HiSolutions Cybersecurity Digest März 2024

Zwischen LockBits Rückkehr und Doom auf Rasenmähern

 

Liebe Leserin, lieber Leser,

Der Februar ließ nicht nur temperaturbedingt erste Frühlingsgefühle aufkommen, sondern war medial geprägt vom Tod und der Wiederauferstehung von LockBit. Dies lassen wir auch in unserem Digest nicht außer Acht und ergänzen die aktuelle Ausgabe mit weiteren nennenswerten Themen: 

  • LockBit lebt noch
  • BSI veröffentlicht technische Richtlinie zum Thema Identitätsmissbrauch in E-Mails
  • Raspberry-Robin: Vom USB-Stick bis zum Discord Chat
  • Avast verletzt Privatsphäre seiner Kunden
  • Ivanti noch immer im Visier
  • Kein Trend: Lösegeldzahlungen 2023 wieder gestiegen
  • Can it run Doom?

Wir wünschen Ihnen viel Spaß beim Lesen – Ihr Feedback ist wie immer herzlich willkommen!

Mit besten Grüßen
Yannik Meinhardt

 

LockBit lebt noch

Nachdem es anfangs so schien, als hätten internationale Ermittler die Ransomware-Gruppierung LockBit in einer Operation namens Cronos endgültig zerschlagen, hat sich der mutmaßliche Kopf der Organisation mit einer aus der Ich-Perspektive verfassten Erklärung zurückgemeldet. LockBit gilt als die derzeit größte Ransomware-Gruppe und verdiente bis dato nach eigenen Aussagen über 100 Millionen US-Dollar mit ihren Hacks.

Am 19.02. wurde bekannt, dass Ermittler von zehn Behörden Zugriff auf große Teile der Daten, Kryptowallets sowie Webseiten der Gruppe erlangten. Zusätzlich wurden zwei Personen in Polen und in der Ukraine festgenommen. Die Operation Cronos nutzte eine Lücke in PHP aus, um die LockBit-Server zu infiltrieren. Werkzeuge zur Entschlüsselung betroffener Daten wurden ebenfalls erlangt.

In der Folge haben die Ermittler auch die Enthüllung der Identität des vermeintlichen Chefs der Bande in besonderer Manier angekündigt. Durch eine provozierende Strategie wollten sie den Ruf und das Vertrauen in den Chef und in die Gruppe untergraben. Misstrauen soll speziell unter den Kriminellen gesät werden, die sich häufig als unantastbar gegenüber Strafverfolgungsbehörden geben. Die eigentliche Enthüllung lieferte wenig konkrete Details. Ob die Strategie des öffentlichen Trollings gegenüber den Gruppen Erfolg hat, bleibt abzuwarten.

Die jüngste Stellungnahme von LockBit zerstört indes die Hoffnung, dass die Gruppe tatsächlich zerschlagen wurde. Sie gesteht sich zwar Fehler im Betrieb ihrer Systeme ein, plant jedoch, Angriffe auf staatliche Institutionen zu verstärken. Zudem macht sie sich über die Behörden hinter Cronos lustig und bietet Jobs für die Personen an, die die Schwachstellen in LockBits Infrastruktur fanden. Sie spekuliert über mögliche Motive für den Gegenangriff und sieht dies als Bestätigung ihrer Bedeutung. Die Gruppe scheint vor allem gut darin zu sein, sich selbst ihr Geschäftsmodell auf zweifelhafte Weise zu legitimieren.

LockBit bleibt damit die führende Ransomware-as-a-Service-Gruppe, deren „Dienst" verantwortlich für über 20 % aller Ransomware-Angriffe im letzten Jahr war.

Das Statement der Gruppe im Original: https://samples.vx-underground.org/tmp/Lockbit_Statement_2024-02-24.txt (Seite nicht mehr verfügbar)

Die letzte Meldung auf Heise mit Einschätzung des Statements: https://www.heise.de/news/Cybercrime-Die-Aufloesung-der-10-Millionen-Dollar-Frage-Trollen-als-Strategie-9637034.html

 

BSI veröffentlicht technische Richtlinie zum Thema Identitätsmissbrauch in E-Mails

Das BSI hat eine neue technische Richtlinie zur E-Mail-Authentifizierung veröffentlicht. Diese soll E-Mail-Service-Providern eine Anleitung zum Schutz vor Phishing und Spoofing bieten, indem sie u. a. Standards wie SPF, DKIM und DMARC empfiehlt. Diese Maßnahmen sollen die Authentizität von E-Mails gewährleisten und Identitätsmissbrauch verhindern, indem sie eine Überprüfung der Absender-Domain und der Integrität der Nachrichten unterstützen. 

Namhafte Mail-Anbieter haben angekündigt, Mechanismen zur Authentifizierung zu fordern, um ihre Kunden auch vor neuartigen Angriffen wie SMTP-Smuggling zu schützen. Die neue Richtlinie des BSI zielt darauf ab, die Cybersicherheit pragmatisch zu verbessern und den digitalen Verbraucherschutz zu stärken. Die Richtlinie mit der Kennung TR-03182 berücksichtigt die Anforderungen, die Mail-Anbieter zukünftig stellen wollen.

Hier können Sie die Richtlinien herunterladen: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240216_TR-E-Mail-Authentifizierung.html

 

HiSolutions Schwachstellenreport 2024

HiSolutions hat auch 2024 die große Zahl durchgeführter Penetrations- und Schwachstellentests vom Vorjahr nach Schweregrad und Kategorien analysiert. 

Hieraus können interessante Trends und Entwicklungen für die Sicherheitslage in Ihrem Unternehmen oder Ihrer Organisation abgeleitet werden.

Die gute Nachricht: Unternehmen, die sich proaktiv mit IT-Sicherheit beschäftigen, schaffen es immer besser, kritische Schwachstellen in externen Systemen zu erkennen und zeitnah zu beheben.

Zum Schwachstellenreport 2024: https://www.hisolutions.com/detail/schwachstellenreport-2024

 

Raspberry-Robin: Vom USB-Stick bis zum Discord Chat

Gestartet als Wurm, der über USB-Sticks verteilt wurde, ist Raspberry-Robin heute Teil eines komplexen Malware-Ökosystems. Dabei führt die Schadsoftware häufig die initiale Infizierung der Endpunkte eines Opfers durch, damit anschließend weitere Malware zwecks Lateral Movement (Infektion weiterer Systeme im Netz) und Rechteausweitung nachgeladen werden kann. Bekannte kriminelle Gruppierungen sind dafür bekannt, die Malware zu verwenden, um unter anderem auch die bereits thematisierte Ransomware von LockBit auszurollen.

Um wirksam zu bleiben und Erkennungsmechanismen zu umgehen, verändert sich die Malware kontinuierlich. Die Verwendung neuartiger Verbreitungsmethoden, wie dem Versenden von RAR-Dateien über Discord, und die kontinuierliche Weiterentwicklung von Bypass-Techniken stellen eine zusätzliche Herausforderung für den Schutz dar. Häufig sind es sogenannte 1-Day-Exploits, die sich Raspberry-Robin zunutze macht. Das bedeutet, dass Entwickler in kürzester Zeit auf neu entdeckte Sicherheitslücken reagieren, ihre Malware anpassen oder enge Beziehungen zu Exploit-Verkäufern pflegen, um die aktualisierte Malware zu verbreiten, noch bevor Opfer ihre Systeme aktualisieren können. Jüngst hat sich dies in zwei neuen 1-Days manifestiert, dessen weitere Erläuterung wir am Ende verlinkt haben.

Für uns hat das zur Folge, dass wir mit einer sich ständig verändernden Bedrohungslandschaft Schritt halten müssen. Neben präventiven Sicherheitsmaßnahmen, wie dem schnellen Einspielen von Patches, bleibt es wichtig, über reaktive Maßnahmen, etwa ein ausgeklügeltes Konzept für XDR (Extended Detection & Response) oder MDR (Managed Detection & Response) zu verfügen.

Einen Deep Dive zu den zuletzt verwendeten Schwachstellen durch Raspberry-Robin finden Sie hier: https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days/

 

Avast verletzt Privatsphäre seiner Kunden

Avast steht eine Strafe von 16,5 Millionen US-Dollar bevor, nachdem die Federal Trade Commission (FTC) das Unternehmen beschuldigt hat, Browserdaten ohne angemessene Zustimmung gesammelt und verkauft zu haben. 

Die Tochterfirma Jumpshot von Avast verkaufte diese Daten an eine Vielzahl von Unternehmen, anstatt den versprochenen Schutz vor Online-Tracking zu bieten. Die FTC wirft Avast vor, die Privatsphäre der Verbraucher durch täuschende Praktiken verletzt zu haben. Als Teil einer Vereinbarung mit der FTC wird Avast neben der Strafzahlung auch daran gehindert, Web-Browsing-Daten weiter zu verkaufen. Weitere Auflagen beinhalten die Löschung gesammelter Daten, die Benachrichtigung betroffener Kunden und die Implementierung eines Datenschutzprogramms.

Für mehr Informationen können Sie die folgenden Artikel lesen: https://www.heise.de/news/FTC-will-Avast-zu-16-5-Millionen-US-Dollar-Strafe-verdonnern-9636562.html

https://www.it-daily.net/shortnews/avast-muss-165-mio-dollar-wegen-nutzerdaten-verkauf-zahlen

 

Ivanti noch immer im Visier

Im letzten Digest haben wir Sie bereits über die Offenlegung von vier Schwachstellen in den Ivanti-Produkten Connect Secure und Policy Secure informiert. Seit Erscheinen des Newsletters hat sich noch eine weitere Schwachstelle dazugesellt. Ivanti hat seitdem auch zwei weitere Runden mit Patches veröffentlicht, um die Lücken zu schließen.

HiSolutions sieht als Incident-Response-Dienstleister immer noch neue Angriffe, die in Verbindung mit den Schwachstellen stehen. Falls es noch nicht getan wurde, sollten Sie ihre Ivanti-Produkte schnellstmöglich patchen und eine Kompromittierung mit dem Ivanti Integrity Checker überprüfen. Besonders die Schwachstelle mit der Kennung CVE-2024-21893 wird massenhaft auch durch State Actors ausgenutzt. Falls der Verdacht auf eine Infektion besteht, leiten Sie Sofortmaßnahmen ein und kontaktieren Sie uns oder einen anderen IR-Dienstleister.

Ivantis Artikel zur jüngsten Schwachstelle mit relevanten Patch-Informationen: https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure

Aktueller Artikel auf TheHackerNews: https://thehackernews.com/2024/02/chinese-hackers-exploiting-ivanti-vpn.html

 

Kein Trend: Lösegeldzahlungen 2023 wieder gestiegen

Im Jahr 2023 stiegen die Lösegeldzahlungen nach Ransomware-Angriffen erstmals auf über 1,1 Milliarden US-Dollar an. Das stellt einen Rekord dar und kehrt den Rückgang von 2022 auf drastische Weise ins Gegenteil. Zurückzuführen ist dies nach dem Report von Chainalysis auf die erhöhte Anzahl von Angriffen auf wichtige Institutionen und kritische Infrastrukturen, sowie afu die schnellere und aggressivere Vorgehensweise der Akteure. Besonders die MOVEit-Kampagne der Cl0p-Bande hat durch den Impact auf tausende Firmen großen Schaden verursacht.

Trotz eines Rückgangs der Anzahl an Opfern, die Lösegeld zahlen, ist die Rentabilität von Ransomware-Angriffen weiterhin gegeben. Die „Geschäftsstrategien" aus verlangter Zahlungshöhe und erwarteter Zahlungswahrscheinlichkeit unterscheiden sich zwischen den großen Playern wie Cl0p und LockBit. Manche fokussieren sich auf gezielte Angriffe gegen kapitalstarke Organisationen, andere versuchen über die Quantität der Opfer ihre kriminellen Machenschaften zu finanzieren. Dem Report zufolge funktioniert auch die Geldwäsche der häufig in Kryptowährung bezahlten Lösegeldforderungen über Mixing-Dienste trotz der Anstrengungen der Strafverfolgungsbehörden gut.

Es bleibt spannend zu sehen, ob die rückläufige Entwicklung, kein Lösegeld zu zahlen, im Jahr 2024 wieder an Fahrt gewinnt und somit die Finanzierung von Ransomware erschwert. Bis dahin müssen wir annehmen, dass 2022 mit der im Jahresvergleich niedrig ausgefallenen Summe an Lösegeldzahlungen von ca. 567 Millionen US-Dollar eine Anomalie und kein Trend war.

Zum vollen Report von Chainalysis: https://www.chainalysis.com/blog/ransomware-2024/

 

Can it run Doom?

Da Nachrichten aus den Bereichen Informationssicherheit und darüber hinaus oftmals beängstigend sind, möchten wir Ihnen zum Abschluss dieses Digests mit einer erfrischenden Meldung ein Lächeln auf die Lippen zaubern: Das bereits 1993 erschienene Spiel Doom war der Wegbereiter für ein gänzlich neues Spielgenre. Bis heute hat es seine Relevanz beibehalten, indem die Community in Form von Insider-Witzen versucht, das Spiel auf den unterschiedlichsten Plattformen zum Laufen zu bringen.

Dabei sind der Kreativität keine Grenzen gesetzt: von Mikrowellen über Zahnbürsten bis hin zum Display eines Schwangerschaftstests – aufgrund der niedrigen Voraussetzungen von einer 160 MHz Prozessor-Taktfrequenz und 16 MB Arbeitsspeicher findet sich heutzutage eine Vielzahl an Plattformen zum Zocken.

Zuletzt hat der Hersteller Husqvarna auf der MWC mit einem Update für seinen Rasenmäher überrascht. Auf der Messe konnten Besucher das Spiel mit den vorhandenen Bedienelementen des Mähers spielen. Eigens für die Messe haben die Entwickler sogar den Multiplayer-Modus über WLAN umgesetzt. Ein Update für zu Hause kommt ab dem 15. April und ermöglicht das Spielen im Einzelspielermodus – aber bitte nicht während des laufenden Rasenmähers im Einsatz.

Was wir daraus für unsere Branche mitnehmen können: Eingebettete Systeme bringen immer mehr Leistung mit und werden damit attraktiver für Angreifer. Immer häufiger sind diese ans Internet angeschlossen und bieten so eine Schnittstelle nach außen. Es zeigt sich auch hier, dass der Schutz jeglicher Systeme essenziell ist.

Meldung zum Husqvarna-Rasenmäher auf heise: https://www.heise.de/news/Doom-auf-Husqvarna-Rasenmaeher-Hurt-me-plenty-9640570.html

Liste an Geräten, auf denen Doom installiert wurde: https://canitrundoom.org/

 

KI – Chancen und Risiken für die Sicherheit bewerten: 20.03.2024 – remote

Der Wunsch, sich von künstlicher Intelligenz bei der Arbeit unterstützen zu lassen, ist groß. Aber was bedeutet das aus der Sicherheitsperspektive? Um entscheiden zu können, ob und wie der Einsatz reglementiert werden kann und sollte, muss man die Chancen und Risiken für die Informationssicherheit kennen. In unserer Schulung werden zuerst die wichtigsten Grundlagen zu aktuellen KI-Verfahren wie maschinelles Lernen (ML) und große Sprachmodelle (LLM) betrachtet. Darauf aufbauend wird auf die aktuellen Sicherheitsauswirkungen beim Einsatz dieser Verfahren in der Praxis eingegangen. Die Themenauswahl orientiert sich an den häufigsten Fragestellungen, die Informationssicherheitsbeauftragte (ISB) an uns herantragen.

https://www.hisolutions.com/security-consulting/academy#c12585

 

SAP-Lizenzmanagement-Training – 12.-13.03.2024 – Berlin

Im zweitägigen SAP-Lizenzmanagement-Training erhalten Sie von unseren SAP-SAM-Experten einen schnellen Einstieg in die SAP-Lizenz- und Vertragswelt. Sie erlangen weitreichendes Wissen zu den SAP-Lizenzmodellen der alten SAP-ECC-6.0- und der neuen SAP-S/4HANA-Umgebung sowie zu den SAP-Cloud-Angeboten. 
Zudem vermittelt Ihnen unserer Partner Taylor Wessing, einer der weltweit führenden technologieorientierten Rechtskanzleien, die SAP-Lizenzen und -Verträge (inkl. Cloudverträge) aus juristischer Sicht. 

https://www.hisolutions.com/security-consulting/academy#c10075

 

NEU: Schulung zum BSI-BCM-Praktiker

Durch die unmittelbare Beteiligung an der Erstellung des neuen BSI-Standard 200-4 sowie seiner Weiterentwicklung innerhalb der zweijährigen Community-Draft-Phase kann HiSolutions eine passgenaue, auf den Standard abgestimmte Schulung anbieten. Die Online-Schulung bietet viele Gelegenheiten für individuelle Fragen und praxisnahe Diskussionen.

Erweitern Sie Ihr Wissen mit den erfahrenen BCM-Experten von HiSolutions, die Sie durch die neuesten Best Practices und Standards, einschließlich des BSI-Standards 200-4 und ISO 22301, führen. Die Schulung schließt mit einer Prüfung ab, die den individuellen Lernfortschritt überprüft. Mit Bestehen erhalten Teilnehmende ein BSI-Zertifikat zum BCM-Praktiker.

Der inhaltliche Aufbau der viertägigen Schulung orientiert sich am Curriculum des BSI und wird mit vielen Beispielen aus unserem Beratungsalltag angereichert. 

Termine:
14.-17.05.2024  – remote
04.-07.06.2024  – remote

https://www.hisolutions.com/security-consulting/academy#c13049

 

Der nächste HiSolutions Cybersecurity Digest erscheint Mitte April 2024.

Jetzt abonnieren!

Lesen Sie hier auch alle HiSolutions Cybersecurity Digests der letzten Monate.

Kontaktieren Sie uns gern mit Rückfragen und Anregungen!

Jetzt teilen: