Cybercrime News

Zahlreiche Portale im Web stellen die aktuelle Risikosituation bezüglich Cybercrime bereits dar und zeigen auf, wie den jeweiligen Risiken begegnet werden kann. Wir empfehlen zum Beispiel die Seite https://www.cybercrimepolice.ch/ zu beachten.

Falls sie den Link angeklickt haben, ohne zu prüfen, welche URL wirklich dahintersteckt, habe Sie bereits ein gewisses Risiko in Kauf genommen. alphaTrust.ch ag hat nicht den Anspruch umfassend über Security News zu informieren. Jedoch möchten wir an dieser Stelle über zwei aktuelle Fälle berichten, welche wir als echte Hacker-Meisterleistungen ansehen. Ebenfalls prüfen wir selbstkritisch, ob die IT-Umgebungen von uns und unseren Kunden den Angriffen standhalten könnten.

Solarwinds Orion

Im Dezember 2020 ist es Hackern gelungen, schadhaften Code in ein offizielles Update der Software «Solarwinds Orion» zu integrieren. Orion ist ein Netzwerk-Management Tool, welches vorwiegend im Enterprise-Umfeld eingesetzt wird. Weltweit hat Solarwinds 18000 Kunden, die Orion einsetzen, der Anteil derer, die das kompromittierte Update geladen haben, ist nicht bekannt. Auf der Referenzenliste stehen auch Schweizer Firmen wie Swisscom, Nestlé oder Credit Suisse.

Der Angriff richtete sich wohl aber gegen die USA, wo Orion bei vielen Behörden wie FBI, CIA und NSA eingesetzt wird. Das Ziel der Angreifer war es, Daten zu stehlen. Als Urheber wird eine Regierung vermutet, welche nicht das beste Verhältnis zu den USA unterhält.

Ein prominentes Opfer des Angriffs ist Microsoft, wo durch das Orion-Update Teile vom Quellcode von Microsoft-Betriebssystemen gestohlen wurden. Damit hat der Vorfall auch für uns eine grosse Relevanz, da wir weitestgehend mit Microsoft Produkten arbeiten.

 

Konsequenzen für uns und unsere Kunden

Monitoring
Im Bereich Monitoring setzen wir auf Paessler PRTG. Dadurch ist Solarwinds Orion weder bei uns noch bei unseren Kunden im Einsatz. Wir prüfen Updates von PRTG und bewahren Anmeldeinformationen unserer Kunden äusserst sorgfältig auf. Ein Angriff, der so gut gemacht ist wie derjenige auf Solarwinds, wäre aber auch für Paessler und für uns nicht ohne Folgen.

Microsoft Betriebssysteme
Die Tatsache, dass Teile des Quellcodes von Microsoft Betriebssystemen an Hacker fielen, sehen wir als gravierend an. Zukünftige gezielte Attacken sind dadurch wahrscheinlicher geworden.
Umso wichtiger ist es, dass die Patches für Server und Clients zeitnah auf die Systeme appliziert werden. Ebenso ist der Schutz der Systeme durch einen Virenscanner eines Drittanbieters (und nicht nur Microsoft Defender) noch wichtiger geworden.
Wir können Ihre Systeme sicher Monitoren, Patches aktuell halten und schadhaften Code abwehren.

 

Emotet Malware in ZIP-Anhang

Emotet ist eine mehrstufige und äusserst raffinierte Attacke

Stufe 1:
Als erstes werden Mails mit verschlüsselten ZIP-Dateien im Anhang versendet. Dadurch können die Virenscanner den schadhaften Code im ZIP nicht erkennen. In der Mail-Nachricht ist auch das notwendige Passwort zum Öffnen des ZIP. Im ZIP ist ein Office-Dokument mit Makros. Wird dieses geöffnet, verlangt Office die Zustimmung zum Ausführen der Makros. Das Ausführen der Makros erlaubt dem System nun selbst E-Mails zu versenden. Diese werden basierend auf den Inhalten früherer Nachrichten versandt und können so zum Beispiel Antworten auf zuvor empfangene Nachrichten sein. Diese Nachrichten enthalten wiederum eine verschlüsselte ZIP-Datei.

Dadurch, dass die Nachricht scheinbar von einem bekannten Absender kommt und sich auf eine vorgängige Kommunikation bezieht, hat sich die Erfolgschance für den Angreifer wesentlich erhöht. 

Stufe 2:
Die infizierten Systeme versenden nicht nur selber Mails, sondern versuchen einen Trickbot zu laden, welcher Zugangsdaten ausspioniert. In einigen Fällen kann der Bot sensible Zugangsdaten erspähen und bei ungenügend geschützten Systemen kann es somit gelingen, IT-Administratorenrechte zu erlangen. 

Stufe 3:
Mit Hilfe der erspähten Administratorenrechte können die Angreifer weiteren Code auf die Server des Opfers bringen. Sie tun dies, um Daten zu verschlüsseln und ein Lösegeld für die Entschlüsselung zu erpressen. Dieses ist im Falle von Emotet mit Bitcoins zu bezahlen.

Das Opfer hat an dieser Stelle keine Möglichkeit die Daten selber oder mit Hilfe von Spezialisten zu entschlüsseln. Es gibt nur die Optionen «Wiederherstellen aus Backup» oder «Bezahlen».

Allerdings ist «Bezahlen» keine wirkliche Option, da die kriminelle Aktivität auf keinen Fall unterstützt werden soll und der Kriminelle auch kein vertrauenswürdiger Partner ist. Selbst bei Zahlung kann nicht von einer Entschlüsselung ausgegangen werden.

 

Konsequenzen für uns und unsere Kunden

E-Mail-Filter
Wir konfigurieren unsere Mail-Systeme und nach Möglichkeit auch die unserer Kunden dahingehend, dass Nachrichten mit verschlüsseltem Anhang in die E-Mail-Quarantäne kommen.

Client Anti Virus
Unsere Anti-Virus-Lösungen von Trend-Micro unterhalten Signaturen gegen Emotet seit 2018.

Berechtigungsstrukturen
Wir erarbeiten für unsere Kunden Active-Directory-Strukturen nach dem Prinzip, «gib soviel Rechte wie nötig» und wir verwenden unterschiedliche Accounts für unterschiedliche Rollen und Aufgaben.

Network-Security
Eine zunehmende Anzahl an Kunden verwendet segmentierte Netzwerke. Der Übergang von einem Segment zum nächsten geschieht nicht mehr durch einen Router, sondern durch eine Firewall.

Backup-as-a-Service
Unser Backup-Service erstellt Offsite-Kopien abseits der Kunden-Infrastruktur und abseits der Zugriffsrechte der Kunden (oder deren parasitären Trickbots). Ein Restore ist auch dann noch möglich, wenn die Server des Kunden verschlüsselt wurden und selbst der Backup-Server nicht mehr verfügbar ist.

Write-Once-Read-Multiple
Meist werden WORM-Systeme zur Erfüllung der gesetzlich geforderten Aufbewahrungszeit eingesetzt und typische Aufbewahrungszeiten sind 5-10 Jahre. Unternehmenskritische Daten und Backups können aber zum Schutz von Ransomware auch nur wenige Wochen auf WORMs abgelegt werden und sind auf diese Weise perfekt vor jeder Manipulation geschützt.

Jede der genannten Massnahmen ist für sich allein schon sehr wirkungsvoll gegen Ransomware – die Kombination verschiedener Cyber-Security Verteidigungslinien ist dennoch nicht nur sinnvoll, sondern auch wirtschaftlich angesichts der Risiken.

Awareness-Trainings
Losgelöst von technischen Massnahmen ist die Sensibilisierung der Mitarbeiter und die Messung der Wirksamkeit von Sensibilisierungsmassnahmen sehr hilfreich. Denn das höchste Sicherheitsrisiko ist nach wie vor der Nutzer. Stellen Sie sich aber vor, der aufmerksame Mitarbeiter schöpft bei einem verschlüsselten ZIP-Anhang verdacht und fragt per Telefon oder E-Mail beim Absender zurück – Security kann so auch ganz einfach sein.

 

Wir kümmern uns um die Sicherheit Ihrer IT-Umgebung

Wir bieten Ihnen zahlreiche Security-Lösungen und Services an, um Ihr Unternehmen adäquat gegen Angriffe von Aussen zu schützen:

– Firewall & AntiVirus Produkte
– Patching as a Service
– Virtual Patching
– Security Audit
– Security Awareness Training

Kontaktieren Sie uns für eine individuelle Beratung!