Skip to main content

Lage der IT-Sicherheit in Deutschland: Schadsoftware vor allem per E-Mail

Der aktuelle Bericht des BSI (Bundesamt für Sicherheit in der Informationstechnik) liefert Zahlen und bewertet die aktuelle Sicherheitslage der IT in Deutschland. (PDF zum Download)

Bei Angriffen auf Regierungsnetzen ist die E-Mail offensichtlich das Mittel der Wahl. Im beobachteten Zeitraum zwischen Juli 2016 und Juni 2017 wurden monatlich knapp 52 000 E-Mails mit Schadsoftware abgefangen und gefiltert. Ransomware wie WannaCry und Petya wurden groß in den Medien bekannt, jedoch sind sie nur die Spitze des Eisbergs. In der Privatwirtschaft sieht es nicht besser aus – Der Bericht gibt aber auch interessante Informationen über Spear-Phishing und CEO-Fraud.

Weitere Informationen auch bspw. bei spiegel.de .

Neue Erpressungssoftware “Bart” fordert drei Bitcoin Lösegeld

Wie zdnet.de berichtet, ist wieder ein neuer Verschlüsselungstrojaner aufgetaucht.
Im Gegensatz zu anderer Schadsoftware werden die Dateien auf der lokalen Festplatte schrittweise in passwortgeschützte ZIP-Archive umgewandelt.
Darüber hinaus benötigt er auch nicht unmittelbar Zugriff auf einen Steuerungsserver, um Befehle zu empfangen – sondern kann autark arbeiten. Damit bieten Firewall-Sperrungen keinen Schutz.

Die Verbreitung findet aktuell hauptsächlich in den USA statt, da aber auch mehrsprachige Texte hinterlegt wurden, ist es nur eine Frage der Zeit, bis Bart auch nach Deutschland kommt.

Alpha Ransomware verschlüsselt Daten und erpresst iTunes Gutscheine

Wenn Sie dieses Bild als Hintergrundbild Ihres Desktops sehen, haben Sie vermutlich ein Problem…

crypt

Wie bleepingcomputer berichtet, ist derzeit ein weiterer Verschlüsselungstrojaner unterwegs. Dieser verschlüsselt Ihre Daten mit einer AES-256 Verschlüsselung, entschuldigt sich artig und erpresst nebenbei noch 400 US-Dollar in Form von iTunes Guthaben.

Dieser Trojaner weist zwei Besonderheiten auf:

  • Einerseits sind iTunes Guthabenkarten gut nachzuverfolgen. Von daher können wir darauf hoffen, dass der Urheber schnell identiziert ist.
  • Darüberhnaus besitzt er aber gute Manieren und entschuldigt sich zunächst für sein tun direkt beim Benutzer. In einer Textdatei, die die Anleitung zur Freischaltung der Daten enthält, heißt es:

We’d like to apologize for the inconveniences, however, your computer has been locked. In order to unlock it, you have to complete the following steps…

Wir empfehlen Ihnen, nicht zu bezahlen. Bleepingcomputer stellt ein kostenloses Tool zur Entschlüsselung bereit.

Damit es gar nicht so weit kommt, empfehlen wir einen zuverlässigen Spam- und Virenschutz – wie z.B. unser Produkt spambarrier.de

SSLv2 – Down Lücke bedroht (Mail-) Server – jetzt deaktivieren

Die Sicherheitsprobleme mit SSL und TLS scheinen endlos zu sein… Nach Poodle, Ghost und wie sie alle heißen, steht nun “Drown” vor der Türe.

Hierbei werden bekannte Schwächen in SSLv2 verwendet, um die Verschlüsselung moderner Verfahren wie TLS 1.2 zu knacken. Damit kann auch auch aufgezeichneter Datenverkehr nachträglich entschlüsselt werden.

Weitere technische Hintergründe gibt es z.B. bei heise .

Aktuelle Auswertungen zeigen, dass erschreckend viele Server noch SSLv2 aktiviert haben. Über folgende Website kann getestet werden, ob der eigene Server betroffen ist:

https://test.drownattack.com/

Als Lösungsweg bleibt nur, SSLv2 komplett zu deaktivieren. Das Entfernen von Ciphers alleine hilft nicht. Das SSLv2 sehr alt ist, sollte das kein Problem sein.

Wenn man gerade dabei ist, könnte man sich auch gleich die weiteren SSL-Einstellungen und das Rating prüfen – um auf ein A-Level zu kommen.

In AXIGEN muss hierzu einfach der entsprechende Haken entfernt werden:

 

 

 

 

SSL

Erpressungs-Malware: Locky – Wie gut sind Sie (und Ihr Mailserver) geschützt?

Bei Locky handelt es sich um einen sehr gemeinen Schädling, der gerade vor allem per E-Mail verbreitet wird.

Er verbreitet sich zunächst auf dem System, ohne aktiv zu werden – also relativ unauffällig. Zu einem Zeitpunkt wird er auf einmal aktiv und verschlüsselt alles, worauf der Zugriff hat. Also auch USB-Festplatten, Netzlaufwerke und Cloud-Speicher.

Hierbei werden so ziemlich alle Dateitypen verschlüsselt – die Verschlüsselung gilt aktuell als unknackbar.

Wer seine Dateien wiederhaben will, muss zahlen. Hierzu erscheint ein Erpresserschreiben auf dem Bildschirm (inzwischen auch in Deutsch) mit den entsprechenden Hinweisen zur “Geldübergabe”.

Locky wird in Form von Word-Dateien verbreitet, die per E-Mail versendet werden. Es handelt sich hierbei oft um Fake-Rechungen, die sich angeblich im Anhang befinden. Aber auch Script-Dateien werden aktuell versendet.

Die Virenscanner hinken aktuell immer einen kleinen Schritt hinterher. Genau genommen handelt es sich dabei um Makro-Viren, wie sie in ähnlicher Form schon seit Jahren verbreitet werden.

Wir empfehlen Ihnen folgende Schritte zur eigenen Absicherung:

  • Erstellen Sie ein Backup auf einen Datenträger, der nicht dauerhaft am System angeschlossen ist. Wie z.B. eine USB-Festplatte, die direkt nach dem Backup wieder vom System entfernt wird.
  • Setzen Sie einen aktuellen Virenscanner ein.
  • Öffnen Sie niemals E-Mails mit verdächtigen Anhängen oder von Absendern, die sie nicht kennen. Halten Sie ggf. Rücksprache mit dem angeblichen Absender, ob die Mail von ihm stammt.
  • Konfigurieren Sie ihr Office so, dass keine unsicheren Makros ausgeführt werden.
  • Halten Sie Ihr System über Sicherheitsupdates aktuell.
  • Konfigurieren Sie Ihren Mailserver so, dass Mails direkt beim Empfang geprüft werden und virenverseuchte Mails direkt abgelehnt werden (reject).

Um auf Nummer sicher zu gehen, gehen einige Unternehmen aktuell dazu über, z.B. doc Anhänge vollständig  zu blocken (z.B. über MimeDefang). Eine drastische, aber effektive Maßnahme.