Aktuelles

Aktuelle Welle mit Verschlüsselungstrojaner Gandcrab in Bewerbungsmails!

10.12.2018


E-Mails mit schadhaftem Anhang sind natürlich an der Tagesordnung. Wenn sie aber als vermeintliche Bewerbung getarnt sind und bei Firmen im Posteingang liegen, kann ein unbedachter Klick schnell zu einer kompletten Verschlüsselung des Firmennetzwerkes führen.
Dies ist bei der aktuellen Welle besonders hinterhältig, denn die Täter nehmen Bezug auf real geschaltete Stellenausschreibungen bei meinestadt.de oder der Arbeitsagentur.

Es kursieren etliche Varianten dieser Bewerbung mit unterschiedlichen Namen der Bewerber/innen (u.a. Sofia Kohl, Sofia Witte etc.). Im Anhang der Mails befindet sich nach aktuellem Stand immer ein Word-Dokument mit der Endung .doc und eingebetteten Makros.
Werden diese Makros aktiviert, führt sich der Verschlüsselungstrojaner aus und verschlüsselt den lokalen Rechner sowie alle erreichbaren Netzwerkfreigaben.

Die Gandcrab-Version, die verteilt wird, kann aktuell nicht entschlüsselt werden. Wir empfehlen daher, die verschlüsselten Dateien für eine spätere Wiederherstellung zu sichern.

Benachrichtigen Sie Ihre Mitarbeiter, dass derartige Mails momentan im Umlauf sind!

top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/22

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Schadsoftware "Emotet" verbreitet sich weiter und zwar massiv!

05.12.2018



Bereits im November haben wir darauf hingewiesen, dass sich die Malware "Emotet" massiv über E-Mailanhänge verbreitet. Da Emotet Adressbücher und die E-Mailkommunikationspartner ausliest, bekommt der Empfänger eine E-Mail von einem vermeintlich bekannten Absender und öffnet unter Umständen den verseuchten Anhang. Die Texte der Mail variieren, sind teilweise in deutscher Sprache gehalten und sollen den Empfänger zum Öffnen des Anhangs bewegen. Falls einmal aktiviert, hat Emotet darüber hinaus die Eigenschaft, sich über die Windows-Lücke Eternal Blue von System zu System zu verbreiten- falls es nicht gegen diesen Angriff gepatched worden ist.

Aktuell (seit ca. 04.12.2018 gegen Mittag) ist jetzt eine neue Variante unterwegs:



E-Mails geben vor, von Paypal zu sein und enthalten ebenfalls den schadhaften Anhang in Form eines Makro-verseuchten Anhangs!

Hinweise zur Detektion von Emotet:

Nach dem Öffnen des Office-Dokumentes und dem Aktivieren von Makros wird durch die eingebetteten Skripte eine ausführbare Datei runtergeladen. Diese legt sich zunächst in einem temporären Pfad z.B. unter:
"C:/Users/[Benutzername]/AppData/Local/Microsoft/Windows/[zufälliger_Name].exe"
"C:/Users/[Benutzername]/AppData/Local/[zufälliger_Pfad]/[zufälliger_Name].exe"
"C:/Users/[Benutzername]/AppData/Roaming/Temp/[zufälliger_Name].exe"
ab.

Danach wird ein Autostart-Eintrag generiert, der beispielsweise mit msconfig oder dem Tool Autoruns zu detektieren ist:


Nach einem mehrstündigen Betrieb von Emotet sind meistens auch noch andere Module nachgeladen worden, die beim Systemstart ausgeführt werden! Diese liegen dann bereits in den Windows-Systemverzeichnissen- das System ist dann massiv verseucht.

Bei Emotet erfolgt in regelmäßigen Abständen eine Kommunikation mit mehreren C&C-Servern. Diese lässt sich aus einem Netzwerk-Mitschnitt anhand der Verwendung des Cookie-Feldes relativ gut erkennen. Die Kommunikation erfolgt auf verschiedenen Ports (bspw. 80 443 6090 8080 8090 etc.) und zwar unverschlüsselt. Damit lässt sich z.B. in Wireshark der Filter "http.cookie" anwenden, um so diese Pakete sichtbar zu machen und eine Infektion im Netzwerk zu erkennen.

Weitere Informationen finden Sie hier:
Pressemeldung des BSI zu Emotet
Link zur Heise-Meldung vom 05.12.2018
Link zur Heise-Meldung vom 12.11.2018
Programm Autoruns
Programm Wireshark
Virenprüfung Online bei VirusTotal
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/21

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Neue Malware verbreitet sich über ISO-Dateien als E-Mailanhang

30.11.2018


Aktuell sind massenhaft E-Mails unterwegs, die im Anhang eine ISO-Datei haben. Diese wird oft von Virenscannern nicht geprüft und kann daher besonders leicht bis zu den Anwendern gelangen.

Der Text der E-Mail ist im bekannten Stil gehalten, oft auch in deutscher Sprache formuliert und variiert natürlich. Unter anderem geht es mal wieder um Zahlungen die entweder noch vom Empfänger zu leisten sind oder vom Absender der Mail nicht geleistet wurden. Unter Umständen kommen auch hier wieder bekannte Absender bzw. E-Mailadressen zum Einsatz, um das Vertrauen des Empfängers zu gewinnen.

Sollte man den Fehler machen und den Anhang öffnen und die darin enthaltene ausführbare Datei starten, landet der Passwort-Klauer Loki auf dem Rechner und liest in der Folge die Kennwörter von den gängigsten Softwareprodukten aus. Unter anderem sind das Firefox, Chrome, Keepass, Outlook, Filezilla, Opera und auch die Windows-Anmeldung selber. Die Kennungen werden eingesammelt und an den Control-Server gemeldet. Der Bot kann aber darüber hinaus auch noch beliebige Befehle entgegen nehmen und Module nachladen. Eine Persistierung im System wurde hier bei Tests nicht festgestellt, kann aber natürlich in Varianten vorgenommen werden (automatischer Start beim Boot des Systems).

Weitere Informationen finden Sie hier:
Link zu einem Artikel bei EMSISOFT
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/20

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Bekannter Absender, trotzdem droht Gefahr!

15.11.2018


Die in Vergangenheit bereits häufig anzutreffende Schadsoftware namens Emotet wird zurzeit verstärkt mit Hilfe von Makros in Office-Dateien (zum Beispiel .doc) oder über Downloadlinks, welche in PDF-Dateien eingebettet sind, verbreitet. Im Anschreiben wird meistens auf eine Rechnung verwiesen, um die Opfer dazu zu bringen, den Anhang auszuführen oder den Link anzuklicken.

Das Besondere an dieser aktuellen Welle ist allerdings, dass im Anschreiben die Namen/E-Mail Adressen von Personen und Firmen genutzt werden, die in vielen Fällen wirklich in Verbindung mit dem Opfer stehen. Dadurch wird der Eindruck verstärkt, dass dem Anhang vertraut werden kann.

Das perfide an dieser Schadsoftware, wenn sie denn ausgeführt wurde, ist neben der Funktionalität mehrere verschiedene Module nachzuladen (z.B. Banking-Trojaner, Ransomware, etc.), die Tatsache, dass sie den E-Mail Verlauf des Opfers ausliest, um an weitere Adressen zu kommen, welche bereits mit dem infizierten Computer kommuniziert hatten. Diese Informationen werden genutzt, um im Namen des Opfers an ihm bekannte Personen weitere E-Mails mit der Schadsoftware zu verteilen.
Die Schadsoftware legt sich nach erfolgreicher Infizierung unter "C:/Users/[Benutzername]/AppData/Local/Microsoft/Windows/[zufälligerName].exe" ab und erstellt zu dieser Datei einen Autostart Eintrag um nach einem Neustart des Systems wieder aktiv zu werden.
Sollten Sie im genannten Ordner eine .exe Datei finden, bei der Sie sich nicht sicher sind ob sie eine Schadsoftware ist, kann das Hochladen dieser Datei unter VirusTotal weitere Hilfen leisten.

Links zu weiteren Informationen bei Heise.de:
Link zur Heise Meldung
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/19

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Wieder E-Mails getarnt als Bewerbung mit schadhaftem Anhang (Ramsomware Gandcrab5) im Umlauf!

07.11.2018


E-Mails mit schadhaftem Anhang sind natürlich an der Tagesordnung. Wenn sie aber als vermeintliche Bewerbung getarnt sind und bei Firmen im Posteingang liegen, kann ein unbedachter Klick schnell zu einer kompletten Verschlüsselung des Firmennetzwerkes führen.

Dies ist bei der aktuellen Welle von Bewerbungen der Fall, denn sie versuchen den Empfänger zum Öffnen des verseuchten Anhangs zu bewegen. Diesmal ist dieser "sogar" mit einem Passwort geschützt- wie der Absender vorgibt aus Datenschutzgründen. Der wahre Grund: Virenscanner soll die Arbeit erschwert werden, da diese verschlüsselte Anhänge nicht scannen und auf Viren prüfen können.

Es kursieren momentan etliche Varianten dieser Bewerbung mit unterschiedlichen Namen der Bewerber. Im Anhang der Mails befindet sich neben unterschiedlichen Fotos der Bewerber auch ein Rar-Archiv- es enthält den Verschlüsselungstrojaner Gandcrab in der Version 5.0.4 als EXE-Datei. Die EXE-Datei wird in der Standardeinstellung von Windows mit der Endung "PDF" dargestellt, da die echte Endung ausgeblendet wird.

Hinweis: Diese Variante lässt sich nicht mit dem aktuellen Entschlüsselungstool von Bitdefender entschlüsseln, da dieses nur bis zu der Version 5.0.3 funktioniert.

Weitere Informationen und Hintergründe finden Sie hier: Klicken Sie hier für den vollständigen Artikel bei Heise.
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/18

Klicken Sie hier und abonnieren Sie unseren Newsletter.


ENTSCHLÜSSELT! Entschlüsselungsprogramm für die Ransomware GANDCRAB v1, v4 und v5 jetzt verfügbar!

26.10.2018


Die rumänische Polizei hat in Zusammenarbeit mit Partnerstaaten, Bitdefender und Europol eine Möglichkeit gefunden, Festplatten, die mit der Ransomware Gandcrab verschlüsselt worden sind, wieder zu entschlüsseln ohne ein Lösegeld zu bezahlen.

Gandcrab wurde vorwiegend per schadhaftem E-Mailanhang verteilt und infizierte weltweit über eine halbe Million Rechner.

Sie können das Tool auf der schon bekannten Webseite NoMoreRansom.org herunterladen:
Link zur Variante bei NoMoreRansom.org

Wenn Sie ein Unternehmen in Niedersachsen sind und Unterstützung bei der Entschlüsselung von Datenträgern benötigen, sprechen Sie uns bitte an! Wir können Ihnen Hinweise zur Verwendung des Tools geben.

Weitere Links mit Informationen:
Meldung auf Heise.de
Pressemitteilung von Europol
Entschlüsselungsprogramm NoMoreRansom.org
How-To von NoMoreRansom.org als PDF-Datei
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/16

Klicken Sie hier und abonnieren Sie unseren Newsletter.


ECSM - Teil 7: Online Shopping Scam

23.10.2018

Die Täter verleiten Sie zu der Annahme, Ihnen winke eine lukrative Geldanlage...
Bei den üblichen Anlagebetrugsmaschen kann es unter anderem um lukrative Investitionsmöglichkeiten gehen, z.B. Aktien, Obligationen, Kryptowährungen, seltene Metalle, Investitionen in Immobilien im Ausland oder alternative Energien. Beim Klick auf das folgende Bild erhalten Sie die vollständigen Informationen als PDF zum Download.
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/15

Klicken Sie hier und abonnieren Sie unseren Newsletter.


ECSM - Tag 6: Investmentbetrug

22.10.2018

Häufig beinhaltet Investitionsbetrug lukrative Investitionsmöglichkeiten wie Aktien, Anleihen, Krypto-Währungen, seltene Metalle, Investitionen in Grundeigentum im Ausland oder alternative Energien. Beim Klick auf das folgende Bild erhalten Sie die vollständigen Informationen als PDF zum Download.
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/14

Klicken Sie hier und abonnieren Sie unseren Newsletter.


ECSM - Tag 5: Romance Scamming

21.10.2018

"Romance Scams" (Betrug durch vorgetäuschte Liebe) finden normalerweise auf Dating-Plattformen statt, Betrüger nutzen aber häufig auch die sozialen Medien oder E-Mails zur Kontaktaufnahme. Welche Anzeichen gibt es dafür und was Sie tun können, erfahren Sie hier. Beim Klick auf das folgende Bild erhalten Sie die vollständigen Informationen als PDF zum Download.
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/13

Klicken Sie hier und abonnieren Sie unseren Newsletter.


ECSM - Tag 4: Spoofed Bank Websites

20.10.2018

Gefälschte Banken-Websites erscheinen gegenüber ihrem echten Pendant fast identisch. Solche Websites haben oft ein Dialogfenster, in dem Sie dazu aufgefordert werden, ihre Bankzugangsdaten einzugeben. Richtige Banken benutzen derartige Fenster nicht. Übliche Merkmale dieser Websites und was Sie tun können, erfahren Sie hier. Beim Klick auf das folgende Bild erhalten Sie die vollständigen Informationen als PDF zum Download.
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/12

Klicken Sie hier und abonnieren Sie unseren Newsletter.


ECSM Tag 3: Phishing

19.10.2018

Phishing bezeichnet den Versand betrügerischer E-Mails, die die Empfänger dazu verleiten sollen, persönliche, finanzielle oder sicherheitsbezogene Informationen preiszugeben. Wie es funktioniert und was Sie tun können, erfahren Sie hier. Beim Klick auf das folgende Bild erhalten Sie die vollständigen Informationen als PDF zum Download.
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/11

Klicken Sie hier und abonnieren Sie unseren Newsletter.


ECSM Tag 2: Invoice-Fraud / Rechnungsmanipulation

18.10.2018

Die Täter geben sich als einer Ihrer Kunden oder Lieferanten aus und manipulieren Ihren Rechnungs-Schriftverkehr. Beim Klick auf das folgende Bild erhalten Sie die vollständigen Informationen als PDF zum Download.
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/10

Klicken Sie hier und abonnieren Sie unseren Newsletter.


European Cyber Security Month - Tag 1: CEO-Fraud

17.10.2018

Im Rahmen des European Cyber Security Month (ECSM) stellen wir ab heute täglich Informationsmaterial zur Verfügung. Tag 1 der Woche ist das Thema CEO-Fraud. Beim Klick auf das folgende Bild erhalten Sie die vollständigen Informationen als PDF zum Download.
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/9

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Angebot der Datenschutzauskunft-Zentrale (DAZ)

02.10.2018


Aktuell werden an Betriebe in ganz Deutschland Faxe einer sog. DAZ Datenschutzauskunft-Zentrale versendet. Darin wird auf die Verpflichtungen im Rahmen der DSGVO hingewiesen und ein sogenanntes Basisdatenschutz-Paket angeboten. Lediglich im Kleingedruckten wird auf den jährlichen Preis von 498 Euro hingewiesen.

Entgegen des Anscheins ist kein Betrieb verpflichtet, dieses Paket zu erwerben, um den Anforderungen der DSGVO zu entsprechen.

Weitere Informationen erhalten Sie u.a. bei der Deutschen Apothekerzeitung:
[Artikel der Deutschen Apothekerzeitung]
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/8

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Verschlüsselungstrojaner getarnt als Bewerbungsmail

30.08.2018


Momentan kursieren wieder E-Mails mit einem Bewerbungstext und Anhängen. In diesen Anhängen enthalten sind u.a. ein Bild und eine ZIP-Datei. Die ZIP-Datei beinhaltet eine EXE-Datei, die bei Ausführung zur Verschlüsselung des Rechnersystems und unter Umständen aller eingehängten Freigaben führt.

[Lesen Sie den kompletten Bericht auf polizei-praevention.de]
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/7

Klicken Sie hier und abonnieren Sie unseren Newsletter.


IHK warnt vor neuer Masche beim „Geschäftsführertrick“

26.07.2018

Demnach schlüpfen die Täter in die Rolle von langjährigen Geschäftspartnern und nutzen damit das bestehende Vertrauensverhältnis aus, um die Opfer zu Zahlungen in das Ausland zu bewegen.

[Lesen Sie den kompletten Bericht auf hannover.ihk.de]
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/6

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Gezielte Cyberattacken gegen Medienunternehmen und Organisationen der Chemiewaffenforschung

13.07.2018

Laut Verfassungsschutz sind deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung Ziel eines Hackerangriffs geworden. Die Infektion der Rechner wird dabei durch Office-Dokumente mit schadhaften Makros vorgenommen.

[Lesen Sie den kompletten Bericht auf tagesschau.de]
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/5

Klicken Sie hier und abonnieren Sie unseren Newsletter.


Tagung der Zentralen Ansprechstellen Cybercrime in Bonn

30.05.2018

Am 29. und 30. Mai 2018 fand die Tagung der Zentralen Ansprechstellen Cybercrime der Polizeien der Länder und des Bundes für die Wirtschaft im Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn statt.

[Lesen Sie hier die Pressemeldung des BSI]
top

Permanenter Link zu diesem Artikel auf zac-niedersachsen.de:
https://zac-niedersachsen.de/artikel/2

Klicken Sie hier und abonnieren Sie unseren Newsletter.