Suche
Close this search box.

Schlagwort: Verschlüsselungstrojaner

Exchange-Server-Attacken reißen nicht ab
Bedrohung

Exchange-Server-Attacken reißen nicht ab

Exchange-Server-Attacken reißen nicht ab – Nach wie vor werden dutzende Exchange-Server attackiert. Die Administratoren müssen jetzt endlich handeln. Die Sicherheitsupdates sind bereits seit April verfügbar und dennoch gibt es viele ungepachtet Exchange Server. Exchange-Server-Attacken reißen nicht ab Angreifer haben es immer noch auf die ProxyShell-Lücken im Exchange Server von Microsoft abgesehen. Nach erfolgreichen Angriffen platzieren die Angreifer Hintertüren im System um Geschäftsdaten kopieren zu können, Daten zu verschlüsseln oder weitere Ransomware-Angriffe durchzuführen. In diesem Zusammenhang wird von dem Verschlüsselungstrojaner Conti berichtet. Sicherheitsforscher von Sophos geben in einem Bericht an, man habe Attacken beobachtet, bei denen sich Angreifer nach dem Ausnutzen der kritischen Sicherheitslücken systematisch in Netzwerken ausbreiten konnten. Kombinierte Angriffe aus der Ferne um Authentifizierung zu umgehen und sich erhöhte Nutzerrechte zu verschaffen um Schadcode ausführen zu können. Conti-Verschlüsselungstrojaner mit an Board Die Forscher haben beobachtet, dass über die attackierten Systeme anschließend auch der Conti-Verschlüsselungstrojaner von der Leine gelassen wurde. Mindestens sieben Backdoors für spätere Zugriffe sollen platziert worden sein. Mehr als 1 Terabyte Daten wurden kopiert. Für die Angriffe wird auf die verwundbare Autodiscover-Funktion zurückgegriffen. Typische Anfragen können so aussehen: https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com In den Logdateien können Administratoren diese Form von Angriffen erkennen. Auch die iKomm GmbH registriert immer wieder diese Attacken auf diverse Systeme. Auch größere, bekannte Unternehmen sollen von den Attacken bereits betroffen worden sein. Es wird also höchste Zeit die Sicherheitsupdates einzuspielen. Jetzt patchen! Die Sicherheitsupdates sind bereits seit April verfügbar. Wir berichteten ebenfalls bereits über die ProxyShell-Lücken und haben Ihnen die Links zu Microsoft zur Verfügung gestellt. Für die Updates wird der Exchange Server in dieser kurzen Zeit keine E-Mails mehr empfangen oder versenden können. Es kommt einem Upgrade gleich. Das ist vermutlich auch ein Grund warum manche Admins die Updates noch nicht durchgeführt habe. Das Risiko ist allerdings sehr groß und schon seit Monaten werden die Lücken ausgenutzt. Administratoren müssen nun handeln… Weitere Informationen zu Microsoft-Themen finden Sie hier.

Was Emotet anrichten kann
Bedrohung

Was Emotet anrichten kann

Was Emotet anrichten kann ist in der IT-Welt mittlerweile mehr als bekannt. Dennoch treibt der Verschlüsselungstrojaner noch immer sein Unwesen im Netz. Im Jahre 2014 wurde Emotet entdeckt und verschlüsselt seither alles was ihm in die Quere kommt. Emotet ist eigentlich ein sogenannter „Dropper“ und lädt dann weitere Schadprogramme wie den Verschlüsselungstrojaner Ryuk nach. Er gelangt in der Regel über Spam E-Mails auf die Rechner, entweder durch Office-Dokumente mit Makros oder über Anhänge mit Download-Links. Was Emotet anrichten kann… Was ein Befall bedeuten kann, musste unter anderem auch die niedersächsische Stadt Neustadt am Rübenberge am eigenen Leib erfahren. Am Morgen des 6. Septembers 2019 bemerkte ein IT-Mitarbeiter, dass die Server im Rechenzentrum der Kommune seltsame und extreme Auslastungen anzeigten. Obwohl keine Tests oder Wartungsarbeiten anstanden war die Systemlast enorm hoch. Der Mitarbeiter reagierte sofort und fuhr die Server herunter, da er ein Schadprogramm vermutete. Leider war es bereits zu spät. Der Trojaner hatte bereits begonnen die Daten der Verwaltung von rund 45.000 Einwohner zu verschlüsseln. Darunter waren E-Mails, Formulare, Bauzeichnungen, Hochzeitstermine, Elterngeldanträge und vieles mehr. Auch mehr als 220.000 Steuerakten wurden von Emotet verschlüsselt. SPAM E-Mails als Übeltäter Auf welchem Weg die Stadtverwaltung befallen wurde ist nicht eindeutig geklärt sagt Maic Schillack, der erste Stadtrat und Stellvertreter des Bürgermeisters. Vermutlich wurde durch einen Mitarbeiter ein verseuchtes Office-Dokument geöffnet. Das ist zumindest laut Spezialisten der häufigste und gängigste Weg wie sich Emotet im Netzwerk breit machen kann. Was Emotet so mächtig macht, ist die perfide Aufmachung der Mails. Sie stammen aus Sicht des Empfängers offenbar von einer tatsächlich existierenden Kontaktperson und zitieren einen realen Mailwechsel zwischen dem Empfänger und dieser Person. Emotet ist in der Lage, Outlook-Konversationen (Kontaktbeziehungen und Mail­inhalte) auszulesen und so automatisiert sehr authentische Spam-Mails zur Erstinfektion zu generieren“, erklärt das BSI. Fachleute sprechen auch von Dynamit-Phishing. Was steckt hinter Emotet? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist davon überzeugt, dass „die Entwickler von Emotet ihre Software und ihre Infrastruktur an Dritte untervermieten“. Diese setzten dann weitere Schadsoftware wie Trickbot und Ransomware ein, um „ihre eigenen Ziele zu verfolgen“. Die Motivation sei in der Regel finanzieller Natur. Das BSI geht also von Cyberkriminalität aus, nicht von Spionage. Zur spannenden Frage, aus welchem Land oder aus welchen Ländern die Emotet-Entwickler und die Angreifer kommen, äußert sich das BSI nicht. Auch aus den Strafverfolgungsbehörden sind dazu bislang keine Erkenntnisse nach außen gedrungen. Es kursieren lediglich Gerüchte, in denen von Osteuropa oder Russland die Rede ist. Malware-Experte Andreas Marx von der Firma AV-Test betont jedoch: „Es gibt viele Vermutungen, aber eine Attribution ist nicht seriös möglich. Was Emotet anrichten kann – Gibt es Sicherheiten? Die Macher von Emotet prüfen stehts ihre neuen Versionen gegen Anti-Viren-Software. Auch wenn diese schnell reagieren verändern die Macher ständig den Trojaner. Mal sind es Download-Links die gesendet werden, mal sind die Office Dokumente. Wird die aktuelle Version nicht erkannt, werden Millionen E-Mails versendet mit dem Schadprogramm. Durch das Tool Trickbot werden dann unter anderem Zugangsdaten ausspioniert um sich zusätzlich im Netzwerk weiter ausbreiten zu können. Eine 100%ige Sicherheit gibt es natürlich nie. Dennoch sollte man stets darauf achten, dass die Anti-Viren-Lösung aktuell gehalten wird und auf allen Systemen installiert ist. Dazu sollte die Updates der Betriebssysteme sowie der Dritt-Anwender Produkte regelmäßig durchgeführt werden. Damit kann der Schutz schon um ein vielfaches erhöht werden. Der Mensch ist allerdings das schwächste Glied in der Kette und daher sind Awareness-Schulungen ein wichtiger Aspekt um den Schutz so groß wie möglich zu gestalten. Als IT-Security Dienstleister bieten wir Ihnen gerne unsere kompetente Beratung zum Thema Emotet bzw. Verschlüsselungstrojaner an und wie Sie sich und Ihr Unternehmen schützen können. Sprechen Sie uns an! Wir unterstützen Sie gerne. Weitere Details zu dem Vorfall in  Stadt Neustadt am Rübenberge können Sie hier weiterlesen. Jetzt bei Kaspersky Awareness Schulungen einsteigen. Erfahren Sie mehr…

Nach oben scrollen