-hafenanlagen-tanklager-cyber-attacken-fortsetzung https://www.datensicherheit.de/flughafenservice-hafenanlagen-tanklager-cyber-attacken-fortsetzung#respond Mon, 07 Feb 2022 20:27:16 +0000 https://www.datensicherheit.de/?p=41483 lookout-hendrik-schlessAuch in den letzten Tagen rissen die Meldungen über Cyber-Attacken auf Kritische Infrastrukturen (Kritis) in Europa nicht ab… ]]> lookout-hendrik-schless

Experten für Cyber-Sicherheit kommentieren jüngste -Attacken auf Kritische Infrastrukturen

[datensicherheit.de, 07.01.2022] Auch in den letzten Tagen rissen die Meldungen über Cyber-Attackene auf Kritische Infrastrukturen (Kritis) in Europa nicht ab – neben Tanklagern in Deutschland offenbar auch Hafenanlagen in Belgien und nicht zuletzt der Flughafenservice Swissport. Zu dieser akuten Bedrohung nehmen nachfolgend drei Experten zum Thema Cyber-Sicherheit von Lookout, Tenable und Vectra AI Stellung:

 

lookout-hendrik-schless

Foto: Lookout

Hendrik Schless: Zugangsdaten werden häufig durch Phishing-Attacken auf mobile Geräten gestohlen!

Cyber-Attacken häufig auf Ziele mit größtmöglicher Betriebsunterbrechung

„Cyber-Angreifer zielen mit ihren Attacken häufig auf Ziele, an denen sie die größtmögliche Betriebsunterbrechung verursachen können. Auf diese Weise ist das Opfer möglicherweise eher bereit, Lösegeld zu zahlen, um seine Systeme wieder online zu bringen“, kommentiert Hendrik Schless, „Senior Manager of Security Solutions“ beim Sicherheitsanbieter Lookout. Aus diesem Grund seien Kritische Infrastrukturen, Krankenhäuser, Verkehrsknotenpunkte und städtische Stromnetze häufig in den Nachrichten über Ransomware-Attacken zu finden. Angreifer würden immer Wege finden, „um Drucksituationen zu schaffen, die ihnen zugutekommen“.

Ransomware sei keine neue Bedrohung, aber die Taktiken, die Angreifer anwendeten, um in die Unternehmensinfrastruktur einzudringen und Ressourcen zu sperren oder zu stehlen, entwickelten sich schnell weiter. Schless führt aus: „Vor Jahren noch haben Angreifer mittels ,Brute Force‘-Taktik eine kleine Schwachstelle in einem Unternehmen gefunden und diese dann ausgenutzt, um die Infrastruktur zu übernehmen. Heutzutage gibt es für Cyber-Kriminelle viel unauffälligere Wege, um in die Infrastruktur einzudringen. Meistens finden sie heraus, wie sie das Konto eines Mitarbeiters kompromittieren können, um sich mit legitimen Zugangsdaten anzumelden, die keinen Verdacht aufkommen lassen.“

Zugangsdaten würden häufig durch Phishing-Angriffe auf mobilen Geräten gestohlen. Auf Smartphones und Tablets hätten Angreifer unzählige Möglichkeiten, über SMS, Chat-Plattformen von Drittanbietern und Social-Media-Apps „Social Engineering“ zu betreiben. Neben dem Schutz des Endpunkts müssten Unternehmen auch in der Lage sein, den Zugriff und die Aktionen innerhalb von „Cloud“-Lösungen und privaten Anwendungen dynamisch zu sichern. Hierzu kämen als Lösungen „Zero Trust Network Access“ (ZTNA) und „Cloud Access Security Broker“ (CASB) ins Spiel. „Indem sie die Interaktionen zwischen Benutzern, Geräten, Netzwerken und Daten verstehen, können Unternehmen Schlüsselindikatoren für eine Kompromittierung erkennen, die auf Ransomware oder eine massive Datenexfiltration hindeuten. Die gemeinsame Absicherung von mobilen Endgeräten der Mitarbeiter sowie von ,Cloud‘- und privaten Anwendungen hilft Unternehmen, eine solide Sicherheitslage zu schaffen, die auf einer ,Zero Trust‘-Philosophie basiert“, erläutert Schless abschließend.

 

vectra-ai-fabian-gentinetta

Vectra AI

Fabian Gentinetta: Obwohl Attacke auf Swissport vor der Verschlüsselung nicht gestoppt wurde, scheint der Schaden erfolgreich begrenzt worden zu sein

Ransomware vorherrschendes Geschäftsmodell bei Gruppen, welche Cyber-Attacken aus Profitgründen durchführen

„Ransomware ist das vorherrschende Geschäftsmodell bei Gruppen, die Cyber-Angriffe aus Profitgründen durchführen. Was wir bei der jüngsten Flut von Angriffen sehen, ist, dass begrenzte Strafverfolgungsmaßnahmen das Problem nicht lösen werden und dies sicherlich nicht über Nacht tun werden“, sagt Fabian Gentinetta vom Cyber-Sicherheitsexperten Vectra AI.

Aber Swissport scheine die Attacke mit minimalem Schaden an seiner Betriebskapazität eingedämmt zu haben, was für die Tatsache spreche, dass Ransomware kein Alles-oder-Nichts-Schachzug sei – „der ,erfolgreiche, aber begrenzte Ransomware-Angriff‘ ist eine Bezeichnung, von der wir hoffen, dass wir mehr sehen werden“.

Das Erkennen und Entfernen von Angreifern aus dem Netzwerk werde in vielen Organisationen zur täglichen operativen Aufgabe. „Obwohl der Angriff vor der Verschlüsselung nicht gestoppt wurde, scheint Swissport ihn schnell eingedämmt und den Schaden erfolgreich begrenzt zu haben. Am wichtigsten, insbesondere für Kritische Infrastrukturen, sind schnelle und funktionierende Backup-Prozesse, wie Swissport eindrucksvoll demonstriert hat“, so Gentinetta.

 

tenable-bernard-montel

Foto: Tenable

Bernard Montel ruft Unternehmen auf: Ermitteln Sie die Kritischen Systeme, auf die Sie angewiesen ist, um zu funktionieren!

Schäden in Folge von Ransomware-Attacken auf Unternehmen offensichtlich

Bernard Montel, „EMEA Technical Director and Security Strategist“ bei Tenable, betont: „Wir haben gesehen, welchen Schaden Ransomware-Angriffe anrichten können, wenn Unternehmen nicht mehr arbeiten können, was wiederum Auswirkungen auf die Lieferkette hat und das Leben der Bürger beeinträchtigt.“ Die aktuellen Angriffe auf Oiltanking in Deutschland, SEA-Invest in Belgien und Evos in den Niederlanden sowie Swissport seien besorgniserregend, aber Gespräche über koordinierte Angriffe von Nationalstaaten seien verfrüht. „Das wahrscheinlichste Szenario ist, dass die Angreifer mit einer Datenbank arbeiten, die ähnliche Ziele enthält, und mit ihren Bemühungen ins Schwarze treffen“, so Montel.

Zwar könne es Monate dauern, bis die Einzelheiten eines Angriffs geklärt sind, doch erste Berichte deuteten darauf hin, dass „BlackCat“, wobei es sich vermutlich um eine neue Marke von „BlackMatter“ handele, für die Angriffe auf die Kraftstoffbranche in ganz Europa verantwortlich sein könnte. In einem anderen Fall sei KP Foods diese Woche ebenfalls Opfer von Ransomware geworden, wobei „Conti“ für diese Ausfälle verantwortlich gemacht worden sei. „Was wir über diese beiden Hacker-Gruppen wissen, ist, dass sie ein Ransomware-as-a-Service (RaaS)-Geschäftsmodell betreiben. Das bedeutet, dass es sich um Organisierte Kriminalität mit Opferdatenbanken und zahlreichen Partnern handelt. Diese binden sich nicht an eine bestimmte Ransomware-Gruppe, sondern arbeiten oft mit mehreren Gruppen zusammen und setzen leistungsstarke Bots ein, um die Verbreitung der Malware zu automatisieren.“

Aus der Sicht des Opfers sei es eigentlich irrelevant, wer dafür verantwortlich ist, zumal dies wahrscheinlich erst in einigen Monaten bekannt sein werde. „Die wichtige Frage ist jedoch, wie die Angriffe erfolgten. In den meisten Fällen, wie im Fall von ,BlackMatter‘ und ,Conti‘, ist es eine bekannte Schwachstelle, die es der Malware ermöglicht, in die Infrastruktur einzudringen und Systeme zu verschlüsseln.“ „BlackMatter“ sei dafür bekannt, dass es auf Remote-Desktop-Software abziele und zuvor kompromittierte Zugangsdaten ausnutze, während „Conti“ dafür bekannt sei, bei seinen Angriffen Schwachstellen wie „Zerologon“ (CVE-2020-1472), „PrintNightmare“ (CVE-2021-1675, CVE-2021-34527) und „EternalBlue“ (CVE-2017-0143, CVE-2017-0148) zu nutzen. Ein weiterer Angriffspfad sei die Ausnutzung von Fehlkonfigurationen in „Active Directory“, wobei sowohl „Conti“ als auch „BlackMatter“ dafür bekannt sind, diese Taktik anzuwenden.

Unternehmen müssten beachten, dass grundlegende Sicherheitsprinzipien den Angriffspfad von Ransomware weitestgehend blockieren könnten. Sicherheitsteams müssten Lösungen einsetzen, die angemessene Transparenz, Sicherheit und Kontrolle über die „Cloud“ und die konvergierte Infrastruktur böten. Montel unterstreicht: „Ich rufe Unternehmen auf: Ermitteln Sie die Kritischen Systeme, auf die Sie angewiesen ist, um zu funktionieren. Identifizieren Sie alle Schwachstellen, die diese Systeme betreffen, und ergreifen Sie dann Maßnahmen, um das Risiko entweder zu patchen oder zu beheben. Kümmern Sie sich auch um übermäßige Berechtigungen in ,Active Directory‘, die es Angreifern ermöglichen, ihre Privilegien zu erhöhen und die Infrastruktur weiter zu infiltrieren!“

Schließlich warnt Montel noch eindringlich: „Werden diese grundlegenden Maßnahmen nicht ergriffen, ist das Unternehmen verwundbar und es droht eine Unterbrechung, egal wer angreift!“

Weitere Informationen zum Thema:

tenable, TENABLE BLOG, Claire Tills, 29.10.2021
Examining the Treat Landscape

tenable, TENABLE BLOG, Derek Melber, 28.10.2021
Active Directory is Now in the Ransomware Crosshairs

datensicherheit.de, 02.02.2022
Cyber-Angriff auf Oiltanking legt Shell-Zulieferer lahm / Zunehmend stehen Kritische Infrastrukturen und Lieferketten im Fokus Cyber-Krimineller, warnt auch René Golembewski

datensicherheit.de, 01.02.2022
Tanklager in Deutschland nach Cyber-Angriff lahmgelegt / IT-Security-Experten geben erste Einschätzung zu Angriff auf Oiltanking

]]>
https://www.datensicherheit.de/flughafenservice-hafenanlagen-tanklager-cyber-attacken-fortsetzung/feed 0
Манифест.docx – Malwarebytes warnt vor neuer Cyber-Doppel-Attacke https://www.datensicherheit.de/%d0%bc%d0%b0%d0%bd%d0%b8%d1%84%d0%b5%d1%81%d1%82-docx-malwarebytes-warnung-neuigkeit-cyber-doppel-attacke https://www.datensicherheit.de/%d0%bc%d0%b0%d0%bd%d0%b8%d1%84%d0%b5%d1%81%d1%82-docx-malwarebytes-warnung-neuigkeit-cyber-doppel-attacke#respond Thu, 29 Jul 2021 15:57:19 +0000 https://www.datensicherheit.de/?p=40479 Laut Malwarebytes lädt und aktiviert das Dokument zwei Schadsoftware-Templates

[datensicherheit.de, 29.07.2021] Forscher von Malwarebytes haben nach eigenen Angaben eine neuartige Cyber-Doppel-Attacke aufgedeckt. Bei ihren Analysen stießen sie demnach auf ein verdächtiges Dokument mit dem Namen „Манифест.docx“ (Manifest.docx), welches „zwei Schadsoftware-Templates herunterlädt und aktiviert“ – eines nutze Makros und das andere sei ein html-Objekt, welches eine Schwachstelle im „Internet Explorer“ ausnutze.

Malwarebytes: Schwachstelle CVE-2021-26411 bereits von der Lazarus-Gruppe adressiert worden

Beide Techniken zielten darauf ab, einen Remote-Access-Trojaner (RAT) einzuschleusen. Die Kombination beider Techniken sei vorher noch nicht beobachtet worden. Die Technik, welche auf die Schwachstelle im „Internet Explorer“ abziele (CVE-2021-26411), sei zuvor allerdings bereits von der „Lazarus“-Gruppe verwendet worden.

Urheber der Attacke laut Malwarebytes bisher nicht identifiziert

Anhand der verwendeten Techniken allein hätten die Forscher nicht feststellen können, wer hinter dieser Attacke steckt. Aber ein „Decoy“-Dokument (Köder), welches den Opfern gezeigt worden sei, liefere einige Hinweise: „Es enthält die Erklärung einer Gruppe, die Andrej Sergejewitsch Portyko nahesteht und gegen Putins Politik auf der Halbinsel Krim gerichtet ist.“ Diese Attacke sei allerdings auch bereits in den Niederlanden und den USA aufgetaucht.

Malwarebytes nennt Folgen einer erfolgreichen Attacke

Der Remote-Access-Trojaner führe dann die folgenden Aktionen aus:

  • Informationen über das Opfer sammeln
  • Das Antivirenproramm identifizieren, das auf dem Gerät des Opfers läuft
  • Shell-Codes ausführen
  • Dateien löschen
  • Dateien up- und downloaden
  • Disk- und Dateisystem-Informationen auslesen

Weitere Informationen zum Thema:

Malwarebytes LABS, Threat Intelligence Team, 29.07.2021
Crimea “manifesto” deploys VBA Rat using double attack vectors

]]>
https://www.datensicherheit.de/%d0%bc%d0%b0%d0%bd%d0%b8%d1%84%d0%b5%d1%81%d1%82-docx-malwarebytes-warnung-neuigkeit-cyber-doppel-attacke/feed 0
Guidewire: Neues Datenmodel für Cyber-Risikomanagement https://www.datensicherheit.de/guidewire-neues-datenmodel-cyber-risikomanagement https://www.datensicherheit.de/guidewire-neues-datenmodel-cyber-risikomanagement#comments Sat, 19 Oct 2019 18:25:42 +0000 https://www.datensicherheit.de/?p=34984 Neues Cyence-Tool zur Modellierung von Ransomware-Ereignissen unterstützt Versicherer im Cyber-Umfeld.

[datensicherheit.de, 19.10.2019] Guidewire Software, Inc., Anbieter einer Industrieplattform für Schaden- und Unfallversicherer, gibt die sofortige Verfügbarkeit des Modell-Updates der vierten Generation (Modell 4) für das Cyber-Risikomanagement in Guidewire CyenceTM bekannt. Die erweiterte Cyber-Ereignis-Risikomodellierungslösung beinhaltet ein neues Ereignis- und Modellbildungsszenario zur Abschätzung der Schadenursache infolge einer Massenbetriebsunterbrechung nach einer Ransomware-Attacke.

Cyberattacken werden fortschrittlicher als auch häufiger

Angriffe von Cyberkriminellen werden sowohl fortschrittlicher als auch häufiger. Im ersten Quartal 2019 wuchs die Anzahl von Ransomware-Angriffen um 118 Prozent. Es wurden zudem neue Arten von Ransomware mit immer innovativeren Techniken entwickelt[1]. Angreifer zielen auf immer größere Beutesummen ab. Aus diesem Grund sind Angriffe auf Unternehmen wesentlich lukrativer als auf Endverbraucher. Ransomware-Attacken lähmten im Jahr 2018 weltweit eine Vielzahl von kleinen und großen Unternehmen.

„Guidewire ist eines der führenden Unternehmen in der Cyber-Risikomodellierung. Wir entwickeln unsere Daten und Modelle ständig weiter, damit Versicherer die neuesten Cyber-Bedrohungen genauer erfassen und bewerten können“, sagt George Ng, Chief Technology Officer, Cyence Risk Analytics bei Guidewire Software. „Modell 4 bietet ein noch höheres Maß an Transparenz. Die Nutzer bekommen dadurch einen tieferen Einblick in das Modell, können modellierte Annahmen leichter identifizieren und Cyberrisiken und -Ereignisse besser aus monetären Gesichtspunkten und anhand von Wahrscheinlichkeiten nachvollziehen.“

Verbesserungen des Risikobewertungsmodells

Modell 4 beinhaltet neben der Einführung einer nach Unternehmensangaben fortschrittlichen Analytics-Modellierung für Ransomware zur Beobachtung aktueller Entwicklungen in der Cyber-Landschaft signifikante Verbesserungen des Risikobewertungsmodells, verbesserte Self-Service-Möglichkeiten und die Integration umfangreicher Schadenfalldaten sowie neuer Datenquellen. Die Weiterentwicklungen des Modell 4 erweitern die Parameter der Risikoevaluation um Akkumulationsereignisse für Ransomware. Sie bieten die Stabilität, Granularität und Rückverfolgbarkeit der Modellergebnisse für Risikomanager von Unternehmen. Das erlaubt diesen, Kapitalentscheidungen detaillierter treffen und erklären zu können. Durch einen umfassenden Überblick über die Cyber-Angriffsfläche können Versicherer ihr Security Management verbessern, angemessene Limits festlegen und das Vertrauen gewinnen, sich in diesem sich schnell verändernden Umfeld anzupassen und erfolgreich zu sein.

„Cyence für Cyber-Risikomanagement, Modell 4, bietet Versicherern hilfreiche neue Funktionen“, sagt Paul Mang, General Manager, Analytics and Data Services bei Guidewire Software. „Wir glauben, dass es Underwritern helfen wird, Ransomware-Risiken sicherer einzuschätzen, zu bewerten und neue Erkenntnisse für Portfoliomanager zu gewinnen, wenn sie ihre gesamten Cyber-Risiken verwalten.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2019
Cyber-Versicherung als digitaler Rettungsring im Ernstfall

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen

datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker

]]>
https://www.datensicherheit.de/guidewire-neues-datenmodel-cyber-risikomanagement/feed 1
Link11 DDoS-Report für das vierte Quatal 2017 veröffentlicht https://www.datensicherheit.de/link11-ddos-report-fuer-das-vierte-quatal-2017-veroeffentlicht https://www.datensicherheit.de/link11-ddos-report-fuer-das-vierte-quatal-2017-veroeffentlicht#respond Tue, 27 Mar 2018 21:06:09 +0000 https://www.datensicherheit.de/?p=27454 13.452 Angriffe in 92 Tagen / Erstmals 12 Angriffsvektoren bei einer Attacke nachgewiesen

[datensicherheit.de, 27.03.2018] Das Link11 Security Operation Center (LSOC) beobachtet laufend Entwicklung von DDoS-Attacken im Netz und veröffentlicht seine Analysen vierteljährlich. In der neuesten Ausgabe Q4 2017 fällt unter den 13.452 untersuchten Attacken besonders die Gefahr durch Multivektor-Attacken auf. Erstmals wurden in einer Attacke 12 Angriffsvektoren nachgewiesen.

DDoS-Attacken auf Unternehmen gehören in der DACH-Region zurr Tagesordnung

DDoS-Attacken auf Unternehmen gehören in Deutschland, Österreich und der Schweiz zur Tagesordnung. Im 4. Quartal 2017 registrierte das LSOC 13.452 Angriffe, das entspricht fast 150 Attacken täglich. Gegenüber dem Vorjahresquartal bedeutet das eine Zunahme von 116 %.

Der Quartals-Report analysiert, erklärt und vergleicht die wichtigsten Merkmale von DDoS-Attacken wie Angriffsvolumen, Dauer Vektorenzahl und Quellenländer. Die wichtigsten Ergebnisse:

  • Die Zahl der abgewehrten Attacken verblieb im 4. Quartal mit 13.452 Angriffen auf einem hohen Niveau.
  • Im 4. Quartal musste das LSOC 116 % mehr Attacken als im Vorjahreszeitraum abwehren.
  • Bei 5 DDoS-Angriffen lagen die Bandbreitenspitzen zwischen 40 und 80 Gbps
  • Die größte vom LSOC abgewehrte Attacke erreichte eine Spitzenbandbreite von 70,1 Gbps.
  • Die höchste Paketrate lag nach Messungen des LSOC bei 53,1 Millionen Paketen pro Sekunde.

DDoS-Attacke kombiniert 12 Vektoren

DDoS-Attacken sind heute deutlich komplexer als in den Anfangszeiten, als die Täter ausschließlich auf reine UDP Floods oder TCP SYN Floods setzten. Die Angreifer kombinieren immer häufiger mehrere Angriffstechniken bzw. erweitern ihr Angriffsset mit neuen Protokollen. Nahezu jede 2. Attacke (45,3 %) basierte aus mehreren Techniken. Am häufigsten setzen die Angreifer 2 oder 3 Vektoren ein.
Das bisherige Maximum an Vektoren, die das LSOC in einem Angriff nachweisen konnte, lag bislang bei 10. Im 4. Quartal registrierte die DDoS-Schutzexperten erstmals jeweils eine Attacke mit 11 und eine mit 12 Vektoren.

Weitere Informationen zum Thema:

Link11
Link11 DDoS-Report für die DACH-Region

datensicherheit.de, 02.03.2018
Akamai: Größte DDoS-Attacke bisher abgewehrt

datensicherheit.de, 24.02.2017
DDoS-Gefahrenlage: Link11-Report meldet Attacken-Wachstum um 117 Prozent

]]>
https://www.datensicherheit.de/link11-ddos-report-fuer-das-vierte-quatal-2017-veroeffentlicht/feed 0
Kritis im Visier: Hacker-Angriffe bleiben noch oft zu lange unbemerkt https://www.datensicherheit.de/kritis-hacker-angriffe https://www.datensicherheit.de/kritis-hacker-angriffe#respond Thu, 01 Mar 2018 22:25:26 +0000 https://www.datensicherheit.de/?p=27325 Keine 100-prozentige Sicherheit möglich, aber schnellere Reaktionen nötig

[datensicherheit.de, 01.03.2018] Die jüngste Cyber-Attacke auf die Bundesregierung habe erneut gezeigt, wie gefährlich solche Angriffe bereits geworden sind. Udo Riedel, „CEO“ und „CTO“ von DriveLock SE kommentiert hierzu: „469 Tage bleiben Hacker-Angriffe durchschnittlich unbemerkt. Das ist mehr als genug Zeit für Angreifer, sich ungestört Informationen zu verschaffen. Wie lange der Angriff auf die Bundesregierung tatsächlich unbemerkt blieb, werden die Untersuchungen noch zeigen.“

Applikationskontrolle verhindert Start unbekannter Programme

Bei Cyber-Attacken, die gezielt Hintertüren ausnutzen oder speziell für dieses Netzwerk programmierte Viren nutzen, böten herkömmliche Schutzmaßnahmen, wie z.B. Antiviren-Software, nicht den nötigen Schutz, insbesondere nicht im Fall von solchen Kritischen Infrastrukturen wie Bundesbehörden.
Damit Sicherheitslücken gar nicht erst missbraucht und Schadprogramme nicht ausgeführt werden können, sei zusätzliche Sicherheitssoftware nötig. Applikationskontrolle beispielsweise verhindere, dass unbekannte Programme gestartet werden, unabhängig davon wo und wie sie auf das Netzwerk gelangen.

Zusätzliche Security-Maßnahmen müssen schneller als Patches und Updates greifen!

Denn bis eine Lücke entdeckt wird und der entsprechende Sicherheits-Patch entwickelt und installiert ist, könnte es schon zu spät sein, warnt Riedel. Applikationskontroll-Software decke auch Zero-Day-Malware ab, also neue Schadprogramme und Virus-Varianten, die Antivirus-Software noch nicht gelistet hat.
Bei den rasanten Entwicklungen im Cybercrime-Markt und mutmaßlich/potenziell staatlich finanzierten Hackern seien zusätzliche Security-Maßnahmen notwendig, die schneller und umfassender greifen als Sicherheits-Patches und Softwareupdates, betont Riedel.

Weitere Informationen  zum Thema:

datensicherheit.de, 01.03.2018
Hacker-Angriff auf Datennetzwerk des Bundes: Ganzheitliches Sicherheitsmanagement notwendig

datensicherheit.de, 01.03.2018
Selbst nach Cyber-Attacke: Unternehmen ändern ungern Sicherheitsstrategie

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

datensicherheit.de, 01.03.2018
Ohne automatisierte Netzwerk-Dauerüberwachung zu leichtes Spiel für Angreifer

]]>
https://www.datensicherheit.de/kritis-hacker-angriffe/feed 0
Angriffsziel Mobilgeräte: Alle führenden Unternehmen bereits Opfer https://www.datensicherheit.de/angriffsziel-mobilgeraete-alle-fuehrenden-unternehmen-bereits-opfer https://www.datensicherheit.de/angriffsziel-mobilgeraete-alle-fuehrenden-unternehmen-bereits-opfer#respond Fri, 17 Nov 2017 15:36:41 +0000 https://www.datensicherheit.de/?p=27066 Michael Shaulov, Check PointDie Bedrohungslage hat sich verändert: Daten auf Mobilgeräten sind nicht mehr sicher – und alle Branchen sind bedroht, angefangen bei den Behörden bis hin zu Produktionsunternehmen.]]> Michael Shaulov, Check Point

Aktuelle Studie mit Informationen von über 850 Großunternehmen aus vier Kontinenten

[datensicherheit.de, 17.11.2017] Laut einer aktuellen Untersuchung sollen alle führenden Unternehmen bereits Opfer einer Attacke auf Mobilgeräte geworden sein wurden – Check Point bringt deshalb nach eigenen Angaben eine neue Sicherheitslösung – „SandBlast Mobile Solution“ – auf den Markt.

Sowohl „Android“- als auch „iOS“-Geräte im Fadenkreuz

Die Check Point® Software Technologies Ltd. hat am 17. November 2017 die Ergebnisse seiner ersten Studie über die Auswirkungen von Attacken auf Mobilgeräte bekanntgegeben. Hierzu seien Informationen von über 850 Großunternehmen aus vier Kontinenten gesammelt worden. Es wird demnach deutlich, dass sowohl „Android“ als auch „iOS“-Geräte im Fadenkreuz der Angreifer stehen.
Die Bedrohungslage habe sich verändert und die Daten auf Mobilgeräten seien nicht mehr sicher. Die Gefahr wirke sich auf alle Branchen aus – von Behörden bis hin zur Produktion.

Zentrale Erkenntnisse auf Basis der Studie:

  • 100 Prozent aller Unternehmen hätten bereits Erfahrungen mit Angriffen auf Mobilgeräte.
  • 54 Angriffe habe es im Durchschnitt auf jede Organisation gegeben.
  • 89 Prozent aller Befragten bestätigten eine „Man-in-the-Middle“-Attacke über Wi-Fi.
  • 75 Prozent habe mindestens 35 Geräte mit Jailbreaks oder ähnlichen Defekten im Netzwerk.
Michael Shaulov, Check Point

Foto: Check Point® Software Technologies Ltd.

Michael Shaulov warnt: Mobilgeräte die neue „Hintertür” für Cyber-Kriminelle!

Geldwert und Häufigkeit der Angriffe auf Mobilgeräte höher als bei PCs

Vor dem Hintergrund, dass Cyber-Kriminelle immer wieder neue Methoden entwickeln, mit denen sie Mobilgeräte kompromittieren können, hat Check Point nach eigenen Angaben seine Lösung „SandBlast Mobile“ verbessert. Die neue Lösung werde Unternehmen und Verbraucher vor den Bedrohungen durch folgende Fähigkeiten schützen:

  • Erkennung künstlicher Intelligenz, um „Zero-Day“-Malware sofort zu blockieren.
  • Blockierung zielgerichteter „SMiShing“-Angriffe auf „iOS“- und „Android“-Geräte.
  • Eine neue App, mit der Endnutzer die Gerätesicherheit überwachen und steuern könnten.

„Der Geldwert und die Häufigkeit der Angriffe auf Mobilgeräte lag 2017 über dem von PCs, wodurch sich auch die Ergebnisse des Berichts erklären lassen“, erläutert Michael Shaulov, „Head of Products Mobile and Cloud Security“ bei Check Point Software. Mobilgeräte seien im Wesentlichen die neue „Hintertür” für Cyber-Kriminelle. Shaulov: „Wir freuen uns, diese verbesserte ,SandBlast Mobile‘-Lösung anbieten und Unternehmen und Privatpersonen oder Verbraucher damit proaktiv schützen zu können.“

Weitere Informationen zum Thema:

Check Point
Mobile Cyber Attacks Impact 100% of Businesses

]]>
https://www.datensicherheit.de/angriffsziel-mobilgeraete-alle-fuehrenden-unternehmen-bereits-opfer/feed 0
Petya: Bedeutung größer als nur die von einer Art WannaCry 2.0 https://www.datensicherheit.de/petya-bedeutung-groesser-als-nur-die-von-einer-art-wannacry-2-0 https://www.datensicherheit.de/petya-bedeutung-groesser-als-nur-die-von-einer-art-wannacry-2-0#respond Wed, 28 Jun 2017 21:44:35 +0000 http://www.datensicherheit.de/?p=26683 Jüngste Angriffe haben das Potenzial, die Welt zumindest teilweise zum Stoppen zu bringen

[datensicherheit.de, 28.06.2017] Die jüngste, weltweite Angriffswelle der Ransomware „Petya“ weist nach Auffassung von Thomas Ehrlich, „Country Manager DACH“ bei Varonis, „auffallende Ähnlichkeiten“ zu „WannaCry“ auf, habe dabei aber das Potenzial, noch bedeutend mehr Schaden anzurichten.

Kein „Kill Switch“

So scheine es hierbei keinen „Kill Switch“ zu geben, der bei ,WannaCry‘ die Ausbreitung nachhaltig eingeschränkt habe. Gleichwohl nutze „Petya“ die gleichen NSA-Exploits wie „WannaCry“, d.h. „ETERNALBLUE“, verhindere aber das Booten der Opfer-Computer anstatt „lediglich“ die Erpresser-Nachricht anzuzeigen. Die neue Attacke verschlüssele also nicht nur die Dateien, sondern kapere den ganzen Computer, und könne sich so schnell und weit verbreiten.

Dringend: Aufspielen des SMB-Patches!

Das allererste, das Unternehmen jetzt tun sollten, um nicht infiziert zu werden, sei das Aufspielen des SMB-Patches – von Microsoft in Zusammenhang mit „WannaCry“ herausgebracht.
Mittlerweile hätten zahlreiche AV-Anbieter ihre Software aktualisiert. Zu Beginn der Welle habe jedoch nur etwa ein Viertel der Lösungen „Petya“ erkennen können, was wieder einmal die Notwendigkeit von nicht-signaturbasierten Ansätzen unterstreiche: Zwangsläufig seien diese klassischen Lösungen immer einen Schritt hinterher, da die Schadsoftware nur minimal verändert werden müsse, um nicht erkannt zu werden.
Aus diesem Grund sollten Unternehmen und Behörden ihre Sicherheitsstrategie generell überdenken: Anstatt zu versuchen, „immer höhere Wände zu bauen“, sei es bedeutend effektiver, durch Daten- und Verhaltensanalysen Angreifer im Inneren zu stellen. Einen ähnlichen Ansatz verfolgten übrigens auch Finanzinstitute sehr erfolgreich bei der Feststellung von Kreditkartenbetrug.

Sicherheitsrichtlinien an moderne Bedrohungslandschaft anpassen!

Natürlich sei es von größter Bedeutung, das System durch Patches und Updates stets auf dem neusten Stand zu halten, aber langfristig müssten Unternehmen ihre Sicherheitsrichtlinien an die moderne Bedrohungslandschaft anpassen. Ehrlich: „Das bedeutet die Einführung eines Privilegienmodells auf Grundlage einer minimalen Rechtevergabe sowie die Analyse des Datei- und Nutzerverhaltens, um Auffälligkeiten sofort festzustellen und zu unterbinden.“
Diese erforderlichen Maßnahmen nicht zu ergreifen, um moderne Malware zu adressieren, habe eine verheerende globale Wirkung und setze Behörden, Infrastruktureinrichtungen und Unternehmen matt. Diese Angriffe hätten das Potenzial, die Welt zumindest teilweise zum Stoppen zu bringen. „Wir müssen unbedingt proaktiv für die Fälle planen, bei denen es Angreifern gelingt, die erste Verteidigungslinie zu überwinden, und unsere Sicherheitsstrategie so ausrichten, dass wir in der Lage sind, die Daten im Inneren schützen, wenn die Perimeter-Security versagt“, betont Ehrlich.

Weitere Informationen zum Thema:

datensicherheit.de, 28.06.2017
Ransomware Petya: Internationale Verbreitung über Windows-SMB-Protokoll

datensicherheit.de, 28.06.2017
Weltweite Ransomware-Attacke: Petya alarmiert Unternehmen

]]>
https://www.datensicherheit.de/petya-bedeutung-groesser-als-nur-die-von-einer-art-wannacry-2-0/feed 0
Weltweite Ransomware-Attacke: Petya alarmiert Unternehmen https://www.datensicherheit.de/weltweite-ransomware-attacke-petya-alarmiert-unternehmen https://www.datensicherheit.de/weltweite-ransomware-attacke-petya-alarmiert-unternehmen#respond Wed, 28 Jun 2017 21:38:52 +0000 http://www.datensicherheit.de/?p=26681 Vectra Networks nennt grundlegende Herausforderungen infolge derartiger Angriffe

[datensicherheit.de, 28.06.2017] Am 27. Juni 2017 wurden binnen weniger Stunden erfolgreiche Cyber-Attacken mit der Erpressersoftware „Petya“ von zahlreichen Unternehmen in mehreren Ländern gemeldet. Obwohl „Petya“ offenbar auf einem Ansatz basiert, den unlängst Cyber-Kriminelle bei der Kampagne „WannaCry“ gesetzt haben, verpassten es offensichtlich sehr viele Organisationen, die notwendigen Vorkehrungen zu treffen. Gérard Bauer, „VP EMEA“ bei Vectra Networks, nimmt Stellung zur aktuellen Ransomware-Attacke und weist auf die Problematik konventioneller Sicherheitslösungen sowie ungepatchter Systeme hin.

Besonders heimtückischer Angriff

Bauer: „Jeder Sicherheitsanbieter, der behauptet er könne ein Unternehmen garantiert vor solch einer Art von Attacke vollständige schützen, ist nicht ehrlich. Der Punkt ist: Der Angreifer muss nur ein einziges Mal an einer Stelle erfolgreich ins Netzwerk eindringen, und schon ist es geschehen. Die angreifbare Oberfläche ist in vielen Organisationen zu groß um perfekt geschützt zu werden. Bei der aktuellen Ransomware, die sich wie ein Wurm verhält und verbreitet, nutzen die Angreifer einen Pyramiden—Ansatz. Sie verschlüsseln die Boot-Sektion der Rechner, und eben nicht nur die Dateien. Dies macht den Angriff besonders heimtückisch.“
Sobald die Betroffenen merken, dass ihr System infiziert ist, sei davon auszugehen, dass bereits mehrerer Dutzend Systeme im gleichen Netzwerk auch schon infiziert sind. So entstehe eine „Hase und Igel“-Spiel in Lichtgeschwindigkeit.

Herausforderung für die IT-Sicherheitsbranche

Der US-Geheimdienst NSA habe dieses Werkzeug extra dafür entwickelt, um die konventionelle Sicherheitssysteme zu umgehen, die in vielen Organisationen noch immer eingesetzt werden. Diese Attacke sei somit auch eine Herausforderung für die IT-Sicherheitsbranche, um gegen solche Angriffe in Zukunft gerüstet zu sein um auch ungepatchte Systeme zu schützen.
Ähnliche Malware – wie „WannaCry“ und „Conficker“ – bei vorhergehenden Angriffen habe sich wie ein Wurm verbreitet und sei von Sicherheits-Systemen auf Basis Künstlicher Intelligenz frühzeitig in den ersten Phasen der Attacken erkannt und gestoppt worden.
„Wir gingen davon aus, dass die große Aufmerksamkeit für ,WannaCry‘ dafür gesorgt hat, dass sich Unternehmen und andere Organisationen besser schützen, ihre ,Windows‘-Systeme patchen und die bekannte Sicherheitslücke somit schließen. Dies scheint aber nicht der Fall zu sein, wenn wir uns anschauen, wie schnell und weit sich die aktuelle Ransomware-Attacke verbreitet“, so Bauer. Unternehmen, die aus technischen Gründen Mühe haben, ihre alten ,Windows‘-Systeme zu patchen, sollten sich dringend nach alternativen Lösungen umsehen. Das Aufkommen von Künstlicher Intelligenz in der IT-Sicherheit könnte ein Weg sein.

Mehr Informationen zum Thema:

datensicherheit.de, 25.03.2016
Malwareattacke: Petya verschlüsselt ganze Festplatten

]]>
https://www.datensicherheit.de/weltweite-ransomware-attacke-petya-alarmiert-unternehmen/feed 0