Aktuelles

28.06.2022
"Es hat Sie erwischt!"- unter diesem Motto hat das Bundeskriminalamt (BKA) einen informativen Flyer für Unternehmen herausgebracht.

Der Flyer beschäftigt sich mit den Fragestellungen, die Firmen haben, wenn sie von Cybercrime betroffen sind, u.a.:

• Soll ich mich an die Polizei wenden?
• Was bedeutet das für mein Unternehmen?
• Was benötigt die Polizei von mir?
• Wird mein Betrieb noch weiter durch polizeiliche Maßnahmen eingeschränkt?
• An wen kann ich mich wenden?

Die aktuellste Version des Flyers und weiterführende Informationen finden Sie unter diesem Link: http://www.bka.de/ccunternehmen

01.06.2022
Was ist das überhaupt? Business E-Mail Compromise – kurz auch BEC genannt ist ein Phänomen, was immer häufiger auftritt. Dabei werden zum Beispiel Mail-Konten von Unternehmen kompromittiert und von den Tätern übernommen. Der Täter sammelt dann Informationen, um die Identität des eigentlichen Kontoinhabers der E-Mail-Adresse zu übernehmen. Business E-Mail Compromise kann durch verschiedene Vorgehensweisen realisiert werden:

• Rechnungsmanipulation:
  Hier sind häufig Unternehmen mit Lieferanten im Ausland betroffen. Gefordert werden Zahlungen oder Überweisungen auf ein Konto, welches den Betrügern gehört.
  
  
• CEO Fraud:
  Der Angreifer gibt sich als Geschäftsführerin oder Geschäftsführer eines Unternehmens aus und sendet eine E-Mail an den Mitarbeitenden. Dabei wird vorgegeben, dass es sich um eine dringliche Angelegenheit handelt, dass eine schnelle Überweisung von Nöten ist. Dieses Geld soll auf das Konto des Täters überwiesen werden.





• Account Compromise:
  Das E-Mail Konto von einem Angestellten oder eines Mitarbeitenden wird gehackt. Mit dem kompromittierten E-Mail Account werden per E-Mail Rechnungen oder Zahlungsforderungen an die E-Mail-Kontakte versendet.


• Attorney Impersonation:
  Der Täter gibt sich als Anwalt oder Vertreter einer Anwaltskanzlei für sensible Angelegenheiten aus. Häufig meldet derjenige sich am Ende eines Geschäftstages per Mail oder Telefon, wenn nur noch Mitarbeiter mit geringer Verantwortung im Büro sind.


• Payroll Scam:
  Hier werden E-Mails im Namen des vermeintlichen Geschäftsführers oder eines Mitarbeitenden an die Personalabteilung versandt. Dabei wird für die Gehalts- und Lohnzahlung eine Kontoänderung angezeigt, sodass das Geld auf ein Konto des Täters fließt.


• Data Theft:
  Hier werden Personal- und Buchhaltungsmitarbeitende kontaktiert, um persönliche und anderweitig vertrauliche Informationen über Mitarbeiter oder Führungskräfte zu erhalten. Diese Informationen werden für eine Anschlussstraftat verwendet (siehe CEO Fraud).

Wie kann man sich davor schützen?

• Überprüfen Sie E-Mails genau, häufig klingen die Absender ähnlich wie die legitime E-Mail-Adresse.
• Achten Sie auf Inhaltsmuster wie gebrochenes Deutsch bzw. Rechtschreibfehler. Halten Sie vor dem Öffnen von Anhängen Rücksprache mit dem Absender. Auch In den Anhängen von bekannten Absendern kann sich Malware befinden, welches das Einfallstor für Cyberkriminelle ist.
• Werden persönliche Informationen abgefragt oder geht es um Überweisungen? Lassen Sie sich nicht unter Druck setzen und rückversichern Sie sich mit der zuständigen Abteilung. Geben Sie keine vertraulichen Informationen heraus.
• Führen Sie ein Vier-Augen-Prinzip bei Überweisungen ein. Halten Sie ggf. Rücksprache mit der Geschäftsführung auf einem alternativen Kommunikationsweg.
• Weiter gibt es die Möglichkeit, eine Farbkodierung für E-Mails einzuführen. Dabei können interne E-Mails und externe E-Mails farblich unterschiedlich markiert werden. Es gibt auch die Möglichkeit, externe Mails mit einem Hinweis zu versehen.
• Sensibilisieren Sie ihre Mitarbeitenden für das Thema.

23.03.2022
Update vom 23.03.2022, 11:43 Uhr: Die Täter scheinen - entgegen der 1. Aussage - jeweils unterschiedliche Bitcoin-Adressen zu verwenden.
Update vom 28.03.2022, 14:06 Uhr: Betreff der E-Mail ergänzt.

Über unser Trojanerpostfach (trojaner@polizeilabor.de, Erklärung unter https://www.polizeilabor.de/) sind bei uns mehrere Meldungen zu Erpressungsnachrichten eingegangen. Diese werden offensichtlich über die Kontaktformulare von Webseiten versendet (u.a. auch Wordpress CMS) und haben den folgenden Inhalt:

Betreff: Ihre Website [URL DER WEBSEITE] wurde von ukrainischen Hackern gehackt.

Hallo. Wir sind ukrainische Hacker und wir haben Ihre Seite gehackt [URL DER WEBSEITE] Was wollen wir? Wir mochten, dass Sie bis zum 25. Marz eine Spende zur Unterstutzung der Ukraine in Hohe von 0,05 BTC an diese Bitcoin (BTC)-Wallet leisten, dies ist ein kleiner Betrag: bc1qyq6kv7crx9faaxds6fn97k67edkkefffe2zjnh Wenn Sie nicht spenden, erscheint auf Ihrer Website ein riesiges Vollbild-Banner, das alle Besucher Ihrer Website auffordert, der Ukraine zu helfen (Ihre Website wird nicht sichtbar sein, nur unser Banner). Wenn Sie es entfernen, werden wir aufgehangt Wenn Sie die Schwachstelle beheben, finden wir eine neue und hangen das Banner erneut auf.
Als letzten Ausweg lassen wir den Domainnamen-Registrar Ihre Domain dauerhaft sperren.

Ähnlich wie bei dem Phänomen "Sextortion" (Weitere Informationen unter: Link auf polizei-praevention.de), bei dem vorgegeben wird, dass Täter den PC kompromittiert haben, gehen wir auch in diesem Fall davon aus, dass es sich um eine leere Drohung handelt, d.h. die Täter haben keinen Zugriff auf die Webseite bzw. den Server.

Diese Einschätzung stützt, dass die Täter die Nachricht über das Kontaktformular verschiedener Webseiten-Systeme (CMS) senden- dies macht eine ausgenutzte Lücke unwahrscheinlich. Darüber hinaus sind die verwendeteten Kontaktformulare nicht mit einem CAPTCHA geschützt, d.h. es kann durch die Täter eine vollständige Automatisierung dieser Nachrichten erfolgen. Auch die große Anzahl an versendeten Nachrichten und der Inhalt der Mail lassen uns zu dem Ergebnis kommen, dass die Täter die Webseite nicht unter ihrer Kontrolle haben. So ist eine Sperrung einer Domain bei einem Provider unabhängig von einer Kompromittierung der Webseite und könnte gar nicht so einfach durchgeführt werden.

Verhaltenshinweise:

• Bezahlen Sie keine Bitcoins an die angegebene Adresse
• Seien Sie dennoch wachsam was Ihren Online-Auftritt und etwaige Änderungen betrifft
• Erstatten Sie ggf. Anzeige via Onlinewache

19.01.2022
Oft wundern wir uns, wie die Täter an die Daten von E-Mailkonten kommen, um dann einen CEO-Fraud oder eine Rechnungsmanipulation durchzuführen. Teilweise werden dafür schwache Kennwörter geknackt, Zugangsdaten durch Trojaner ausgespäht oder auch Passwort-Leaks verwendet, wenn Benutzer das gleiche Kennwort für einen kompromittierten Dienst und für ihr E-Mailkonto verwenden. Und wie kommen die Täter beispielsweise an Speicherplatz für weitere Phishing-Seiten oder ihre Malware-Kampagnen? Hier spielen natürlich Schwachstellen in installierten Softwareprodukten eine Rolle (beispielsweise eine Lücke in einem installierten Content-Management-System).

Eine weitere Möglichkeit möchten wir heute vorstellen: die klassische Phishing-Mail. Dabei in einer Variante, die insbesondere bei Firmen dazu führen könnte, dass Zugangsdaten zu Mailkonten oder Internetpräsenzen abfließen und in der Folge für Straftaten verwendet werden.

Wie funktioniert das nun im Detail?

Viele Firmen beauftragen einen Hoster für die Unternehmens-Domain, die Internetseite und darüber hinaus auch oft für die Verwaltung der E-Mailpostfächer. Es gibt natürlich zahlreiche Hosting-Anbieter, also nehmen Täter sich einen der größten in Deutschland und imitieren eine Benachrichtigungsmail dieser Firma bei der ein Problem mit der Abrechnung gemeldet wird:


Hallo, Die automatische Abbuchung Ihrer offenen Rechnung(en) ist fehlgeschlagen. Eine oder mehrere Zahlungsanweisungen konnten nicht ausgeführt werden. Bitte kontrollieren Sie Ihre Zahlungsdaten und führen Sie die Zahlungsanweisung erneut aus, damit die Abbuchung der fälligen Beträge erfolgen kann.

Der Betreff dieser E-Mails lautet beispielsweise:

• Wichtige Nachricht Kundenservice info@FIRMENNAME.de
• Ihr 1 & 1 wurde vorübergehend geschlossen
• Site Scan Sicherheitsmeldung
• SOFORTIGE VERIFIZIERUNG fur Ihr EMail-Konto erforderlich erforderlich
• Ihre Rechnung 100098322887 vom 18.01.2022 den Vertrag 85393978
• WARNUNG! Webmail GESPERRT
• ...

Besonders interessant bei dieser Variante ist, dass der Link in der E-Mail bereits mit der angeschriebenen E-Mailadresse versehen ist und somit auf der Phishingseite bereits die vermeintliche E-Mail der Firma eingetragen ist. In diesem Fall war das info@FIRMENNAME.de.

Die eigentliche Phishing-Seite liegt dann auf unterschiedlichen Servern in verschiedenen Ländern und ist daher bei genauem Hinsehen eigentlich schon am ungewöhnlichen Domainnamen erkennbar:



Allerdings ist sie optisch wie das Original gestaltet und verführt daher doch zur Eingabe des Kennwortes:



Werden hier nun Zugangsdaten eingegeben und der Button "Login" betätigt, erfolgt eine Umleitung zur originalen IONOS-Seite des Webmailers, ebenfalls mit der Vorbelegung der E-Mailadresse. Ihre Zugangsdaten sind jetzt allerdings bereits in den Händen der Täter und können ab jetzt missbraucht werden!

Wie können Sie sich schützen?

• Informieren Sie die zuständigen Kolleginnen bzw. Kollegen bei welchem Provider Sie Ihre Webseiten hosten und zu welchen Konditionen
• Loggen Sie sich bei gemeldeten Problemen mit dem Hoster immer direkt über die Eingabe der URL im Browser ein, bei IONOS wäre die korrekte Adresse des Webmailers: https://mail.ionos.de
• Wenn Sie den Verdacht haben, dass jemand aus Ihrer Firma auf der Phishing-Seite die Zugangsdaten eingegeben hat, ändern Sie diese umgehend!
• Senden Sie verdächtige E-Mails gerne an unser sog. Trojaner-Konto, erreichbar unter: mailto:trojaner@polizeilabor.de und helfen Sie mit, andere Internetnutzer zu warnen
• Wenn Daten eingegeben und missbraucht worden sind, erstatten Sie Anzeige über die Onlinewache oder über die ZAC

05.11.2021

Seit kurzer Zeit beobachten wir eine neue Angriffswelle mit der Schadsoftware QakBot, die als Nachfolger der Malware Emotet gesehen wird.

Bemerkenswert dabei: Ein Angriffsweg führt dabei über die eigentlich schon längst geschlossene ProxyShell-Lücke in Microsoft-Exchange Servern. Über diese Lücke wird Zugriff auf Mailpostfächer des Exchange-Systems genommen und in der Folge dann schadhafte E-Mails versendet. Interessant ist in diesem Zusammenhang, dass bei diesem Verbreitungsweg eventuell vorhandene Anti-Malware Appliances einfach übergangen werden, da die Mails an diesen vorbeilaufen.

In den Mails befindet sich eine bekannte E-Mailkommunikation, die den Empfänger dazu bringen soll, den enthaltenen Link oder einen ZIP-Anhang zu öffnen. Hinter den Verlinkungen oder den Anhängen verbergen sich Office-Dokumente (in unseren Beobachtungen Excel-Tabellen mit der Endung *.xls), die beim Öffnen und Aktivierung der aktiven Inhalte zum Herunterladen der Payload (QakBot) von verschiedenen Servern führt.

Teilweise wurde darüber hinaus festgestellt, dass die Office-Dokument beispielsweise von Microsoft Defender nicht als schadhaft erkannt werden.

Auch das BSI warnt am 04.11.2021 vor dieser neuen Welle und zeigt entsprechende E-Mails:

Empfohlene Maßnahmen:

• Prüfen Sie Ihre Exchange-Systeme auf aktuelle Patches und die Absicherung gegen die ProxyShell-Lücke
• Untersuchen Sie Ihr Netzwerk auf Befall mit QakBot indem Sie auf die unten genannten IOCs prüfen
• Prüfen Sie Ihr Netzwerk auf verdächtige Aktionen (beispielsweise Starten von Prozessen auf Serversystemen mit administrativen Rechten, Anlegen von Benutzern im Active Directory)
• Prüfen Sie auf das Vorhandensein von Backups und sichern sie diese gegen unberechtigten Zugang (Offline-Backup)

Weitere Informationen und Links:

Ausführliche Analysen von QakBot:
https://securelist.com/qakbot-technical-analysis/103931/
https://blog.talosintelligence.com/2021/10/squirrelwaffle-emerges.html

Detaillierte Beschreibung von QakBot hinsichtlich Wirkungsweise und Persistierung:
https://attack.mitre.org/software/S0650/

Weitere Analysen können in der Malpedia von Fraunhofer gefunden werden:
https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot

Bei URLhaus können über die Stichwortsuche nach "QakBot" entsprechende Serversysteme selektiert werden, die QakBot verteilen bzw. als C2-Server eingesetzt werden:
https://urlhaus.abuse.ch/browse/tag/Qakbot

Eine ausführliche Liste mit QakBot IOCs findet sich unter:
https://github.com/executemalware/Malware-IOCs

05.10.2021
Im englischsprachigen Raum ist die hier geschilderte Variante des Betruges schon länger bekannt. Jetzt sind die ersten Fälle auch in Deutschland bekannt geworden und veranlassen uns, diese Warnmeldung zu veröffentlichen.

Worum geht es? Im Prinzip handelt es sich beim sog. Payroll-Scam um eine Variantes des sog. Social-Engineerings. Ein Täter informiert sich zunächst über die Abteilungen und den Aufbau einer Firma im Internet (z.B. bei Xing, Linkedin oder Facebook) und schreibt unter dem Namen eines real existierenden Mitarbeitenden die Personalabteilung an. Als E-Mailadresse verwendet der Täter einfach eine frisch eingerichtete Adresse von GMail oder einem anderen Anbieter mit dem Namen des Mitarbeitenden.

Der Inhalt der Mail lautet dann ungefähr so oder zumindest ähnlich:
Hallo ,
Ich habe die Bank gewechselt und möchte meine Gehaltsangaben ändern. Wird diese Änderung vor
dem aktuellen Zahlungstermin wirksam?
Bleib sicher,
Vorname Nachname des Mitarbeiters

Wenn die Mitarbeiterin oder der Mitarbeiter der Personalabteilung auf diese Mail eingeht, wird vom Täter eine Bankverbindung mit der Bitte um schnelle Änderung mitgeteilt.

Verhaltenshinweise:

• Nehmen Sie immer über einen alternativen Kommunikationsweg, beispielsweise über eine intern hinterlegte Telefonnummer, Kontakt mit dem anfragenden Mitarbeitenden auf
• Vereinbaren Sie feste Kommunikationswege und Prozesse für die Änderung von wichtigen Daten Ihrer Mitarbeitenden
• Sollte es zu einem Schaden gekommen sein, erstatten Sie Anzeige bei Ihrer zuständigen Polizeidienststelle oder wenden Sie sich gerne an uns

16.06.2021
Zurzeit beobachten wir eine Spam-Kampagne, bei welcher Unternehmen im Namen einer (nicht-existierenden) Rechtsanwaltskanzlei angeschrieben werden.

Das Ziel der Kampagne scheint Informationsbeschaffung zu sein. Nach Ausführung des Skriptes werden Informationen zum Nutzer, dessen Computer und Netzwerk (inkl. Prozesse, Antiviren-Software und ggf. Domäne) gesammelt und an einen Command and Control Server gemeldet.
Solche Werkzeuge fungieren oft als "Vorläufer" für weitere Schadsoftware, d.h. sie schaffen den initialen Zugang zum Computer/Netzwerk, sammeln Informationen dazu und leiten diese aus. Anhand dessen können weitere Angriffe erfolgen.

Detaillierte Beschreibung
Die E-Mail enthält eine Passwort-geschützte ZIP Datei (das Passwort steht im Text der Mail), die angeblich eine Unterlassungserklärung ist. Diese ZIP Datei enthält wiederum eine JavaScript Datei (getarnt als PDF), die bei Ausführung Informationen unter Nutzung des Windows "cmd"-Befehls sammelt.
Die gesammelten Daten werden an einen Command and Control Server mittels HTTP-POST Request gesendet. Die Antwort des Servers wird ausgewertet, sodass über diesen Weg eine Erweiterung der Funktionalität des Skriptes möglich wäre (beispielsweise das Nachladen anderer Schadsoftware).
Persistiert wird sich über einen Startup Ordner Eintrag.

IoCs
Dateien (die uns übersandten Anhänge sind bislang alle identisch):

• SHA256: f7d32dacc13c20947e1e30833c1b1492179fd101748dc1fedbeff40d766f53f7

  AZ2066 Elektronische Zustellung.pdf.js

• SHA256: e27179f833231296d3e0cf41d418c6e8575c5382b1ed447de7fd27c4b2d65e7f

  AZ2066 Elektronische Zustellung.zip

Command and Control Server:
hxxps://rootpass[.]top/update[.]php

E-Mail:

• Absender: mitteilungen [at] drawingpartner [dot] com
• Betreff: AZ206/6 Elektronische Zustellung - Unterlassungserklärung

15.06.2021
Die Gruppe hinter der Ransomware (Erpressungstrojaner) Avaddon hat angekündigt, dass sie ihr Geschäft aufgegeben haben. Es wurden in diesem Zusammenhang ca. 3000 Keys zur Entschlüsselung veröffentlicht; die Echtheit dieser wurde von einigen Sicherheitsforschern sowie Antiviren-Herstellern geprüft und bestätigt.

• Bleeping Computer (English): Avaddon ransomware shuts down and releases decryption keys
• Heise: Macher der Ransomware Avaddon geben auf und veröffentlichen Schlüssel

Es ist jetzt möglich unter Verwendung kostenloser Werkzeuge Daten wieder zu entschlüsseln, die von der Avaddon Ransomware verschlüsselt worden sind.

Kostenlose Decryptoren von Antiviren-Herstellern:

• Emsisoft https://www.emsisoft.com/ransomware-decryption-tools/avaddon
• BitDefender https://download.bitdefender.com/am/malware_removal/BDAvaddonDecryptor.exe
• Anleitung BitDefender (English) https://www.nomoreransom.org/uploads/Avaddon_documentation.pdf

Wenn Sie ein Unternehmen in Niedersachsen sind und Unterstützung bei der Entschlüsselung von Datenträgern benötigen, sprechen Sie uns gerne an!

11.03.2021
Am 02. März 2021 [1] gab Microsoft bekannt, dass vier Zero-Day Schwachstellen im Exchange Server aktiv ausgenutzt werden, die zusammen Angreifern weitreichende Kompromittierungen ermöglichen können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft in diesem Zusammenhang die Bedrohungslage Rot aus:

Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden.

Die Schwachstellen können zwar mit Einspielen der Out-of-Band Patches vom 03. März geschlossen werden, jedoch kann eine vorherige Kompromittierung zur Folge haben, dass Angreifer bereits Ihre Netzwerke gekapert haben. In diesem Sinne muss auch nach Einspielen der Patches trotzdem untersucht werden, ob eine Kompromittierung vorhanden ist.
Ein Handeln ist erforderlich!


https://www.bsi.bund.de/DE/Themen/Empfehlungen-nach-Angriffszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server_node.html

Aktuelle Erkenntnisse zeigen, dass mehrere Tätergruppierungen weltweit diese Sicherheitslücken aktiv ausnutzen.

Update vom 12.03.2021
Im Internet kursieren jetzt die ersten Meldungen darüber, dass Angreifer unter Nutzung der Exchange Schwachstellen Systeme verschlüsselt haben:


Es ist davon auszugehen, dass finanziell-motivierte Täter diese Schwachstellen zeitnah verstärkt ausnutzen werden.

Maßnahmen

• Informieren Sie sich umgehend, ob Sie betroffen sein könnten. Wenn dies der Fall ist, sollten Sie von einer Kompromittierung ausgehen und umgehend den Maßnahmen des BSI folgen:
  https://bsi.bund.de/exchange-schwachstellen
  Das BSI hat viele Informationen aus verschiedenen Quellen zur Verfügung gestellt, inklusive Hilfen zur Detektion und Reaktion bei Betroffenheit.
• Wenn Sie in Niedersachsen als Unternehmen oder Behörde betroffen sind, melden Sie sich gerne bei uns.

[1] Microsoft, "HAFNIUM targeting Exchange Servers with 0-day exploits," 02 März 2021. [Online]. Verfügbar: https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/.

05.02.2021
Bereits im Februar vor einem Jahr haben wir vor einer Masche gewarnt, um ahnungslosen Geschäftsleuten das Geld aus der Tasche zu ziehen. Dabei wurden damals Phantasierechnungen im Namen einer angeblichen United Hosting Deutschland per Mail versendet. Jetzt sind innerhalb kurzer Zeit zwei weitere Varianten bei uns im Trojanerkonto aufgetaucht. Diese möchten wir gerne kurz vorstellen, denn in Zeiten der Corona-Pandemie sind viele Geschäftsabläufe vermutlich noch anfälliger für derartige Betrugsversuche.

1. Variante der sogenannten IP Uberwachungs:

ip uberwachungs los angeles platz hamburg geistigem Eigentum registrierung

2. Variante einer sogenannten ProLifeGroupUG:

prolifegroup hemer rechnung antisepticum curaman plus

Update vom 23.06.2021: Es sind offenbar weitere Varianten von den folgenden Absendern im Umlauf:

• IP Alpenlander
• Weblizenz Sicherheit

Zunächst: Reagieren Sie nicht auf diese Rechnungen! Es handelt sich um Fakes.

Weitere Tipps und Hinweise:

• Rufen Sie sich ins Bewusstsein, bei welchem Anbieter Sie Dienstleistungen oder Waren bestellt haben.
• Prüfen Sie und Ihre Mitarbeiter/innen jede Rechnung auf Plausibilität.
• Halten Sie im Zweifel Rückfrage beim Rechnungsersteller und zwar auf einem alternativen Kommunikationsweg. Recherchieren Sie dazu die Firma und Erreichbarkeit im Internet.
• Fragen Sie ggf. bei Vorgesetzten nach wenn Sie unsicher sind!

Leiten Sie uns diese Form von E-Mails immer gerne an unsere Trojaner-E-Mail-Adresse trojaner@polizeilabor.de weiter. Sie leisten damit einen wertvollen Beitrag und tragen dazu bei, dass andere gewarnt werden.

Wenn Sie Anzeige erstatten möchten, suchen Sie Ihre örtliche Polizei-Dienststelle auf oder nutzen Sie gern auf Grund der aktuellen Kontaktbeschränkungen die für Ihr Bundesland zuständige Onlinewache. In Niedersachsen ist diese beispielsweise unter https://www.onlinewache.polizei.niedersachsen.de/ erreichbar.

Weitere Quellen und Verweise:
https://www.mimikama.at/aktuelles/gefaelschte-rechnung-desinfektionsmittel/