Auf Grund der aktuellen Lage arbeiten viele MitarbeiterInnen im Homeoffice. Sind Sie unsicher, ob durch die vorhandene Ausstattung der bestmögliche Schutz zur Sicherheit Ihrer Daten gewährleistet ist? Wir beantworten Ihre Fragen und unterstützen Sie dabei, Ihre Daten rechtskonform zu schützen. Schreiben Sie uns eine Mail an vertrieb@i-tresor.de oder rufen uns an 0221 6777670. Unser Team berät Sie gerne.
(Quelle: www.heise.de Stand 01 von Olivia von Westernhagen)
Das Cyber Emergency Response Team (CERT) der finnischen Transport and Communications Agency (NCSC-FI) hat vergangene Woche eine Malware entdeckt, die Netzwerkspeicher (Network Attached Storages, NAS) des Herstellers QNAP befällt.
Der auf den Namen „QSnatch“ getaufte Schädling nistet sich laut NCSC-FI dauerhaft auf Geräten ein, indem er deren Firmware modifiziert und künftige Hersteller-Updates verhindert. Weiterhin stiehlt er die Zugangsdaten der NAS, kommuniziert in regelmäßigen Abständen mit einem entfernten Command-and-Control-Server und ist theoretisch in der Lage, weitere Schadfunktionen als Module nachzuladen. Über den initialen Angriffsvektor ist bislang nichts bekannt.
Neben dem NCSC-FI warnt auch das CERT des BSI (CERT-Bund) vor QSnatch. In einem Tweet lässt es verlauten, dass derzeit etwa 7000 Geräte in Deutschland betroffen seien.
CERT-Bund schreibt, dass nach aktuellen Erkenntnissen Geräte betroffen seien, die (über eine Port-Weiterleitung) aus dem Internet erreichbar seien und auf denen eine veraltete Firmware-Version laufe. Ähnlich äußert sich auch das finnische CERT in seiner detaillierten QSnatch-Analyse.
Die beste Schutzmaßnahme gegen QSnatch dürfte somit sein, NAS gar nicht erst über das Internet erreichbar zu machen.
Gegen bestehende Infektionen hilft laut NCSC-FI das komplette Zurücksetzen der NAS auf Werkseinstellungen (Factory Reset). Auch ein Update des QNAP-Betriebssystems/Firmware QTS ist in jedem Fall ratsam – ob es allerdings bestehende Infektionen behebt, ist laut NCSC-FI bislang unklar: „NCSC-FI has not been able to confirm whether the update actually removes the malware, and this is also acknowledged by the manufacturer“, heißt es in der Analyse. Ebenso wenig geht aus der Veröffentlichung des NCSC-FI hervor, ob das Update helfen kann, Infektionen von vornherein zu verhindern.
Einem Security Advisory von QNAP, das allerdings schon von Februar dieses Jahres stammt und sehr allgemein auf Malwarebefall unter QTS abzielt, können NAS-Besitzer Angaben zu den aktuellen QTS-Versionen sowie eine Installationsanleitung entnehmen.
Im Anschluss an die Bereinigung eines Gerätes rät das finnische Forscherteam dazu,
Sofern Gerätebesitzer weitere Unterstützung benötigen, können sie den QNAP-Support kontaktieren.
Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Malware-QSnatch-attackiert-QNAP-Netzwerkspeicher-auch-in-Deutschand-4573483.html
(Quelle: www.heise.de Stand 11 von Dennis Schirrmacher)
Das alleinige Öffnen eines von Angreifern präparierten RTF-Dokumentes soll ausreichen, um Windows mit einem Trojaner zu infizieren. Als Schlupfloch dient eine Sicherheitslücke (CVE-2017-11882) in Microsoft Office. Microsoft hat bereits im November 2017 einen Sicherheitspatch für die Schwachstelle veröffentlicht. Office-Nutzer sollten sicherstellen, dass ihr Patchlevel aktuell ist. In der aktuellen Kampagne haben es die unbekannten Angreifer Microsoft zufolge vor allem auf Ziele in Europa abgesehen.
Wer so ein Dokument öffnet, fängt sich einen Backdoor-Trojaner ein und Angreifer könnten unter anderem Schadcode ausführen, warnt Microsoft auf Twitter. Mittlerweile sollen die Server zum Steuern der Kampagne offline sein, es könnten aber jederzeit neue Attacken stattfinden. Wer das Sicherheitsupdate aus 2017 installiert hat, ist auf der sicheren Seite.
Der Fehler findet sich in der Equation-Editor-Komponente von Office. Aufgrund von unzureichenden Überprüfungen von Objekten im Speicher müsste ein Opfer nur ein RTF-Dokument, das den Exploit an Bord hat, öffnen, um seinen Computer zu infizieren. Verschiedene Skripte holen dann den Schädling auf Computer. Seit Januar 2018 hat Microsoft die Komponente aus Office entfernt.
Für eine erfolgreiche Attacke ist ein Angreifer dementsprechend kaum auf die Mithilfe von Opfern angewiesen. Bei präparierten Word-Dateien müssen Opfer Dokumente nicht nur öffnen, sondern in der Regel auch noch Makros darin aktivieren, die dann einen Trojaner herunterladen.
Verschiedenen Reports von Anbietern von Antiviren-Software war dieser Exploit einer der meistgenutzten im Jahr 2018.
Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Microsoft-Office-Gefaehrliches-RTF-Dokument-bringt-Backdoor-Trojaner-mit-4444187.html
(Quelle: www.heise.de Stand 10 von Dennis Schirrmacher)
Derzeit rollt eine neue Welle von Fake-Bewerbungen durch das Internet. Ziel ist es, den Erpressungstrojaner Gandcrab auf Computer zu bringen.
Wer dieser Tage eine E-Mail mit dem Betreff „Bewerbung für die ausgeschriebene Stelle“ oder „Bewerbung auf Ihre Stellenausschreibung“ erhält, sollte aufhorchen: Heise Security liegen mehrere Mails dieser Art vor, die ein Word-Dokument mitbringen, das einen Trojaner auf Windows-Computer holt. Vor allem Personaler sollten sich vor solchen Mails in Acht nehmen. Absender und Betreffzeile der Nachrichten variieren.
Der Dateiname des Dokuments besteht aus Ziffern – beispielsweise 418177678.doc – und es ist mit Makros versehen. Wer die Datei öffnet, wird aufgefordert die Makros zu aktivieren, um die Kompatibilität zu gewährleisten und das Dokument lesen zu können.
Das sollte man auf gar keinen Fall machen! Ansonsten holt man sich den Erpressungstrojaner Gandcrab auf den PC, haben Sicherheitsforscher von Hornet Security herausgefunden. Die Makros öffnen ihnen zufolge ein verstecktes Terminal, um mit PowerShell Kommandos auszuführen und so Gandcrab herunterzuladen und auszuführen. Der Schädling verschlüsselt Dateien und fordert ein Lösegeld.
So wie es aussieht, sind die Makros für Microsoft Word ausgelegt. Heise Security hat das Dokument in LibreOffice geöffnet und die Makros hatten dort keine Funktion.
Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie habe es schlicht mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können. Dementsprechend schlug zum Zeitpunkt der Meldung keiner der 58 Scanner der Analyseplattform Virustotal an.
Damit Opfer das Dokument öffnen können, haben die Drahtzieher das Passwort in die Mail geschrieben. Wer so eine Nachricht bekommt, sollte sie löschen und den Anhang am besten gar nicht erst herunterladen geschweige denn öffnen.
Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Fake-Bewerbungsmails-Trojaner-versteckt-sich-erfolgreich-vor-Antiviren-Software-4419591.html?utm_source=pocket-newtab
(Quelle: www.heise.de Stand 11 von Olivia von Westernhagen)
Mehrere zum Patchday verteilte Updates machen Probleme unter Windows 7 SP 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1 und Windows Server 2012 R2.
Die am vergangenen Patchday veröffentlichten kumulativen Windows-Security-Updates KB4493472 (für Windows 7 SP 1 und Windows Server 2008 R2 Service Pack 1) und KB4493446 (Monthly Rollup; Windows 8.1, Windows Server 2012 R2) verursachen auf zahlreichen Systemen schwerwiegende Probleme.
Gegenüber heise online berichteten Leser, dass nach dem Rollout von KB4493472 keine Netzwerkverbindung und Domänenanmeldung mehr möglich gewesen sei.
Wie Microsofts Beschreibungen sowohl zu KB4493472 als auch zu KB4493446 zu entnehmen ist, können Probleme vor allem auch dann auftreten, wenn auf den betreffenden Systemen Sophos Endpoint Protection – verwaltet über Sophos Central Endpoint oder Sophos Enterprise Console (SEC) – installiert ist. In dieser Konstellation kann es zum Einfrieren von Systemen oder – direkt im Anschluss an die Installation – zu Systemabstürzen nach dem Reboot kommen. Leserzuschriften und Diskussionen in diversen Foren bestätigen diese Symptome vor allem im Hinblick auf KB4493472.
Sophos beschreibt in einem Blogeintrag überdies, dass auch KB4493467, KB4493448, KB4493450 und KB4493451 in Verbindung mit Sophos Central Endpoint und Sophos Enterprise Console zu Komplikationen auf Systemen mit Windows 7 SP 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1 und Windows Server 2012 R2 führen können.
Dem Blogeintrag ist weiterhin zu entnehmen, dass Microsoft die Auslieferung aller genannten Updates an Systeme mit installierter Sophos Endpoint Protection blockiert habe, bis eine Lösung gefunden ist.
Admins sowie Nutzer von Windows-Clientversionen, die die betreffenden Updates noch nicht eingespielt haben, sollten diese vorsichtshalber blockieren.
Wer die Updates schon installiert hat und mit den beschriebenen Problemen kämpft, muss diese wohl oder übel wieder deinstallieren.
Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/newsticker/meldung/Nach-Patchday-KB4493472-KB4493446-und-weitere-Updates-legen-Windows-lahm-4374996.html
Zum 31.05.2019 wird die alte Version 11.7 seitens Acronis auf End of Life gesetzt. Das bedeutet, dass der erweiterte Support ab diesem Zeitpunkt endet und Sie keine Updates und Upgrades mehr für diese Version erhalten. Die Version 11.7 wird dementsprechend auch nicht mehr weiterentwickelt.
Wir empfehlen Ihnen daher, auf die aktuelle Acronis Backup Version 12.5 umzustellen. Sie benötigen ein Angebot? Oder Sie haben Fragen zu den Produkten und Lösungen? Bitte rufen Sie uns an, wir beantworten gerne Ihre Fragen.
Zum 02.04.2019 wird der Standard Support für Backup Exec 16 inklusive aller Agenten und Options seitens des Herstellers Veritas eingestellt. Das bedeutet, dass der Support ab diesem Zeitpunkt endet und Sie keine Updates und Upgrades mehr für diese Version erhalten. Diese Version wird dann nicht mehr weiterentwickelt.
Wir empfehlen Ihnen daher, auf die aktuelle Version Backup Exec 20 umzustellen. Nutzen Sie die Möglichkeit, durch ein Produkt-Upgrade kostengünstig umzustellen. Sie benötigen ein Angebot? Oder Sie haben Fragen zu den Produkten und Lösungen? Bitte rufen Sie uns an, wir beantworten gerne Ihre Fragen: Tel. 0221/6777670.
(Quelle: www.heise.de Stand 20 von Dennis Schirrmacher)
Wer nicht aufpasst, fängt sich den Windows-Trojaner Emotet ein. Bei E-Mails mit Dateianhang sollte man argwöhnisch sein – immer!
Bei E-Mails mit Dateianhang sollte man argwöhnisch sein – immer. Dieser Tage landen gehäuft gefälschte Rechnungen in Mail-Postfächern. Im Anhang dieser Nachrichten befindet sich ein PDF-Dokument. Die Mails weisen Betreffzeilen wie „Zahlungsanfrage“ oder „Fehlende Rechnung“ auf.
Mehrere Leser haben heise Security solche Mails weitergeleitet. Der Text in den Mails ist kurz und knapp und variiert. Wirklich überzeugend wirkt das nicht – es gab schon weitaus glaubhaftere und somit gefährlichere Rechnungsmails. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund warnt auf Twitter vor diesen Nachrichten. Auch das LKA Niedersachsen beobachtet derzeit ein erhöhtes Aufkommen.
Wer so eine Mail bekommt, sollten den Anhang nicht herunterladen und die Nachricht löschen. Die Drahtzieher dieser Spam-Kampagne wollen über diesen Weg Windows-Computer mit dem Multifunktionstrojaner Emotet anstecken. Das alleinige Öffnen des PDFs löst aber noch keine Infektion aus.
In dem Dokument befindet sich ein Link, der zu einem Word-Dokument führt. Dieses ist mit Makros präpariert. Der Text darin versucht, Opfer dazu zu bringen, die Makros zu aktivieren. In der Regel ist diese Funktion standardmäßig deaktiviert. Eigentlich sollen Makros beispielsweise wiederkehrende Aufgaben bei der Erstellung eines Dokumentes zu automatisieren. In diesem Fall missbrauchen die Betrüger die Funktion aber dazu, um den Schädling herunterzuladen. Für eine erfolgreiche Infektion müssen Opfer also mehrere Schritte mitmachen.
Parallel dazu sind auch wieder Fake-Rechnungsmails mit einem gefährlichen Link unterwegs, die von vermeintlich Bekannten oder Arbeitskollegen stammen. Diese maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen. Die heise Security vorliegende Mail ist aber nicht sehr gut gemacht.
Diese Form von Makros funktionieren aber nur mit Microsoft Office. Nutzer von LibreOffice und OpenOffice sollten nicht gefährdet sein. Wie man sich vor Emotet & Co. schützen kann, zeigt ein Hintergrundartikel von heise Security.
Wie sich Unternehmen auf die Gefahren durch Emotet und Co. optimal vorbereiten können, das ist auch einer der Schwerpunkte der diesjährigen Heise-Security-Tour „Wissen schützt – Cybercrime Next Generation abwehren“. Das Thema spielt auch auf der im März in Hannover stattfindenden secIT 2019 eine Rolle.
Ende 2018 gab es eine große Emotet-Welle, unter der vor allem Unternehmen litten. Dabei entstanden Schäden in Millionenhöhe. Ende Januar hing Emotet an gefälschten Vodafone-Rechnungen, um Privatpersonen ins Visier zu nehmen.
Emotet ist besonders gefährlich, weil er vielseitig einsetzbar ist. Er kann etwa den Banking-Trojaner Trickbot auf Computer holen und Passwörter aus Browsern und Mail-Clients kopieren. Außerdem kann er sich in Netzwerken wurmartig verbreiten.
Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Vorsicht-vor-Betrueger-Mails-mit-gefaelschten-PDF-Rechnungen-4313471.html
(Quelle: www.heise.de Stand von Fabian A. Scherschel)
Das CERT-Bund, die Computer-Gefahrenstelle der Bundesverwaltung, warnt aktuell vor einer Ausbruchswelle des Verschlüsselungstrojaners GandCrab, der sich wieder einmal über Bewerbungs-Unterlagen verbreitet.
Die Methode mit der zuerst der Verschlüsselungstrojaner Goldeneye deutsche Unternehmen in Verlegenheit gebracht hatte, funktioniert Jahre später offensichtlich immer noch. Immerhin sind die Angriffe verbreitet genug, um das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) betriebene CERT zu einer Warnung zu veranlassen.
Laut CERT-Bund verbreitet sich der Trojaner über E-Mails, die vorgeben die Bewerbung einer Person namens Saskia Heyne zu sein – Vorsicht: dieser Name kann sich im Laufe der Infektionswelle durchaus ändern. Im Anhang befindet sich ein Word-Dokument, das beim Öffnen versucht, den Anwender zur Aktivierung von Makros zu überreden. Ohne diesen Schritt kann der Trojaner seinen Schadcode nicht ausführen.
Das Dokument gibt vor „mit einer älteren Version von Microsoft Word erstellt“ worden zu sein und versucht das Opfer dazu zu verleiten, per Kompatibilitätsmodus aktive Inhalte des Dokumente zu aktivieren. Kommen Sie dieser Anweisung auf keinen Fall nach! Die Aktivierung der Makros erlaubt es dem Trojaner, auf das System zuzugreifen und wichtige Daten zu verschlüsseln.
Technisch gesehen ist GandCrab ein alter Hut, allerdings scheinen immer noch genügend Nutzer auf solche Tricks reinzufallen, dass sich das Versenden der Phishing-Mails lohnt. Man sollte sich auch nicht darauf verlassen, dass der auf dem System installierte Viren-Wächter den Schädling ausschaltet, bevor der Nutzer die Word-Makros aktiviert und damit den Rechner an den Trojaner ausliefert. Aktuell schlagen laut des Web-Scanners VirusTotal immer noch nicht alle AV-Programme auf den Schädling an. Und das, obwohl die Infektionsdatei schon zwei Tage alt ist.
Außerdem könnten sich bereits abgewandelte Formen des Trojaners im Umlauf befinden. Der beste Schutz vor dieser Art Angriffe ist immer noch, derart E-Mails äußerst skeptisch zu behandeln und auf keinen Fall Office-Makros für Dateien zu aktivieren, die nicht aus absolut vertrauenswürdigen Quellen kommen – also schon gar nicht bei Dokumenten, die man per Mail von Unbekannten erhalten hat.
Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Erste-Dynamit-Phishing-Welle-des-Jahres-Trojaner-GandCrab-ist-zurueck-4278333.html
(Quelle: www.heise.de Stand )
BSI, CERT-Bund und Cybercrime-Spezialisten der LKAs sehen eine akute Welle von Infektionen mit Emotet, die Millionenschäden anrichtet.
Eine Cybercrime-Gang legt derzeit in Deutschland ganze Firmen lahm. Die Schäden erreichen schon in einzelnen Fällen Millionenhöhe; der Gesamtumfang lässt sich noch nicht überblicken. Der Verursacher ist Emotet – ein Trojaner, der mit äußerst gut gemachten Phishing-Mails ins Haus kommt und dabei kaum von echten Mails zu unterscheiden ist.
Die Emotet-Mails mit Trojaner-Anhang stammen scheinbar von Kollegen, Geschäftspartnern oder Bekannten. CERT-Bund und Polizei-Behörden berichten von einer großen Zahl von Infektionen vor allem bei Unternehmen und Behörden; allein der Zentralen Ansprechstelle Cybercrime des LKA Niedersachsen liegen dutzende aktuelle Vorfälle bei Firmen vor.
Die Kriminellen haben sich offenbar Methoden und Techniken der staatlich geförderten Hacker-Gruppen abgeschaut: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden“ erklärt BSI-Präsident Arne Schönbohm die neuartige Qualität der Angriffe. Konkrete Vorbilder für die neuen Cybercrime-Aktivitäten sind Spear-Phishing und das sogenannte Lateral Movement nach einer Infektion.
Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Achtung-Dynamit-Phishing-Gefaehrliche-Trojaner-Welle-legt-ganze-Firmen-lahm-4241424.html