Tag Archives: Security

EternalRocks: Neue Attacke nach WannaCry

Mehrere Sicherheitsexperten haben einen neuen “SMB worm” entdeckt, der gleich 7 der von den ShadowBrokers veröffentlichten NSA-Hacks ausnutzt. (WannaCry hat lediglich 2 verwendet) Damit ist dieser neue Wurm in diesem Bereich zwar weitaus gefährlicher – auf der anderen Seite enthält er (zumindest bisher) anscheinend keinen Crypto-Locker.

Keinen Kill-Switch

Nach einer Analyse kontaktiert der Wurm nach einer Infektion einen C&C-Server im Tor-Netzwerk. Erst nach 24 Stunden erhält er eine Antwort. Anschließend lädt er ein Archiv herunter und installiert dieses auf dem lokalen PC. Mit dieser neuen Software werden zufällige IPs kontaktiert, auf die dann eine weitere Installation versucht wird.

Keine Entwarnung

Auch die Tatsache, daß EternalRocks bisher keine Schadsoftware zu enthalten scheint bedeutet nicht, daß es sich um einen ungefährlichen Wurm handelt. Immerhin besteht eine Verbindung zu einem C&C-Server, von der jederzeit Schadsoftware verteilt werden kann.

Es besteht aber auch die Möglichkeit, daß es sich mit EternalRocks lediglich um einen Testlauf für eine neue Ransomware handelt. Die Angreifer könnten in einem Probelauf etwaige Probleme ermitteln um anschließend eine “echte Schadsoftware” zu verbreiten.

WannaCry: Hauptsächlich Windows 7 betroffen

Bild: Kaspersky via Twitter

Kaspsersky hat gestern erste Ergebnisse zur ermittelten Verbreitung von WannaCry veröffentlicht.

Demnach wurden mehr als 98% aller befallenen Computer mit einer Variante von Windows 7 betrieben – wobei die 64-bit Version mit 60% am meisten befallen wurde.

Windows XP unter 0.2%

Der Anteil befallener Windows XP PCs so gering, daß er in dieser Statistik nicht auftaucht.

Athena: Windows-Malware von der CIA 

Wikileaks hat heute wieder einmal Informationen im Rahmen der Vault7-Serie veröffentlicht. Dieses mal geht es um eine malware der CIA.

Windows XP bis Windows 10

Athena ist ein Implantat – der CIA-Ausdruck für malware – das alle Windows Versionen von XP bis Windows 10 befallen und attackieren kann. Dabei ist das Programm nach aktuellen Informationen extrem flexibel. Es ist sowohl möglich das Athena rein im Hauptspeicher arbeitet, als auch eine Schnittstelle zu einem command & conquer nutzt oder einen offline-modus verwendet.

Athena arbeitet nach den Unterlagen mit einem Programm Namens Hera zusammen – zu diesem sind bisher noch keine Details bekannt.

NSA: Angst vor den ShadowBrokers

Allem Anschein nach hat die NSA bereits in der Vergangenheit Angst vor der Hacker-Gruppe ShadowBrokers. Nach einem Bericht bei heise.de hatte die NSA die Firma Microsoft bereits sehr frühzeitig nach der ersten Veröffentlichung von teilen der geleakten Daten über die Eternal-Blue Lücke informiert. Nur so war es Microsoft letztendlich möglich, die Lücke innerhalb weniger Tage nach der endgültigen Veröffentlichung zu schließen.

Offensichtlich wurde die Lücke über mehr als 3 Jahre vor der NSA aktiv genutzt um unberechtigterweise in Windows-Systeme weltweit einzubrechen. Da die Lücke nicht exklusiv der NSA gehört konnten somit möglicherweise auch andere Geheimdienste oder Hacker über eben die selbe Lücke auf die Rechner zugreifen.

Da die Hacker im kommenden Monat weitere Dokumente veröffentlichen wollen kann man vermuten, dass die NSA bereits weitere unbekannte Lücken an viele Hersteller gemeldet haben – um einen weiteren Angriff wie WannaCry zu vermeiden.

NSA-Hack: Die nächsten Veröffentlichungen

The Shadow Brokers, die vor kurzem Informationen aus NSA-Dokumenten veröffentlicht haben, aus denen die WannaCry-Attacke vom letzten Wochenende hervorgegangen ist, haben möglicherweise noch viel sensiblere Daten in Händen.

In einem Post hat die Gruppe angekündigt, ein “Monatliches Datenpaket” zu veröffentlichen, welches Methoden und Programme aufzeigt um

  • Web Browser, Router, Mobilgeräte anzugreifen und zu übernehmen
  • Ausgewählte Methoden und Programme aktueller Exploits, inklusive Methoden zum Angriff auf Windows 10
  • [von der NSA] ermittelte Daten bezüglich SWIFT Provider und Zentralbanken
  • [von der NSA] ermittelte Daten betreffend Russischen, Chinesischen, Iranischen und/oder Nordkoreanischen Atomwaffen und Raketenprogramme
Unveröffentlichte Windows 10 Zero-day exploits

Die ShadowBrokers haben angeboten, alle Daten unter Verschluss zu halten, sofern eine “verantwortungsbewusste Gruppe” die Daten kauft. Nach weiteren Informationen der Gruppe soll die NSA an große Konzerne Geld zahlen, damit diese bestimmte Lücken nicht beseitigen.

TheShadowBrokers is thinking Google Project Zero is having some former TheEquationGroup member. Project Zero recently releasing “Wormable Zero-Day” Microsoft patching in record time, knowing it was coming? coincidence?
Source: ShadowBrokers

The Shadow Brokers made the screenshots available in January. The NSA supposedly realized what the Shadow Brokers had and told Microsoft. Microsoft took the unprecedented step of skipping Patch Tuesday in February and then released the SMB (Server Message Block) fix in March that was used by WannaCry and not dumped by the Shadow Brokers until April.
Source: networkworld

Wir können gespannt sein, was im Juni kommen wird …

Hinweis: Dies ist die deutsche Version des gestrigen englischen Blogs

Hacker erpressen Bell Canada

Scheinbar ist nun auch Bell.ca, der größte Kanadische Telefonanbieter, Ziel von Erpresser-Hackern geworden.

1.900.000 Addressen + 2.000 Telefonnummern veröffentlicht

Fast 2 Millionen Email-Addressen und 2.000 Telefonnummern wurden von einer unbekannten Hackergruppe veröffentlicht, die sie nach eigenen Angaben aus dem internen Netzwerk von Bell kopiert haben. Das Datenvolumen soll auch genaue Anschriften, Position in der Firma sowie weitere Informationen von mehr als 150 Mitarbeitern von Bell beinhalten.

“failed to cooperate”

Die Hacker schreiben weiter, daß Sie eine “größere Datenmenge veröffentlicht haben, da Sie nicht mit uns kooperiert haben”. Diese Information weist direkt darauf hin, daß die Hacker offensichtlich versucht haben die Daten an Bell zurück zu verkaufen.

“releasing a significant portion of Bell.ca’s data due to the fact that they have failed to cooperate with us.”

Wie schon die ShadowBrokers scheint auch diese Hackergruppe der Firma eine Art “weitere Chance” zu geben, indem behauptet wurde daß weitere sensiblere Daten bisher nicht veröffentlicht wurde.

“This shows how Bell doesn’t care for its customers safety and they could have avoided this public announcement, Bell, if you don’t cooperate more will leak :)”

 

NSA-Exploit: Next and bigger round

The Shadow Brokers, who published informations about stolen NSA-Documents which first results was the WannaCry attack of last weekend, announced to have even more sensitive data and details available.

In a blog post, the group said it was setting up a “monthly data dump” and that it could offer tools to break into

  • web browser, router, handset exploits and tools
  • select items from newer Ops Disks, including newer exploits for Windows 10
  • compromised network data from more SWIFT providers and Central banks
  • compromised network data from Russian, Chinese, Iranian, or North Korean nukes and missile programs
Undisclosed Windows 10 Zero-day exploits

 

They offered to keep all data secret “if a responsible party” buys all the stolen data. Following more and also previous posts from the group, according to the ammount of stolen data and how fast a patch to some previous published leaks was published, it is most likely that the NSA pays big companies for not fixing several exploits.

TheShadowBrokers is thinking Google Project Zero is having some former TheEquationGroup member. Project Zero recently releasing “Wormable Zero-Day” Microsoft patching in record time, knowing it was coming? coincidence?
Source: ShadowBrokers

The Shadow Brokers made the screenshots available in January. The NSA supposedly realized what the Shadow Brokers had and told Microsoft. Microsoft took the unprecedented step of skipping Patch Tuesday in February and then released the SMB (Server Message Block) fix in March that was used by WannaCry and not dumped by the Shadow Brokers until April.
Source: networkworld

We will see if and what will be published in June …

BGH: Datenspeicherung doch (nicht) erlaubt ?

Eine Regelung, die eine allgemeine und unterschiedslose Vorratsdatenspeicherung vorsieht, […] überschreitet somit die Grenzen des absolut Notwendigen und kann nicht als in einer demokratischen Gesellschaft gerechtfertigt angesehen werden, wie es die Richtlinie im Licht der Grundrechtecharta verlangt.

Dies ist ein Auszug aus der Pressemitteilung des Europäischen Gerichtshofs betreffend mehrerer Klagen zur Vorratsdatenspeicherung in einzelnen europäischen Staaten.

https://curia.europa.eu/jcms/upload/docs/application/pdf/2016-12/cp160145de.pdf

Nach diesem Urteil ist es den Mitgliedstaaten untersagt, jegliche persönliche Daten massenhaft auf Vorrat zu speichern – es sei denn es ist eine entsprechende Gefahr zu verhindern. Der deutsche Gesetzgeber hat die Vorratsdatenspeicherung aktuell auf 7 Tage begrenzt (nachdem das vorherige Gesetz bereits vom BGH gekippt wurde) – hier wurden ebenfalls klagen eingereicht.

Um so seltsamer ist es, daß der BGH heute in einer Klage gegen die Webseitenbetreiber des Bundes und der Länder nicht so enge Grenzen gesetzt hat.

Webseitenbetreiber dürfen die IP-Adressen ihrer Seitenbesucher speichern, wenn es für die Abwehr von Cyberangriffen erforderlich ist. Nach einer Entscheidung des BGH muss dann auch das Persönlichkeitsrecht des Nutzers zurückstehen.
(Quelle: tagesschau.de)

Nach dieser Logik dürfen nun doch Daten auf Vorrat gespeichert werden – denn ein “Cyberangriff” kann ja theoretisch jederzeit von jeder IP ausgehen.

Pirates of the Caribbean: Disney blackmailed

 

Seems that some Hackers were able to get a copy of the upcoming PIRATES OF THE CARIBBEAN movie, trying to blackmail Disney to  release the movie on internet.

 

This is a rather new kind of blackmail. It is not the first movie published by hackers before it’s actually in cinemas – I can remember of some TV series (long before the Netflix hack) being spread on the internet before it was aired, more than 10 years ago.

In this case, the hacker try to get a big (unknown) bunch of money from Disney, instead of releasing the movie to the public.

Stolen from small company

Eventually the movie was stolen from one of the many smaller companies working on it, as Disney itself run a security system of a very high level.

Disney, let them publish

Disney should simply let them go. As I wrote, it’s not the first movie published early, and it will not be the last one. And if it’s really a blockbuster, an early release might even push more people to the cinemas, allowing them to see the movie on a big 3D screen.

WannaCry: next round on the way

According to some reports, a new version of WannaCry that does ignore the yesterday registered Domain has been found in the wild. The new version seems to be same to the previous, but will most likely not being stopped.

New infections tomorrow

As lots of PCs are off due to weekend, several experts expect a second flow of infections on Monday morning – when lots of computers are powered on in companies worldwide. Secondly they also expect new versions of the ransomware the very next days.  By now, approx 150 different variants of the ransomware have been detected.

Only 40.000 US$ income by now

By now only few people payed the money to release their data – compared to the very high amount of infected machine worldwide. This might be due to several big companies affected, which mostly run a good backup strategy allowing them to simply reset their machines. As the bitcoins wallets are known, it’s easy to check them all for current the income.