Locky erhält Updates

Locky ändert sei­ne Dateiendung von “.locky” in “.odin”. Schlimmer: Locky ist nicht mehr auf sei­ne Steuerungsserver ange­wie­sen. Jetzt geht der bekann­te Krypto-Trojaner auch off­line ans Werk. Mehr im Blogbeitrag.
20. Oktober 2016/von Sascha Kuhrau

Wie sicher ist Ihre Bank?

SMS TAN sind in Verbindung mit wei­te­ren Schutzmaßnahmen eine gute Möglichkeit, Online Banking sicher zu nut­zen. Doch wenn die benö­tig­te SMS auf­grund der SMS Formatierung bereits im Sperrbildschirm des Endgeräts abruf­bar ist, ohne den PIN Code für das Endgerät ken­nen zu müs­sen, dann läuft was schief. Was eini­ge Banken bereits cle­ver gelöst haben (die TAN steht ein­fach am Ende der SMS und nicht gleich zu Beginn), stellt ande­re Banken vor Probleme. Oder sie wäl­zen das Problem ein­fach auf den Nutzer ab mit dem Tipp “Schalten Sie ein­fach die Benachrichtigungen für den Sperrbildschirm ab”. In die­sem Fall geht das nur, wenn man die Anzeige aller SMS im Sperrbildschirm deak­ti­viert. Wie hält es Ihre Bank damit? Wir freu­en uns auf Ihre Kommentare. Lesen Sie den gan­zen Beitrag online im Blog
15. August 2016/von Sascha Kuhrau

Online Passwort Speicher Lastpass mit Sicherheitslücke

Entgegen aller nach­voll­zieh­ba­ren Bedenken wer­den Online Passwort Speicher nach wie vor ger­ne genutzt. Dabei lie­gen die gesam­mel­ten Passwörter nicht mehr im Einflussbereich des jewei­li­gen Inhabers, son­dern auf (meist ame­ri­ka­ni­schen) Servern. Die Nutzerzahlen las­sen den Schluss zu, die Anwender ver­trau­en die­sen Services unge­bro­chen ger­ne ihre Passwörter an. Gesichert sind die­se dort mit einem Masterpasswort und diver­sen Techniken wie Verschlüsselung etc.

Doch ist das Vertrauen in sol­che Services gerecht­fer­tigt. Aktuell steht der Online Passwort Dienst LastPass in der Kritik. Jedoch nicht mit einem neu­en Sicherheitsproblem, son­dern mit einem älte­ren, das nicht kon­se­quent besei­tigt wur­de. Lesen Sie mehr im Blogbeitrag.
28. Juli 2016/von Sascha Kuhrau

SaaS = “Schadsoftware as a Service”, Hack zum Schnäppchenpreis im Web

“Welcome back to the under­ground whe­re it’s a good time to be a bad guy”, mit die­sen Worten lei­tet SecureWorks den “2016 Underground Hacker Marketplace Report” ein.

Wollten Sie schon immer mal frem­de Webseiten (oder die eines Wettbewerbers) mit­tels DoS-Attacke (Denial of Service) lahm­le­gen? Kein Problem mehr, denn für 5 US Dollar in der Stunde kön­nen Sie die dazu­ge­hö­ri­ge Technik samt Bot-Netz dazu anmie­ten. Aktuelle Krypto-Trojaner erhal­ten Sie bereits für 80 US Dollar und das Angler Exploit Kit ist gera­de mal 20 US Dollar teu­rer. Angler unter­sucht die Browser von Webseitenbesuchern auto­ma­tisch auf bekann­te Schwachstellen und lie­fert dazu pas­sen­den Schad-Code aus. Die pas­sen­de Hardware für das Skimming von EC-Geräten wird für unter 400 US Dollar feil­ge­bo­ten. Sollten Sie noch nicht ganz firm im Umgang mit die­sen Techniken sein, so gibt es Online-Tutorials für 20 US Dollar gleich dazu.

Diese Zahlen prä­sen­tiert SecureWorks im “2016 Underground Hacker Marketplace Report”. Besonders betont SecureWorks den Fokus der Anbieter auf Kundenzufriedenheit. Nicht nur, dass sich die Anbieter auf den Untergrund-Software-Märkten mit Profil und genau­en Angaben zur Erfahrung in die­sem Métier dar­stel­len. Das hohe Level über­rascht jedoch weni­ger. Interessanter ist der Aspekt, dass der “Kunde” erst zahlt, wenn der gewünsch­te Erfolg erreicht ist. Das ist doch mal ein Service.

Link zum Report im PDF Format im Blog-Text.
6. Juni 2016/von Sascha Kuhrau

Kryptotrojaner mit Wurmfunktion gesichtet

Es war nur eine Frage der Zeit, jetzt ist es also soweit. Microsoft warnt vor einem neu­en Kryptotrojaner namens ZCryptor. Dieser nimmt sich Dateien mit über 80 Dateiendungen vor. Besonders unan­ge­nehm: zusätz­lich nistet sich ZCryptor in die Autostart-Routinen ein­ge­steck­ter USB-Sticks und USB-Laufwerke ein. Somit kann sich der Trojaner bei Nutzung die­ser Speicher an ande­ren Geräten auf die­se Systeme eben­falls ver­brei­ten.

Einen Befall erken­nen Sie an der Dateiendung .zcrypt. Aktuell ist noch kein Tool zum Entschlüsseln ver­füg­bar. Betroffen sind aus­schließ­lich Windows-Systeme. Wer es bis­her noch nicht getan hat, soll­te spä­te­stens jetzt sei­ne Backup-Strategie prü­fen und anpas­sen. Und bit­te nicht ver­ges­sen, Recovery-Tests durch­zu­füh­ren. Das beste Backup hilft nichts, wenn es sich spä­ter nicht wie­der­her­stel­len läßt. Erfolgsprotokolle der Backup-Software sind allei­ne nicht aus­rei­chend.
30. Mai 2016/von Sascha Kuhrau

RannohDecryptor wirkungslos gegen neue Version von CryptXXX

Wer bis­her von der Ransomware CryptXXX heim­ge­sucht wur­de, hat­te Glück. Das Tool RannohDecryptor half bis­her mit weni­gen Klicks und die Verschlüsselung war Geschichte. In der neue­sten Version des Kryptotrojaners CryptXXX ist das nun nicht mehr mög­lich.

Sofern Sie von einer frü­he­ren Version von CryptXXX befal­len wur­den, kön­nen Sie sich mit dem von Kaspersky ent­wickel­ten Tool RannohDecryptor (Webseite von Kaspersky Link im Blogbeitrag) behel­fen.
13. Mai 2016/von Sascha Kuhrau

Rathaus Markt Schwaben durch Krypto-Trojaner verschlüsselt

Am 28.04.2016 ist es pas­siert. Ein unvor­sich­ti­ger Klick durch einen oder meh­re­re Mitarbeiter und einer der bekann­ten Krypto-Trojaner wur­de im Rathaus Markt Schwaben (Bayern) aktiv. Der Befall wur­de am frü­hen Donnerstagmorgen bereits bemerkt und der zustän­di­ge Systemadministrator hat sofort erste Schritte zur Eindämmung und Ursachenanalyse ein­ge­lei­tet. Oberstes Ziel ist es jetzt, den Ursprung zu loka­li­sie­ren, zu iso­lie­ren und zu ent­fer­nen. Am Freitag den 29.04.2016 blieb das Rathaus nach zuvor offi­zi­el­ler Ankündigung geschlos­sen. Glücklicherweise sind wohl nur ver­ein­zel­te Rechner betrof­fen. Auch aktu­el­le Virenschutzsoftware konn­te den Befall nicht ver­hin­dern.
29. April 2016/von Sascha Kuhrau

Atomkraftwerk Grundremmingen: PC mit Malware verseucht

Im Rahmen der gesetz­li­chen Meldepflicht infor­mier­te der Betreiber RWE des Atomkraftwerkes Grundremmingen das Bundesamt für Sicherheit in der Informationstechnik (BSI) über einen mit Malware befal­le­nen Computer im Bereich der Brennstab-Beladung. Installiert wur­de das System bereits 2008. Details sind noch kei­ne bekannt, eine Analyse wird der­zeit noch durch­ge­führt.
27. April 2016/von Sascha Kuhrau

Quicktime für Windows mit Sicherheitslücken, sofort deinstallieren

Zwei Sicherheitslücken klaf­fen in Quicktime für Windows. Da Apple den Support für die­se Version ein­ge­stellt hat, ist sofor­ti­ge Deinstallation ange­ra­ten.
20. April 2016/von Sascha Kuhrau

Online-Banker aufgepasst, Banking-Trojaner Retefe ist wieder da

Banking-Trojaner Retefe “is back in town”. Österreich, Schweiz, Schweden und Japan sind von einer erneu­ten Welle des bereits seit 2014 bekann­ten Banking-Trojaners Retefe betrof­fen. Die Gefahr kommt per Spam-Email samt Zip-Anhang mit inte­grier­tem JavaScript. Dieses lädt den Schadcode nach, instal­liert ein Sicherheitszertifikat und einen DNS Server. Über die so mani­pu­lier­te Webverbindung in Verbindung mit einer unter­ge­scho­be­nen Android-App zum Abgreifen von Banking-SMS steht den Angreifern der Zugriff auf das Online-Konto offen.
19. April 2016/von Sascha Kuhrau

Petya-Trojaner ist geknackt, Passwort-Generator verfügbar

Petya geknackt, Passwort-Generator online ver­öf­fent­licht. Handhabung etwas tricky. Entschlüsselung soll funk­tio­nie­ren.
13. April 2016/von Sascha Kuhrau

Krypto-Trojaner Petya kommt via Dropbox und verschlüsselt ganze Festplatten

Krypto-Trojaner Petya kommt via Dropbox und ver­schlüs­selt gan­ze Festplatten. Getarnt als Bewerbung wird Schadcode instal­liert, der nicht ein­zel­ne Dateien ver­schlüs­selt, son­dern den Master Boot Record der Festplatte mani­pu­liert. Eine zusätz­li­che Verschlüsselung des gan­zen Dateisystems kann nicht aus­ge­schlos­sen wer­den. Lösegeld aktu­ell 0,99 Bitcoins, ca. 380 Euro für die Freigabe des Systems.
25. März 2016/von Sascha Kuhrau