[datensicherheit.de, 15.06.2021] Nun soll laut Berichten in US-Medien auch das US-Unternehmen Sol Oriens Opfer einer Ransomware-Attacke geworden sein. Sol Oriens sei beratend für US-Behörden tätig – unter anderem für die Nationale Verwaltung für Nukleare Sicherheit (National Nuclear Security Administration / NNSA). Diese Behörde sei für den Erhalt des Kernwaffenarsenals der USA zuständig.

Cyber-Attacke mit Ransomware auf Sol Oriens im Mai 2021

Auf Anfrage von CNBC habe Sol Oriens eine Cyber-Attacke im Mai 2021 bestätigte, welche demnach das Netzwerk dieses Unternehmens betraf. Laut Sol Oriens werde der Vorfall noch untersucht. Allerdings gebe es aktuelle „keine Anzeichen dafür, dass dieser Vorfall klassifizierte oder kritische sicherheitsrelevante Informationen von Kunden betrifft“.
Hinter dieser Attacke soll laut Medienberichten die kriminelle Hacker-Gruppe „Revil“ stecken. Diese sei unter anderem auch für den Angriff auf den weltweit größten Fleischkonzern JBS verantwortlich gewesen.

Jüngste Ransomware-Attacken mahnen: Höchste Zeit, mehr als nur das Minimum zu tun!

Der jüngste erfolgreiche Angriff auf die US-Regierung und ihre Auftragnehmer sei eine weitere Erinnerung für den öffentlichen und privaten Sektor, dass es an der Zeit sei, mehr als nur das Minimum zu tun. So Sam Curry, „CSO“ bei Cyberreason, in seinem Kommentar: „Es ist an der Zeit, die Sicherheitspraktiken zu verschärfen und zu verbessern.“
In diesem Zusammenhang nennt er die Schlagwörter „Least Privilege“, Resilienz, Planung für das Schlimmste und eine Mentalität des Erkennens. Curry rät: „Machen Sie nicht einfach weiter wie bisher – gehen Sie von einer Infektion aus und werden Sie gut darin, diese zu verhindern, sie zu finden, sich von ihr zu erholen und den ,Explosionsradius‘ zu begrenzen, wenn sie passiert.“

„Revil“ mutmaßlich größte Ransomware-Kartelloperation der Welt

Ja, die Asymmetrie in Cyber-Konflikten begünstigt die Angreifer, und bisher würden die Angreifer immer effektiver, schneller als die Verteidiger. „Das ist kein Grund zur Verzweiflung, aber es ist ein Weckruf für Innovation und um neue Methoden der Zusammenarbeit und der Gegenwehr zu finden“ so Curry. Es sei ein Aufruf an uns alle, die vernetzte Welt zu schützen und diesen Trend umzukehren. Es gebe Möglichkeiten, sicher zu sein und unseren gegenseitigen Schutz zu verstärken, aber einfach mehr vom Bisherigen zu tun, sei „ein Rezept für eine Katastrophe“.
„Revil“ habe sich zur größten Ransomware-Kartelloperation der Welt entwickelt. Die Bedrohungsakteure hätten ein einziges Ziel – „und das ist, so viel Geld wie möglich zu verdienen“. JBS, Acer, Apple und viele andere Unternehmen seien Opfer geworden. „REvil“ folge dem Trend der doppelten Erpressung, bei der die Bedrohungsakteure zunächst sensible, auf Systemen gespeicherte Informationen exfiltrierten, bevor sie die Verschlüsselungsroutine starteten. „Nachdem sie die Daten des Ziels verschlüsselt und die Lösegeldforderung gestellt haben, droht ,REvil‘ zusätzlich mit der Veröffentlichung der exfiltrierten Daten, falls das Lösegeld nicht gezahlt wird“, berichtet und warnt Curry.

Weitere Informationen zum Thema:

MALICIOUSLIFE, 02.06.2021
Cybereason vs. REvil Ransomware

datensicherheit.de, 12.06.2021
Ransomware-Hacker: Nach dem Angriff könnte vor dem Angriff sein / Eric Waltert von Veritas Technologies kommentiert Ransomware-Angriffe auf JBS und Colonial Pipeline

[datensicherheit.de, 14.05.2021] Die Health Service Executive (HSE), das staatliche Gesundheitssystems Irlands, ist nach eigenen Angaben von einer Ransomware-Attacke betroffen – diese sei „signifikant“. Als unmittelbare Reaktion darauf und als Schutzmaßnahme vor möglichen weiteren Schäden sind demnach die betroffenen Systeme und viele andere Dienste vorerst offline.

Abbildung: Screenshot v. HSE auf Twitter

HSE: Vorsichtshalber alle unsere IT-Systeme heruntergefahren, um sie vor diesem Angriff zu schützen…

Ransomware-Angriff auf HSE per Twitter gemeldet

Es gebe einen signifikanten Ransomware-Angriff auf die IT-Systeme der HSE: „Wir haben vorsichtshalber alle unsere IT-Systeme heruntergefahren, um sie vor diesem Angriff zu schützen und um die Situation mit unseren eigenen Sicherheitspartnern vollständig beurteilen zu können“, heißt es in einer Meldung auf „Twitter“.
Ferner wird um Entschuldigung für die Unannehmlichkeiten gebeten, „die den Patienten und der Öffentlichkeit entstanden sind“. Es sollen demnach weitere Informationen folgen, „sobald diese verfügbar sind“. Der National Ambulance Service arbeite indes wie gewohnt weiter und es gebe keine Auswirkungen auf die Bearbeitung von Notrufen sowie den landesweiten Einsatz von Krankenwagen.

Ransomware-Akteure gehen bei ihren Angriffen zunehmend strategischer vor

„Ransomware-Angriffe haben sich in den letzten Jahren verlangsamt, aber die Bedrohungsakteure gehen bei ihren Angriffen viel strategischer vor und die Lösegeldforderungen sind in die Höhe geschossen“, kommentiert Sam Curry, „CSO“ bei Cybereason. Die Bedrohungsakteure seien Kriminelle, Geldgierige und bei Angriffen auf Kritische Infrastrukturen sogar Cyber-Terroristen.
Cybereason rate davon ab, Lösegeld zu zahlen, aber dies sei eine sehr persönliche Entscheidung für ein betroffenes Unternehmen. In Situationen, in denen es um Leben und Tod geht, oder aufgrund eines nationalen Notstandes könnte es im besten Interesse des Unternehmens sein, doch zu zahlen. Curry empfiehlt hierzu: „Bevor Sie diese Entscheidung treffen, stellen Sie sicher, dass der Rechtsbeistand und der Versicherer Ihres Unternehmens involviert sind – und informieren Sie die Strafverfolgungsbehörden über die Situation!“

Zahlung von Lösegeld nach Ransomware-Befall ermuntert Cyber-Kriminelle

Angesichts aktueller Nachrichten, wonach Colonial Pipeline „ein Lösegeld in Höhe von fünf Millionen US-Dollar an ,DarkSide‚ gezahlt haben soll“, sei davon auszugehen, dass weitere Angriffe von ermutigten Bedrohungsakteuren kommen würden. „Werden die Lösegeldforderungen bei zehn Millionen, 100 Millionen oder einer Milliarde Dollar eine Obergrenze erreichen?“, fragt Curry – es sei einfach nie eine gute Idee, Kriminelle oder Terroristen zu bezahlen.
Denn Schäden durch Ransomware seien vermeidbar, und es erfordere ein ausgereiftes Sicherheitsprogramm im betrieblichen Netzwerk, um sie zu stoppen. „Installieren Sie Software zur Erkennung und Beseitigung von Ransomware auf Ihren Endpunkten, um die Bedrohung zu stoppen.“ Ein führendes Analysten-Unternehmen habe kürzlich eine Statistik veröffentlicht, die zeige, dass nur 40 Prozent der Endgeräte mit einer „Endpoint Detection Software“ ausgestattet seien. „Um die Geißel der Ransomware zu besiegen, muss diese Zahl deutlich steigen“, fordert Curry abschließend.

Weitere Informationen zum Thema:

Wikipedia
Cyberattacke

HSE Ireland auf Twitter, 14.05.2021
There is a significant ransomware attack on the HSE IT systems…

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

MALICIOUSLIFE THE CYBEREASON NEWS NETWORK,01.04.2021
Cybereason vs. DarkSide Ransomware

[datensicherheit.de, 09.12.2020] Cybereason hat nach eigenen Angaben eine aktive Spionage-Aktion identifiziert, die demnach drei bislang unbekannte Malware-Varianten einsetzt. Die aktuell aufgedeckte Operation nutze „facebook“, „Dropbox“, „Google Docs“ und „Simplenote“, um über einen Command-and-Control-Server direkten Zugriff auf die Computer der Opfer zu erlangen und vertrauliche Daten abzuziehen.

Neue Malware idenifiziert: Backdoors SharpStage und Dropbook sowie Downloader MoleNet

Cybereason führt die Spionagekampagne auf „Molerats“ (auch als „The Gaza Cybergang“ bekannt) zurück: Eine arabisch-sprachige, politisch motivierte APT-Gruppe (Advanced Persistent Threat), die seit 2012 im Nahen Osten aktiv sei. Anfang 2020 hätten Cybereason-Forscher bereits über die Entdeckung der zuvor unbekannten „Spark“- und „Pierogi“-Hintertüren berichtet, welche als Teil eines gezielten Angriffs von „Molerats“ auf palästinensische Beamte gewertet worden sei.
Die jüngste Aktion setze zwei bislang unbekannte Backdoors namens „SharpStage“ und „Dropbook“ sowie einen Downloader namens „MoleNet“ ein. Diese Kampagne nutze Phishing-Dokumente, welche verschiedene Themen im Zusammenhang mit aktuellen Ereignissen im Nahen Osten behandele – darunter ein angeblich geheimes Treffen zwischen seiner Königlichen Hoheit Mohammed bin Salman, Kronprinz von Saudi-Arabien, dem US-Außenminister, Mike Pompeo, und dem israelischen Premierminister, Benjamin Netanjahu.

Wichtigste Cybereason-Erkenntnisse zu neuen Malware-Varianten:

• Neue Spionage-Tools entwickelt von „Molerats“
  Cybereason habe mit „SharpStage“ und „DropBook“ zwei neuen Backdoors sowie den „MoleNet“-Downloader identifiziert. Diese ermöglichten es den Angreifern, beliebigen Code auszuführen und vertrauliche Daten auf infizierten Computern zu sammeln und abzuziehen.
• Missbrauch von „facebook“, „Google Docs“, „Dropbox“ und „Simplenote“
  Die neuentdeckte „DropBook“-Backdoor verwende gefälschte „facebook“-Konten oder „Simplenote“ zur Steuerung und Kontrolle anderer Server. Demgegenüber missbrauchten „SharpStage“ und „DropBook“ einen „Dropbox“-Kunden, um gestohlene Daten zu übertragen und ihre Spionage-Tools zu speichern.
• Politische Phishing-Themen
  E-Mails, mit denen die Opfer angelockt worden seien, hätten sich unter anderem mit den israelisch-saudischen Beziehungen, den Hamas-Wahlen, mit Nachrichten zu palästinensischen Politikern und anderen regionalen Ereignissen beschäftigt (darunter ein geheimes Treffen zwischen dem Kronprinzen von Saudi-Arabien, dem US-Außenminister und dem israelischen Premierminister).
• Verbindungen zu früheren Nahost-Kampagnen
  Die neuentdeckten, schon in der Vergangenheit „Molerats“ zugeschriebenen Backdoors seien in Verbindung mit der „Spark“-Backdoor verwendet worden. Die Angreifer hätten diese neuen Spionage-Tools auch genutzt, um zusätzliche Payloads herunterzuladen: Darunter die berüchtigte, zuvor von „Molerats“ verwendete „Open-Source-Quasar RAT“.
• Auf den gesamten Nahen Osten ausgerichtet
  Der Angriff sei hauptsächlich in den Palästinensischen Gebieten, den Vereinigten Arabischen Emiraten, Ägypten und der Türkei beobachtet worden. Angesichts der Art der Phishing-Inhalte gehe Cybereason davon aus, „dass die Zielgruppe aus hochrangigen politischen Persönlichkeiten und Regierungsbeamten im Nahen Osten besteht“.

Politisch brisante Ereignisse als Aufhänger für Malware-Infektionen und Phishing-Kampagnen

„Wenig überraschend ist, wie Bedrohungsakteure politisch brisante Ereignisse ausnutzen, um ihre Phishing-Kampagnen anzuheizen. Aber es ist besorgniserregend, dass Soziale Medien zunehmend für Command-and-Control-Anweisungen und andere legitime Cloud-Dienste für Data-Extrusion-Aktivitäten missbraucht werden“, so Lior Div, Mitgründer und „CEO“ von Cybereason.
Für die Seite der Verteidiger bedeute dies, in Bezug auf potenziell schädlichen Netzwerkverkehr in Verbindung mit legitimen Services besonders achtsam zu sein. Verschleierte Angriffe dieser Art ließen sich ohne den nötigen Kontext nicht erkennen. Deshalb versetze Cybereason Sicherheitsexperten in die Lage, betriebs-zentriert anstatt alarm-zentriert zu arbeiten. Div: „Das erlaubt, Beziehungen zwischen scheinbar beziehungslosen Vorkommnissen im Netzwerk und darüber hinaus herzustellen.“

Weitere Informationen zum Thema:

datensicherheit.de, 04.10.2019
Ransomware-Attacken: FBI gibt seltene Warnung heraus

cybereason, 09.12.2020
New Malware Arsenal Abusing Cloud Platforms in Middle East Espionage Campaign

[datensicherheit.de, 04.10.2019] Am 3. Oktober 2019 hat das FBI eine seiner seltenen expliziten Warnungen vor Ransomware verbreiten lassen – die). Die letzte Verlautbarung dieser Art datiere zurück auf den September 2016, d.h. neun Monate vor dem Ausbruch von „Wannacry“ und „NotPetya“. Amit Serper, „Senior Director“, „Head of Security Research“ bei Cybereason kommentiert diese aktuelle Warnung.

Ransomware-Attacken: Erinnerung daran, dass Unternehmen und Organisationen aller Größenordnungen weiterhin bedroht sind

Diese jüngste Ransomware-Warnung des FBI sei eine Erinnerung daran, dass Ransomware-Attacken weiterhin eine latente Bedrohung für Unternehmen und Organisationen aller Größenordnungen seien.
Serper: „Seit es mir gelungen ist, einen ,Impfstoff‘ gegen den ,NotPetya‘-Ransomware-Angriff zu entwickeln, haben sich die Strategien von Hackern weiterentwickelt und sind immerzu auf der Suche nach leichter Beute.“
Zu den in dieser Hinsicht sprichwörtlichen „tiefhängenden Früchten“ zählten Kommunen, lokale und regionale Exekutivbehörden und Bildungseinrichtungen – sie alle seien im Fadenkreuz der Angreifer.

Benutzer sollten Browser und E-Mail-Clients stets auf aktuellem Stand halten

„Bei einer Ransomware-Attacke nutzen die Angreifer entweder eine Sicherheitsschwachstelle im Browser aus oder sie senden böswillig manipulierte E-Mail-Anhänge“, erläutert Serper. Benutzer sollten daher Browser und E-Mail-Clients auf dem aktuellen Stand halten und verfügbare Patches einspielen.
Grundsätzlich sollte man jeden Anhang mit Vorsicht betrachten. „Ganz besonders dann, wenn er von einer unbekannten E-Mail-Adresse aus versendet worden ist. Ich rate dringend davon ab, ein gefordertes Lösegeld zu zahlen. Jede einzelne erfüllte Forderung ermutigt die Angreifer nur zu weiteren Angriffen und dazu, den Einsatz zu erhöhen.“
Unternehmen sollten verstehen und internalisieren, „dass Ransomware eine reale Bedrohung darstellt und sich entsprechend darauf vorbereiten“. Dazu zählten kontinuierliche Backups aller Systeme – eine vergleichsweise einfache Maßnahmen, „die aber gewährleistet, nach einem erfolgreichen Angriff möglichst schnell wieder handlungsfähig zu sein“. Natürlich sollte diese Maßnahme zudem Teil einer übergreifenden Sicherheitsstrategie sein. Dazu zähle auch der Einsatz von Anti-Ransomware-Lösungen.

Ransomware stoppen oder zumindest die Anzahl erfolgreicher Angriffe senken

Ransomware sei letzten Endes nur ein weiterer Satz von Verhaltenseigenschaften innerhalb einer Software, so Serper.
Aufgrund der Art und Weise wie sie funktioniert und wie sich demgegenüber Endpoint-Sicherheitslösungen weiterentwickelt haben, ganz besonders durch den Einsatz von Maschinellem Lernen, lasse sich Ransomware stoppen oder zumindest die Anzahl der erfolgreichen Angriffe doch wenigstens senken.
Betrachtet man Ransomware in einem größeren Zusammenhang, sei es eine noch relativ neue Bedrohung. „Naturgemäß braucht es einige Zeit, bis die Industrie Lösungen bereitstellen kann, die das Ransomware-Problem in den Griff bekommen.“

Weitere Informationen zum Thema:

Forbes, Davey Winder, 03.10.2019
FBI Issues ‘High-Impact’ Cyber Attack Warning—What You Need To Know

datensicherheit.de, 27.09.2019
kaspersky: 46 Prozent mehr Ransomware-Angriffe

datensicherheit.de, 26.09.2019
Sicherheitswarnung vor neuer Ransomware-Welle

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 16.10.2018
BSI-Lagebericht belegt weiterhin hohes Gefährdungspotential durch Ransomware

[datensicherheit.de, 27.06.2019] Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, geht auf einem Vorfall ein, bei dem Hacker mehrere globale Telekom-Netzwerke übernommen haben sollen. Das in Boston ansässige Cyber-Sicherheitsunternehmen, Cybereason Inc., hat demnach kürzlich bekanntgegeben, dass eine Gruppe von bösartigen „Cyber-Sicherheitsexperten“, auch bekannt als „Cloudhopper“, mehr als zehn weltweit tätige Telekommunikationsanbieter infiltriert hat.

Zugriff auf Server, Benutzerstandorte, Anruf- und Textnachrichten

Es werde spekuliert, dass die Gruppe nach strategischen und sensiblen Daten suche, um diese sofort zu monetarisieren. Die Angreifer hätten Spear-Phishing-E-Mails und andere Techniken wie „Web-Shell“, ebenfalls ein Remote-Access-Tool zum Erwerb von Anmeldeinformationen, verwendet.
Über die eingesetzten Tools hätten sie Zugriff auf Server, die Benutzerstandorte, Anruf- und Textnachrichten. „Die Angreifer erstellten Admin-Konten, um unbemerkt im System zu bleiben und benutzten auch VPN-Zugänge, so dass sie als legitime Mitarbeiter der Unternehmen eingestuft wurden“, berichtet Wieringa.

Foto: KnowBe4

Jelle Wieringa: Mitarbeitern das notwendige Wissen vermitteln, um sich gegen Angriffe im beruflichen und privaten Leben zu wappnen!

91% der erfolgreichen Datenschutzverletzungen begannen mit Spear-Phishing-Angriff

„Laut dem ,Verizon’s Data Breach Investigations Report 2018‘ machen Phishing und ,Social Engineering‘ 93 Prozent der Sicherheitsverstöße aus, und 91 Prozent der erfolgreichen Datenschutzverletzungen begannen mit einem Spear-Phishing-Angriff“, so Wieringa.
„Spear Phishing“ sei eine viel gezieltere Form des sogenannten Phishings, indem Kriminelle Zeit damit verbrächten, spezifische Informationen über eine Person, Gruppe oder ein Unternehmen von ihren „Social Media“-Profilen und anderen Plattformen zu sammeln.

Opfer klicken im guten Glauben spontan auf bösartige Links und Anhänge

Die E-Mails seien sehr personalisiert gestaltet – beispielsweise mit dem Namen der Person oder dem Namen eines Kunden, und sie seien „sehr überzeugend formuliert“. Das führe dazu, dass die Opfer spontan auf bösartige Links und Anhänge klickten, was den Angreifern ein Einfallstor in das Unternehmensnetzwerk öffne.
Die gestohlenen Daten könnten den Angreifern auch Zugriff auf die Kontaktdaten des Opfers ermöglichen. Wieringa: „Die Mitarbeiter sind in vielen Fällen das schwächste Glied, da sie ohne entsprechendes Training oft anfällig für Phishing- und Social-Engineering-Angriffe wie ,Spear Phishing‘ sind.“ Das „New School Security Awareness“-Training z.B. könne Mitarbeitern das notwendige Wissen vermitteln, um sich gegen solche Angriffe im beruflichen und privaten Leben zu wappnen.

Weitere Informationen zum Thema:

verizon
2018 Data Breach Investigations Report

KnowBe4
Free IT Security Tools / Test Your Users and Your Network

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten