Professionelle Täter haben die Daten auf dem zentralen Server der Hamburger Juwelierkette Wempe verschlüsselt und Lösegeld gefordert.
Die Juwelierkette Wempe ist Opfer von Cyberkriminalität geworden. Die Ransomware-Attacke ereignete sich bereits vor einer Woche, teilt die Wempe-Geschäftsleitung auf der Webseite des Unternehmens mit: „Eine Gruppe professioneller Täter hatte die Daten unserer zentralen Server verschlüsselt und Lösegeld gefordert“.
Der Fachbegriff für so einen Angriff lautet Ransomware-Attacke. Ransomware ist eine Art von Malware, die Dateien auf dem Gerät, in diesem Fall die Server, verschlüsselt. Um den Zugriff auf die verschlüsselten Dateien wiederherzustellen, soll der Nutzer „Lösegeld“ (auf Englisch „ransom“) an die Cyberkriminellen zahlen. Nicht bekannt ist, ob Wempe Lösegeld an die Täter gezahlt hat, die die Daten des Unternehmens verschlüsselt haben.
Wempe informiert auf der Unternehmenswebseite über den Ransomware-Angriff
Wempe habe die Server vom Netz genommen und externe Experten für IT-Forensik und IT-Sicherheit hinzugezogen, so die Information auf der Webseite. Zudem habe das Unternehmen das Landeskriminalamt Hamburg und den Hamburgischen Beauftragten für Datenschutz und Informationssicherheit informiert. Nach aktuellem Stand gebe es keine Hinweise darauf, dass Daten von Kunden oder Geschäftspartnern gestohlen wurden, erklärt das Unternehmen.
Dass Wempe erst eine Woche später über den Vorfall informiert, begründet die Hamburger Juwelierkette damit, dass die externe Kommunikation nach Rücksprache mit dem LKA bewusst unterbunden wurde, um die Situation nicht zu eskalieren und die Kommunikation mit den Tätern nicht zu gefähren.
Überarbeitung des Sicherheitskonzepts
Nun implementiert Wempe ein neues IT-System und überarbeitet das Sicherheitskonzept. Die Wiederherstellung der Daten werde noch etwas Zeit brauchen, weil man sicherstellen will, dass sich keine Fragmente des Angriffs in den Systemen befinden.
Dieser nun bekannt gewordene Fall zeigt, dass Cyberkriminalität keine abstrakte Gefahr ist, und wie wichtig es für Unternehmen ist, die eigene IT ausreichend zu schützen.
Meldung vom 03.07.2019, 13:47 Uhr: Quelle: https://www.internetworld.de/technik/cybercrime/ransomware-attacke-wempe-1724718.html
Wie gut sind Sie geschützt? Irgendwann trifft es jedeFirma
Die IT-Sicherheitslage ist extrem kritisch. Immer mehr unserer Kunden sind von mittleren bis großen Schäden durch Viren, Trojaner und andere Aktivitäten von IT-Kriminellen betroffen betroffen, welche diese für Tage lahmlegen und immer höhere Schäden anrichten.
Sie sollten jetzt schnellstmöglich handeln, um Ihre Daten zu schützen. Es ist erforderlich, Ihr Sicherheitskonzept zu überprüfen und gegebenenfalls anzupassen, um größeren Schaden für Ihr Unternehmen abzuwenden.
Es gab einen schwerwiegenden Einbruch in das Heise-Netz; Auslöser war eine Emotet-Infektion. An der Beseitigung arbeiten aktuell die IT-Abteilungen der Heise Gruppe und weitere Spezialisten. (Meldung von heute, 06.06.2019)
Von dem Vorfall betroffen waren und sind die Heise Gruppe und der Verlag Heinz Heise, also Mutter- und Schwester-Unternehmen der Heise Medien, die unter anderem c’t herausgeben.
Am Montag, den 13. Mai, um kurz vor 15 Uhr öffnete ein Mitarbeiter eine Mail, die sich auf einen zitierten, echten Geschäftsvorgang bezog. Die Mail stammte scheinbar von einem Geschäftspartner und forderte dazu auf, die Daten im angehängten Word-Dokument zu kontrollieren und bei Bedarf zu ändern. Beim Öffnen des Dokuments erschien eine (gefälschte) Fehlermeldung, die dazu aufforderte, „Enable Editing“ anzuklicken. Dieser Aufforderung kam der Mitarbeiter nach – und das Unheil nahm seinen Lauf.
Wer einer Aufforderung wie dieser nachkommt, aktiviert das Ausführen von Makros und Emotet kann heimlich im Hintergrund den PC infizieren.
Einer der Admins entdeckte außerdem, dass es zu diesem Zeitpunkt bereits höchst verdächtige Zugriffe auf den Domain Controller des Active Directory gab – also auf den Verzeichnisdienst, der in Windows-Netzen unter anderem die Zugangsberechtigungen verwaltet. Die Administratoren versuchten zunächst, die Kommunikation mit der Emotet-Kommandoinfrastruktur zu unterbinden. Doch das erwies sich als Hase-und-Igel-Rennen, das nicht zu gewinnen war. Es kamen ständig neue Emotet-Verbindungen hinzu. Letztlich entschieden sich die Admins für einen kompletten Lockdown. Zu diesem Zeitpunkt wurde die Internet-Verbindung für alle betroffenen Netze komplett gekappt.
Parallel dazu entschied die IT, dass man externe Hilfe hinzuziehen musste. Konkret arbeiteten ab Donnerstag mehrere Forensiker und Incident-Response-Spezialisten gemeinsam mit den Heise-ITlern daran, die Vorgänge aufzuklären und wieder einen normalen IT-Betrieb aufzunehmen, ohne dabei eine erneute Infektion zu riskieren. Darüber hinaus wird auch das Sicherheitskonzept auf den Prüfstand gestellt und es werden Konzepte erarbeitet, wie man solch einen IT-GAU zukünftig verhindern kann.
Emotet im Netz
All das ist noch in vollem Gange und wird sich voraussichtlich noch mehrere Wochen hinziehen. Und noch immer gibt es mehr offene Fragen als klare Antworten. Trotzdem haben wir uns entschieden, hier bereits einen Zwischenstand zu dokumentieren, weil wir den Vorfall möglichst transparent aufarbeiten wollen. Nicht zuletzt wollen wir es damit anderen Firmen ermöglichen, aus unseren Fehlern zu lernen.
Emotet kommt häufig wie hier, als scheinbare Antwort auf eine Mail, die man tatsächlich selbst verfasst hat. Bei einem Emotet-Angriff auf Ihre Firma steht dann dort Ihr Firmenname anstelle von Heise.
Was alles nicht passiert ist
Nach dem ersten Schreck kehrt jetzt langsam etwas Ruhe ein. Insbesondere auch deshalb, weil sich die Anzeichen verdichten, dass der ganz bittere Kelch gerade nochmal an uns vorbei gegangen ist. Nach der ersten Ausbreitungsphase installieren die Emotet-Gangster sehr häufig Verschlüsselungs-Trojaner; insbesondere wurde in diesem Kontext bereits mehrfach Ryuk in Firmennetzen gefunden.
Aufräumarbeiten
Die infizierten Rechner wurden alle komplett außer Betrieb genommen. Auch die scheinbar sauberen Windows-10-Rechner kamen nicht mehr mit anderen Netzen oder gar dem Internet in Verbindung. Und das wird auch so bleiben. Weil es sich als aussichtslos erwiesen hat, alle Emotet-Aktivitäten lückenlos zu dokumentieren und man kein Risiko einer erneuten Infektion etwa durch eine übersehene Backdoor eingehen will, werden die betroffenen Komponenten alle stillgelegt beziehungsweise neu aufgesetzt.
Die Admins haben sich entschieden, ein komplett neues Netz mit neu aufgesetzten Rechnern und einem neuen Active Directory hochzuziehen. Dabei werden auch gleich neue, verschärfte Sicherheitsmaßnahmen umgesetzt, die eine vergleichbare Eskalation zukünftig unterbinden oder doch deutlich erschweren sollen. Existierende Daten, Werkzeuge und Ähnliches werden unter größter Vorsicht Schritt für Schritt in dieses neue Netz übertragen. Zwar ist mittlerweile die Arbeitsfähigkeit weitgehend wiederhergestellt, doch es wird sicher noch einige Wochen dauern, bis dieser Umzug vollständig abgeschlossen ist.
Welche Daten die Kriminellen bereits abziehen konnten, ist noch nicht ausreichend geklärt. Die Verantwortlichen haben den Vorfall jedenfalls bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet, wie es die DSGVO fordert. Darüber hinaus wurde der Vorfall bei der Polizei zur Anzeige gebracht. Auch Geschäftspartner wurden über das gesteigerte Risiko von Trojaner-Mails informiert.
Dieser Vorfall ist noch lange nicht abschließend geklärt. Doch wir werden ihn auch weiterhin so transparent wie möglich handhaben und sicher weitere Artikel dazu veröffentlichen. Ganz oben auf der Liste steht dabei „Wie schützt man sich besser vor Emotet“.
Das Wichtigste dazu bereits kurz vorab: Gehen Sie davon aus, dass es auch Ihre Firma treffen wird. Bereiten Sie sich am besten jetzt darauf vor. (ju)
Was ist Emotet?
Die Emotet-Gang operiert weltweit mit Schwerpunkten in Asien, Europa und Amerika. (Bild: Kryptos Logic)
Das US-CERT bezeichnet Emotet als die aktuell wohl zerstörerischste Schad-Software – und das mit gutem Grund. Die Gangs hinter Emotet haben Cybercrime auf ein neues Niveau gehoben. Das Ziel von Emotet sind vor allem Firmen, Behörden und andere Institutionen, bei denen Geld zu holen ist.
Das von Emotet erfundene Dynamit-Phishing knüpft an existierende Kommunikationsbeziehungen an. Dabei erhält das Opfer scheinbar Antworten auf eigene Mails, deren Inhalt Emotet zuvor auf anderen Systemen gestohlen hat. Diese Trojaner-Mails sind so gut gemacht, dass man davon ausgehen muss, dass selbst gut geschulte Mitarbeiter früher oder später darauf reinfallen können.
Emotet lädt verschiedenste Schad-Programme wie Trickbot nach. Die nutzen dann Nachlässigkeiten im Sicherheitskonzept systematisch aus, um sich im lokalen Netz einer betroffenen Firma auszubreiten. Zu den eingesetzten Techniken gehört Passwort-Diebstahl, Pass-the-Hash-Angriffe und der Einsatz der Windows Powershell, unter anderem um Angriffe vor herkömmlicher Schutz-Software wie Antiviren-Programmen zu verbergen.
In der nächsten Eskalationsstufe sehen sich die Angreifer oft sogar manuell im betroffenen Netz um. Ziel ist es unter anderem, weitere Informationen über das Unternehmen zu sammeln und kritische IT-Komponenten und Backups zu lokalisieren. Das CERT-Bund hat auch bereits mehrere Fälle beobachtet, in denen dabei etwa Wartungs-Zugänge eines befallenen IT-Dienstleisters ausgenutzt wurden, um weitere Firmen zu infizieren. Abschließend werden dann häufig Verschlüsselungstrojaner wie Ryuk an strategisch wichtigen Stellen platziert.
Zum Zeitpunkt X legt Emotet die IT des Opfers komplett lahm und präsentiert eine Lösegeldforderung. Anders als bei Locky & Co handelt es sich dabei nicht um ein paar hundert oder tausend Euro. Die Kriminellen kennen schließlich zu diesem Zeitpunkt ihr Opfer und orientieren ihre Forderungen am geschätzten Umsatz der Firma. Typische Forderungen gehen von 30.000 bis weit über 100.000 Euro. Demgegenüber steht, was das BSI als einen „existenzbedrohenden Datenverlust“ für das Opfer bezeichnet. Viele Firmen sehen folglich keinen anderen Ausweg, als zu zahlen.
Alle Zeichen deuten darauf hin, dass Emotet diese Aktivitäten in den nächsten Monaten noch weiter ausweiten wird. Das bedrohliche daran ist, dass das keineswegs nur Großkonzerne oder Banken trifft, sondern alle möglichen Firmen und Branchen: Autohändler und Verlage genauso wie Stadtverwaltungen und Krankenhäuser. Und viele davon sind auf Gefahren dieses Kalibers nur unzureichend vorbereitet.
Tausende von TP-Link-Routern sind anfällig für einen Fehler, mit dem das Gerät aus der Ferne gesteuert werden kann. Es dauerte jedoch mehr als ein Jahr, bis das Unternehmen die Patches auf seiner Website veröffentlichte.
Die Sicherheitsanfälligkeit ermöglicht es jedem gering qualifizierten Angreifer, aus der Ferne vollen Zugriff auf einen betroffenen Router zu erhalten. Der Exploit basiert auf dem Standardkennwort des Routers, das viele nicht ändern.
Im schlimmsten Fall könnte ein Angreifer ein massives Ziel für anfällige Geräte sein, indem er einen ähnlichen Mechanismus wie Botnets wie Mirai verwendet – indem er das Web durchsucht und Router mit Standardkennwörtern wie „admin“ und „pass“ entführt.
Andrew Mabbitt, Gründer des britischen Cybersicherheitsunternehmens Fidus Information Security, entdeckte im Oktober 2017 erstmals den Fehler bei der Remotecodeausführung und gab ihn an TP-Link weiter. TP-Link veröffentlichte wenige Wochen später einen Patch für den anfälligen WR940N-Router, aber Mabbitt warnte TP- Im Januar 2018 erneut verknüpfen, dass ein anderer Router, der WR740N von TP-Link, ebenfalls anfällig für denselben Fehler war, da das Unternehmen anfälligen Code zwischen Geräten wiederverwendete .
Laut TP-Link wurde die Sicherheitslücke in beiden Routern schnell behoben . Als wir das überprüft haben, war die Firmware für WR740N nicht auf der Website verfügbar.
Ein TP-Link-Sprecher sagte auf Anfrage, das Update sei „auf Anfrage des technischen Supports verfügbar“, erklärte aber nicht, warum. Erst nachdem TechCrunch Kontakt aufgenommen hatte, aktualisierte TP-Link die Firmware-Seite mit dem neuesten Sicherheitsupdate.
Top-Länder mit gefährdeten WR740N-Routern (Bild: Shodan )
Router sind seit langem für Sicherheitsprobleme berüchtigt. Im Herzen eines Netzwerks kann jeder Fehler, der einen Router betrifft, katastrophale Auswirkungen auf alle angeschlossenen Geräte haben. Indem er die vollständige Kontrolle über den Router erlangte, sagte Mabbitt, dass ein Angreifer in einem Netzwerk Chaos anrichten könnte. Das Ändern der Einstellungen auf dem Router wirkt sich auf alle aus, die mit demselben Netzwerk verbunden sind, z. B. das Ändern der DNS-Einstellungen, um Benutzer dazu zu verleiten, eine gefälschte Seite zu besuchen, um ihre Anmeldeinformationen zu stehlen.
TP-Link lehnte es ab, die Anzahl der potenziell gefährdeten Router offenzulegen, teilte jedoch mit, dass der WR740N ein Jahr zuvor eingestellt worden war. Als wir zwei Suchmaschinen auf exponierte Geräte und Datenbanken überprüften, vermuteten Shodan und Binary Edge, dass es jeweils solche gab Überall im Internet zwischen 129.000 und 149.000 Geräte – obwohl die Anzahl der anfälligen Geräte wahrscheinlich weitaus geringer ist.
Mabbitt sagte, er glaube, TP-Link sei weiterhin verpflichtet, Kunden über das Update zu informieren, wenn Tausende von Geräten immer noch anfällig sind, anstatt zu hoffen, dass sie sich an den technischen Support des Unternehmens wenden.
Sowohl im Vereinigten Königreich als auch im US-Bundesstaat Kalifornien müssen Unternehmen in Kürze Geräte mit eindeutigen Standardkennwörtern verkaufen, um zu verhindern, dass Botnets Geräte mit Internetverbindung in großem Umfang entführen und ihre gemeinsame Internetbandbreite nutzen, um Websites offline zu schalten.
Das Botnet Mirai abgestürzten Dyn, einen Domain – Name – Service – Riese, der geklopft Dutzende von großen Websites stundenlang offline – einschließlich Twitter, Spotify und Soundcloud.
Emotet Schadsoftware perfektioniert seine Angriffe weiter
Mit Hilfe von früher abgegriffenen E-Mails basteln die Kriminellen absolut echt wirkende Dynamit-Phishing-Mails.
Jürgen Schmidt
Bereits seit Herbst vorigen Jahres sammelt Emotet auf jedem infizierten System die dort gespeicherten Outlook-Mails ein. Bisher nutzte es die nur, um plausible Absender und Empfänger für weitere Phishing-Mails zu erzeugen. Doch jetzt nutzt es den tatsächlichen Inhalt der gestohlenen Mails, um das noch weiter zu perfektionieren.
Emotet tut alles, um seine Dynamit-Phishing-Mails möglichst echt aussehen zu lassen.
(Bild: CERT-Bund)
heise Security und c’t warnten bereits 2018, dass weiter perfektionierte Dynamit-Phishing-Aktivtäten zu erwarten sind. Jetzt dokumentiert das CERT-Bunderstmals einen Fall, in dem diese Befürchtungen tatsächlich Realität werden. Eine Dynamit-Phishing-Mail der Emotet-Bande hängt die gestohlenen Mails an, um so eine bereits existierende Kommunikation wieder aufzugreifen. Außerdem bettet es täuschend echt aussehende Links auf die Domain des angeblichen Absenders ein. Ziel des Ganzen ist es nach wie vor, den Empfänger zum Öffnen einer Word-Datei zu verleiten und in dieser das „Bearbeiten“ zu aktivieren, was das heimliche Ausführen von Schadcode ermöglicht.
Am Donnerstag und Freitag erreichten uns Phishing-Mails an unsere Kunden, die sich z.B. als 1&1 IONOS Kundenservice-Emails tarnten. Sie sind so gut gemacht, dass man leicht drauf hereinfallen kann:
Man merkt kaum, dass man hier auf eine täuschend echt aussehende, aber dennoch gefälschte Seite geleitet wird, die zum Eingeben der Logindaten zu 1&1 auffordert.
Oder würden Sie dieser Seite im folgenden Bild misstrauen, wenn Sie auf den oben aufgeführten Link „Mein 1&1 IONOS entsperren“ klicken und die folgende Seite sehen?
Bis Google’s Safebrowsing-Dienst die Seite als potentielle Phishing-Seite erkannt hat, vergingen nahezu 48 Stunden.
Erst dann wurde nach dem Anklicken des Links aus obiger E-Mail folgende Warnung eingeblendet:
Seien Sie also bitte misstrauisch bei solchen Aufforderungen, die unter Vorwänden dazu verleiten, einen Link anzuklicken oder eine Datei in einer E-Mail zu öffnen. Fragen Sie lieber beim (vermeintlichen) Absender nach, ob dieser die E-Mail tatsächlich geschickt hat.
Unsere Kunden können sich im Zweifel auch gerne an uns wenden.
Lesen Sie hierzu auch: https://www.acteo.de/phishing-mit-hilfe-von-frueher-abgegriffenen-e-mails-erstellen-kriminelle-sehr-echt-wirkende-phishing-mails/
Viele Firewalls und Switches vom Netzwerkausrüster Cisco sind verwundbar. Der Großteil der nun geschlossenen Sicherheitslücken findet sich im Netzwerkbetriebssystem NX-OS. Cisco hat den Bedrohungsgrad mit „hoch“ eingestuft.
Angreifbar sind beispielsweise Netzwerkgeräte der Serien Nexus 9000, MDS 9000 und USC 6400. Weitere Infos zu Angriffsszenarien, Lücken und Updates listet Cisco in seinem Sicherheitscenter auf.
Ein Mitarbeiter der Sicherheitsfirma Security Discovery hat auf dem Server eines „E-Mail-Verifizierers“ namens verifications.io eine rund 150 GByte große, öffentlich zugängliche MongoDB-Datenbank mit E-Mail-Adressen gefunden. Deren Gesamtzahl (ohne Dopplungen) beläuft sich laut dem Prüfdienst Have I been Pwned auf insgesamt 763.117.241.
Aus dem Blogeintrag von Bob Diachenko, dem Sicherheitsforscher von Security Discovery, geht hervor, dass den E-Mail-Adressen in der Datenbank teilweise auch weitere private Daten zugeordnet waren – darunter Vor- und Nachnamen, Geschlecht, Geburtsdaten, Telefonnummern und Wohnorte. Kreditkarten- oder ähnliche Bezahldaten sollen nicht enthalten gewesen sein. Anders als in früheren Datenlecks enthält dieses wohl auch keine Passwörter oder Passwort-Hashes, mit denen Angreifer die E-Mail-Accounts unmittelbar kompromittieren könnten.
Zweitgrößte E-Mail-Adresssammlung nach Collection #1
Prüfdienstbetreiber Troy Hunt ließ gegenüber der IT-News-Webseite Wired verlauten, dass 35 Prozent der E-Mail-Adressen nicht in früheren an Have I Been Pwned übermittelten Leaks enthalten waren. Im Hinblick auf die Anzahl der E-Mail-Adressen handele es sich um die zweitgrößte Datensammlung, die je zu Have I been Pwned hinzugefügt worden sei. Platz 1 belegt nach wie vor die Collection 1 mit rund 773 Millionen E-Mail-Adressen, denen allerdings auch Passwörter zugeordnet waren.
Laut Wired sagte Hunt, dass das Datenleck auf verifications.io sogar einige seiner eigenen Daten enthalte. Wer überprüfen möchte, ob seine E-Mail-Adresse Teil des Datenlecks ist, kann dies bei Have I Been Pwned tun.
Fragwürdiger Verifizierungs-Service
Im Zuge seiner Entdeckung hat sich Diachenko eingehender mit verifications.io befasst. Im Zuge einer Datenbank-Analyse will er gemeinsam mit einem Kollegen herausgefunden haben, dass der Dienstleister „auf Bestellung“ und unter Verwendung von Listen, die er von Kunden erhielt, massenhaft (Spam-)E-Mails verschickte, um die Existenz von E-Mail-Adressen zu validieren.
Verifications.io bewarb diesen Service laut Diachenko als „Enterprise Email Validation“. Der Forscher hält allerdings ein anderes Einsatzszenario für plausibler. Kriminelle Hacker, die ein bestimmtes Unternehmen angreifen wollen, könnten verifications.io genutzt haben, um (nicht-)existente Firmen-Mail-Adressen aus einer Liste herauszufiltern, ohne selbst Verdacht zu erregen. Die resultierende Liste mit validen Adressen bilde dann einen besseren Ausgangspunkt für gezielte Phishing-Kampagnen (Spear Phishing) oder Brute-Force-Angriffe.
Nebulöser Firmen-Background
Diachenko setzte verifications.io über das Datenleck in Kenntnis – und erhielt überraschenderweise tatsächlich eine Antwort. Es handele sich bei dem Datenleck nicht um „Kundendaten“, sondern um eine „Unternehmensdatenbank“ mit Informationen, die ohnehin öffentlich zugänglich seien. Dennoch war die Datenbank noch am selben Tag plötzlich offline – wie mittlerweile die gesamte Website.
Von Wired auf das Statement des E-Mail-Verifizierers angesprochen, sagte Troy Hunt, er habe nie von der Firma gehört und könne sich mit Bestimmtheit nicht daran erinnern, ihr seine Zustimmung zur Verwendung seiner Daten gegeben zu haben. Der Vorfall sei nur ein weiteres Beispiel dafür, wie jemand an seine Daten und die Hunderter Millionen anderer Personen gekommen sei, und bei dem er absolut keine Ahnung habe, wie dies geschehen sei. (ovw)
