post

WLAN: Lücke im WPA2-Protokoll

Im Verschlüsselungsverfahren WPA2 wurde eine kritische Sicherheitslücke, genannt “Krack” entdeckt, die fast alle WLAN-Router betrifft. WLAN-Router nutzen Verschüsselungen, um die drahtlosen Verbindungen abzusichern. WPA2 (Wi-Fi Protected Access 2) ist ein Protokoll, das die Datenübertragung mit WLAN von Endgerät (Computer, Mobiletelefon) zum Access-Point schützt. Experten konnten eine Schwachstelle in der Aushandlung der Verbindungsschlüssel auszunutzen und dadurch den Datenverkehr einsehen und manipulieren. 

Da es sich um eine Lücke im WPA2-Protokoll selbst handelt sind alle Geräte mit WLAN-Anbindung gleichermassen betroffen. Böswillige Angreifer müssen sich jedoch in Reichweite des Netzwerks aufhalten. Es ist zu erwarten, dass sämtliche Hersteller in den nächsten Tagen und Wochen einen Update zur Verfügung stellen werden. Diverse bekannte Hersteller von Hardware (z.B. Aruba (HPE), Fortinet, Zyxel usw.) wie auch Software (Microsoft Windows mit Oktober Update) haben schon Patches zur Verfügung gestellt oder haben die Veröffentlichung mit höchster Priorität angekündigt. Ob die Schwachstelle bis heute  böswillig ausgenutzt wurde ist nicht bekannt.

Folgende Geräte und Software sollten schnellstmöglich aktualisiert werden:

  • Computer-Betriebssysteme (Windows)
  • Smartphones (Android und iOS)
  • Tablets, Smart-TV, Home-Media-Center etc.
  • WLAN Geräte (Access-Points, WLAN-Router, etc.)

Tipp: Ein Virtual Private Network (VPN) verschlüsselt alle Daten einer Übertragung. Damit lassen sich Daten im WLAN effektiv vor Schnüfflern schützen. Das hilft nicht nur gegen Sicherheitslücken wie “Krack”, sondern auch gegen Hacker in öffentlichen WLAN.

WPA2 ist weit verbreitet

Die Absicherung mit WPA2 ist stark verbreitet. Das Verschlüsselungsverfahren galt bis heute als sicher. Ältere Standards wie WPA und WEP wurden schon vor Jahren als unsicher eingestuft und ersetzt. Die Forscher entdeckten einen Fehler in dem vierstufigen Verfahren, mit dem bei WPA2 die Schlüssel von Sender und Empfänger in einem WLAN ausgetauscht werden. Im dritten Schritt kann der Schlüssel mehrmals gesendet werden. Diese Sicherheitslücke ermöglicht es, die Verschlüsselung zu knacken. Konkret wird dem Client vorgegaukelt, dass die Schlüsselparameter aus dem 3. Paket des WPA-Handshakes verloren gegangen seien.  Das System wird aufgefordert, das erneut gesendete und manipulierte Paket nochmals zu verarbeiten.

Experten betonen, dass es sich nicht um eine Schwäche in den Verschlüsselungsalgorithmen selbst handelt, sondern in der Implementierung des Schlüsseltausch-Protokolls. Dies bedeutet, dass die Schwachstelle relativ einfach zu beheben ist.

Managed Service

Fokussieren Sie sich auf ihre Kernkompetenzen und lassen Sie uns die Arbeit erledigen. Mit unserem Managed Service betreuen wir die IT-Infrastruktur von ihrem Unternehmen. Wir können brenzlige Situationen bereits im Voraus erkennen und sofort eingreifen. Erfahren Sie mehr über unseren Managed Service.

Quelle: heise.de (19.10.2017)

 

post

Neue Apple-Phishing-Angriffe

Vermehrt werden derzeit Phishing-Versuche von gefälschten Apple-Absendern registriert. Dabei wurden E-Mails mit folgendem Inhalt verschickt:

Absender: apple <supportCH@sembra.com>

BetreffIhre Rechnung: (AA-LL-ML-04L2)

E-Mail Inhalt
Bilder
Apple-Icons (iTunes, App Store, Music Library, usw.)
Text: Ihre Apple ID wurde verwendet, um eine Sitzung iCloud von einem nicht autorisierten Computer zu öffnen.Ihr iTunes-Konto ist nun gesperrt, greifen Sie bitte Ihr Konto und eine Prüfung Ihrer Angaben durchzuführen.
Link: Jetzt Prüfen <http…trgoabc.bid/…>

So erkennen Sie den Betrug

Man sieht, dass weder die Absenderadresse noch der Link «Jetzt Prüfen» die offizielle Unternehmensbezeichnung Apple enthalten. Ebenfalls gibt es weder eine persönliche noch eine unpersönliche Anrede an den Empfänger. Des Weiteren ist das Deutsch grammatikalisch nicht einwandfrei. Es gibt keine Kohärenz zwischen dem Betreff (Rechnung) und dem Text (nicht autorisierten Computer). Ausserdem lassen die gefälschten Apple-Icons an der Echtheit zweifeln. Somit handelt es sich eindeutig um eine Fälschung.

Apple-ID Diebstahlversuch

In einem weiteren Versuch wurden Nutzer aufgefordert das Passwort zu erneuern, da angeblich die Apple-ID sonst auslaufen würde. Bei Windows-Nutzern können Zugangsdaten nach einer Weile verfallen. Je nach interner Passwort-Richtlinien muss dieses nach Monaten oder Wochen erneuert werden. Bei Apple-Geräten existiert so etwas in der Regel nicht. Phishing-Angreifer haben damit versucht an Zugangsdaten von iPhone- und iPad-Besitzern zu gelangen.

«Ihre AppleID läuft aus»
Betroffene berichten von SMS oder iMessage Botschaften, die behaupten die «AppleID» (Apples korrekte Schreibweise ist «Apple ID») des Nutzers werde am heutigen Tage «auslaufen». Der Nutzer wird aufgefordert einen Link zu klicken, um ein «Update» durchzuführen und den «Verlust von Diensten und Apps» zu verhindern.

Eine solche Phishing-URL lautet «auth.app.account.expiresec.com». Bei flüchtigem Hinsehen könnte diese URL-Schreibweise als echt empfunden werden. Die URL ist nicht per SSL gesichert. Ein Indiz auf eine Fälschung, da echte Apple-URLs praktisch ausnahmslos gesichert sind. Wird die Adresse in einem Browser geöffnet, erscheint ein Formular, in das man seine aktuellen Apple-ID-Angaben samt Passwort eintragen soll. Die eingegebenen Daten werden an die Betrüger gesendet.

Betrug Apple melden und löschen
Die Daten der Apple-Nutzer sind an die Apple ID, dem zentralen Identifizierungsmerkmal geknüpft. Absichern lässt sich der Zugang mittels Zwei-Faktor-Authentifizierung. Angreifer können jedoch auch mit Nutzername und Passwort viel Missbrauch verursachen.

Wer eine verdächtige SMS oder iMessage erhält, sollte einen Screenshot erstellen und diesen an Apples Abuse Team (imessage.spam@apple.com) weiterleiten. Der Konzern verbessert kontinuierlich seine Filtereinstellungen. Anschliessend sollte man die Nachricht sofort löschen. Links sollten bei einem Betrugsverdacht grundsätzlich nie angeklickt werden.

Quelle: heise.de (18.10.2017)
post

The Wolf mit Christian Slater

HP legt den Fokus in ihren neuen Geräten auf hohe Sicherheitsstandards, um vor unbefugten Zugriffen zu schützen und die Daten- und Netzwerksicherheit zu gewährleisten. HP will mit ihrer neusten Initiative das Bewusstsein für Gerätesicherheitsrisiken in Unternehmen stärken. Die neue Web-Serie The Wolf, wurde von HP Studios, zusammen mit dem Schauspieler Christian Slater in der Hauptrolle gedreht. The Wolf ist eine Mini-Serie und handelt davon, wie Firmennetzwerke gehackt werden können und was Unternehmen tun müssen, um sich zu schützen. Die dargestellten Cyberangriffsversuche wurden schon in dieser Art und Weise registriert.

Staffel 1: «Nichts ist sicher» (4 Videos)
Im ersten Teil zeigt The Wolf die Machenschaften eines Hackers in einem Finanzinstitut. Von der Administration bis zur Geschäftsleitung werden ungesicherte Geräte ausgenutzt. Der Film zeigt auf, wie die Kunden in Gefahr geraten können – vom ungesicherten Zugang zu unaufgeforderten Druckjobs. Schauen Sie dem Hauptdarsteller bei seinen finsteren Machenschaften über die Schulter und lernen Sie auf unterhaltsame Weise einiges über die Sicherheit von Druckumgebungen.

Staffel 2: «Die Jagd geht weiter»
Diesesmal zeigt «The Wolf», was passieren kann, wenn sich Kriminelle Zugriff auf ungesicherte Drucker und PCs in Spitälern verschaffen. Was Sie in diesem Video zu sehen bekommen, wirkt vermutlich etwas weit hergeholt, doch jede Handlung, die der Wolf macht, ist von realen Cyberangriffen inspiriert. Auch wenn die Geschichte von einem grösseren Unternehmen handelt, sollten sich kleine Unternehmen nicht in falscher Sicherheit wiegen.  

HP Secure – Neue Massstäbe bei der Gerätesicherheit

Einwandfreie Sicherheitsprozesse im Unternehmen sind wichtig, genügen aber nicht immer. Drucker werden im Gegensatz zu der restlichen IT-Infrastruktur nur sehr zögerlich aktualisiert oder ersetzt und bieten dadurch eine Schwachstelle für Angriffe. Deshalb hat HP die Druckersicherheit auf Geräteebene intensiv weiterentwickelt.

HP SureStart – Sicheres Booten
Auf Enterprise-Druckern schützt HP das BIOS – also die Boot-Anweisungen, mit denen die grundlegenden Hardwarekomponenten gestartet und die Firmware initialisiert werden – mithilfe von HP SureStart. Diese Technologie überprüft die Integrität des Drucker-BIOS bei jedem Neustart. Falls SureStart eine gehackte Version erkennt, startet es den Drucker neu mit einer abgesicherten, als korrekt verifizierten BIOS-Version.

BIOS-Whitelisting – Sichere Firmware
HP schützt des Weiteren die Firmware – das ist die Software, die die Druckerfunktionen steuert -, indem die installierte Version mit einer Positivliste (White List) verglichen wird. So ist gewährleistet, dass nur korrekter, unmanipulierter Code von HP in den Arbeitsspeicher geladen wird.

Eindringungserkennung im Betrieb
Die Eindringungserkennung während der Laufzeit schützt Enterprise-Geräte von HP, während sie in Betrieb und mit dem Netzwerk verbunden sind. Dazu wird laufend auf Eindringversuche geprüft und überwacht, ob schädlicher Code im Speicher ausgeführt werden soll.

Sicherheitsmanagement
HP JetAdvantage Security Manager kann automatisiert feststellen, ob Geräte die Sicherheitsrichtlinien und -einstellungen des Unternehmens erfüllen. HP WorkWise verbindet ein Dashboard am PC mit einer Smartphone-App – so ist der PC geschützt, wenn Sie unterwegs sind.

Alle Sicherheitsfunktionen zusammen sorgen dafür, dass Angreifer sich nicht in Ihren Druckern einnisten können. Sämtliche Versuche werden erkannt, neutralisiert und die schädlichen Auswirkungen umgehend behoben. Mit seinen Business-Druckern hebt HP die Druckersicherheit auf ein komplett neues Niveau und hindert so die Wölfe dieser Welt daran, in Ihrem Netzwerk und allem, was Ihnen wichtig ist, Schaden anzurichten.

Wir unterstützen Sie!
Interessieren Sie sich für eine sichere Lösung? Möchten Sie ihre Infrastruktur noch besser absichern 0der ihre alten Geräte ersetzen und auf neuste Sicherheitsstandards wechseln? Wir unterstützen Sie gerne! Kontaktieren Sie uns.

HP Geräten mit neuen Sicherheitsstandards

Im Folgenden finden Sie eine Auswahl an HP-Drucker mit den neuen Sicherheitsstandards. Eine Liste der HP Enterprise LaserJet und PageWide Geräte mit den neusten Sicherheitsfunktionen finden Sie hier. Weiterführende Informationen zum Thema Gerätesicherheit bei Drucker finden Sie direkt bei HP.

HP Color LaserJet Enterprise M553n

HP-Color-LaserJet-Enterprise-M553n_350
Link zum INFOSOFT Webshop 

HP PageWide Enterprise Color 556dn

HP-PageWide-Enterprise-Color-556dn_350
Link zum INFOSOFT Webshop 

HP Color LaserJet Pro MFP M477fdw

HP_color_laserjet_mfp_m477fdw_350

Link zum INFOSOFT Webshop 

 

post

Einblick in die Ransomware Philadelphia

Sophos hat einen Report publiziert: „Ransomware as a Service (RaaS): eine Analyse von Philadelphia“. Der Report beschäftigt sich eingehend mit den inneren Mechanismen eines Ransomware-Bausystems, das jeder für 400 US-Dollar kaufen kann. Nach dem Erwerb können Kriminelle die Kontrolle von Computern übernehmen und Daten gegen Lösegeld fordern. Das von den Cyberkriminellen entwickelte Angebot ähnelt stark dem von seriösen Anbietern. Neben der eigentlichen Schadsoftware werden auch Support und Tools für die Verwaltung von Malware-Kampagnen angeboten.

Philadelphia zeigt die Geschäftstüchtigkeit der Kriminellen
Die Erbauer des RaaS-Kits – The Rainmakers Labs – führen ihr Geschäft genauso wie ein Software-Unternehmen mit ehrlichen Absichten. Ihre Schadsoftware Philadelphia wird jedoch auf Marktplätzen im Darknet vertrieben. Dort sind die User viel anonymer als auf herkömmlichen Webseiten. Die Kriminellen zeigen ein Einleitungs-Video auf YouTube und wie man die Erpressersoftware mithilfe einer grossen Bandbreite von Funktionen individuell anpassen kann. Ein detaillierter Hilfe-Guide, der den Kunden durch das Setup führt, ist ebenfalls auf einer .com Webseite aufgeführt. Ransomware-as-a-Service existierten auch schon früher. Neu ist jedoch das offen gezeigte Hochglanz-Marketing für eine Do-it-Yourself-Attacke mit Lösegeldforderung.

philadelphia-ransomware-kontrollcenter3

Weitreichende Einstellungsmöglichkeiten
Zusätzlich zum Marketing verfügt das Produkt über zahlreiche Einstellungen, mit denen sich die Käufer die Ransomware auf ihre Bedürfnisse anpassen können. Dazu gehören Optionen wie „Verfolge Opfer auf Google Maps“ und „Sei gnädig“. Es werden Tipps aufgeführt, wie man eine Kampagne entwickeln kann und ein Steuerungs- und Kontrollcenter einrichten und Geld sammeln kann. Ironischerweise ist die Gnade-Einstellung nicht zwangsläufig dazu da, den Opfern zu helfen. Sie bietet den Kriminellen einen Fluchtweg, wenn sie sich in einer schwierigen Situation befinden. Google-Tracking, Gnädigkeit und andere Funktionen bei Philadelphia sind Beispiele dafür, dass Baukastensysteme immer professioneller werden. Die Report-Autorin meint dazu: „Die Tatsache, dass Philadelphia 400 US-Dollar kostet, und andere Bausätze zwischen 39 und 200 US-Dollar, ist bemerkenswert. Für den Wert von 400 US-Dollar – ziemlich gut für das, was es den Käufern verspricht – bekommt man regelmässige Updates, unbegrenzten Zugang zu grenzenlose Bauarten. Es ist wie ein echter Software-Service, der die Kunden mit regulären Updates unterstützt.“

Betrüger betrügen Betrüger
Der Report enthüllt ausserdem, dass einige Cyberkriminelle Philadelphia raubkopiert haben und ihre Version zu einem niedrigeren Preis verkaufen. Obwohl das Raubkopieren nichts neues ist, erwartet Sophos, dass dieser Trend noch weiter zunimmt.

Schützen Sie ihre IT-Infrastruktur

Wappnen Sie sich vor sämtlicher Schadsoftware:

  • Regelmässiges Backup der Unternehmensdaten (extern aufbewahren)
  • E-Mailanhänge erst öffnen, wenn Sie sicher sind, dass die E-Mail vertrauenswürdig ist.
  • Keine Makros erlauben in Office-Dokumenten
  • Regelmässige Windows-Updates
  • Anti-Virus und Firewall richtig konfigurieren

Dürfen wir ihr Unternehmen unterstützen? Nehmen Sie mit uns Kontakt auf! Wir freuen uns auf Sie.

Quelle
www.itbusiness.ch / www.zdnet.de (27.07.17)
post

Cyberkriminalität in der Schweiz steigt

Cyberattacken gehören für Schweizer Unternehmen immer mehr zur Normalität. Erfreulicherweise ist auch das Risikobewusstsein gestiegen. Neue Gefahren drohen durch das Internet der Dinge und die fortschreitende künstliche Intelligenz. Die Computeranwender bleiben weiterhin das grösste Risiko. Diese Erkenntnisse präsentiert die aktuelle KPMG-Studie «Clarity on Cyber Security».

Das Risiko, als Schweizer Unternehmen Opfer eines Cyberangriffs zu werden, ist mittlerweile Alltag für Grosskonzerne, aber auch KMU. In den letzten 12 Monaten wurden 88% der befragten Unternehmen Opfer von Attacken. Das bedeutet eine Zunahme von 34% gegenüber dem Vorjahr (54%). Bei mehr als der Hälfte der Firmen (56%) provozierte der Angriff einen Unterbruch der Geschäftstätigkeit, bei mehr als einem Drittel der Befragten (36%) hatte die Attacke einen finanziellen Schaden zur Folge.

Die Schweizer Wirtschaft hat aber dazugelernt, wie mit der Bedrohung durch Cyberattacken umzugehen ist: 81% der Befragten gaben an, dass sie im Vergleich zum letzten Jahr ein grösseres Risikobewusstsein entwickelt haben. Die Hälfte der Teilnehmer (52%) verstehen die Motivation, Strategie und Vorgehensweise der Angreifer besser und bei 44% haben sich die Vorhersagemöglichkeiten verbessert.

Wenig Benutzerfreundlichkeit in der Cyberabwehr
Viele Datendiebstähle lassen sich auf menschliches Versagen und Verhaltensbeeinflussung (Social Engineering) zurückführen. Schuld daran sind aber nicht nur sorglose Benutzer, sondern vielmehr Konstruktionsfehler in der Benutzerfreundlichkeit. Allzu oft spielt diese eine untergeordnete Rolle. Das widerspiegelt auch die Studie: 65% der Befragten gaben an, dass in ihrem Unternehmen nicht systematisch an benutzerfreundlichen Massnahmen zur Cybersicherheit gearbeitet wird, und nur 11% ziehen entsprechende Spezialisten zurate. Matthias Bossardt, Leiter Cyber Security von KPMG Schweiz, meint dazu: «Die Wirksamkeit von Massnahmen zur Cybersicherheit muss dringend gestärkt werden. Dies geht nicht ohne das menschliche Verhalten viel stärker im Design der Massnahmen zu berücksichtigen. Die Benutzerfreundlichkeit von Cybersicherheit ist entscheidend, wenn es darum geht, die Cyberbedrohung in den Griff zu kriegen. Das schwächste Glied in der Kette war, ist und bleibt immer der Mensch.»

Internet der Dinge als Einstiegstüre für Cyberrisiken
Das Internet der Dinge (IoT) ist längst keine Zukunftsvision mehr. Es existiert schon heute, als komplexe Sammlung vernetzter, internetfähiger Dinge, wie Haushaltsgeräte, aber auch kritische Infrastrukturen, wie medizinische Apparate, industrielle oder öffentliche Produktionsanlagen und mehr. Da sämtliche Geräte immer intelligenter werden, wird auch der Sicherheitsaspekt immer relevanter.

Hier besteht aber noch grosser Handlungsbedarf: Über die Hälfte der Studienteilnehmer gaben zu, dass sie keinen Überblick über alle Geräte des Internets der Dinge in ihrem Unternehmen haben. 35% versuchen nicht einmal, diesen Überblick zu erlangen und weitere 17% haben es zwar versucht, sind aber gescheitert. Angesichts dieser Zahlen überrascht es nicht, dass die Hälfte der Befragten zugibt, dass diesbezüglich keine Strategien oder Richtlinien existieren.

Neue Risiken durch künstliche Intelligenz
Künstliche Intelligenz (AI) bezeichnet im Grunde intelligente Maschinen, die komplexe und umfangreiche Prozesse automatisieren und Menschen bei kritischen Entscheidungen unterstützen können. Angriffe auf solche intelligente Maschinen können jedoch erhebliche Auswirkungen auf die Belastbarkeit von Märkten oder gar ganze Volkswirtschaften haben. Diese Systeme sind noch am Anfang ihrer Entwicklung. Die Umfrage zeigt auch, dass dieser Umstand erst langsam ins Bewusstsein der Unternehmen dringt: Nur 26% der Befragten gaben an, dass sie sich der Cyberrisiken, die durch den Einsatz von künstlicher Intelligenz im eigenen Unternehmen oder in Produkten und Dienstleistungen entstehen, bewusst sind.

Quelle: http://www.itbusiness.ch (13.06.17)
Die jährliche Studie «Clarity on Cyber Security» von KPMG Schweiz basiert auf einer Kombination von qualitativen Einzelinterviews und einer Online-Befragung und erfasst rund 60 Unternehmensvertreter. Die Einzelinterviews wurden mit Partnern auf C-Level (CEO, COO, CIO, CMO) aus verschiedenen Branchen durchgeführt. Die Studie «Clarity on Cyber Security» wurde dieses Jahr zum dritten Mal publiziert.
post

Gefälschte DHL E-Mails mit Viren

Eine besonders gefährliche E-Mail im Namen von DHL wird derzeit von Cyberkriminellen in Umlauf gebracht. Es handelt sich um eine täuschend echt wirkende Sendungsbenachrichtigung im DHL Erscheinungsbild. Die Links sehen harmlos aus, zeigen jedoch auf eine fremde URL, die einen Javascript-Virus herunterlädt.

Betrügerische Nachrichten im Namen von DHL wurden auch in anderen Fällen versendet. Die aktuelle E-Mail im Namen des Logistikkonzerns DHL ist besonders perfide. Die Nachricht wurde den Sicherheitskriterien von DHL angepasst, sodass ahnungslose Empfänger den Betrug schlechter erkennen können.

DHL ist jedoch weder der Versender der E-Mail, noch stehen sie damit in einem Zusammenhang! Das Unternehmen ist selbst geschädigt, da der Markenname DHL für kriminelle Zwecke missbraucht wird. Öffnen Sie die E-Mail nicht und klicken Sie insbesondere die Links nicht an! Die Nachricht lädt einen Trojaner auf Ihren Computer.

Aussehen der gefälschten DHL-Mail

Optisch macht die E-Mail im Namen von DHL zunächst einen authentischen Eindruck. Für die Gestaltung wurden typische DHL-Farben verwendet. Einzig gewisse Kleinigkeiten lassen Zweifel an der Echtheit aufkommen: Als Absendername wird DHL, DHL Team, DHL.de, DHL Paket, DHL Logistik-Spezialist, DHL Support, Kundenservice DHL Express, DHL Logistik-Team, Kundenservice DHL Logistik oder DHL Express verwendet. Die dahinterstehende E-Mail-Adresse zeigt jedoch eine beliebige Adresse. Nach dieser Erkenntnis sollten Empfänger genauer hinschauen. Des Weiteren sind Betreff und Text widersprüchlich. Im Betreff steht „Ihr DHL Paket kommt am …“ und im Text werden Sie über eine Änderung des Zustelltermins informiert.

Um die gefährlichen Links zu verschleiern, waren die Betrüger besonders trickreich. In der Spam-Mail zeigt der Linktext „https://nolb.dhl.de“, wie die echten DHL-URLs. Wenn man mit der Maus über den Link fährt, kommt jedoch ein anderes, betrügerisches Linkziel zum Vorschein. Dies ist ein weiteres starkes Zeichen für eine Fälschung.

Der Klick auf den Link

Diese E-Mail gehört nicht zu den üblichen Phishing-Mails, die nach einem Klick auf einen Link eine Webseite öffnen. In diesem Fall soll Schadsoftware verbreitet werden. Nach dem Klick auf einen der Links wird der Virus sofort und ohne nochmalige Nachfrage heruntergeladen. Nochmals: Klicken Sie keinen Link in dieser E-Mail an!

Der Download alleine ist nach bisheriger Erkenntnis noch nicht schädlich. Vielmehr muss die Datei noch ausgeführt werden. Es handelt sich bei der heruntergeladenen Datei um eine Javascript-Datei mit der Bezeichnung „DHL_Report_…js“. Der Dateiname enthält dazu noch Zufallszahlen, die sich ständig ändern.

Sollten Sie die Datei versehentlich heruntergeladen haben, löschen Sie diese sofort und leeren Sie gleich den Papierkorb. Öffnen Sie die Datei unter keinen Umständen, da dadurch die Malware aktiv wird.

Welche Gefahr geht von dem Virus aus?

Nach bisherigen Erkenntnissen handelt es sich um ein Downloadprogramm. Diese Applikation ist in der Lage weitere schädliche Software herunterzuladen. Über solche Malware können Angreifer ihr System einsehen und steuern. Beispielsweise kann der Computer für den weiteren Versand von Virus-E-Mails verwendet oder persönliche Daten ausgespäht werden. Ebenfalls wahrscheinlich ist, dass auf diesem Weg Ransomware, auch Erpressungstrojaner genannt, auf den Computer eingeschleust werden.

Aktuell ist dieser Trojaner nur für Computer mit dem Betriebssystem Windows gefährlich. Allerdings könnten künftig auch andere Betriebssysteme wie Android oder OS X gefährdet sein.

Folgende Virenscanner sollten den Virus gemäss virustotal.com erkennen können (Stand: 05.04.2017):

  • AegisLab
  • Arcabit
  • Cyren
  • DrWeb
  • F-Prot
  • Kaspersky
  • NANO-Antivirus
  • Qihoo-360
  • TheHacker
  • TrendMicro
  • TrendMicro-HouseCall
  • ZoneAlarm by Check Point

Datei geöffnet – und nun?

Falls Sie die die schädliche JS-Datei versehentlich geöffnet haben, sollten Sie einige Vorsichtsmassnahmen einleiten. Laien wird empfohlen den Computer sofort ausschalten und immer vom Netzwerk (WLAN/LAN) zu trennen. Es besteht die Möglichkeit, dass über das interne Netzwerk auch andere Computer infiziert werden.

Anschliessend sollten Sie zur Sicherheit auf einem anderen Computer alle Passwörter für Onlinedienste ändern, die auf dem PC installiert sind oder die Sie nach dem Ausführen der JS-Datei verwendet haben. Am Besten veranlassen Sie eine Virenentfernung durch Spezialisten.

Agieren Sie präventiv und schützen Sie ihren PC

Achten Sie auf grundsätzliche Sicherheitsvorkehrungen. Damit können Sie bereits sehr viele Schäden abwenden:

  • Vorsicht bei E-Mails von unbekannten Absendern (insbesondere Links und Dateianhänge)
  • Verwenden Sie immer einen aktuellen Virenschutz
  • Erstellen Sie eine regelmässige Datensicherung und prüfen Sie diese auch
  • Achten Sie darauf, dass das Betriebssystem und die Programme aktuell sind

Quelle: http://www.onlinewarnungen.de

post

Supportende für Windows Vista

Microsoft beendet demnächst den Support für Windows Vista. Nach dem 11. April 2017 stellt das Unternehmen keine Sicherheits-Updates mehr zur Verfügung. Das bedeutet, dass gefundene Lücken nicht mehr behoben werden. Anwendern wird deshalb abgeraten eine Internetverbindung herzustellen. Vista funktioniert zwar unbegrenzt weiter, es wird jedoch ein Upgrade bzw. Neukauf empfohlen.

Am 30. Januar 2007 wurde Vista veröffentlicht. Nach über 10 Jahren ist es für Microsoft eine Erleichterung dieses Kapitel zu schliessen, denn für viele Anwender galt Vista als schlechtes Betriebssystem. Vista war aufgebläht und langsam. Es funktionierte nur mit der neusten Hardwareausstattung optimal. Eine ähnliche Situation wie beim Ende von Windows XP steht nun aber nicht an. Windows Vista konnte sich nie richtig durchsetzen. Der Vorgänger Windows XP und Nachfolger Windows 7 waren lange Zeit erfolgreich, weshalb der aktuelle Marktanteil von Vista nur noch bei ca. einem Prozent liegt.

Eine sichere Variante wäre das Upgrade auf Windows 7 oder noch neuere Windows Versionen.  Es gilt jedoch herauszufinden, ob der aktuelle Computer für diese Betriebssysteme ausgelegt ist. Für Windows 7 gibt es dazu den “Windows 7 Upgrade Advisor”. Ansonsten empfiehlt es sich einen neuen Computer zu kaufen mit einem modernen Betriebssystem und aktuellen Sicherheits-Updates.

Sollten Sie noch Windows Vista einsetzen und benötigen Unterstützung stehen wir gerne zur Verfügung.

Quelle: Xing-news.com

post

Kennen Sie den neuen INFOSOFT Webshop?

Der neue INFOSOFT Webshop ist unter https://shop.isg.ch/ erreichbar. Stammkunden und Interessenten können durch das Angebot stöbern. Dort erhalten Sie insbesondere Druckerzubehör wie Tinte und Toner zu sehr attraktiven Preisen. Ausserdem bietet der Shop eine grosse Auswahl an IT-Artikeln wie PCs, Drucker und Zubehör.

Wenn Sie noch kein Login von uns erhalten haben, können Sie selber ein Konto erfassen. So können Sie jederzeit, schnell und einfach bestellen. Profitieren auch Sie davon!

Alle Vorteile auf einen Blick:

  • Übersichtlich und schnell
  • Neues erweitertes Sortiment
  • Benutzerfreundlich und simpel
  • Filter für Druckerverbrauchsmaterial passend für ihr Gerät
  • Optimiert für den Zugriff mit Smartphone & Tablet
  • Einkaufsliste für wiederkehrende Bestellungen
  • Sortimentzugang ohne Login
  • Verschlüsselte SSL-Verbindung
  • Komissionsfreie Kreditkartenzahlung
  • Bestandeskunden können weiterhin auf Rechnung bezahlen.
post

Kaspersky Security Bulletin 2017

Die Experten von Kaspersky rufen im aktuellen Security Bulletin die wichtigsten Ereignisse in Erinnerung. Gleichzeitig wird ein Blick in die Zukunft geworfen und versucht die Cyberbedrohungen des Jahres 2017 vorauszusagen.

Die Bilanz 2016

Die Prognosen aus dem letzten Jahr sind mehrheitlich eingetroffen, wobei einige Punkte noch früher als erwartet Realität geworden sind. Die Zusammenfassung der wichtigsten Vorhersagen für das Jahr 2016:

APTs: Kaspersky prognostizierte einen abnehmenden Fokus auf die Nachhaltigkeit der Advanced Persistent Threats (Hartnäckige Bedrohungen). Es wurde angenommen, dass sich Angreifer zunehmend unsichtbar machen wollen mit dem Einsatz bekannter Malware. Diese Vermutungen haben sich zweifach bestätigt:

  1. durch eine Zunahme von im Speicher aktiver Malware und dateiloser Schädlinge
  2. durch die Unmenge bekannter zielgerichteter Attacken auf Aktivisten und Unternehmen, die auf Remote-Access-Trojanern basieren, wie zum Beispiel NJRat und Alienspy/Adwind.

Ransomware: 2016 kann als das Jahr der Ransomware bezeichnet werden. Das Spektrum von Finanz-Malware, die darauf abzielt, Nutzer zu täuschen und zu betrügen, hat sich praktisch vollständig in ein reines Ransomware-Universum verwandelt. Dabei werden vermehrt effizientere Erpressungsabläufe entwickelt.

Mehr Bankraube: Überlegungen zum Höhepunkt der Finanzkriminalität waren Angriffe auf Institutionen wie beispielsweise die Börse. Real wurden diese Vorhersagen mit den Attacken auf das SWIFT-Netzwerk. Intelligente und exakt platzierte Malware konnte Abflüsse von Millionenbeträgen ermöglichen.

Internet-Attacken: Das Internet der Dinge (IoT) wird immer populärer.  Aufgrund tiefer Kosten und schnellerer Produktion wurde die Sicherheit vielfach vernachlässigt. So konnten Hacker riesige IoT-Botnetze erzeugen. Das Botnetz war der Grund für Ausfälle bei grossen Internet-Services.

Blossstellungen: Mobbing und Erpressungen setzten sich im grossen Stil fort. Diverse Datenoffenlegungen sorgten für Rufschädigungen und persönliche, sowie politische Probleme. Vom Ausmass dieser Tatsache war auch Kaspersky überrascht.

Prognosen für das Jahr 2017

Indikatoren von Cyberangriffen fraglich
Lange Zeit konnten über Indikatoren einer Cyberinfizierung (Indicators of Compromise, IoCs) Erkenntnisse über bekannte Malware gewinnen und so aktive Infektionen erkennen. Diese Methode war mit der Entdeckung von ProjectSauron nicht mehr anwendbar. Denn die dahinterstehende APT-Gruppe nutzte eine massgeschneiderte Malware-Plattform, über die jede eingesetzte Funktion für jedes anvisierte Opfer verändert wurde. Erkenntnisse über andere Opfer mittels bisher verwendeter Indikatoren waren damit unzuverlässig. Als einzige Chance wird derzeit die Kombination verschiedener Massnahmen wie YARA-Regeln angesehen.

Passive Implantate und Kurzfristige Infektionen hinterlassen kaum Spuren
Bei «passiven Implantaten» handelt es sich um eine Netzwerk-gesteuerte Backdoor, die im Speicher sitzt oder als ein Hintertür-Treiber in einem Internet-Gateway oder einem Internet-zugewandten Server läuft. Diese Implantate warten still darauf, dass entsprechender Code ihre Funktionalität zum Leben erweckt. Währenddessen zeigen Sie kaum Anzeichen einer Infizierung und werden kaum entdeckt. Somit ist es das bevorzugte Tool für die meisten vorsichtigen Angreifer.

Ein ähnliches Mittel, das vermehrt erwartet werden kann, sind vorübergehende Infektionen. Speicherresidente Malware, die einzig für allgemeines Auskundschaften und den Diebstahl von Anmeldedaten erzeugt wurde. In sensiblen Umgebungen könnten Angreifer in Ruhe operieren, bis ein Neustart ihre Infektion aus dem Speicher löscht. Das bedeutet, dass damit keine Spuren hinterlassen werden.

Spionage wird mehr und mehr mobil
In der Vergangenheit wurden diverse mobile Malware-Implantate verbreitet. (Z.B. Sofacy, Roter Oktober und CloudAtlas usw.) Die Kampagnen basierten jeweils hauptsächlich auf Desktop-Toolkits. Da die Nutzung sämtlicher digitaler Dienste immer mehr in Richtung Mobilgeräte geht, wird davon ausgegangen, dass mobile Spionage-Kampagnen auf dem Vormarsch sein werden.

Finanzattacken durch professionelle Untergrundorganisationen
Als sich die Nachricht über die Angriffe auf das Bezahlsystem SWIFT verbreitete, versetzte allein die Kühnheit dieser Tat die Finanzbranche in Aufruhr. Die Schadenssumme erreichte eine Grössenordnung von Millionen von US-Dollar. Cybercrime-Playern wie die Carbanak-Gang haben sich weiterentwickelt und sich höhere Ziele gesetzt.

Kaspersky erwartet eine Zunahme der Zwischenhändler bei SWIFT-Angriffen, die sich in die bewährte kriminelle Untergrundstruktur einfügen. Um einen derartigen Bankraub durchzuführen, benötigt man Erstzugriff, spezialisierte Software, Geduld und ein Geldwäschelösung. Einzelne Schritt können bereits heute einige Cyberkriminelle ausführen. Kaspersky erwartet eine Kommerzialisierung dieser Angriffe mit spezialisierten Lösungen zum Verkauf oder “As-a-Service”.

Stabile Bezahlsysteme
Da Bezahlsysteme immer populärer werden, erwartete Kaspersky ein grösseres kriminelles Interesse an diesen Diensten. Aktuell erscheinen die Systeme besonders widerstandsfähig und es wurden keine Attacken registriert. Doch was für die Kunden eine Erleichterung sein mag, könnte den Anbietern von Bezahlsystemen selbst Kopfschmerzen bereiten. Kaspersky erwartet, dass sich Cyberverbrecher zunehmend mit diesen Systemen befassen werden, um weitere Einnahmequellen zu generieren.

Ransomware Geschäftsmodell auf dem Prüfstand
Die meisten Erpresserprogramme basieren auf einer merkwürdigen Vertrauensbeziehung zwischen Opfer und Angreifern. Eine stillschweigende Vereinbarung suggeriert, dass das Opfer, nach der Zahlung, die blockierten Dateien zurückerhält. Die Cyberkriminellen haben dabei ein erstaunliches Mass an Professionalität bei der Erfüllung dieses Versprechens, so dass dieses Geschäftsmodell gedeihen kann. Doch mit der zunehmenden Popularität werden auch Trittbrettfahrer mitmischen. Kaspersky sieht eine Art von «Skiddie»-Ransomware, die das Opfer dazu bringt Lösegeld zu bezahlen, ohne irgendeine Gegenleistung zu erbringen. Dann wird sich Ransomware nicht mehr von Attacken unterscheiden, bei denen Daten gelöscht werden. Dies hilft dabei, dass Opfer kein Lösegeld überweisen.

Die Angst vor Industriesabotage
Die Stuxnet-Malware hat viel Wirbel ausgelöst und Verschwörungstheorien entwickelt. Es wurde klar, welches Potenzial Angriffe auf industrielle Steuerungssysteme haben. Diese Kampagne wurde sorgfältig geplant und auf langfristige, konkrete Ziele ausgerichtet. Solange kritische Infrastrukturen und Fertigungssysteme mit dem Internet verbunden bleiben, sind Angriffe ein mögliches Szenario. Doch solche Attacken setzen entsprechende Fähigkeiten und bösartige Absichten voraus. Ein Cybersabotage-Angriff wird insbesondere zusammen mit geopolitischen Spannungen vermutet.

Schwache Sicherheit im Internet der Dinge
Kaspersky bemängelte schon früh die schwache Sicherheit des Internets der Dinge, welche Kriminelle nun beispielsweise mit dem Mirai-Botnetz ausnützten. Grundsätzlich werden bekannte Sicherheitslücken mit einem Patch geschlossen. Da diverse Hersteller weiterhin unsichere IoT-Geräte vermarkten, könnten Internet-Vigilanten die Kontrolle übernehmen. Das könnte die Hersteller zum Handeln zwingen. Eine natürliche Abwehrreaktion dieser Geräte durch DDoS-Angriffe oder Spam könnte darin bestehen, alle miteinander ausser Gefecht zu setzen.

Meinungsmache mit Enthüllungen unter falscher Flagge
Bei der Erstellung gefälschter Shops, die dazu dienen, Daten zu stehlen und die Opfer zu erpressen, haben Kriminelle wie Lazarus und Sofacy Vorarbeit geleistet. Kaspersky erwartet, dass die Informationskriege zunehmen werden, damit relevante Prozesse beeinflusst und Unsicherheit gestiftet werden kann. Die Akteure  selbst wollen ihre Daten verkaufen und haben kaum etwas zu verlieren, da der Inhalt der Enthüllung meist von der Attacke ablenkt.

Die Gefährlichkeit liegt dabei nicht im Eindringen in die Privatsphäre, sondern vielmehr darin, dass gestohlene Datenbanken als nachrichtentaugliche Fakten mehr und mehr akzeptiert werden. Clevere Akteure versuchen, die Auswirkungen zu manipulieren, beispielsweise durch Datenmanipulation oder durch Unterlassung.

Die wertvollen personenbezogenen Daten
Werbetreibende nutzen insbesondere Cookies für ihre Zwecke. Diese Verwendung wird sich wahrscheinlich weiter ausbreiten, und zwar in Kombination mit Widgets und anderen Erweiterungen. Damit wollen Unternehmen das komplette Surfverhalten der Nutzer individuell verfolgen können, um ein zusammenhängendes Bild zu erstellen.

In gewissen Teilen der Welt werden raffinierte Angriffe auf Aktivisten, Oppositionelle und Andersdenkende erfolgen und sämtliche Aktivitäten in Sozialen Medien beobachtet. Möglicherweise werden Akteure sogar versuchen in ein Soziales Netzwerk einzubrechen, um dort das wertvolle Gut der gesamten personenbezogenen Daten zu entwenden.

Das Spionage-Werbenetz
Werbenetzwerke werden gerne ausgenutzt, um bestimmte Zielgruppen anzugreifen. Werbeplatzierungen sind bereits monetär gesteuert. Regulierungen sind kaum vorhanden. Regelmässige Malvertising-Attacken unterstreichen dies. Werbenetzwerke bieten ein exzellentes Ziel-Profiling, mittels einer Kombination aus IPs, Browser-Fingerabdrücken, Surfinteressen und Login-Verhalten. Diese Art von Nutzerdaten ermöglicht es einem Angreifer, ein Opfer selektiv zu infizieren. Grossflächige kollaterale Infektionen können vermieden werden, um nicht auf den Radarschirm der Sicherheitsforschern zu geraten. Kaspersky erwartet, dass Cyberspionage-Akteure nur kleine Investitionen in Werbenetzwerke planen, um Ziele zu exakt zu treffen, insbesondere aber die neuesten Toolkits zu schützen.

Der Aufstieg des Selbstjustiz-Hackers
Leitfaden für aufstrebende Hacker, die ungerechte Organisationen oder Unternehmen behindern oder sabotieren wollen sind veröffentlicht worden. Verschwörungstheorien, Fakenews, und den Glauben daran, dass Datenlecks ausschlaggebend z.B. für Wahlkampf sein können, beeinflussen massgeblich die Hackerszene. So werden Angreifer vermehrt zur Selbstjustiz greifen.

Genauere Details entnehmen Sie bitte dem Kaspersky Security Bulletin. Prognosen für das Jahr 2017

post

IT-Bedrohungen Q3 2016

Das Jahr 2016 ist in etwas mehr als einem Monat vorüber. Eine gute Gelegenheit, die IT-Bedrohungen im vergangenen Quartal hervorzuheben. Im ersten und zweiten Quartal 2016 konnten Höchstwerte bei vielen statistischen Werten gemessen werden. Glücklicherweise konnte eine Entspannung festgestellt werden. Viele Kennzahlen sind im Vergleich zum Sommer rückläufig.

Das bekannte Thema Ransomware, welches zu Beginn dieses Jahres als grösste Bedrohung aufgefasst wurde, bewegt sich auch zunehmend in Richtung Mobile.

Das dritte Quartal 2016 in Zahlen

Das Kaspersky Security Network (KSN) registrierte 172 Mio. Attacken von Internet-Ressourcen, die abgewehrt werden konnten. Die Angriffe erfolgten aus 190 Ländern weltweit.

Ergebnisbericht von Kaspersky Anti-Virus

  • Alarmmeldung bei 45 Mio. individuellen URLs
  • 13 Mio. individuelle Schadobjekte aufgespürt (Skripte, Exploits, ausführbare Dateien und andere)
  • Abwehr von Infektionsversuchen durch Malware bei mehr als 1 Mio. Nutzern (insbesondere Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten)
  • Abwehr durch Ransomware-Angriffe bei 821’000 individuellen Anwendern
  • Registrierung von 116 Mio. individuellen schädlichen und potenziell unerwünschten Objekten

Auswertung Kaspersky-Lab-Produkte zum Schutz mobiler Geräte

  • 1,5 Mio. schädliche Installationspakete
  • 30’000 mobile Banktrojaner
  • 37’000 mobile Erpresser-Trojaner

Wichtigste Ereignisse des Quartals

Pokémon GO: Kriminelle nutzen Hype um beliebtes Spiel

Das Handyspiel Pokémon GO hat weltweit innert kurzer Zeit eine grosse Fangemeinde aufgebaut. Auch Cyberkriminelle wollten die populäre Neuheit nutzen und haben Schadcode im Originalspiel hinzugefügt und dieses über Dritt-Stores verbreitet. So wurde beispielsweise der Bank-Trojaner Trojan-Banker.AndroidOS.Tordow verbreitet, der Sicherheitslücken im System ausnutzt, um die Berechtigungen eines Superusers zu erhalten. Somit kann sich der Trojaner schützen gelöscht zu werden und die im Browser gespeicherten Passwörter stehlen.

Eine weit grössere Ausnutzung der Beliebtheit von Pokémon GO war die Veröffentlichung einer schädlichen Anleitung für das Spiel im Google Play Store. Bei dieser App handelte es sich in Wirklichkeit um einen Werbetrojaner, der sich Superuser-Rechte auf dem Gerät aneignet, indem er Sicherheitslücken im System ausnutzt.

Werbung mit Trojaner

Innerhalb des Quartals hat sich die Zahl der von Trojan-Banker.AndroidOS.Svpeng.q angegriffenen User praktisch verachtfacht. Die Opfer befanden sich fast ausschliesslich in Russland. Der Trojaner war unter den Online-Verbrechern derart beliebt, da er über das Werbenetz Google AdSense beworben wurde. Das ist eins der populärsten Werbenetzwerke im Runet und wird von vielen beliebten Webseiten genutzt, um den Anwendern zielgerichtet Werbung anzuzeigen.

«Im Q3 2016 wurde auf Computern von 1,2 Mio. Usern versuchte Infizierungen von Finanzmalware registriert.»

Android 6: Umgehen von Schutzmechanismen 

In diesem Quartal ist die Banktrojaner-Familie Trojan-Banker.AndroidOS.Gugi hervorzuheben. Sie ist in der Lage einige Schutzmechanismen unter Android 6 zu umgehen. Es beginnt mit der Anfrage nach dem Recht zum Überdecken anderer Apps. Basierend auf den neuen Berechtigungen wird der Anwender irritiert und genötigt weitere Anfragen anzunehmen.

Erpressungstrojaner bei Google Play

Im dritten Quartal registrierte Kaspersky die Verbreitung einer mobilen Ransomware über den offiziellen App-Store von Google. Der Trojaner Trojan-Ransom.AndroidOS.Pletor.d gab sich als App zur Wartung von Geräten aus inklusive Säuberung von überflüssigen Daten, die Beschleunigung des Geräts und sogar Viren-Schutz.

IT-Infrastruktur regelmässig prüfen

Es lohnt sich, Systeme auf dem neusten Stand zu halten. In den Beiträgen «Ransomware Satana» oder «Betrügerische Worddateien sperren ihr System» finden Sie genauere Hinweise dazu. Gerne stehen wir für Ihr Unternehmen auch für eine persönliche IT-Beratung zur Seite.

Quelle
Securelist (10.11.16): Entwicklung der IT-Bedrohungen im dritten Quartal 2016