Aktuelle Sicherheitsmeldungen

  • 28.06.2017: Erpressungstrojaner Petya kehrt zurück

    Es gibt derzeit eine massive Angriffswelle mit dem Erpressungs-Trojaner Petya. Wie andere sogenannte Krypto-Trojaner auch, verschlüsselt Petya auf betroffenen Geräten Dateien, sodass der Nutzer auf diese nicht mehr zugreifen kann. Zur Freigabe verlangen die Angreifer ein Lösegeld – doch selbst wenn man bezahlt, gibt es keine Garantie, dass man die Dateien tatsächlich zurück erhält.

    Der Hauptschwerpunkt der aktuellen Angriffswelle liegt in Russland und in der Ukraine, allerdings sind auch in Deutschland bereits erste Fälle gemeldet worden. Betroffen sind sowohl Unternehmen als auch Privatpersonen. Für den Angriff wird eine ähnliche Sicherheitslücke wie bei WannaCry im vergangenen Monat genutzt.

    Microsoft hat bereits im März Sicherheitsupdates veröffentlicht, die die Sicherheitslücke schließen. Sicherheitsbarometer rät allen Nutzern, die das Update nicht bereits im Mai im Rahmen der WannaCry-Welle installiert haben, dieses so bald wie möglich aufzuspielen. Ausnahmsweise hat Microsoft auch für ältere, nicht mehr unterstützte Systeme mit Windows XP und Windows Server 2003 Updates bereitgestellt.

    Darüber hinaus empfiehlt Sicherheitsbarometer, weiterhin grundlegende Schutzvorkehrungen gegen Erpressungs-Trojaner zu ergreifen: Nutzen Sie einen aktuellen Virenscanner, halten Sie installierte Software immer auf dem aktuellen Stand und legen Sie vor allem regelmäßige Datensicherungen an, mit denen im Ernstfall Dateien wieder hergestellt werden können.

  • 19.06.2017: Gefälschte Nachrichten mit Rechnungen verbreiten vermehrt Schadsoftware

    Angreifer nutzen verschiedene Möglichkeiten, um Schadsoftware zu verbreiten. Besonders beliebt ist weiterhin der Versand gefälschter Nachrichten (E-Mails, Messenger, Chats etc.) mit präparierten Rechnungen im Anhang: Angeblich von Rechtsanwaltskanzleien, Inkassobüros oder Online-Dienstleistern stammend, behaupten die Nachrichten, dass der Empfänger einen Rechnungsbetrag offen hätte – Details gebe es in der Rechnung anbei.

    Doch der Anhang enthält Schadsoftware, die nach dem Öffnen der Datei versucht, sich auf dem Rechner einzunisten. Alternativ wird kein Anhang mitgeschickt sondern ein Link zur angeblichen Rechnung. Die Nachrichten werden in der Regel professionell gestaltet und sind nicht immer auf den ersten Blick als Fälschung erkennbar: In ausgefeilteren Fällen werden die Empfänger sogar mit richtigem Namen angesprochen.

    Sicherheitsbarometer rät, entsprechende Nachrichten umgehend zu löschen und Anhänge oder Links keinesfalls zu öffnen. Neben erfundenen Namen wie "Giro Pay 24 GmbH" oder "Direktpay24" missbrauchen Angreifer häufig auch die Namen seriöser Firmen – sind Sie sich nicht sicher, ob eine Nachricht echt ist, empfiehlt sich die direkte Kontaktaufnahme mit dem Unternehmen per Telefon.

    Darüber hinaus empfiehlt Sicherheitsbarometer, sich grundsätzlich vor Schadsoftware mithilfe einer handvoll Maßnahmen zu schützen: Halten Sie sowohl Betriebssystem als auch installierte Programme immer auf dem aktuellen Stand, nutzen Sie eine aktuelle Antivirensoftware, vermeiden Sie im Internet unseriöse Webseiten und legen Sie für den Ernstfall regelmäßige Datensicherungen an.

  • 15.06.2017: Für Erpressungstrojaner Jaff gibt es jetzt ein Gegenmittel

    Jaff ist ein Erpressungstrojaner, der wie andere Schadsoftware dieser Art auf befallenen PCs wichtige Dateien des Betriebssystems sowie sensible Daten verschlüsselt. Dadurch wird das betroffene Gerät für den Besitzer größtenteils unbrauchbar. Für die Freigabe und Entschlüsselung der Daten verlangen die Angreifer ein Lösegeld – allerdings gibt es keine Garantie, dass sie das System dann tatsächlich wieder zugänglich machen.

    Immer wieder entwickeln Sicherheitsforscher jedoch aufgrund entdeckter Lücken für bestehende Trojaner Entschlüsselungstools, mit denen Betroffene die verschlüsselten Dateien selbst wieder entschlüsseln können. Eines dieser Programme ist "RakhniDecryptor", mit dem verschlüsselte Dateien verschiedener Trojaner weiderhergestellt werden können – mit einem neuen Update gehört nun auch Jaff dazu.

    Auch wenn für viele Erpressungstrojaner Gegenmittel entwickelt werden, rät Sicherheitsbarometer dringend dazu, weiterhin präventive Schutzmaßnahmen zu ergreifen: Oftmals stehen Entschlüsselungstools erst nach vielen Monaten bereit. Zu den wichtigesten Vorkehrungen zählen: Betriebssystem und Software immer auf dem aktuellsten Stand halten, Anti-Virensoftware verwenden, regelmäßige Datensicherungen anlegen und das Vermeiden verdächtiger Seiten im Internet.


    Download des RakhniDecyptor (Kaspersky)

    No more ransom-Projekt (Kaspersky)

  • 29.05.2017: Verschiedene Mediaplayer führen Schadcode in Untertiteln aus

    Sicherheitsforscher haben bei verschiedenen Mediaplayern (u.a. Kodi, VLC, Stremio oder Popcorn Time) eine Sicherheitslücke entdeckt: Die Player führen Schadcode in Untertiteldateien bei der Verarbeitung anstandslos aus. Auf diesem Weg können Angreifer theoretisch die Kontrolle über ein System übernehmen.

    Besonders gefährdet sind dabei Player, die Untertiteldateien automatisch herunterladen – gelingt es Angreifern, entsprechend präparierte Untertiteldateien in gängigen Datenbanken zu platzieren, werden diese automatisch heruntergeladen und der Schadcode ausgeführt.

    Bisher gibt es keine Hinweise darauf, dass die Sicherheitslücke schon ausgenutzt wurde. Für VLC, Kodi und Stremio gibt es darüber hinaus bereits Sicherheitsupdates – Sicherheitsbarometer rät, diese so bald wie möglich zu installieren.

  • 22.05.2017: Chinesische Hacker greifen gezielt deutsche Unternehmen an

    Eine mutmaßlich chinesische Hackergruppierung, die unter den Namen APT 10, Menupass Team und Stone Panda bekannt ist, hat sich auf Angriffe auf Unternehmen spezialisiert. Dabei waren bisher vor allem US-amerikanische und japanische Unternehmen im Fokus – das Bundesamt für Verfassungsschutz warnt nun jedoch, dass auch deutsche Unternehmen nehmend ins Visier geraten.

    Dies betrifft insbesondere Anbieter von IT-Dienstleistungen: Die Angreifer versuchen beispielsweise über angegriffene Cloud-Dienste-Anbieter an sensible Daten deren Kunden zu gelangen. Diese werden dann für weitere Angriffe verwendet oder weiterverkauft.

    Die Angriffe erfolgen dabei nicht mithilfe ausgenutzter Sicherheitslücken, sondern via Social Engineering/Spear Phishing: Auf einzelne Empfänger zugeschnittene, personalisierte E-Mails in einem überzeugenden Kontext werden an Mitarbeiter verschickt. So wird beispielsweise eine E-Mail eines tatsächlichen Geschäftspartners vorgegaukelt, im Anhang mitgeschickt wird eine mit Schadsoftware infizierte Word-Datei.

    Sicherheitsbarometer rät zu besonderer Vorsicht bei E-Mails mit verdächtigen Anweisungen, Tippfehlern in der Absenderadresse/Signatur oder unerwarteten Inhalten. Bei Unsicherheit empfiehlt sich eine direkte persönliche Kontaktaufnahme mit dem jeweiligen Kollegen oder Vorgesetzten.

  • 08.05.2017: Handbrake-Version für macOS mit Schadsoftware infiziert 

    Angreifern ist es gelungen, einen Server zu hacken, über den die populäre Video-Encoder-Software Handbrake zum Download angeboten wird. Daraufhin haben sie die Installations-Datei für macOS manipuliert und mit Schadsoftware infiziert. Ein zweiter Download-Server war nach Angaben der Anbieter nicht betroffen.

    Bei der Schadsoftware handelt es sich um "Proton", einem Trojaner, der sich unbemerkt auf macOS-Geräten einnistet und Daten ausspäht. Darunter unter anderem Passwörter, die im Schlüsselbund gespeichert wurden. Handbrake-Nutzer, die im Zeitraum vom 02. bis zum 06. Mai die Software heruntergeladen haben, sollten überprüfen, ob ihr System kompromittiert wurde – eine Anleitung finden Sie im unten verlinkten Artikel.

    "Proton" lässt sich von infizierten Geräten entfernen - Betroffene müssen jedoch darüber hinaus sicherheitshalber alle Passwörter ändern, die entwendet wurden.

    Anleitung zur Entfernung der Schadsoftware (heise.de)

  • 04.05.2017: Phishing-Angriff auf Nutzer von Google-Docs

    Gestern kam es zu einem ausgefeilten Phishing-Angriff auf Nutzer von Google Docs: Kriminelle verschickten überzeugend gefälschte E-Mails, die jenen nachempfunden wurden, die Google verschickt, wenn Nutzer untereinander ein Dokument teilen. Als vermeintlich Teilenden setzten die Angreifer dabei einen Namen aus dem Bekanntenkreis des Empfängers ein, damit dieser keinen Verdacht schöpft.

    Der mitgeschickte Link führte dann jedoch nicht zu einem Dokument in Google Docs, sondern zu einer App mit dem Namen "Google Docs.", die wiederrum Zugriff auf das eigene Google-Konto verlangte. Kam man der Aufforderung nach, erhielten die Angreifer über die App Zugriff auf das eigene Google Docs-Konto. Auf diese Weise konnten weitere Kontakte ausgelesen werden, die wiederum selbst mit einer entsprechenden Mail angeschrieben wurden.

    Google ging in kürzester Zeit gegen die Angriffe vor, es ist deshalb unklar, wie viele Konten am Ende kompromittiert wurden. Betroffene, die eine entsprechende Mail erhielten und der App den Zugriff gewährten, sollten sicherheitshalber die App-Berechtigungen in ihrem Konto überprüfen und jene entfernen, die "Google Docs." heißen.

  • 04.05.2017: Kriminelle leiteten bei O2 mTan auf eigene Geräte um

    Beim Online-Banking werden Überweisungen durch die Eingabe sogenannter Transaktionsnummern (TAN) zusätzlich abgesichert. Beim mTAN-Verfahren erhalten Kunden dabei die TAN per SMS auf ihr Handy geschickt. Aufgrund einer Sicherheitslücke im Mobilfunknetz gelang es Angreifern jedoch, diese SMS-Nachrichten bei O2-Netz-Nutzern auf eigene Geräte umzuleiten.

    Haben Kriminelle also mit Hilfe von Phishing oder eines Banking-Trojaners die Zugangsdaten von Online-Banking-Kunden ergattert, können sie mithilfe der umgeleiteten SMS beliebige Überweisungen tätigen.

    Die Sicherheitslücke befindet sich im UMTS-Netz und ist schon seit längerem bekannt – O2 hat bestätigt, dass sie inzwischen geschlossen wurde. Dennoch raten Sicherheitsforscher, wenn möglich lieber das ChipTAN-Verfahren zu nutzen, bei dem die TAN für eine Überweisung über ein separates Gerät erzeugt wird.

    Telekom Kunden sind nicht betroffen

    Artikel bei heise.de zum Thema

  • 25.04.2017: NSA-Software infiziert Windows-Geräte; Sicherheitsupdate verfügbar

    Anonyme Hacker haben vor rund zwei Wochen verschiedene Software-Werkzeuge der US-amerikanischen Sicherheitsbehörde NSA veröffentlicht, mit denen der Geheimdienst Sicherheitslücken zur Überwachung von Systemen ausnutzt.
    Unter diesen Softwarepaketen befindet sich auch "Doublepulsar", ein Werkzeug, mit dem beliebige Angreifer Schadsoftware auf Windows-Geräte einschleusen können.

    Obwohl Microsoft bereits Mitte März ein Sicherheitsupdate veröffentlicht hat, das die ausgenutzte Sicherheitslücke schließt, haben Sicherheitsforscher nun festgestellt, dass immer mehr Angreifer mit Erfolg Doublepulsar nutzen.
    Der Grund: Viele Windows-Geräte werden nicht regelmäßig oder gar nicht aktualisiert, das Sicherheitsupdate dementsprechend nicht installiert.

    Sicherheitsbarometer rät, Betriebssysteme und installierte Software immer auf dem aktuellen Stand zu halten: Immer wieder werden Sicherheitslücken entdeckt und von Software-Anbietern geschlossen.

    Darüber hinaus sollten grundsätzliche Schutzmaßnahmen ergriffen werden – hierzu gehören insbesondere ein aktueller Virenscanner, regelmäßige Datensicherungen und das Vermeiden verdächtiger Seiten, Programme und Inhalte im Internet.

  • 24.04.2017: LastPass schließt mehrere Sicherheitslücken

    Beim Passwortmanager LastPass wurden von Sicherheitsforschern mehrere Sicherheitslücken entdeckt, die nun geschlossen wurden.

    Betroffen waren zum einen die Browser-Plugins von LastPass, mit deren Hilfe Anwender im Browser auf gespeicherte Passwörter zugreifen können. Aufgrund einer Lücke war es hier Angreifern potenziell möglich, gespeicherte Passwörter auszulesen.
    LastPass hat inzwischen Updates für die Plugins veröffentlicht – Sicherheitsbarometer rät, diese so bald wie möglich zu installieren.

    Zum anderen entdeckten Sicherheitsforscher eine Schwachstelle in der Zwei-Faktor-Authentifizierung bei LastPass: Mit Hilfe dieser Sicherheitsvorkehrung können Anwender ihre Konten zusätzlich sichern, indem Sie bei jeder Anmeldung neben ihrem Passwort noch einen einmalig generierten Code eingeben müssen. Dahinter steht der Gedanke, dass ein Angreifer keinen Zugriff auf das Konto bekommen kann, selbst wenn er das Passwort knacken/kennen sollte.

    Doch genau hier sorgte bei LastPass eine Schwachstelle dafür, dass der zusätzliche Nutzen der Zwei-Faktor-Authentifizierung größtenteils sinnlos wurde – denn der Code errechnete sich unter anderem aus eben jenem Passwort.

    Aufgrund dieser Lücke war es Angreifern potenziell möglich, die Zwei-Faktor-Authentifizierung zu umgehen, wenn ihnen das Passwort bekannt ist. Diese Lücke wurde von LastPass inzwischen serverseitig behoben, Anwender müssen hier nicht aktiv werden.

Die Beiträge werden in Zusammenarbeit mit Microsoft erstellt und mit freundlicher Genehmigung von Deutschland sicher im Netz e. V. zur Verfügung gestellt.