Patrycja Schrenk gibt Tipps, welche Vorsichtsmaßnahmen gegen Botnetze getroffen werden können

[datensicherheit.de, 25.08.2022] Die PSW GROUP warnt vor zunehmender Gefahr durch sogenannte Botnetze und gibt Hinweise, wie Anwender betroffene Geräte erkennen und welche Vorsichtsmaßnahmen sie treffen können. Demnach gehören Botnetze gehören zu den größten Bedrohungen für das Internet der Dinge (IoT). Mit ihrer Hilfe verbreiteten Cyber-Kriminelle Malware, führten DDoS-Attacken durch und schleusten sogenannte Spyware ein. Die Gefahr durch Botnetze könnte sogar noch weiter zunehmen, denn inzwischen böten Cyber-Kriminelle im Darknet bereits Kurse zum Bau und Betrieb eines Botnetzes an.

Foto: PSW GROUP

Patrycja Schrenk warnt: Jedes vernetzte Gerät mit Zugang zum Internet kann Teil eines Botnetzes werden!

Auch Mobilgeräte wie Smartphones oder Tablets können Teile von Botnetzen werden

„Jedes vernetzte Gerät mit einem Zugang zum Internet kann Teil eines Botnetzes werden. Häufig sind IoT-Geräte, insbesondere im privaten Umfeld, sehr weit vom Schutzniveau gängiger Computer entfernt und werden immer wieder von Kriminellen gekapert, ohne dass die Opfer davon etwas mitbekommen“, warnt Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Aber auch Mobilgeräte wie Smartphones oder Tablets könnten Teile von Botnetzen werden.

Sie erläutert: „Ein Botnetz besteht aus einem Netz gekaperter Rechner, deren Besitzer in der Regel nichts davon ahnen. Zunächst wird der Zielrechner, der in das Botnetz eingebunden werden soll, mit Malware infiziert. Mit dieser Schadsoftware können Angreifer die Kontrolle über das System übernehmen.“

Gekaperte Rechner ließen sich über sogenannte Command-and-Control-Server (C&C-Server) steuern und für unterschiedliche Aktivitäten verwenden: Spamming, für die Speicherung illegaler Dateien, das Verteilen von Schadsoftware oder auch für DDoS-Attacken.

Vielseitigkeit der Botnetze für Cyber-Kriminelle so attraktiv

„Es ist zwar mit einigem Aufwand verbunden, ein Botnetz zu erstellen. Allerdings ist es dessen Vielseitigkeit, die für Kriminelle so attraktiv ist“, so Schrenk. Botnetze könnten nach der Infektion eine Zeit lang schlummern und sich erst später aktivieren.

Sie könnten aber auch sofort Daten ausspähen oder als Erpressungstrojaner Einsatz finden. Insbesondere von Unternehmen gefürchtet seien DDoS-Angriffe:

„Das Botnetz bombardiert das Opfersystem mit der gebündelten Rechnerleistung sowie Netzwerk-Bandbreite all der angeschlossenen Geräte so lange, bis das Zielsystem unter dieser Last in die Knie geht und nicht mehr erreichbar ist.“

Botnetze nicht einfach zu erkennen

Es sei nicht einfach, Botnetze zu erkennen, denn sie brauchten für gewöhnlich keine nennenswerte Rechenleistung. Dennoch gebe es einige Hinweise, welche auf Botnetze hindeuten können:

„Wer beispielsweise eine plötzliche Verlangsamung der Internetgeschwindigkeit oder Bandbreitenspitzen feststellt, wenn das Betriebssystem sich nicht aktualisieren oder Prozesse auf dem Rechner sich nicht schließen lassen, sind das Indizien, dass der Rechner Teil eines Botnets ist“, erklärt Schrenk. Auch unerwartete Änderungen im System oder unbekannte Prozesse im Task-Manager seien Hinweise für die Existenz eines Botnetzes.

Immerhin, so Schrenk, verrichteten viele Anti-Viren-Lösungen gute Arbeit beim Auffinden von Botnetzen, so dass Anwender auch den Warnungen ihres Antiviren-Tools trauen könnten. „Das setzt natürlich voraus, dass es auf aktuellem Stand gehalten wird. Gleiches gilt auch für das Betriebssystem und sämtliche andere Anwendungen. Funktions- und Sicherheitsupdates sollten immer rasch eingespielt werden“, unterstreicht Schrenk und ergänzt: „Aber bitte keine P2P-Download-Dienste verwenden. Diese sind gerade dann beliebt, wenn neue Software erwartet wird. Stattdessen lieber auf die offiziellen Quellen für die Downloads zurückgreifen.“

Maßnahmen und Verhaltensregeln – damit Botnetze keine Chance haben

Mit weiteren Maßnahmen und Verhaltensregeln könne sich jeder zudem aktiv davor schützen, dass Botnetze keine Chance haben: Wer E-Mails mit Anhängen erhält oder aufgefordert wird, weiterführende Links anzuklicken, sollte Vorsicht walten lassen. „Anhänge sollten nicht geöffnet werden – auch nicht, wenn der Absender bekannt ist. Dann lässt sich durch ein kurzes Telefonat klären, ob die E-Mail tatsächlich von dieser Person stammt. Ähnlich verhält es sich bei Links. Auch hier rate ich, diese nicht anzuklicken.“

Soll eine Website aufgerufen werden, ist es laut Schrenk sicherer, die URL direkt manuell in die Browser-Leiste einzugeben. Wer sich über die Seriosität einer Website unschlüssig ist, könne über das Impressum und weitere Rechtstexte Klarheit gewinnen – und im Zweifelsfall die Seite besser verlassen.

Wichtig sei auch noch: Bei neuen Geräten, gleich ob im Unternehmen oder zu Hause, sollten unbedingt und am besten sofort die voreingestellten Passwörter geändert werden. Starke Passwörter aus einer Kombination von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen und einer Länge von mindestens zehn Zeichen seien dabei zu bevorzugen – und zwar für jedes Gerät oder jeden Dienst ein eigenes. Schrenks abschließender Tipp: „Idealerweise werden Zugänge durch eine Zwei- oder Mehr-Faktor-Authentifizierung gesichert, also beispielsweise aus Passwort und einem weiteren Faktor.“

Weitere Informationen zum Thema:

PSW GROUP, Bianca Wellbrock, 05.07.2022
Bedrohungslage / Botnetze: Die automatisierte Gefahr

Emotet galt noch vor Kurzem als gefährlichste Schadsoftware weltweit

[datensicherheit.de, 27.01.2021] Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben nach eigenen Angaben am 26. Januar 2021 „im Rahmen einer international konzertierten Aktion mit Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Litauen, Frankreich sowie England, Kanada und den USA die Infrastruktur der Schadsoftware ,Emotet‘ mit Unterstützung von Europol und Eurojust übernommen und zerschlagen“.

Foto: BKA (Screenshot)

BKA-Präsident Holger Münch: Infrastruktur der Emotet-Schadsoftware zerschlagen

Downloader Emotet konnte unbemerkt ein Opfersystem infizieren

„Emotet“ habe als derzeit gefährlichste Schadsoftware weltweit gegolten und auch in Deutschland neben Computern Zehntausender Privatpersonen eine hohe Anzahl von IT-Systemen von Unternehmen, Behörden und Institutionen infiziert, wie beispielsweise die des Klinikums Fürth, des Kammergerichts Berlin, der Bundesanstalt für Immobilienaufgaben (BImA) oder der Stadt Frankfurt am Main.
Als sogenannter Downloader habe „Emotet“ die Funktion besessen, unbemerkt ein Opfersystem zu infizieren und weitere Schadsoftware nachzuladen, etwa zur Manipulation des Online-Bankings, zum Ausspähen von gespeicherten Passwörtern oder zur Verschlüsselung des Systems für Erpressungen. Die Nutzung dieses durch die Täter geschaffenen Botnetzes sei zusammen mit der Nachladefunktion von beliebiger Schadsoftware in der „Underground Economy“ gegen Entgelt angeboten worden.
Deshalb könne das kriminelle Geschäftsmodell mit „Emotet“ als „Malware-as-a-Service“ bezeichnet werden. Es habe weiteren Kriminellen die Grundlage für zielgerichtete Cyber-Angriffe geboten. Alleine in Deutschland sei durch Infektionen mit der Malware „Emotet“ oder durch nachgeladene Schadsoftware ein Schaden in Höhe von mindestens 14,5 Millionen Euro verursacht worden.

Ermittlungen von ZIT und BKA gegen Emotet-Betreiber seit August 2018

Die Ermittlungen von ZIT und BKA gegen die Betreiber der Schadsoftware „Emotet“ und des Emotet-Botnetzes wegen des „Verdachts des gemeinschaftlichen gewerbsmäßigen Computerbetruges und anderer Straftaten“ werden demnach seit August 2018 geführt.
Im Rahmen dieses Ermittlungsverfahrens seien zunächst in Deutschland verschiedene Server identifiziert worden, „mit denen die Schadsoftware verteilt und die Opfersysteme mittels verschlüsselter Kommunikation kontrolliert und gesteuert werden“.
Umfangreiche Analysen der ermittelten Daten hätten zu der Identifizierung weiterer Server in mehreren europäischen Staaten geführt. „So konnten im Wege der internationalen Rechtshilfe weitere Daten erlangt und die ,Emotet‘-Infrastruktur durch Beamte des BKA und der internationalen Partnerdienststellen immer weiter aufgedeckt werden.“

Zugriff der Täter auf Emotet-Infrastruktur unterbunden

Da sich die auf diese Weise identifizierten Bestandteile der „Emotet“-Infrastruktur in mehreren Ländern befänden, seien die Maßnahmen zum „Takedown“ am 26. Januar 2021 auf Initiative von ZIT und BKA in enger Kooperation mit den betroffenen internationalen Strafverfolgungsbehörden durchgeführt worden.
Beamte des BKA sowie Staatsanwälte der ZIT hätten dabei in Deutschland bisher bereits 17 Server beschlagnahmt. Daneben seien auf Ersuchen der deutschen Strafverfolgungsbehörden auch in den Niederlanden, in Litauen und in der Ukraine im Rahmen von internationalen Rechtshilfemaßnahmen weitere Server beschlagnahmt worden.
Durch dieses von Europol und Eurojust koordinierte Vorgehen sei es nicht nur gelungen, den Zugriff der Täter auf die „Emotet“-Infrastruktur zu unterbinden. Auch umfangreiche Beweismittel seien gesichert worden. Zudem habe im Rahmen der Rechtshilfemaßnahmen in der Ukraine bei einem der mutmaßlichen Betreiber die Kontrolle über die „Emotet“-Infrastruktur übernommen werden können.

Emotet auf betroffenen deutschen Opfersystemen für Täter unbrauchbar gemacht

Durch die Übernahme der Kontrolle über die „Emotet“-Infrastruktur sei es möglich gewesen, die Schadsoftware auf betroffenen deutschen Opfersystemen für die Täter unbrauchbar zu machen. Um den Tätern jegliche Möglichkeit zu nehmen, die Kontrolle zurückzuerlangen, sei die Schadsoftware auf den Opfersystemen in Quarantäne verschoben und die Kommunikationsparameter der Schadsoftware so angepasst worden, „dass die Opfersysteme ausschließlich zu einer zur Beweissicherung eingerichteten Infrastruktur kommunizieren können“.
Die dabei erlangten Informationen über die Opfersysteme wie z.B. öffentliche IP-Adressen würden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt. Das BSI benachrichtige die für die übermittelten IP-Adressen zuständigen Netzbetreiber in Deutschland. Provider würden gebeten, ihre betroffenen Kunden entsprechend zu informieren. Weiterhin stelle das BSI Informationen zur Bereinigung betroffener Systeme zur Verfügung.
Für ZIT und BKA stelle das Zerschlagen der „Emotet“-Infrastruktur einen „bedeutenden Schlag“ gegen die international organisierte Internetkriminalität und zugleich eine wesentliche Verbesserung der Cyber-Sicherheit in Deutschland dar.

Weitere Informationen zum Thema:

Bundeskriminalamt BKA, 27.01.2021
Pressestatement von BKA-Präsident Holger Münch / Infrastruktur der Emotet-Schadsoftware zerschlagen

Bundeskriminalamt BKA
Die wichtigsten Fragen und Antworten rund um die Schadsoftware „Emotet“

datensicherheit.de, 22.10.2020
Emotet: Varianten ohne Ende / Explosionsartige Ausbreitung von Emotet im ersten Halbjahr 2020 mit mehr als 27.800 neuen Varianten

datensicherheit.de, 17.08.2020
Wie Phoenix aus der Asche: Schadsoftware Emotet zurück / Der Trojaner wurde modifiziert und kann nun E-Mail-Inhalte von infizieren Rechnern auslesen

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails

Zunahme basiert auf neuen Transaktionen zur Account-Erstellung / Carsten J. Pinnow, Herausgeber datensicherheit.de im Gespräch mit Alexander Frick, Head of Sales D/A/CH ThreatMetrix, A LexisNexis Risk Solutions company

[datensicherheit.de, 27.08.2020] Cyber-Kriminalität stellt inzwischen eine regelrechte globale digitale Industrie dar, welche Ländergrenzen einfach ignoriert. Sie generiert inzwischen Einnahmen, welche mit einigen der die größten Volkswirtschaften der Welt konkurrieren könnte, und bietet quasi professionell Wissensaustausch, Dienstleistungen und Instrumente an, um die Einrichtung globaler Netzwerke für Betrügereien zu erleichtern. Bereits 2014 warnte das Center for Strategic and International Studies (CSIS), dass Cyber-Kriminalität etwa 0,7 Prozent des weltweiten Einkommens kostet, erhöhte dann aber im Jahr 2018 die Schätzung auf 0,8 Prozent – was einem Gegenwert von rund 600 Milliarden US-Dollar pro Jahr entspricht. Die vorliegende aktuelle Analyse aus dem „LexisNexis® Digital Identity Network®“ unterstreicht die Ansicht, „dass Cyber-Kriminalität ein gut organisiertes, globales Unterfangen ist“, welches Hyper-Verbünde betrügerischer Netzwerke entstehen lässt.

Alexander Frick, Head of Sales D/A/CH ThreatMetrix, Bild: ThreatMetrix

Transaktions- und Angriffstrends sowie Betrugsvorfälle aus der ganzen Welt

Für den „LexisNexis Risk Solutions Cybercrime Report“ wurden zunächst Verhalten und Handlungen von Betrügern verfolgt, die über mehrere Organisationen innerhalb des „Digital Identity Network®“ operieren. Nun wurde für den vorliegenden Bericht die Analyse auf globale Betrugsnetzwerke erweitert und deren Anatomie nach Geographie, Branche und Volumen klassifiziert. Der Bericht kombiniert Transaktions- und Angriffstrends aus der ganzen Welt mit Betrugsvorfällen aus Regionen, Branchen und Unternehmen.

Betrüger globalisieren sich – internationaler Informationsaustausch zur Abwehr zwingend

Sowohl für Verbraucher wie auch für Betrüger nehmen die Chancen, die eine globale digitale Wirtschaft bietet, in hohem Maße zu. Während Verbraucher verbesserten Zugang zu Waren und Dienstleistungen aus der ganzen Welt haben, nutzen Betrüger gestohlene Identitätsdaten, um entsprechende globale Angriffe zu starten. Unternehmen benötigen daher Instrumente, um globale Betrügereien aufspüren zu können und gleichzeitig eine niederschwellig erreichbare Umgebung für vertrauenswürdige Benutzer. „Die Nutzung von Netzwerken und Konsortien zum Austausch von Informationen über Cyber-Kriminalität und bekannte Betrüger über Branchen und Regionen hinweg ist wichtiger denn je.“

Regionale Nuancen in der Cyber-Kriminalität: Taktiken variieren

Regionale Nuancen in der Cyber-Kriminalität spiegeln die wirtschaftlichen, kulturellen und sozialen Unterschiede jedes einzelnen Landes wider und können der Analyse von Betrug ohne Grenzen weiteren Kontext hinzufügen. So sind typische Wachstumswirtschaften zum Beispiel oft anfällig für die Ausbeutung durch Betrüger, die nach Schwachstellen in neuen und neu entstehenden Prozessen und Plattformen suchen. Auch wenn reifere Volkswirtschaften möglicherweise bereits über mehrschichtige Sicherheitsvorkehrungen verfügen, können Betrüger diese jedoch immer noch durch raffinierte „Social Engineering“-Betrügereien umgehen.

Erkenntnisse aus dem LexisNexis® Risk Solutions Cybercrime Report July-December 2019

• Analyse des regionalen Wachstums als alternative Sicht auf automatisierten Bot-Verkehr
  Bot-Volumina erweisen sich als „sehr unbeständig“, denn eine Bot-Attacke repräsentiert im Prinzip Millionen einzelner Angriffe. Die Analyse des regionalen Wachstums kann nun eine alternative Sicht auf den automatisierten Bot-Verkehr geben, der auf bestimmte Branchen und Regionen ausgerichtet ist.
• Trotz globaler Abnahme Zunahme der Bot-Attacken aus einzelnen Ländern
  Nach Angaben von LexisNexis verzeichnet das „Digital Identity Network“ derzeit ein „starkes Wachstum bei Bot-Angriffen aus Kanada, Deutschland, Frankreich, Indien und Brasilien“, trotz der Tatsache, dass das globale Bot-Volumen gesunken ist.
• Hauptsächlich Finanzdienstleistungen und Medien im Visier
  Bots aus Kanada, Frankreich und Deutschland zielten alle auf die dieselbe Gruppe von Organisationen, bei denen es sich hauptsächlich um Finanzdienstleistungen handelte und Medien. Obwohl sich diese Bots vorwiegend auf Account-Übernahmen kaprizieren, hat die Anzahl der Angriffe von Account-Erstellungs-Bots in der zweiten Hälfte des Jahres 2019 weltweit zugenommen.
• Betrüger nutzen mehrere Standorte, um gezielte Angriffe zu starten
  Ein Beispiel für dieses Botnetz-Wachstum ist in der Finanzdienstleistungsbranche zu sehen, wo Kontoeröffnungs-Transaktionen von ein und demselben Bot aus Brasilien, Indien und Thailand ins Visier genommen wurden – „was zeigt, wie Betrüger mehrere Standorte nutzen, um gezielte Angriffe zu starten“.

Über LexisNexis Risk Solution

Das globale Datenunternehmen LexisNexis Risk Solutions ist spezialisiert auf innovativen Produkte und Lösungen, die Organisationen aller Art helfen, Risiken wie Identitätsdiebstahl, Betrug, Geldwäsche und Terrorismus zu managen und Finanzkriminalität und Versicherungs- und Subventionsschwindel zu verhindern. Eines davon ist ThreatMetrix®, welches eine  Unternehmenslösung für digitale Identitätsinformationen und Authentifizierungen anbietet, die durch Einblicke in Milliarden von Transaktionen unterstützt wird. Durch eingebettetes maschinelles Lernen bietet diese leistungsstarke Plattform eine Reihe an Möglichkeiten, um intelligentere Identitätsentscheidungen zu treffen, wie zum Beispiel zwischen vertrauenswürdigen und betrügerischem Verhaltensmuster zu unterschieden.

Weitere Informationen zum Thema:

LexisNexis Risk Solution
Fraud Without Borders / LexisNexis® Risk Solutions Cybercrime Report July-December 2019

datensicherheit.de, 22.08.2020
RSA hat aktuellen Fraud Report veröffentlicht

[datensicherheit.de, 02.04.2020] Guardicore hat ein neues Botnetz entdeckt, das Windows-Computer durch Brute-Force-Angriffe auf den MS-SQL-Dienst gefährdet. Nach erfolgreicher Infektion nutzen die Angreifer sowohl RAT-Module (Remote Administration Tools, RAT) als auch Krypto-Miner.

Der komplizierte Angriffsmechanismus besteht aus mehrstufigen Skripten und verschiedenen Binärdateien, die nacheinander heruntergeladen und ausgeführt werden Seit Mai 2018  ist das weltweite Botnet bereits aktiv, das Guardicore Labs als „Vollgar“ bezeichnet, weil es die Kryptowährung VOLLAR schürft und sich dabei vulgärer, aggressiver Angriffsmethoden bedient. Aktuell werden täglich 2.000 bis 3.000 Rechner aus dem Industriesektor, Gesundheits- und Bildungswesen sowie der IT-, Luftfahrt- und Telekommunikationsbranche neu infiziert — besonders betroffene Regionen sind die USA, China, Indien, Südkorea und Türkei.

Hauptangriff der Vollgar-Attacke lief über einen CNC-Server in China

Der Hauptangriff der Vollgar-Attacke lief über einen CNC-Server in China, auf dem eine MS-SQL-Datenbank und ein Tomcat-Webserver betrieben wurden. Gleich mehrere Hackergruppen hatten den Server kompromittiert und nutzten ihn für eigene Angriffskampagnen. Insgesamt fanden die Sicherheitsforscher des Unternehmensfast zehn Hintertüren für den Zugriff auf den Server, die es erlaubten, Inhalte des Dateisystems auszulesen, Registrierungsdaten zu ändern, Dateien herunter- oder hochzuladen und Befehle auszuführen. Trotzdem befand sich der Server weiterhin im regulären Betrieb, um beispielsweise den Datenbankdienst sowie harmlose Hintergrundprozesse auszuführen. Die eigentlichen Betreiber des Servers erkannten nicht, dass verdächtige Aktivitäten von mehreren Nutzern mit erhöhten Zugriffsrechten durchgeführt wurden.

Kampf um MS-SQL-Ressourcen

Guardicore Labs hat die Anzeichen für eine potentielle Kompromittierung (IOC=Indicator of Compromise) auf seiner Webseite aufgelistet. Hier stellen die Sicherheitsexperten auch ein Powershell-Erkennungsskript zur Verfügung, um Spuren einer Vollgar-Infektion auf betroffenen Computern aufzuspüren. In diesem Fall empfehlen sie, alle Zugangsdaten des MS-SQL-Benutzerkontos auf neue und komplexe Passwörter umzustellen.

Datenbankserver mit großen gespeicherten Datenmengen

Es gibt eine Vielzahl von Angriffen auf MS-SQL-Server, aber weltweit nur etwa eine halbe Million Rechner, auf denen dieser Datenbankdienst überhaupt ausgeführt wird. Die relativ geringe Zahl potentieller Angriffsziele löst einen hackergruppenübergreifenden Kampf um die Kontrolle dieser IT-Ressourcen aus. Die Datenbankserver speichern große Datenmengen, was sie neben der reinen CPU-Leistung für Angreifer besonders attraktiv macht. Die Server speichern zudem häufig persönliche Informationen wie Benutzernamen, Passwörter oder Kreditkartennummern, die somit schnell in den Besitz der Angreifer fallen können.

Weitere Informationen zum Thema:

Guardicore Labs
The Vollgar Campaign: MS-SQL Servers Under Attack

datensicherheit.de, 04.12.2019
Vermehrt Angriffe auf biometrische Daten

datensicherheit.de, 04.12.2019
Vectra meldet Erfolg: Ermittlern gelang Schlag gegen RAT-Betreiber

datensicherheit.de, 16.08.2016
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen

[datensicherheit.de, 25.09.2019] Guardicore meldet, dass das „Smominru“-Botnetz ein „unrühmliches Comeback“ feiert und aktuell 4.700 Rechner pro Tag infiziert. „Smominru” dient demnach dazu, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen. Die kompromittierten Netzwerke beträfen US-Hochschulen, Medizintechnikfirmen und einen Gesundheitsdienstleister in Italien mit insgesamt 65 infizierten Hosts — sogar Cyber-Sicherheitsanbieter seien betroffen.

Im August 2019 mehr als 4.900 Unternehmensnetze infiziert

Guardicore warnt vor einer neuen Angriffswelle durch die „Smominru“-Malware, die allein im August 2019 mehr als 4.900 Unternehmensnetze infiziert habe. Das „Smominru“-Botnetz sei bereits seit 2017 aktiv, aber breite sich aktuell über neue Angriffsmethoden schnell mit dem Ziel aus, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen.
Dieses weltweite Botnetz kompromittiere „Windows“-Rechner vor allem über den „EternalBlue“-Exploit, der ursprünglich von der U.S. National Security Agency ausgearbeitet worden sei. Nachdem die Hacker-Gruppe „Shadow Brokers“ die Sicherheitslücke geleakt hatte, habe sie unter anderem im Rahmen der „WannaCry“-Ransomware-Attacke 2016 großflächige Schäden angerichtet. Von den aktuellen „Smominru“-Attacken seien insbesondere China, Taiwan, Russland, Brasilien und die USA betroffen.

Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle

Guardicore-Sicherheitsforscher konnten sich nach eigenen Angaben „Zugriff auf einen der angreifenden Hauptserver verschaffen und so Infektionsmuster sowie Umfang der Malware-Kampagne untersuchen“.
Neben dem „EternalBlue“-Exploit nutzten die Angreifer demnach Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle wie „MS-SQL“, RDP oder Telnet. Nach der Erstinfektion werde zunächst ein Powershell-Skript namens „blueps.txt“ auf den betroffenen Rechner geladen, das mehrere Maßnahmen durchführe.

3 Binärdateien heruntergeladen

Im ersten Schritt würden drei Binärdateien heruntergeladen und ausgeführt, um ein administratives Benutzerkonto namens „admin$“ auf dem IT-System neu zu erstellen.
Nach dem Download zusätzlicher Skripte führten die Angreifer dann böswillige Aktionen im angegriffenen Netzwerk aus. Die Angreifer installierten mehrere Backdoor-Programme auf den kompromittierten Rechnern, um neue Nutzer, geplante Tasks, WMI-Objekte und Dienste beim Systemstart einrichten zu können.

Weitere Informationen zum Thema:

Guardicore, Ophir Harpaz and Daniel Goldberg, 18.09.2019
THE MASSIVE PROPAGATION OF THE SMOMINRU BOTNET

datensicherheit.de, 18.02.2019
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen

[datensicherheit.de, 20.10.2017] CheckPoint meldet, dass seit September 2017 das eigene „Threat Research Team“ eine Zunahme an Infektionen von IoT-Geräten bemerkt. Ähnlich wie bei „Mirai 2016“ seien vor allem smarte Kameras von Herstellern wie GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, und Synology betroffen. In Folge der hohen Infektionsrate geht Check Point demnach davon aus, dass schon über eine Million Organisationen zu Opfern des neuen Botnetzes wurden.

Deutlicher Anstieg von Infektionen bei IP-Kameras registriert

Die Check Point® Software Technologies Ltd. warnt aktuell vor einem neuen Botnetz, dass das Ausmaß von „Mirai“ im letzten Jahr deutlich übertreffen könnte. Zur Erinnerung: „Mirai“ hatte 2016 für Schlagzeilen gesorgt, weil es für Angriffe auf fast eine Millionen Telekom-Router eingesetzt wurde.
Das Threat-Research-Team registriere einen deutlichen Anstieg von Infektionen bei IP-Kameras seit September 2017. Dabei werde immer der gleiche Schadcode eingesetzt, außerdem würden die verseuchten Endpunkte von einem Punkt aus durch einen Angreifer kontrolliert.

Angriffsversuche auf über 60 Prozent der Unternehmensnetzwerke

Eine Analyse der infizieren Geräte und des Vorgehens zeige die systematische Rekrutierung von Bots. Check Point konnte nach eigenen Angaben Angriffsversuche in über 60 Prozent der Unternehmensnetzwerke der eigenen „Threat Cloud“ feststellen.
Aktuell geht das Threat-Research-Team laut Check Point von bereits über einer Million betroffener Organisationen aus. Auf Basis der technologischen Analyse wurde ein Report erstellt, in dem auch einige der betroffenen Kameras aufgelistet werden.

Trotz Gemeinsamkeiten mit „Mirai“ komplett neue Bedrohung

Laut der Untersuchung soll der Aufbau des Botnetzes in wenigen Tagen vollzogen worden sein. Die Kampagne habe einige Gemeinsamkeiten mit „Mirai“, sei aber an sich eine komplett neue Bedrohung.
Es sei noch nicht sicher, wer hinter dem Botnetz steckt und welche Absichten diese Cyber-Kriminellen verfolgen.

Weitere Informationen zum Thema:

datensicherheit.de, 25.01.2017
Angriff mit Mirai-ähnlicher Wormware auf Internet-Service-Provider in Großbritannien

[datensicherheit.de, 29.03.2017] Im Visier sind im Prinzip alle – vom Restaurant um die Ecke bis zum Fortune-500-Unternehmen. Benutzerkonten, Klarnamen, Kreditkarten- und Sozialversicherungsnummern sind bereits in großem Umfang gestohlen worden. Datenschutzverletzungen sind inzwischen leider an der Tagesordnung und beherrschen in der ein oder anderen Form die Schlagzeilen.

Malware richtet sich unterschiedslos gegen alle

Im Zuge schlagzeilenträchtiger Datenschutzverletzungen und spektakulärer Hackerangriffe wird nur allzu leicht aus den Augen verloren, dass große Unternehmen nicht das einzige Ziel von Attacken sind.
Malware richtet sich unterschiedslos sowohl gegen riesige Datenbanken auf Unternehmensservern als auch gegen einzelne Nutzer und deren Anmeldeinformationen auf Laptops. Vorfälle bezüglich der Letztgenannten gelangen aber eben nicht unbedingt an die Öffentlichkeit.

Traditionelle Antiviren-Lösungen überfordert

„GhostAdmin 2.0“, auch unter dem Namen „Ghost iBot“ bekannt, sei ein jüngst vom „MalwareHunterTeam“ identifiziertes Botnetz. Diese Malware sei sowohl in der Lage Dateien zu stehlen als auch kompletten Remotezugriff zu erlangen – alles auf Basis von „Windows“-Standardbibliotheken.
Seit dieses Botnetz erstmalig Mitte Januar 2017 identifiziert worden sei, seien fast wöchentlich neue Varianten dieser Malware aufgetaucht – und diese eine vor allem eines: eine vergleichsweise niedrige Abwehrrate durch traditionelle Antiviren-Lösungen.
Der komplette Blogpost des Cylance Threat Guidance Teams kann in englischer Sprache online gelsesen werden.

Weitere Informationen zum Thema:

CYLANCE, 28.03.2017
Threat Spotlight: GhostAdmin Malware

datensicherheit.de, 19.01.2017
Forderung für 2017: Sicherheitslücken im Internet der Dinge besser schließen

Im Februar 2017 haben sich gleich drei Gefahren mit besonders hoher Anzahl von gemessenen Infektionen gezeigt

[datensicherheit.de, 22.03.2017] Nach Erkenntnissen von Check Point ist ein Umbruch bei den Malware-Bedrohungen in Deutschland zu erkennen. Bei der aktuellen Analyse der größten Cyber-Bedrohungen im Februar 2017 hätten sich mit „Yakes“, „Fareit“ und „Adwind“ gleich drei Gefahren mit besonders hoher Anzahl von gemessenen Infektionen gezeigt. Auf globaler Ebene suche der Downloader „Hancitor“ Organisationen vermehrt heim.

Signifikanter Anstieg von Attacken mit „Yakes“, „Fareit“ und „Adwind“

Die Check Point® Software Technologies Ltd. sieht in ihrer monatlichen Analyse der größten Malwarebedrohungen eine Veränderung der eingesetzten Schädlinge. Global tauche „Hancitor“ zum ersten Mal unter den zehn meistbenutzten Angriffswerkzeugen auf. In Deutschland erkenne man einen signifikanten Anstieg von Attacken mit „Yakes“, „Fareit“ und „Adwind“.
Obwohl „Yakes“ nur „Windows“-Geräte infiziere, nehme dieser Schädling eine hohe Position bei den größten Bedrohungen ein. Dazu erstelle er einen neuen Sychost-Prozess auf dem Endgerät des Opfers und lade dadurch Schadcode auf die Maschine. Im nächsten Schritt werde ein Server per Fernzugriff kontaktiert und würden in der Regel mit „Base64“ verschlüsselte Daten ausgetauscht; er versuche über eine URL weitere Malware auf das infizierte System zu laden.
Der Schädling „Fareit“, ein Trojaner, der es in der Regel auf Zugangsdaten und Passwörter abgesehen habe, sei 2012 zum ersten Mal entdeckt worden – er lese Informationen aus dem Speicher des Webbrowsers aus. Daher gehörten FTP und E-Mail-Zugangsdaten, Verlaufsdateien, Serverinformationen sowie Details zu Ports ebenfalls zu seinen Zielen.
„Adwind“ ziele auf Systeme mit „Java Runtime“-Unterstützung ab. Durch eine Backdoor kommuniziere dieser Schädling nach außen und könne verschiedene Befehle für die Angreifer ausführen. Unter anderem sei er in der Lage, Nachrichten auf dem Bildschirm des Opfers anzeigen zu lassen, URLs zu öffnen oder weiteren Schadcode herunterzuladen. Nachgeladene Plug-Ins erweiterten „Adwind“ mit neuen Funktionen und erlaubten die Fernsteuerung des Endgerätes oder die Ausführung von Shell-Commands.

Botnetz „Kelihos“ global größte Bedrohung

Global führe das Botnetz „Kelihos“ die Liste der größten Bedrohungen an. Diese Malware sei bereits seit 2010 aktiv, und Untersuchungen gingen davon aus, dass weltweit zwölf Prozent aller Organisationen von ihr betroffen seien. Ursprünglich sei „Kelihos“ eine relative plumpe Spam-Kampagne gewesen, habe sich aber dann zu einem mietbaren Botnetz weiterentwickelt, welches Spam gegen Bezahlung an gewünschte Ziele schicke.
Das bereits 2011 zum ersten Mal zerschlagene Netzwerk sei noch schlagkräftiger wieder auferstanden – die Cyber-Kriminellen hätten es geschafft, immer wieder neue Bots zu rekrutieren. Aktuell seien über 300.000 Endpunkte infiziert – jeder davon könnte über 200.000 Spam-E-Mails pro Tag verschicken.

Top-Bedrohungen weltweit (Februar 2017)

1. „Kelihos“ – Botnetz, spezialisiert auf „Bitcoin“-Diebstahl und Spamming. Durch Peer-to-Peer-Kommunikation könne jeder Endpunkt zum Node für „Command & Control“-Server werden.
2. „HackerDefender“ – User-Mode-Rootkit für „Windows“, durch welches Daten, Prozesse und Registry-Informationen versteckt werden könnten. Zudem könne „HackerDefender“ eine Hintertür und eine Portumleitung implementieren. Er nutze existierende TCP-Ports und tarne so die Backdoor.
3. „Cryptowall“, ursprünglich ein Doppelgänger der „Cryptolocker“-Ransomware, habe sich aber weiterentwickelt: Aktuell einer der meistgenutzten Verschlüsselungsschädlinge der Welt. Es setze auf AES-Chiffrierung und verschleiere seine C&C-Kommunikation über das „TOR“-Netzwerk.

Im Bereich Mobile gibt es mit „Hiddad“ eine zunehmende Bedrohung für „Android“-Geräte. Dabei werde Schadcode in legitime Applikation geladen und versteckt, um über Apps-Stores auf die Geräte der Opfer zu gelangen. Dabei ziele „Hiddad“ auf das Anzeigen von ungewollter Werbung ab, könne aber auch Sicherheitsdetails aus dem Betriebssystem auslesen und private Informationen abgreifen.

Foto: Check Point® Software Technologies Ltd.

Nathan Shuchami: Unternehmen müssen sich vorbereiten!

Viele Schädlinge nutzen unbekannte Schwachstellen

„Die Zunahme der Attacken im Februar 2017 verdeutlicht die aktuelle Situation vieler IT-Abteilungen. Organisationen brauchen die richtigen Tools, um mit der Vielzahl von Bedrohungen umgehen zu können. Die Situation hat sich grundlegend verändert, denn viele Schädlinge nutzen unbekannte Schwachstellen – Unternehmen müssen sich daher vorbereiten“, rät Nathan Shuchami, „VP Emerging Products“ bei Check Point.
Der Bedrohungsindex von Check Point basiert nach eigenen Angaben auf der „Threat Intelligence“, die der Anbieter aus seiner „ThreatCloud World Cyber Threat Map“ zieht. Dort werden demnach weltweite Cyber-Angriffe in Echtzeit aufgezeigt. Die „ThreatCloud“-Datenbank enthalte über 250 Millionen auf Bots untersuchte Adressen, über elf Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziere sie täglich Millionen Malware-Typen.

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD., 13.03.2017
Hancitor Makes First Appearance in Top Five ‘Most Wanted’ Malware in Check Point’s February Global Threat Impact Index

datensicherheit.de, 27.11.2016
Check Point warnt: Weihnachtszeit ist auch Hacking-Zeit

datensicherheit.de, 26.10.2016
„Conficker“ auf Platz 1: Check Point’s Top Malware im September 2016 publiziert

[datensicherheit.de, 05.01.2017] Laut einer aktuellen Meldung von Varonis ist Ende 2016 bekanntgeworden, dass eine „Mirai“ nicht unähnliche „Wormware“ einen Angriff auf einen Internet-Service-Provider (ISP) in Großbritannien lanciert hat. Insbesondere Kunden von Talk Talk und Post Office meldeten Störungen und Internetausfälle.

Verbraucher: Endlich Standard-Passwörter der Routers ändern!

Wie schon beim ersten Vorfall, bei dem sich das „Mirai“-Botnetz in erster Linie gekaperter Kameras aus dem Consumer-Bereich bedient habe, sei auch hierbei wieder ein offener Router-Port zum Einfallstor geworden.
Zwei wesentliche Aspekte hätten die jüngsten Vorfälle bei ISPs gemeinsam: „SQL Injection“ – eine immer noch real existierende IT-Sicherheitsplage. Verbraucher sollten nun endlich dazu übergehen, die Standard-Passwörter ihres Routers zu ändern.

Port zur Fernwartung der Router missbraucht

Die jüngste „Mirai“-Attacke begann ebenfalls Ende 2016 in Deutschland, als nahezu 900.000 Kunden der Deutschen Telekom Verbindungsstörungen ihrer Router meldeten. Danach soll sich der Angriff auf die britische Insel verlagert haben.
Bei genauerem Hinsehen hätten Sicherheitsexperten jedoch einige Unterschiede festgestellt. Die neue Variante der „Mirai“-Malware, „Annie“ genannt, habe Port 7547 (eine öffentliche IP und nicht den üblichen Telnet-Port 23) genutzt. Wie unter Netzwerk- und Telekom-Spezialisten bekannt, sei das nun der Port zur ISP-Fernwartung ihrer Router – und zwar über das ominöse „TR-064“-Protokoll.
Kurz zusammengefasst: Die Nachforschungen und Analysen kämen zu dem Ergebnis, dass die Angreifer das Protokoll direkt ausgenutzt hätten, um WiFi-Passwörter der Router mitzuschneiden sowie die Namen der betreffenden Funknetzwerke oder SSIDs.

Hacker nutzen „TR-064“-Kommando

Um die ganze Sache noch ein bisschen schlimmer zu machen: Den Hackern sei es gelungen, ein nicht besonders gut implementiertes „TR-064“-Kommando zu finden. Dies erlaubte ihnen den Zugriff, beziehungsweise gestattete es den Angreifern nun eigene Shell-Befehle zu injizieren.
Diese Shell-Kommandos seien hauptsächlich verantwortlich für den Download und das Ausführen der Binaries vom C2-Server der Hacker. Dieser Server stoße den Prozess dann wieder und wieder an, um den „Annie“-Wurm möglichst schnell und weit zu verbreiten.

Privacy-by-Design gefordert!

Ganz nebenbei sei noch erwähnt, dass bei den obigen Zugriffen keinerlei Authentifizierung nötig gewesen sei – kein Benutzername, kein Passwort.
Man dürfe sich also leise fragen, ob ISPs und Router-Hersteller mit Konzepten wie Privacy-by-Design vertraut sind. Man sei geneigt zu glauben: eher nicht…

Womöglich mehrere Cyber-Gangs beteiligt

In allen bekannten Fällen sehe es so aus, dass die Störungen und Ausfälle unter denen die betreffenden ISP-Kunden zu leiden hatten, durch den zusätzlichen Daten-Traffic verursacht worden seien. Immer mehr und mehr Router seien mit Anfragen auf ihre Ports überschwemmt worden.
Nach aktuellem Wissensstand habe es die „Annie“-Wormware allerdings nicht auf Router-Funktionen als solche abgesehen. Daraus lasse sich schließen, dass der DDoS-Aspekt eine nicht intentionale Begleiterscheinung und Folge von „Annie“ sei.
Es kursiere zusätzlich die Annahme, dass an diesem Angriff unterschiedliche Cyber-Gangs beteiligt gewesen seien und sich verschiedener „Mirai“-ähnlicher Varianten bedient hätten.

Absicht der Angriffe weiterhin nicht eindeutig geklärt

Die ultimative Absicht der Angriffe sei weiterhin nicht ganz eindeutig geklärt. Vielleicht habe man zeigen wollen, dass es überhaupt möglich sei, Router in einem derartigen Ausmaß für einen Angriff auszunutzen.
Talk Talk habe zügig ein Firmware-Update veröffentlicht, um den Bug im „TR-064“-Protokoll zu beseitigen und es unmöglich zu machen, auf diesen offenen Port zuzugreifen. Zusätzlich sei das WiFi-Passwort auf die Standard-Werkseinstellungen zurückgesetzt worden (auf der Rückseite des Gerätes zu finden).

Einstellungen der eigenen Firewall etwas genauer ansehen!

Wie schon am Beispiel der „Mirai“-Attacke auf Consumer-Kameras erläutert, sei es keine schlechte Idee sich die Einstellungen der eigenen Firewall etwas genauer anzusehen. Wenn es keinen absolut triftigen Grund gibt, eine Fernwartung oder Remote-Verwaltung zu gestatten (oder andere spezielle Funktionen), sollte man solche öffentlichen Ports einfach entfernen.
Wenn nur halbwegs jeder durchschnittliche Benutzer beim Verwalten seines WiFi-Netzwerks etwas sorgfältiger vorgegangen wäre, hätte der Angriff niemals ein solches Ausmaß erlangen können.
Ken Munro, Gründer des Unternehmens PentestPartners, habe in den ursprünglichen Antworten von Talk Talk eine Schwachstelle bemerkt – und die weitaus meisten Benutzer hätten schlicht darauf verzichtet, die WiFi-Passwörter aus den Standard-Werkseinstellungen tatsächlich zu ändern. Die von den Hackern eingesammelten Passwörter sollten also immer noch gültig sein… Eine wenig vertrauenerweckende Vorstellung!

Handel mit WiFi-Passwörter als mögliche Absicht

Eine Möglichkeit zur Ausnutzung solcher sei das sogenannte „Wardriving“.
Angreifer ermittelten beispielsweise mithilfe von „wigle.net“ den Standort des gewünschten Routers und starteten dann in räumlicher Nähe einen Angriff.
Ein paar WiFi-Passwörter, SSID-Namen und „wigle.net“ reichten folglich aus, um im Hacker-Geschäft mitzumischen. Es sei durchaus vorstellbar, dass WiFi-Passwörter das eigentliche Ziel des Angriffs gewesen seien und Cyber-Kriminelle eine immense Zahl von Passwort-Listen jetzt im „Dark Web“ zum Verkauf anböten. Zum Jahreswechsel 2016-2017 und darüber hinaus erwarteten Beratungsunternehmen massive „CEO-Fraud“-Angriffe. Man dürfe davon ausgehen, dass Passwörter, die in Zusammenhang mit Führungskräften, VIPs oder anderen erfolgversprechenden „Whaling“-Kandidaten stehen, im „Dark Web“ gute Preise erzielen würden.

Änderung der Passwörter empfohlen!

Kunden von Talk Talk und anderen betroffenen ISPs täten gut daran, ihre Passwörter so schnell wie möglich und für alle betroffenen Geräte zu ändern. Für alle anderen sei es vermutlich keine schlechte Idee, die bestehenden WiFi-Passwörter von Zeit zu Zeit zu ändern und – wo gestattet – „Horse-Battery-Staple“-Techniken für möglichst unknackbare Passwörter einzusetzen.
IT-Fachleute mögen einwenden, dass diese Tipps für Endverbraucher gut und schön seien, aber im Firmenumfeld keinerlei Relevanz hätten. Bei dieser Argumentation sollte man sich aber vor Augen halten, dass Injection-Angriffe und die auch unter Profis grassierende „Defaultitis“ zu einem Problem werden könnten.

Weitere Informationen zum Thema:

GRAHAMCLULEY, 02.12.2016
TalkTalk and Post Office customers lose internet access as routers hijacked Poorly-secured routers are being compromised by hackers.

BadCyber
New Mirai attack vector – bot exploits a recently discovered router vulnerability

datensicherheit.de, 29.11.2016
Unternehmens-IT: Leichtsinnige Trägheit lädt Mirai-Schadsoftware geradezu ein

[datensicherheit.de, 29.11.2016] Am 28. November 2016 wurde bekannt, dass bei der Hacker-Attacke auf die Telekom deren Router Teil eines weltweiten Botnetzes werden sollten, das ebenfalls auf die „Mirai“-Schadsoftware zurückgeht.

Hacker suchen nach öffentlichen Ports und anschließend nach schwachen Passwörtern

Die „Mirai“-Attacke zeigt laut Andy Green, Varonis, wie verwundbar wir und nicht zuletzt die digitale Wirtschaft tatsächlich sind – und das nicht zuletzt „dank des schon fast sträflich zu nennenden Leichtsinns“, wenn es um IT geht.
Zwar könne kann nichtsahnende Verbraucher entschuldigen, weil sie den heimischen Router und ihre IoT-Gadgets behandelten als würde es sich einfach um ein weiteres Haushaltsgerät handeln (einstecken und nicht weiter darüber nachdenken), aber unglücklicherweise brauchten selbst besonders einfach zu nutzende, wartungsfreie Router ein Minimum an Aufmerksamkeit. Dazu gehöre es, die Standardeinstellungen zu ändern und komplexe Passwörter zu verwenden – ein Standard in der IT von Unternehmen, sollte man annehmen. Die Realität sehe allerdings anders aus, und „Defaultitis“ sei erheblich weiter verbreitet als man glauben sollte. Üblicherweise suchten nun Hacker nach öffentlichen Ports und anschließend nach schwachen Passwörtern auf PoS-Servern oder -Geräten – und das seien entweder solche, die nie geändert worden seien, oder solche, die ausschließlich aus Bequemlichkeit so vergeben würden wie etwa „admin1234“.

Beibehalten der Standardeinstellungen erleichtert fremde Übernahme

Genau das sei die Technik, derer sich das „Mirai“-Botnet bei seinem Angriff auf IoT-Kameras bedient habe. Selbst wenn Angreifer andere gängige Methoden wie beispielsweise Phishing verwendeten, könnten sie sich Schwachstellen innerhalb der internen firmeneigenen Software mit beibehaltenen Default-Einstellungen zunutze machen.
So sei es geschehen beim „Mega-Hack“ auf die US-Handelskette Target. Die Hacker hätten bereits gewusst, dass es bei Target ein Account gegeben habe, bei dem die Standardeinstellungen leichtsinnigerweise beibehalten worden seien (es habe sich um eine beliebte IT-Managementsoftware gehandelt). Sich dieses Accounts zu bemächtigen sei vergleichsweise simpel gewesen. Anschließend sei genau dieses Konto mit zusätzlichen Rechten ausgestattet worden, was es den Angreifern erlaubt habe, unzählige Kreditkartendaten zu stehlen und aus dem Netzwerk heraus zu schleusen.

Gefahr für Unternehmen: Schwachstellen und „Defaultitis“

Die wichtigste Lektion, die das „Mirai“-Botnetz erteilt habe: Es werde immer Lücken an der Netzwerkgrenze geben. Wenn man von den allgegenwärtigen Phishing-Kampagnen hierbei einmal absehen wolle, werde es weiterhin Schwachstellen in Routern, Netzwerkgeräten und anderen Infrastrukturkomponenten geben – und diese erlaubten es Hackern ins Netzwerk zu gelangen.
Die menschliche Natur lasse sich nur sehr viel schwerer ändern als es im Sinne der IT-Sicherheit lieb sei. So sei mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen, dass die „Defaultitis“ weiter grassiere. Unternehmenssoftware gehöre nicht zu den simpelsten Tools. Für IT-Abteilungen habe es deshalb Priorität, Applikationen und Systeme so schnell wie möglich zum Laufen zu bekommen. Nicht selten würden dann Standardeinstellungen und schwache Passwörter beibehalten, in der Hoffnung, dass der Benutzer sie dann selbst ändert. Für Unternehmen werde das ein Problem bleiben.

„Mirai“-Lektion sollte Lernkultur stärken!

Man könne getrost davon ausgehen, dass es Hackern immer wieder gelingen werde, die erste Verteidigungslinie eines Unternehmensnetzwerks zu durchbrechen oder zu umgehen, warnt Green.
Traditionelle Sicherheitssysteme sollte man deshalb ergänzen, um das Netzwerk im Hinblick auf potenzielle Eindringlinge zu überwachen. So gesehen könne man fast dankbar für die „Mirai“-Lektion sein. Green: „Das Vorkommnis hat jedenfalls sehr deutlich gezeigt, dass Unternehmen den Blick nach Innen richten sollten, wenn sie Datenschutzmaßnahmen planen und Risiken senken wollen.“

Weitere Informationen zum Thema:

VARONIS – The Inside Out Security Blog, 01.11.2016
Overheard: “IT security has nothing to learn from the Mirai attack”

datensicherheit.de, 05.10.2016
Schwere Datenschutzverletzung bei Yahoo wirft Fragen auf