[datensicherheit.de, 28.03.2025] Die Check Point Software Technologies Ltd. hat weitere Informationen über die „Medusa“-Ransomware veröffentlicht. Seit Februar 2025 haben die Operationen dieser Gruppe demnach zugenommen und sich mehr als 300 Opfer bei den US-Behörden gemeldet. Die betroffenen Branchen reichten von Technologie über die Fertigung bis hin zum Bildungs- und Versicherungswesen. Die CISA hat hierzu eine Liste von Empfehlungen veröffentlicht, die Sicherheitsverantwortliche bei der Erkennung unterstützen soll.

Foto: Check Point Software

Marco Eggerling zur Ransomware-Bedrohung: E-Mail-Sicherheitsmaßnahmen sollten nicht länger optional sein, denn sie sind unerlässlich geworden!

Ransomware-Hacker wenden Taktik der Doppelten Erpressung an

Der Hauptinfektionsvektor sind laut Check Point Phishing-Kampagnen, die darauf abzielen, Anmeldedaten von Benutzern zu sammeln. „Sobald diese Anmeldedaten vorliegen, erhalten die Angreifer den Zugriff auf das System und beginnen mit der Übernahme der Systeme.“

In den bekanntgewordenen Fällen hätten die Hacker die Taktik der sogenannten Doppelten Erpressung verwendet: „Dafür haben sie eine Website für Datenlecks eingerichtet, auf der die Opfer neben Countdown-Timern aufgelistet sind.“ Diese Timer gäben an, wann die gestohlenen Informationen veröffentlicht werden sollten.

Diese Website enthalte auch Informationen über spezifische Lösegeldforderungen und direkte Links zu sogenannten Crypto-Wallets. „Für Unternehmen, die bereits angegriffen werden, bietet ,Medusa’ die Möglichkeit für 10.000 US-Dollar in ,Krypto-Währung’ die Zahlungsfrist zu verlängern, droht aber auch mit dem Verkauf der Daten an Dritte.“

Tipps zum Schutz vor „Medusa“-Ransomware und ähnlichen Bedrohungen

Um sich gegen die „Medusa“-Ransomware und ähnliche Bedrohungen zu schützen, sollten Unternehmen laut Check Point die folgenden vier Maßnahmen ergreifen:

1. Fortschrittlicher Schutz vor Phishing
   Fortschrittliche E-Mail-Security-Lösungen identifizierten und blockierten automatisch verdächtige E-Mails, bevor sie Mitarbeiter erreichen und neutralisierten damit die Hauptinfektionsmethode.
2. Zero-Day-Schutz
   Einsatz KI-basierter „Engines“, um bisher unbekannte Phishing-Versuche und bösartige Anhänge zu erkennen.
3. E-Mail-Authentifizierung
   Diese helfe bei der Verifizierung der Identität des Absenders, um E-Mail-Spoofing zu verhindern (diese Taktik werde häufig bei Kampagnen zum Sammeln von Zugangsdaten angewendet).
4. „Security Awareness“
   Unternehmen sollten die Widerstandsfähigkeit der Mitarbeiter durch automatisierte Phishing-Simulationen und Schulungen zum Sicherheitsbewusstsein stärken.

Bedrohung durch Ransomware vor allem im Phishing-Kontext

Marco Eggerling, „Global CISO“ bei Check Point Software Technologies, kommentiert: „Die Erfahrung zeigt, dass in den USA aktive Malware auch früher oder später bei europäischen Unternehmen in den Systemen gefunden wird. Das Teilen der Informationen von Unternehmen mit den zuständigen Behörden und dieser wiederum mit der Öffentlichkeit ist deshalb umso wichtiger.“

Für Firmen gelte einmal mehr, dass die Bedrohung durch Ransomware vor allem eine Bedrohung durch Phishing sei. „E-Mail-Sicherheitsmaßnahmen sollten deshalb nicht länger optional sein, denn sie sind unerlässlich geworden“, betont Eggerling abschließend.

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY CISA, 12.03.2025
#StopRansomware: Medusa Ransomware

datensicherheit.de, 27.03.2025
Ransomware-Gruppe RansomHub übernimmt kriminelles Erbe von LockBit & Co. / ESET Forscher decken Verbindungen zwischen rivalisierenden Gruppen auf / Neue Angriffs-Werkzeuge im Umlauf

datensicherheit.de, 02.08.2024
Verschleierungstechnik für Spionage: Ransomware mit cyber-kriminellem Mehrfachnutzen / Ransomware-Bedrohungsakteure könnten von „ChamelGang“-Aktivitäten Kenntnis nehmen und ein weiteres Geschäftsmodell entwickeln

datensicherheit.de, 21.06.2024
Ransomware-Attacken: Druck zu mehr Transparenz wächst / Beispielhafte Folgen der jüngsten Ransomware-Attacken: 800 verschobene Operationen, geschlossene Rathäuser und ausgefallene Video-Dienste

[datensicherheit.de, 17.11.2022] Die CISA (CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY) und das FBI (Federal Bureau of Investigation) haben am 16. November 2022 einen gemeinsamen Bericht veröffentlicht, wonach vom Iran gesponserte Angreifer die IT einer US-Bundesbehörde erfolgreich attackiert haben sollen – eine „Log4Shell“-Schwachstelle in einem ungepatchten „VMware Horizon“-Server ausnutzend. Die Angreifer hätten dann Krypto-Mining-Software installiert und sich seitlich zum Domänen-Controller bewegt, um Anmeldeinformationen zu kompromittieren. Bob Huber, „Chief Security Officer“ bei Tenable, kommentiert in seiner aktuellen Stellungnahme den Vorfall:

Foto: Tenable

Bob Huber: Fast drei von vier Organisationen immer noch anfällig für Angriffe durch Log4Shell-Sicherheitslücke

Tenable wird Warnung veröffentlichen, in der Auswirkungen von Log4Shell untersucht werden

„Der Angriff gegen eine US-Regierungsbehörde ist realistischerweise einer der vielen Verstöße, die ans Licht kommen werden, wenn Kriminelle ,Log4Shell’ erfolgreich ausnutzen“, so Huber.

In den kommenden Tagen werde Tenable eine Warnung veröffentlichen, „in der die Auswirkungen von ,Log4Shell’ untersucht werden, in der wir festgestellt haben, dass fast drei von vier Organisationen immer noch anfällig für Angriffe durch diese Sicherheitslücke sind“.

Vollständige Behebung von Log4Shell schwierig zu erreichen

Die Realität sei, dass eine vollständige Behebung von „Log4Shell“ angesichts seiner Verbreitung und der Tatsache, dass jedes Mal, wenn ein Unternehmen neue Assets hinzufügt, es die Schwachstelle erneut einführen könnte, schwierig zu erreichen sei.

Abschließend betont Huber: „Der beste Weg, um Angreifer zu vereiteln ist es, bei den Sanierungsbemühungen fleißig und konsequent zu bleiben.“

Weitere Informationen zum Thema:

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 16.11.2022
CISA and FBI Release Advisory on Iranian Government-Sponsored APT Actors Compromising Federal Network

[datensicherheit.de, 08.04.2021] Laut einer Meldung von Tenable hat die CISA (Cybersecurity and Infrastructure Security Agency), eine Behörde des US-Heimatschutzministeriums, am 6. April 2021 eine Meldung über Cyber-Kriminelle veröffentlicht, welche es auf kritische SAP-Anwendungen abgesehen hätten. Laut CISA seien SAP-Systeme mit veralteter oder falsch konfigurierter Software einem erhöhten Risiko durch Cyber-Angriffe ausgesetzt.

Foto: Tenable

Scott Caveza: Erhebliche Auswirkungen auf die betroffenen Unternehmen!

SAP-Software von Unternehmen zur Verwaltung kritischer Geschäftsfunktionen eingesetzt

„Ein aktuelles ,Advisory‘ der CISA warnt davor, dass ungepatchte oder falsch konfigurierte SAP-Systeme aktiv von Cyber-Kriminellen ins Visier genommen werden“, berichtet Scott Caveza, „Research Engineering Manager“ bei Tenable.
SAP-Software werde von Unternehmen zur Verwaltung kritischer Geschäftsfunktionen eingesetzt und diene oft zur Speicherung sensibler Daten. Auch Scott warnt: „Indem sie bekannte ungepatchte Schwachstellen ausnutzen, können Angreifer kritische Prozesse unterbrechen, finanzielle oder anderweitig sensible Daten stehlen oder schädlichen Code einsetzen.“ Dies könne zu erheblichen Auswirkungen auf die betroffenen Unternehmen führen.

SAP-Patches seit Monaten und sogar Jahren verfügbar

Im Laufe des letzten Jahres, 2020, hätten sie immer wieder solche Berichte von US-Regierungsbehörden gesehen. Die Behörden hätten mehrmals vor der Bedrohung durch ungepatchte Software und bekannte Schwachstellen gewarnt, „die Bedrohungsakteure ins Visier nehmen“.
Obwohl Patches seit Monaten und sogar Jahren verfügbar seien, fänden Angreifer immer noch ungepatchte SAP-Systeme und nutzten diese aus. „Dies ist eine Warnung an die Administratoren sensibler Daten und Applikationen. Die Anwendung von Patches, Migrationen oder Workarounds ist von größter Bedeutung, um Angriffe durch Kriminelle, die bekannte Schwachstellen ausnutzen wollen, zu vereiteln“, betont Caveza.

Weitere Informationen zum Thema:

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 06.04.2012
Malicious Cyber Activity Targeting Critical SAP Applications

[datensicherheit.de, 24.07.2020] NSA und CISA warnten vor derzeit stattfindenden Angriffen auf Anlagen zur Überwachung und Steuerung sowie auf Kritische Infrastrukturen (KRITIS) – zu dieser aktuellen Gefahrenlage nimmt Marty Edwards, ehemaliger Director des ICS-CERT und derzeit „Vice President OT Security“ bei Tenable, Stellung.

OT in Gefahr – derzeit tatsächlich stattfindende Attacken

„NSA und CISA warnen aktuell vor schwerwiegenden Angriffen gegen Operational Technology (OT, also Betriebstechnologie zur Überwachung und / oder Steuerung von Industrieanlagen, Prozessen und Ereignissen) und Kritische Infrastruktur“, so Edwards.
Diese Warnung betreffe nicht potenziell mögliche, sondern tatsächlich stattfindende Attacken. Es gab demnach „bereits Angriffe und Hacker führen sie derzeit nach wie vor durch“.

Fast unser ganzes Leben mittlerweile von OT abhängig

Fast unser ganzes Leben sei mittlerweile von OT abhängig – von der Energieversorgung, den Fabriken, in denen medizinische Produkte hergestellt werden, bis hin zu unserem Trinkwasser. Die Gesellschaft sei auf OT angewiesen und diese Abhängigkeit nehme noch weiter zu.
Durch das Zusammenwachsen von OT und IT seien OT-Geräte auch stärker von externen Bedrohungen betroffen, „als das früher bei isolierten Anlagen der Fall war“.

OT-Betreiber sollten extrem wachsam sein

OT-Betreiber müssten derzeit extrem wachsam sein und sicherstellen, „dass sie kompletten Einblick in ihre Systeme, Geräte und deren Schwachstellen haben, egal ob IT oder OT“.
Die Security-Teams sollten deshalb priorisieren, „welche Schwachstellen besonders gravierend sind, welche am einfachsten ausgenutzt werden können und welche der Geräte maximalen Schutz benötigen“, rät Edwards.

Weitere Informationen zum Thema:

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 23.07.2020
Alert (AA20-205A) / NSA and CISA Recommend Immediate Actions to Reduce Exposure Across Operational Technologies and Control Systems

datensicherheit.de, 16.07.2020]
Praxisbericht aus der IIoT-Security: Digitale Identitäten in der Industrie

[datensicherheit.de, 15.04.2020] Nicht nur  im Zuge der Corona-Verbreitung haben Unternehmen einen Teil ihrer Mitarbeiter, soweit möglich, ins Home-Office verlagert. Trotz der gebotenen Eile haben sie sich dabei meist auch um eine sichere Anbindung der nun extern stationierten Mitarbeiter Gedanken gemacht. Die naheliegende Lösung war in vielen Fällen die Nutzung eines VPN (Virtual Private Network) . „Doch ist ein VPN wirklich sicher?“, fragt Veronym, ein Cloud Security Service Provider aus Berlin.

Bei Veronym ist man überzeugt: Ein verschlüsselte VPN-Verbindung allein reicht nicht aus, um einen durchgängigen Schutz vor Cyber-Gefahren zu gewährleisten. Unternehmen, beziehungsweise deren mobilen Mitarbeiter, benötigen zusätzlich zu der sicheren Verbindung weitere Sicherheitskontrollen an den Endpunkten und im Netzwerk. Auch weitere Aspekte müssen bei der Nutzung von konventionellen VPN-Lösung berücksichtigt werden.

Herausforderungen und Einschränkungen beim Einsatz von klassischen VPN-Lösungen

Home-Office bedeutet in vielen Fällen die Nutzung von privaten Endgeräten. Diese weisen meist ein deutlich schlechteres Sicherheitsniveau im Vergleich zur Unternehmens-IT auf. Weiterhin besteht eine große Gefahr darin, dass Mitarbeiter zu Hause auch ein Firmengerät nutzen, um im Internet zu surfen. Es ist daher unerlässlich, einen geeigneten Schutz auf den genutzten Endgeräten zu installieren. Ist ein Endgerät bei einem Mitarbeiter zu Hause infiziert, nützt auch das beste VPN nichts. Der Angreifer hat dann quasi schon Zugang zu dem Unternehmens-Netzwerk.

Gesamter Datenverkehr wird durch das Unternehmensnetzwerk geleitet

Die Einrichtung eines VPN für Ihr Heimbüro auf herkömmliche Weise bedeutet, dass der gesamte Datenverkehr durch Ihr Unternehmensnetzwerk geleitet wird, beispielsweise auch dann, wenn Ihr Unternehmen Cloud-Anwendungen wie Office 365, Salesforce etc. verwendet. So kann es zu einer hohen Auslastung oder gar Überlastung der verfügbaren Bandbreiten kommen; das ist vor allem – in Krisenzeiten, in denen die Anzahl der Home-Office-Nutzer sehr stark ansteigt, problematisch.

Eine VPN-Verbindung muss im Unternehmen von Experten eingerichtet und vor allem auch verwaltet werden. Andernfalls kann diese sogar zu zusätzlichen Sicherheitsproblemen führen, statt für eine sichere Anbindung der Belegschaft zu sorgen. Weltweit warnen staatliche Cybersicherheitsorganisationen wie die CISA des US-Heimatschutzministeriums bereits vor diesen Gefahren. Die CISA richtet explizit diese Warnung an Unternehmen, die VPNs für Telearbeit nutzen. Diese müssen sich bewusst sein, dass Hacker nach Schwachstellen suchen und diese gezielt ausnutzen.

Veronym-Lösung für Cybersicherheit im Home-Office

Eine praktikable Alternative sind nach Auffasung der Unternehmens Cloud-basierten Cyber-Security Dienste. Solche Services sind im Idealfall vollständig gemanagt, innerhalb von Minuten einsatzbereit und erfordern keine Integration mit der Infrastruktur der Unternehmen. Die Benutzerverwaltung erfolgt über Kundenportale. Flexibles Lizenzmodelle erlauben es Unternehmen, die Security-Dienste monatlich zu abonnieren und abzumelden. Zudem sind keine Vorab-Investitionen und Betriebspersonal erforderlich.

Für die Netzwerk-Sicherheit stellen die Anbieter eine VPN-Verbindung von den Endpunkten der Unternehmen direkt zu den Cloud-Lösung zur Verfügung. In der Cloud terminiert der Service Provider den Datenverkehr und führt eine Sicherheitsinspektion durch, um Gefahren zu erkennen und zu unterbinden. Für den Verkehr zwischen der Cloud-Lösung und dem Unternehmen wird dann eine zweite VPN Verbindung aufgesetzt. Hierfür müssen meist nur einige Konfigurationen an der Firewall durchgeführt werden.

Ein moderner Cloud-Dienst kann darüberhinaus auch als Security-Gateway für den direkten Zugang zum Internet genutzt werden. Dabei wird vermieden, dass der Verkehr zu Cloud- oder Internet-Anwendungen durch das Unternehmens-Netzwerk geleitet werden muss und es somit zu Engpässen bei der verfügbaren Bandbreite kommen könnte.

Ein zweiter wesentlicher Bestandteil eine Cloud Security Services ist der Schutz der Endpunkte im Home-Office. Dabei setzen Service-Anbieter meist auf marktführende Security-Technologie etablierter Hersteller, die alle gängigen Betriebssysteme wie Windows, macOS, Linux, iOS, und Android unterstützen.

Dieses ist besonders wichtig, wenn Mitarbeiter für das Arbeiten von zu Hause ihre privaten Rechner nutzen müssen. Cloud Security Service Provider können ohne großen Aufwand diese Rechner über ihre Kundenportale verwalten und ohne Integration in die Unternehmens-IT schützen.

„Mit unserem Cyber Defense Center überwachen wir automatisiert rund um die Uhr die Home-Office Arbeitsplätze der Mitarbeiter unserer Kunden und alarmieren diese sofort, wenn wir kritische Auffälligkeiten finden“, erklärt Michael Teschner, Marketingleiter bei Veronym. „Einmal pro Woche erhalten die Unternehmen übersichtliche Berichte per E-Mail über die Nutzung des Dienstes und Nutzer-Statistiken.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2020
Fünf unterschätzte Punkte beim Kampf gegen immer raffiniertere Cyber-Attacken 

datensicherheit.de, 14.04.2020
Home-Office: Vergrößerung der Angriffsfläche verlangt nach automatisierter Cybersicherheit

datensicherheit.de, 30.03.2020
VPN-Nutzung: Endgeräte-Hygiene im Home-Office empfohlen