[datensicherheit.de, 22.01.2025] Der „Europäische Datenschutztag“ am 28. Januar soll Verbraucher sensibilisieren, um die eigenen Daten besser zu schützen. Besonders im Fokus steht 2025 demnach die Rolle des Datenschutzes als Schutz der demokratischen Gesellschaft vor übermäßigen Eingriffen in die Privatsphäre der Bürger durch öffentliche oder private Akteure. Pieter Arntz, „Malware Analyst“ bei Malwarebytes, geht in seiner aktuellen Stellungnahme auf den „Europäischen Datenschutztag 2025“ ein: „Letztendlich ist ein Bewusstsein für die Wichtigkeit von Datenschutz der erste Schritt, um Einzelpersonen zu befähigen, ihre Daten proaktiv zu schützen.“

Foto: Pieter Arntz

Pieter Arntz: Der „Europäische Datenschutztag“ sollte zudem ein Zeitpunkt sein, um Gespräche über neue Herausforderungen in Sachen Datenschutz zu führen…

In Deutschland strenge Richtlinien, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen

Arntz führt hierzu aus: „In Deutschland hat der Datenschutz aufgrund von gesetzlichen Vorschriften wie dem Bundesdatenschutzgesetz (BDSG) und der Europäischen Datenschutzgrundverordnung (DSGVO) bereits seit Langem Priorität. Beide Verordnungen legen strenge Richtlinien fest, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen.“

Trotz dieser strengen Schutzmaßnahmen komme es jeden Tag vor, „dass personenbezogene Informationen von Cyber-Kriminellen entwendet werden“. Der „Europäische Datenschutztag“ sei nun eine wichtige Gelegenheit, um in einer zunehmend digitalisierten Welt die eigenen Datenschutzpraktiken auf den Prüfstand zu stellen und auch auf individueller Ebene Schritte zum Schutz personenbezogener Daten zu treffen.

Bürger sollten ihr Recht auf Einsicht in ihre gespeicherten personenbezogenen Daten und die Löschung dieser kennen

Essenziell sei, „dass Einzelpersonen ihr Recht auf Einsicht in ihre gespeicherten personenbezogenen Daten und die Löschung dieser kennen“. Viele wüssten zwar, dass es diese Rechte gebe, aber die Hemmschwelle, entsprechende Maßnahmen zu ergreifen, scheine nach wie vor hoch zu sein. „In Folge unternehmen nur wenige die notwendigen Schritte, um die Löschung ihrer Daten einzuleiten“, berichtet Arntz. Gleichzeitig sei es jedoch auch Aufgabe von Unternehmen und Organisationen, es Einzelpersonen zu erleichtern, dieses Recht auf Löschung auszuüben.

Der „Europäische Datenschutztag“ sollte zudem ein Zeitpunkt sein, um Gespräche über neue Herausforderungen in Sachen Datenschutz zu führen, zum Beispiel hinsichtlich der Auswirkungen von Künstlicher Intelligenz (KI) und „Big Data“. Diese neuen Technologien ermöglichten es Werbetreibenden, Strafverfolgungsbehörden und leider auch Cyber-Kriminellen, „noch mehr über uns zu erfahren als wir je für möglich gehalten hätten“.

Weitere Informationen zum Thema:

Die Bundesregierung, 25.01.2024
FAQ zum Europäischen Datenschutztag / Bewusstsein für Datenschutz schärfen

[datensicherheit.de, 25.11.2021] Aus aktuellem Anlass – vor der Haupteinkaufszeit zu Weihnachten und dem „Black Friday“ – warnt Malwarebytes vor Gefahren, die mit Geschenkkarten verbunden seien: Verbraucher sollten vor allem auf drei Betrugsmethoden mit Geschenkkarten achten, um Cyber-Kriminellen nicht in die Falle zu gehen:

1. Betrugsmethode: Gefälschte Geschenkkarten

Für echte Geschenkkarten müssten Verbraucher fast immer den vollen Wert bezahlen – solche, die für deutlich weniger als den Nennwert angeboten werden, seien daher mit äußerster Vorsicht zu genießen.
Es könnte natürlich sein, dass sie von Leuten stammten, „die keine Verwendung für die erhaltenen Geschenkkarten haben, aber es ist schwer zu erkennen, welche Karte echt ist und welche nicht“.
Wenn Nutzer also Websites sehen, auf denen alle möglichen Rabatte auf Geschenkkarten angeboten werden, könnten sie sicher sein, dass sich diese als Fälschungen herausstellten oder auf illegale Weise erworben worden seien.

2. Betrugsmethode: Durch Programme generierte Geschenkkarten

Eine Stufe weiter als gefälschte Geschenkkarten gingen Geschenkkarten-Generatoren. Es gebe eine ganze Reihe von Websites, die behaupteten, Geschenkkarten-Generatoren anzubieten, mit denen sie Codes für alle Arten von Gutscheinkarten generieren könnten – sie prahlten häufig mit großen Marken wie Amazon, Google, Xbox und PS5.
„Wenn Nutzer einen Geschenkkarten-Generator herunterladen, kann es sein, dass sie kurz vor dem Ausprobieren darüber informiert werden, dass er gar keine gültigen Geschenkkartencodes generiert, sondern nur Zufallscodes für ,Informationszwecke‘.“ Im schlimmsten Fall könnten sich Nutzer hierbei Schadsoftware herunterladen, „nachdem sie endlose Umfragen ausgefüllt und vielleicht sogar einige ihrer persönlichen Daten preisgegeben haben“. In einem Fall fanden Forscher demnach eine Datei mit dem Titel „Amazon Gift Tool.exe, welche auf einer Website als kostenloser Amazon-Geschenkkarten-Generator beworben worden sei. „In Wirklichkeit überwachte die Malware die Zwischenablage eines Benutzers, um eine Zeichenfolge zu finden, der der normalen Länge einer bestimmten Art von Krypto-Währungs-Wallet-Adresse entspricht. Wenn die Kriterien erfüllt waren, ersetzte die Malware die Zeichenfolge in der Zwischenablage durch die ,Bitcoin Cash Wallet‘-Adresse des Angreifers, um sich selbst an einer ,Bitcoin Cash‘-Überweisung zu bereichern.“ Der Angreifer habe gehofft, dass das Opfer die überschriebene Krypto-Wallet-Adresse nicht bemerken und sie für die Krypto-Transaktion einfügen werde, damit die Überweisung an die Adresse des Cyber-Kriminellen statt an die des vorgesehenen Empfängers gehen würde.
Dieses Beispiel zeige, „dass etwas, das zu gut klingt, um wahr zu sein, wahrscheinlich gar nicht wahr ist“. Dies gelte definitiv für ein Tool zur Erstellung kostenloser Geschenkkarten. „Das wäre in etwa so, als hätte man eine Gelddruckmaschine im Keller.“

3. Betrugsmethode: Zahlung an Cyber-Kriminelle mit Geschenkkarten

Es gebe eine bestimmte Gruppe von Leuten, die eine Vorliebe für Geschenkkarten hätten – und dies seien Betrüger.
„Ganz gleich, ob sie sich als Mitarbeiter des Finanzamts, von Microsoft oder Ihres Internetanbieters ausgeben – wenn jemand darum bittet, etwas mit einer Geschenkkarte, z.B. einer ,Google Play‘- oder ,iTunes‘-Karte, zu bezahlen, können Verbraucher davon ausgehen, dass derjenige versucht, sie zu betrügen.“
Kein echtes Unternehmen und keine Behörde werde jemals darauf bestehen, „dass Kunden mit einer Geschenkkarte bezahlen“.

Ein weiteres Problem sind nicht eingelöste Geschenkkarten

Laut einer US-Umfrage von Bankrate aus dem Jahr 2021 besitzt mehr als die Hälfte der erwachsenen US-Bürger (51%) derzeit ungenutzte Geschenkkarten, Gutscheine oder Guthaben im Wert von rund 15 Milliarden US-Dollar.
Darüber hinaus hätten 49 Prozent der US-Erwachsenen irgendwann einmal den Wert einer Geschenkkarte oder eines Gutscheins verloren, „weil sie eine Karte verfallen ließen (29%), eine Karte verloren haben (27%) oder eine Karte nicht genutzt haben, bevor das Geschäft geschlossen wurde (21%)“. Im Grunde genommen zahlten Käufer von Geschenkkarten also den vollen Wert für etwas, das nur etwa in der Hälfte der Fälle genutzt werde.
„Auch wenn es unpersönlich erscheinen mag, Geld zu verschenken: Hierbei ist die Chance, dass der Empfänger sich davon etwas kauft, was er braucht oder mag, viel größer als bei einer Geschenkkarte.“ Sollten Internetnutzer dennoch einen Geschenkgutschein kaufen wollen, sollten sie darauf achten, „dass er aus einer zuverlässigen Quelle stammt, und sich vergewissern, dass der Beschenkte ihn auch gut gebrauchen kann“.

Weitere Informationen zum Thema:

Bankrate, 26.07.2021
U.S. Adults Total $15 Billion in Unused Gift Cards, Vouchers, Store Credits / More than half have unredeemed funds; Millennials have highest average value of $139

Malwarebytes LABS, Pieter Arntz, 23.11.2021
Please don’t buy this! 3 gift card scams to watch out for this Black Friday

datensicherheit.de, 24.11.2021
Black Friday: 3 Tipps von Imperva zum Schutz persönlicher Daten / Auch in Deutschland zählt der Black Friday zu den umsatzstärksten Tagen im Jahr – Sicherheits-Tipps können helfen, Gefahren auszuweichen

[datensicherheit.de, 30.09.2021] Malwarebytes Labs hat nach eigenen Angaben wieder einmal einen Scam-Versuch entdeckt – diesmal verkleidet als angebliche Sicherheitswarnung von Uber. Diese Warnung sei ziemlich überzeugend gewesen und habe die gleiche Anrede verwendet, welche von Uber in seinen echten Sicherheits-E-Mails und SMS genutzt werde. „Auffallend dabei ist, dass die gefälschte Sicherheitswarnung von einer Telefonnummer kam, die Uber auch tatsächlich verwendete. Das bedeutet nicht, dass Uber einen Betrug durchführt – das ,Call ID Spoofing‘ ist relativ weit verbreitet unter Betrügern, um ihre Nachrichten so auszusehen lassen, als kämen sie von einer vertrauenswürdigen Quelle.“ Das Heimtückische daran: „Weil die echte Nummer gefälscht wurde, erschien die Fake-Sicherheitsmeldung neben den echten Sicherheitsmeldungen, die User von Uber erhalten.“

Scam-Webseite mit falscher Uber-Domain

Mitarbeiter von Malwarebytes hätten erkannten, „dass es sich bei der Nachricht um Betrug handelt, da der Domainname nicht richtig aussah“. Er habe zwar das Wort „Uber“ enthalten, sei aber nicht der offizielle Uber-Domainname („uber.com“). Zudem sei dieser Domainname nur wenige Tage alt gewesen – „ein lautes Warnsignal!“
Da Betrugs-Webseiten oft schnell entdeckt würden, seien sie in der Regel nur wenige Tage online. Eine weitere Überprüfung habe ergeben, „dass diese neue Webseite in Russland gehostet wurde“ – dies sei noch ein Hinweis, da Uber keine Webseiten in Russland betreibe.

Falsche Webseite passte zum Branding von Uber

Diese falsche Webseite habe dem „Branding“ von Uber gut genug entsprochen, um auf den ersten Blick überzeugend zu wirken. Dieser Betrug sei ein gutes Beispiel dafür, wie eine Scam-Webseite vertrauenswürdige Elemente nutze, um diese gegen den Nutzer zu verwenden:

Call ID Spoofing
Das Fälschen der Anrufer-ID sei relativ einfach, daher könnten sich Nutzer nicht darauf verlassen, „dass die Nachricht auch tatsächlich von der besagten Nummer stammt“.

Vorhängeschloss-Symbol
Wie alle guten Betrugsseiten habe sie zudem ein gültiges Sicherheitszertifikat und das Vorhängeschloss-Symbol gehabt. „Eine nützliche Erinnerung daran, dass das Vorhängeschloss vor dem Domainnamen dem User nur zeigt, dass die Verbindung zur Webseite sicher ist, aber nichts darüber aussagt, wie sicher oder vertrauenswürdig die Webseite selbst ist.“

Lehre aus Uber-Scam: Merkmale zum Erkennen von Phishing-Webseiten

• Domain-Name
  Webseiten verwenden generell nicht den offiziellen Domainnamen. In diesem Fall habe der Name plausibel ausgesehen, sei aber falsch gewesen.
• Persönliche Informationen
  Betrüger fragen nach Dingen, die ein Service-Provider bereits kennen sollte, wie etwa Zahlungsinformationen.
• Dringlichkeit
  Scammer wollten immer wichtige Informationen, und zwar schnell. Obwohl es verschiedene Arten von Betrug gebe, liefen sie normalerweise darauf hinaus, dass sensible Daten wie aus heiterem Himmel erfragt würden.

Obwohl diese Webseite schnell geschlossen worden sei, tauchten genauso schnell Neue wieder auf. Es sei für Betrüger ein Leichtes, viele weitere identische Ersatzseiten unter neuen Domainnamen zu erstellen, daher sollte man vorsichtig sein.

Weitere Informationen zum Thema:

Malwarebytes LABS, Mark Stockley, 24.09.2021
Uber security alert scam spoofs real Uber number — Watch out!

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 26.05.2021
Elon Musk, Tesla und Bitcoins: Hacker mit neuen Aufhängern für Scam-Kampagnen / Bitdefender Labs warnen vor betrügerischen Scam-Mails

[datensicherheit.de, 08.09.2021] Malwarebytes berichtet in einer aktuellen Stellungnahme, dass „wer bereits eine gesunde Skepsis hegt, dass der Datenschutz bei der Smartphone-Nutzung zu wünschen übrig lässt“, durch den zufälligen Fund des Malwarebytes-Sicherheitsexperten Pieter Arntz bestätigt werde.

Laut Malwarebytes wurde Arntz über Aufenthaltsorte seiner Frau auf dem Laufenden gehalten

Arntz musste demnach nämlich feststellen, dass er den Aufenthaltsort seiner Frau ausspionieren konnte – ohne Spionage-Tool, völlig kostenlos. Übeltäter sei hierbei das Google-Account gewesen. Er habe auf dem „Android“-Smartphone seiner Frau eine App installiert und sich zu diesem Zweck auf dem Gerät in seinem Google-Account eingeloggt:
„In der Folge hielt ihn sein eigenes ,Android‘-Smartphone über die Aufenthaltsorte seiner Frau auf dem Laufenden. Einziger Hinweis für seine Frau auf die ungewollte Überwachung war das Profilbild seines angemeldeten Kontos, wenn sie die ,Google Play‘-App verwendete.“ Selbst nach dem Ausloggen aus „Google Play“ am Smartphone seiner Frau habe er weiterhin regelmäßig Updates über ihren Standort erhalten.
Nach weiterem Nachforschen habe er herausgefunden, dass sein „Google Account“ jedes Mal zu den Smartphone-Accounts seiner Frau hinzugefügt werde, wenn er sich im „Google Play Store“ einloggt, „aber nicht entfernt wird, wenn er sich wieder ausloggt“.

Malwarebytes Gründungsmitglied der Koalition gegen Stalkerware

Malwarebytes ist nach eigenen Angaben eines der Gründungsmitglieder der Koalition gegen Stalkerware (CAS) – mit dem Ziel, Menschen vor Spionage zu schützen.
Malware-Scanner seien jedoch darauf beschränkt, Anwendungen zu finden, welche „den Benutzer ausspionieren und die Informationen an andere Stellen weiterleiten“. Dies treffe in diesem Fall nicht zu, denn es handele sich hierbei nicht um eine Form von Stalkerware, und es werde auch nicht versucht, die Zustimmung des Benutzers zu umgehen. „Vielmehr ist es ein Fehler im Design.“
Eva Galperin, Direktorin für Cyber-Sicherheit der Electronic Frontier Foundation und auch Gründungsmitglied der CAS, findet, dass dieser Fehler zeige, warum es für Technologieentwickler so wichtig sein müsse, Situationen häuslicher Gewalt bei der Produktentwicklung zu berücksichtigen. Der Begriff „Tech-enabled abuse“ habe sich zu der Problematik bereits etabliert.

Malwarebytes empfiehlt Löschung fremden Google-Kontos vom Smartphone

„Die Sicherheitslücke macht deutlich, wie wichtig Qualitätssicherung und Benutzertests sind, die auch Situationen häuslichen Missbrauchs berücksichtigen und die Weitergabe von Standortdaten ernst nehmen“, betont Galperin und führt weiter aus: „Eine der gefährlichsten Situationen bei häuslicher Gewalt ist die Zeit, in der das Opfer versucht, ihr digitales Leben von dem des Täters zu trennen. Das ist eine Zeit, in der die Daten des Opfers besonders anfällig für diese Art von Fehlkonfigurationen sind, und die möglichen Folgen sind sehr ernst.“
Google habe das Problem bisher nicht als Fehler deklariert. „Darum besteht aktuell die einzige Möglichkeit, sich zu schützen, in der Überprüfung, welche Konten auf einem Smartphone hinzugefügt wurden.“ Bisher sei nicht eindeutig, ob es auch andere Apps gebe, „die mit dem Google-Konto und nicht mit dem Smartphone verknüpft sind“. Auch diese Apps könnten andere Personen als der Besitzer dazu nutzen, Informationen abzufragen.
Unter „Einstellungen > Konten und Backups > Konten verwalten“ werde das Google-Konto aufgelistet. Nach dem Klick auf das zu entfernende Konto werde die entsprechende Option angezeigt. „Nachdem Arntz sein Google-Konto vom Smartphone seiner Frau entfernte, wurden auch die Standortdaten nicht mehr geteilt.“

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2021
Манифест.docx – Malwarebytes warnt vor neuer Cyber-Doppel-Attacke

Malwarebytes LABS, Pieter Arntz, 01.09.2021
Google Play sign-ins can be abused to track another person’s movements

[datensicherheit.de, 03.09.2021] Laut einem neuen Report der US-amerikanischen Bundespolizei FBI nehmen Hacker jetzt auch den Landwirtschaftssektor verstärkt mit Ransomware-Attacken ins Visier. Malwarebytes weist in einer aktuellen Stellungnahme darauf hin, dass durch die stets wachsende Technisierung auch der Agrarbranche diese, ähnlich wie Kritische Infrastrukturen (KRITIS), durch Ransomware empfindlich getroffen werden könne. So mache die Landwirtschaft weltweit zunehmend Gebrauch von IoT-Geräten und biete dadurch eine breitere Angriffsfläche für Cyber-Kriminelle.

White-Hat-Hacker wiesen Verletzlichkeit von John Deere nach

Größere Unternehmen würden aufgrund ihrer vermeintlichen Fähigkeit, höhere Lösegelder zu zahlen, besonders attackiert. Kleinere Unternehmen hingegen gälten als leichtes Ziel, „insbesondere diejenigen, die sich noch in der Anfangsphase ihrer Digitalisierung befinden“.
Allerdings seien auch die Großen der Branche keineswegs vor Cyber-Angriffen gefeit. So hätten Cybersecurity-Spezialisten von Malwarebytes kürzlich Details zu einer Schwachstelle beim Landmaschinen-Produzenten John Deere diskutiert: „Eine Gruppe von weniger als zehn Personen war in der Lage, sich in das ,Operations Center‘ von John Deere einzuklinken, das mit allen Konnektivitätsdiensten von Drittanbietern verbunden ist.“ Die Gruppe um den White-Hat-Hacker „Sick Code“ habe auf die gesamten Daten jedes Betriebes, der an das System von John Deere angeschlossen ist, zugreifen können.

Ransomware-Angriffe nehmen erkennbar zu

Ransomware sei eine zunehmend größere Bedrohung für Unternehmen. Die Zahl entdeckter krimineller Übergriffe auf landwirtschaftliche Systeme sei von 2019 auf 2020 um gewaltige 600 Prozent gestiegen.
„Im gleichen Zeitraum verdoppelten sich die durchschnittlichen Lösegeldforderungen.“ Mit der Zahlung des Lösegeldes sei die Gefahr trotzdem nicht gebannt: Mehrere Studien hätten herausgefunden, „dass 50 bis 80 Prozent der Opfer, die gezahlt haben, erneut Opfer von Ransomware-Angriffen wurden – oft noch von denselben Akteuren“.

Optimal auf mögliche Hacker-Angriffe vorbereiten

Das FBI empfiehlt Organisationen demnach die folgenden Maßnahmen, um sich vor Hacker-Attacken zu schützen:

• Regelmäßig Sicherungskopien der eigenen Daten anlegen und diese auch offline mit Passwort ablegen. Darüber hinaus sicherstellen, dass kritische Dateien nicht von dem System aus gelöscht werden können, auf dem sie auch gespeichert wurden.
• Eine Netzwerksegmentierung vornehmen.
• Einen Wiederherstellungsplan pflegen und mehrere Kopien sensibler Daten an physisch getrennten und sicheren Orten speichern, z.B. auf Festplatten, Speichergeräten oder in der „Cloud“.
• Betriebssysteme, Firmware und Software auf dem neuesten Stand halten.
• Nach Möglichkeit eine mehrstufige Authentifizierung mit starken Passwörtern einrichten, dabei niemals das gleiche Passwort mehrfach verwenden.
• Ungenutzte Fernzugriffs-/RDP-Port deaktivieren und aktive überwachen.
• Administratorrechte für die Installation von Software erforderlich machen.
• Aktuelle Benutzerkonten mit Admin-Rechten im Auge behalten.
• Nur sichere Netzwerke nutzen, kein öffentliches Wi-Fi.
• Hyperlinks in empfangenen E-Mails deaktivieren, eventuell auch E-Mail-Banner hinzufügen für E-Mails, die von außerhalb der eigenen Organisation kommen.
• Mitarbeiter regelmäßig zum Thema Cybersecurity schulen.

Das Malwarebytes-Fazit zu den FBI-Tipps gegen Bedrohung durch Hacker

„Obwohl Ransomware derzeit auf dem Vormarsch ist, können Unternehmen in der Landwirtschaft vieles tun, um das Risiko einer Cyber-Attacke zu minimieren.“
Eine gute Vorbereitung könne im Falle eines Angriffs die Schäden massiv reduzieren und dabei helfen, Ausfälle zu minimieren – so bestehe die Chance, eine Ransomware-Attacke relativ glimpflich zu überstehen.

Weitere Informationen zum Thema:

FEDERAL BUREAU OF INVESTIGATION, CYBER DIVISION, 01.09.2021
Cyber Criminal Actors Targeting the Food and Agriculture Sector with Ransomware Attacks

Malwarebytes LABS, 30.08.2021
Hackers, tractors, and a few delayed actors. How hacker Sick Codes learned too much about John Deere: Lock and Code S02E16

datensicherheit.de, 24.08.2021
Sophos: Ransomware-Report 2021 mit Fakten, Auswirkungen und Trends / Unternehmen, öffentliche Einrichtungen und andere Organisationen weiterhin fest im Griff der Ransomware

datensicherheit.de, 04.10.2019
Ransomware-Attacken: FBI gibt seltene Warnung heraus / Amit Serper empfiehlt, jeden Anhang einer E-Mail mit Vorsicht zu betrachten

[datensicherheit.de, 29.07.2021] Forscher von Malwarebytes haben nach eigenen Angaben eine neuartige Cyber-Doppel-Attacke aufgedeckt. Bei ihren Analysen stießen sie demnach auf ein verdächtiges Dokument mit dem Namen „Манифест.docx“ (Manifest.docx), welches „zwei Schadsoftware-Templates herunterlädt und aktiviert“ – eines nutze Makros und das andere sei ein html-Objekt, welches eine Schwachstelle im „Internet Explorer“ ausnutze.

Malwarebytes: Schwachstelle CVE-2021-26411 bereits von der Lazarus-Gruppe adressiert worden

Beide Techniken zielten darauf ab, einen Remote-Access-Trojaner (RAT) einzuschleusen. Die Kombination beider Techniken sei vorher noch nicht beobachtet worden. Die Technik, welche auf die Schwachstelle im „Internet Explorer“ abziele (CVE-2021-26411), sei zuvor allerdings bereits von der „Lazarus“-Gruppe verwendet worden.

Urheber der Attacke laut Malwarebytes bisher nicht identifiziert

Anhand der verwendeten Techniken allein hätten die Forscher nicht feststellen können, wer hinter dieser Attacke steckt. Aber ein „Decoy“-Dokument (Köder), welches den Opfern gezeigt worden sei, liefere einige Hinweise: „Es enthält die Erklärung einer Gruppe, die Andrej Sergejewitsch Portyko nahesteht und gegen Putins Politik auf der Halbinsel Krim gerichtet ist.“ Diese Attacke sei allerdings auch bereits in den Niederlanden und den USA aufgetaucht.

Malwarebytes nennt Folgen einer erfolgreichen Attacke

Der Remote-Access-Trojaner führe dann die folgenden Aktionen aus:

• Informationen über das Opfer sammeln
• Das Antivirenproramm identifizieren, das auf dem Gerät des Opfers läuft
• Shell-Codes ausführen
• Dateien löschen
• Dateien up- und downloaden
• Disk- und Dateisystem-Informationen auslesen

Weitere Informationen zum Thema:

Malwarebytes LABS, Threat Intelligence Team, 29.07.2021
Crimea “manifesto” deploys VBA Rat using double attack vectors

[datensicherheit.de, 02.07.2021] Laut einer aktuellen Meldung von Malwarebytes sollen Sicherheitsforscher „unabsichtlich eine kritische Sicherheitslücke im ,Windows‘-Betriebssystem veröffentlicht“ haben, welche auf den Namen „PrintNightmare“ höre. Für diese Schwachstelle werde es wohl frühestens am 12. Juli 2021 einen Patch geben. Malwarebytes fasst nach eigenen Angaben den Stand der Dinge nachfolgend zusammen und gibt Ratschläge zum Umgang mit diesem Problem.

Malwarebytes warnt vor Ausnutzung der Sicherheitslücke

In Anbetracht der großen Anzahl von Rechnern, welche für „PrintNightmare“ anfällig sein könnten, und der Tatsache, dass mehrere Methoden zum Ausnutzen dieser Sicherheitslücke veröffentlicht worden seien, sei es wahrscheinlich, dass es bald tatsächliche Attacken geben werde, „bei denen diese Sicherheitslücke ausgenutzt wird“.

Malwarebytes-Administratoren geben Hinweise für Gegenmaßnahmen

Ratschläge der Malwarebytes-Administratoren in aller Kürze:

• Deaktivieren Sie den Print-Spooler-Dienst auf Rechnern, die ihn nicht benötigen. Bitte beachten Sie, dass das Anhalten des Dienstes ohne Deaktivierung möglicherweise nicht ausreicht.
• Stellen Sie sicher, dass die Systeme, die den Print-Spooler-Dienst benötigen, nicht mit dem Internet verbunden sind.

Malwarebytes empfiehlt, Zugriffsereignisse und -berechtigungen sehr sorgfältig einzuschränken und zu überwachen

„Diese Maßnahmen werden nicht in jedem Fall einfach oder überhaupt umsetzbar sein. Bei den Endgeräten, die den Print-Spooler-Dienst benötigen und auch von außerhalb des LANs erreichbar sein müssen, sollten die Zugriffsereignisse und -berechtigungen sehr sorgfältig eingeschränkt und überwacht werden. Vermeiden Sie auch unbedingt, den Print-Spooler-Dienst auf irgendwelchen Domain-Controllern laufen zu lassen.“

Malwarebytes: Deny to modify als Regel erstellen!

Für weitere Maßnahmen sei es gut zu wissen, dass der Exploit funktioniere, indem er eine DLL-Datei in einem Unterverzeichnis von „Windows“ (unter C:\Windows\System32\spool\drivers) ablege, „so dass Sie eine ,Deny to modify‘-Regel für dieses Verzeichnis und seine Unterverzeichnisse erstellen können, und somit nicht einmal das SYSTEM-Konto eine neue DLL darin ablegen kann“.

Weitere Informationen zum Thema:

MalwarebytesLABS, Pieter Arntz, 01.07.2021
PrintNightmare 0-day can be used to take over Windows domain controllers

BLEEPINGCOMPUTER, Ionut Ilascu, 30.06.2021
Public Windows PrintNightmare 0-day exploit allows domain takeover

[datensicherheit.de, 28.05.2021] Laut Medienberichten hat vor Kurzem eine Ransomware-Attacke die Treibstoffversorgung in weiten Teilen der USA beeinträchtigt – von Texas im Südwesten bis nach New Jersey im Osten. Dies habe unter anderem dazu geführt, dass das Ministerium für Innere Sicherheit der Vereinigten Staaten von Amerika eine Sicherheitsdirektive plant, „die Pipeline-Betreibern eine Meldepflicht für Ransomware-Attacken auferlegt“. In seiner Stellungnahme zur geplanten Direktive geht Marcin Kleczynski, „CEO“ von Malwarebytes, auf die Bedeutung der EU-Datenschutz-Grundverordnung (DSGVO) ein, „die den USA als leuchtendes Beispiel dienen sollte“.

Ransomware-Angriffe und andere Datenschutz-Verletzungen: Bisher 50 verschiedene einzelstaatliche Gesetze in den USA

Kleczynski betont: „Seit Jahrzehnten besteht die Gesetzgebung zum Schutz unserer wichtigsten Daten aus Stückwerk. Das reicht nicht aus.“
Die EU-Datenschutz-Grundverordnung (General Data Protection Regulation: GDPR) hingegen beinhalte die Verpflichtung, bestimmte Datenschutzverletzungen innerhalb weniger Tage zu melden – und es sei inakzeptabel, dass in den USA bislang kein entsprechendes Bundesgesetz existiere.
„Stattdessen haben wir 50 verschiedene einzelstaatliche Gesetze. Das bietet zu viel Raum für Fehler und ist inkonsistent“, kritisiert Kleczynski und fordert: „Wir müssen systemische Änderungen vornehmen, um Cyber-Kriminalität und Datenschutz auf nationaler Ebene anzugehen.“

US-Arbeitsgruppe empfiehlt nun Meldepflicht u.a. für Ransomware-Zahlungen

Der jüngste Bericht der Ransomware-Arbeitsgruppe empfiehlt demnach eine Meldepflicht für Ransomware-Zahlungen und einen generellen Aufruf an Organisationen, Cyber-Angriffe zu melden. Kleczynski: „Wir erwarten, dass die Biden-Regierung diese Empfehlung ernstnimmt, aber sie geht nicht weit genug.“ Eine effektive Reaktion auf die „Ransomware-Epidemie“ erfordere gute, zuverlässige Daten.
Dafür sei eine Meldepflicht für Angriffe erforderlich. „Ohne eine solche können wir nicht einmal die grundlegendsten Fragen dazu beantworten, wer angegriffen wurde und wie weit das Problem verbreitet ist.“ Ohne eine Meldepflicht lieferten tatsächlich die Ransomware-Gangs selbst das deutlichste Bild vom Ausmaß des Problems – nämlich durch die Aktivitäten auf ihren Leak-Webseiten, warnt Kleczynski.
Die Pipeline-Sicherheitsdirektive sei ein guter erster Schritt in die richtige Richtung, aber sie müsse ergänzt und auf andere Kritische Infrastrukturbereiche ausgeweitet werden, um wirklich erfolgreich zu sein.

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für KRITIS-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

[datensicherheit.de, 14.05.2021] Malwarebytes geht in einer aktuellen Stellungnahme auf die am 15. Mai 2021 in Kraft tretenden neuen Datenschutzrichtlinien von „WhatsApp“ ein: „In letzter Zeit ist es um diese neuen Regeln sehr ruhig geworden. Allerdings gibt es keinen Grund dafür, sich entspannt zurückzulehnen.“

Einschränkung wichtiger WhatsApp-Funktionen verblüffende Zäsur

Privacy-Experte David Ruiz urteilt demnach in seinem neuesten Beitrag auf dem Malwarebytes-Blog, „dass die Einschränkung wichtiger Funktionen eine verblüffende Zäsur für ein Unternehmen darstellt, das vor einiger Zeit noch den Datenschutz zur Priorität erklärte“. Das Angebot von „WhatsApp“ werde durch diesen Schritt zu einem unlösbaren Widerspruch: „Private Messaging nur für diejenigen, die ein Stück ihrer Privatsphäre aufgeben.“

David Ruiz benennt drei Kritikpunkte an neuen WhatsApp-Datenschutzrichtlinien

1. Im Falle von Benutzern, welche den Änderungen der Datenschutzrichtlinien bis zum 15. Mai 2021 nicht zustimmen, werde der Betreiber WhatsApp laut eigenem Bekunden „nach einem Zeitraum von mehreren Wochen Sanktionen unternehmen“.
2. Für „WhatsApp“-Nutzer, welche die Weitergabe ihrer Daten an Facebook ablehnen, werde WhatsApp nach und nach wichtige Funktionen entfernen. In einem ersten Schritt würden die betreffenden Nutzer auf die Möglichkeit verzichten müssen, Chat-Listen einzusehen. Letztendlich würden die Maßnahmen dazu führen, dass es unmöglich werde, überhaupt Anrufe oder Nachrichten via „WhatsApp“ zu empfangen.
3. Dies sei eine Entscheidung gegen den Schutz der Privatsphäre. „Es ist auch eine nutzerfeindliche Entscheidung, da die Nutzer für ihre Weigerung, Daten zu teilen, bestraft werden.“ Ferner sei es eine traurige, aber erwartete Wendung für WhatsApp, „einem ehemaligen Datenschutz-Liebling, der von zwei Mitbegründern – Jan Koum und Brian Acton – ins Leben gerufen wurde“. Beide bereuten es heute offenbar, ihr Unternehmen für Milliarden von Dollar an Facebook verkauft zu haben.

Weitere Informationen zum Thema:

Malwarebytes LABS, David Ruiz, 14.05.2021
Privacy / WhatsApp calls and messages will break unless you share data with Facebook

datensicherheit.de, 11.05.2021
Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten für Facebook / Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit verbietet Facebook Verarbeitung personenbezogene Daten von WhatsApp zu eigenen Zwecken

[datensicherheit.de, 11.05.2021] Die US-amerikanische Bundespolizei FBI hat am 10. Mai 2021 bestätigt, dass Colonial Pipeline von der Hacker-Gruppe „DarkSide“ angegriffen wurde. Auf dem Nachrichtendienst „Twitter“ wurde folgende Mitteilung gepostet: „Das FBI bestätigt, dass die Darkside-Ransomware für die Kompromittierung der Netzwerke von Colonial Pipeline verantwortlich ist. Wir arbeiten weiterhin mit dem Unternehmen und unseren Regierungspartnern an den Ermittlungen.“ Malwarebytes LABS geht in einer aktuellen Stellungnahme auf diesen Vorfall ein.

Abbildung: FBI

Screenshot der FBI-Mitteilung v. 10.05.2021

Colonial Pipeline liefert Erdölprodukte in den Süden und Osten der USA

Ransomware hat laut Malwarebytes LABS in der 18. Kalenderwoche 2021 für große Schwierigkeiten gesorgt, als der bekannte Betreiber Colonial Pipeline Opfer einer verheerenden Cyber-Attacke wurde. Dessen Pipeline-Netz liefert Benzin und andere Erdölprodukte in den Süden und Osten der USA – von Texas bis nach New Jersey.
Die Pipeline gilt insgesamt als die größte ihrer Art in den USA und transportiert Berichten zufolge fast die Hälfte des an der Ostküste verbrauchten Kraftstoffs.
Malwarebytes LABS kommentiert: „Das ist ein unglaubliches Volumen von Angebot und Nachfrage, und alles, was schief geht, könnte katastrophal sein. Es gibt genug, worüber man sich Sorgen machen muss, auch ohne die Gefahr, dass Menschen böswillig in die Systeme eindringen.“ Doch genau dies sei nun passiert.

Vor Angriff auf Colonial Pipeline vermeintliche Robin-Hood-Akte

Ransomware hat demnach am 7. Mai 2021 dort alles zum Stillstand gebracht. Laut Analysen handele es sich bei den Übeltätern wahrscheinlich um eine als „DarkSide“ bekannte Gruppe, welche im Jahr 2020 durch dubiose Spenden an Wohltätigkeitsorganisationen bekannt bekanntgeworden sei: „In Anlehnung an den Robin-Hood-Gedanken haben sie Unternehmen bestohlen und das Geld an Organisationen weitergegeben, die es ihrer Meinung nach verdient haben.“
Natürlich wollten Wohltätigkeitsorganisationen aber nicht, „dass ein Haufen gestohlenes Geld auf ihren Bankkonten zirkuliert“. Wohltätigkeits-Treuhänder könnten dadurch in alle möglichen Schwierigkeiten geraten: Nicht nur Wohltätigkeitsorganisationen, sondern „jede Organisation könnte in einer verblüffenden Abfolge von Geldwäsche-Schwindeleien enden, wenn sie nicht aufpasst“.
Es habe auch den Verdacht gegeben, dass diese angebliche „barmherzige Samaritertat“ ein Weg gewesen sei, „die Tatsache zu verschleiern, dass sie immer noch Kriminelle sind und Geld stehlen“. Die Gruppe habe dann diese Botschaft wohl verstanden – die „Robin-Hood-Wohltätigkeitsaktion“ sei verschwunden und die Frage habe sich gestellt, was diese kriminelle Gruppe als nächstes tun würde.

Nach Angriff auf Colonial Pipeline Notstand ausgerufen

Damit komme man nun zum aktuellen Vorfall: „Wenn die Ermittler richtig liegen, ist dies um mehrere Größenordnungen ernster als alles, was sich die Leute vorstellen konnten.“
Die US-Regierung habe den Notstand ausgerufen und Notstandsbefugnisse aktiviert, um die Versorgung der Menschen mit Kraftstoff weiterhin sicherzustellen. Diese Notstandsbefugnisse ermöglichten den Fahrern mehr Flexibilität beim Transport von Mineralölprodukten zu verschiedenen Orten.
So habe die Federal Motor Carrier Safety Administration (FMCSA) eine vorübergehende Ausnahmeregelung zu den Betriebszeiten erlassen, welche für den Transport von Benzin, Diesel, Kerosin und anderen raffinierten Erdölprodukten nach Alabama, Arkansas, District of Columbia, Delaware, Florida, Georgia, Kentucky, Louisiana, Maryland, Mississippi, New Jersey, New York, North Carolina, Pennsylvania, South Carolina, Tennessee, Texas und Virginia gelte.

Digitale und physische Auswirkungen des Angriffs auf Colonial Pipeline

Die realen Folgen dieses Angriffs seien eindeutig und erstreckten sich in mehrere Richtungen. Es gebe die unmittelbaren Risiken des Treibstofftransports über 5.500 Meilen und die Gefahr, dass die Menschen keine Vorräte hätten. Es gebe auch eine potenzielle Gefahr auf den Straßen, da der Straßenverkehr zunehme und die Fahrer dafür längere Fahrzeiten in Kauf nehmen müssten. Die Treibstoffpreise scheinen laut Malwarebyte LABS in der Folge gestiegen zu sein, obwohl die Versorgung wahrscheinlich für ein paar Tage ausfallen müsste, um signifikante Auswirkungen zu haben.
Schließlich sei da noch das Problem der Abschaltung selbst. Es stellten sich die Fragen: „Wie viele Systeme sind gefährdet? Wie hoch ist der Schaden? Können sie garantieren, dass alle Spuren der Infektion verschwunden sind?“
Sollte sich herausstellen, dass es sich bei der Gruppe tatsächlich um „DarkSide“ handelt, dann zerstöre dies sicherlich ihren „Robin-Hood-Ansatz“. Laut einer kürzlich über „DarkTracer“ verbreiteten Nachricht mache die Gruppe dieses Mal auch keinen Hehl daraus: „Unser Ziel ist es, Geld zu verdienen.“

Beispiel Colonial Pipeline zeigt: 2021 könnte Superjahr für Ransomware werden

2021 zeichne sich bereits ab, dass es ein „Superjahr für Ransomware“ werden könnte. Ransomware-Banden könnten jetzt auf jahrelange Erfahrung und Werkzeuge zurückgreifen, hätten Geldreserven und einen Kryptowährungs-Boom, von dem sie profitieren könnten. Es sei schwer vorstellbar, dass der Status quo bestehen bleibe – „und es scheint unvermeidlich, dass die Regierungen stark reagieren werden“.
Vor dem Angriff habe das US-Justizministerium bereits eine 120-tägige Überprüfung seines Ansatzes zur Bekämpfung von Cyber-Bedrohungen angekündigt, welche eine Analyse darüber beinhalten werde, wie Kryptowährungen Cyber-Kriminalität ermöglichten. Dies spiegele die Bedenken wider, die in einem kürzlich von der Ransomware Task Force erstellten strategischen Plan zur Bekämpfung von Ransomware geäußert worden seien: Neben vielen anderen Empfehlungen werde gefordert, Ransomware als nationale Sicherheitsbedrohung zu behandeln und Kryptowährungen stärker zu regulieren.
Doch zurück zur Gegenwart: „Für den Moment bleiben uns die Versorgungsleitungen, die ins Taumeln geraten sind. Ein paar Megabyte Code, vielleicht eine verirrte E-Mail mit einem dubiosen Anhang oder vielleicht auch nur eine Server-Schwachstelle, die nicht rechtzeitig gepatcht wurde.“

Marcin Kleczynskis Stellungnahme zum Vorfall bei Colonial Pipeline

Marcin Kleczynski, „CEO“ von Malwarebytes, fasst in seinen Kommentar die Situation zusammen: „Viele werden sich an ,DarkSides‘ dubiose Spenden von 10.000 gestohlenen Dollar an bekannte Wohltätigkeitsorganisationen im Oktober 2020 erinnern. Ursprünglich behauptete diese Bande, sie wolle ,die Welt zu einem besseren Ort machen‘, aber in ihrer Stellungnahme zum Colonial-Pipeline-Angriff teilen sie mit, dass ihr ,einziges Ziel darin besteht, Geld zu verdienen‘“ – von den sprichwörtlich „guten Samaritern“ sei diese Bande somit weit entfernt. Es handele sich hierbei um ein weiteres Beispiel für den alarmierenden Trend verheerender Cyber-Angriffe auf die US-Infrastruktur.
Dieser jüngste Vorfall verschärfe die Spannungen zwischen Russland und den USA aufgrund von Cyber-Angriffen zusehends, „unabhängig davon, ob er vom Kreml sanktioniert wurde oder nicht“.
In Übereinstimmung mit der jüngsten Empfehlung der Ransomware Taskforce müsse Ransomware als nationale Sicherheitsbedrohung behandelt werden. Die bevorstehende Exekutivanordnung von US-Präsident Biden zur Stärkung der Cyber-Abwehr müsse die Schwachstellen in den Cyber-Abwehrsystemen der Nation beheben und strenge Regeln umfassen. Dies gelte nicht nur dafür, „wie wir auf Angriffe reagieren, sobald sie geschehen sind, sondern auch dafür, wie Unternehmen, sowohl private als auch öffentliche, an der aktiven Abwehr dieser Angriffe arbeiten“. Es sei an der Zeit, mehr zu tun, als nur zu reden oder Anordnungen zu schreiben – „wir müssen entsprechende Maßnahmen ergreifen!“

Weitere Informationen zum Thema:

FBI auf Twitter, 10.05.2021
FBI Statement on Compromise of Colonial Pipeline Networks

Malwarebytes LABS, 10.05.2021
Ransomware attack shuts down Colonial Pipeline fuel supply

datensicherheit.de, 12.05.2021
Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für Kritis-Betreiber / Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 10.05.2021
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber / Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall