Derzeit sind erneut vermehrt E-Mails mit Fake-Rechnungen in Umlauf

/in /von

(Quelle: www.heise.de Stand 20.02.2019,  von Dennis Schirrmacher)

Wer nicht aufpasst, fängt sich den Windows-Trojaner Emotet ein. Bei E-Mails mit Dateianhang sollte man argwöhnisch sein – immer!

Vorsicht vor Betrüger-Mails mit gefälschten PDF-Rechnungen

Bei E-Mails mit Dateianhang sollte man argwöhnisch sein – immer. Dieser Tage landen gehäuft gefälschte Rechnungen in Mail-Postfächern. Im Anhang dieser Nachrichten befindet sich ein PDF-Dokument. Die Mails weisen Betreffzeilen wie „Zahlungsanfrage“ oder „Fehlende Rechnung“ auf.

Mehrere Leser haben heise Security solche Mails weitergeleitet. Der Text in den Mails ist kurz und knapp und variiert. Wirklich überzeugend wirkt das nicht – es gab schon weitaus glaubhaftere und somit gefährlichere Rechnungsmails. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund warnt auf Twitter vor diesen Nachrichten. Auch das LKA Niedersachsen beobachtet derzeit ein erhöhtes Aufkommen.

Vom PDF zum Word-Dokument zum Trojaner

Wer so eine Mail bekommt, sollten den Anhang nicht herunterladen und die Nachricht löschen. Die Drahtzieher dieser Spam-Kampagne wollen über diesen Weg Windows-Computer mit dem Multifunktionstrojaner Emotet anstecken. Das alleinige Öffnen des PDFs löst aber noch keine Infektion aus.

In dem Dokument befindet sich ein Link, der zu einem Word-Dokument führt. Dieses ist mit Makros präpariert. Der Text darin versucht, Opfer dazu zu bringen, die Makros zu aktivieren. In der Regel ist diese Funktion standardmäßig deaktiviert. Eigentlich sollen Makros beispielsweise wiederkehrende Aufgaben bei der Erstellung eines Dokumentes zu automatisieren. In diesem Fall missbrauchen die Betrüger die Funktion aber dazu, um den Schädling herunterzuladen. Für eine erfolgreiche Infektion müssen Opfer also mehrere Schritte mitmachen.

Parallel dazu sind auch wieder Fake-Rechnungsmails mit einem gefährlichen Link unterwegs, die von vermeintlich Bekannten oder Arbeitskollegen stammen. Diese maßgeschneiderten Nachrichten (Spear Phishing) werden in großer Zahl verschickt und man kann hier von Dynamit-Phishing sprechen. Die heise Security vorliegende Mail ist aber nicht sehr gut gemacht.

So schützt man sich

Diese Form von Makros funktionieren aber nur mit Microsoft Office. Nutzer von LibreOffice und OpenOffice sollten nicht gefährdet sein. Wie man sich vor Emotet & Co. schützen kann, zeigt ein Hintergrundartikel von heise Security.

Wie sich Unternehmen auf die Gefahren durch Emotet und Co. optimal vorbereiten können, das ist auch einer der Schwerpunkte der diesjährigen Heise-Security-Tour „Wissen schützt – Cybercrime Next Generation abwehren“. Das Thema spielt auch auf der im März in Hannover stattfindenden secIT 2019 eine Rolle.

Perfider Schädling

Ende 2018 gab es eine große Emotet-Welle, unter der vor allem Unternehmen litten. Dabei entstanden Schäden in Millionenhöhe. Ende Januar hing Emotet an gefälschten Vodafone-Rechnungen, um Privatpersonen ins Visier zu nehmen.

Emotet ist besonders gefährlich, weil er vielseitig einsetzbar ist. Er kann etwa den Banking-Trojaner Trickbot auf Computer holen und Passwörter aus Browsern und Mail-Clients kopieren. Außerdem kann er sich in Netzwerken wurmartig verbreiten.

Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Vorsicht-vor-Betrueger-Mails-mit-gefaelschten-PDF-Rechnungen-4313471.html

Erste Dynamit-Phishing Welle des Jahres: Trojaner GandCrab ist zurück

/in /von

(Quelle: www.heise.de Stand 16.01.2019,  von Fabian A. Scherschel)

Unbekannte verschicken momentan massenweise gefälschte Bewerbungen, in denen ein Verschlüsselungstrojaner lauert.

Das CERT-Bund, die Computer-Gefahrenstelle der Bundesverwaltung, warnt aktuell vor einer Ausbruchswelle des Verschlüsselungstrojaners GandCrab, der sich wieder einmal über Bewerbungs-Unterlagen verbreitet.

Die Methode mit der zuerst der Verschlüsselungstrojaner Goldeneye deutsche Unternehmen in Verlegenheit gebracht hatte, funktioniert Jahre später offensichtlich immer noch. Immerhin sind die Angriffe verbreitet genug, um das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) betriebene CERT zu einer Warnung zu veranlassen.

Laut CERT-Bund verbreitet sich der Trojaner über E-Mails, die vorgeben die Bewerbung einer Person namens Saskia Heyne zu sein – Vorsicht: dieser Name kann sich im Laufe der Infektionswelle durchaus ändern. Im Anhang befindet sich ein Word-Dokument, das beim Öffnen versucht, den Anwender zur Aktivierung von Makros zu überreden. Ohne diesen Schritt kann der Trojaner seinen Schadcode nicht ausführen.

Das Dokument gibt vor „mit einer älteren Version von Microsoft Word erstellt“ worden zu sein und versucht das Opfer dazu zu verleiten, per Kompatibilitätsmodus aktive Inhalte des Dokumente zu aktivieren. Kommen Sie dieser Anweisung auf keinen Fall nach! Die Aktivierung der Makros erlaubt es dem Trojaner, auf das System zuzugreifen und wichtige Daten zu verschlüsseln.

Nicht auf Virenscanner verlassen

Technisch gesehen ist GandCrab ein alter Hut, allerdings scheinen immer noch genügend Nutzer auf solche Tricks reinzufallen, dass sich das Versenden der Phishing-Mails lohnt. Man sollte sich auch nicht darauf verlassen, dass der auf dem System installierte Viren-Wächter den Schädling ausschaltet, bevor der Nutzer die Word-Makros aktiviert und damit den Rechner an den Trojaner ausliefert. Aktuell schlagen laut des Web-Scanners VirusTotal immer noch nicht alle AV-Programme auf den Schädling an. Und das, obwohl die Infektionsdatei schon zwei Tage alt ist.

Außerdem könnten sich bereits abgewandelte Formen des Trojaners im Umlauf befinden. Der beste Schutz vor dieser Art Angriffe ist immer noch, derart E-Mails äußerst skeptisch zu behandeln und auf keinen Fall Office-Makros für Dateien zu aktivieren, die nicht aus absolut vertrauenswürdigen Quellen kommen – also schon gar nicht bei Dokumenten, die man per Mail von Unbekannten erhalten hat.

 

Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Erste-Dynamit-Phishing-Welle-des-Jahres-Trojaner-GandCrab-ist-zurueck-4278333.html

Achtung Dynamit-Phishing

/in /von

(Quelle: www.heise.de Stand 05.12.2018)

Gefährliche Trojaner-Welle legt ganze Firmen lahm.

BSI, CERT-Bund und Cybercrime-Spezialisten der LKAs sehen eine akute Welle von Infektionen mit Emotet, die Millionenschäden anrichtet.

Eine Cybercrime-Gang legt derzeit in Deutschland ganze Firmen lahm. Die Schäden erreichen schon in einzelnen Fällen Millionenhöhe; der Gesamtumfang lässt sich noch nicht überblicken. Der Verursacher ist Emotet – ein Trojaner, der mit äußerst gut gemachten Phishing-Mails ins Haus kommt und dabei kaum von echten Mails zu unterscheiden ist.

Die Emotet-Mails mit Trojaner-Anhang stammen scheinbar von Kollegen, Geschäftspartnern oder Bekannten. CERT-Bund und Polizei-Behörden berichten von einer großen Zahl von Infektionen vor allem bei Unternehmen und Behörden; allein der Zentralen Ansprechstelle Cybercrime des LKA Niedersachsen liegen dutzende aktuelle Vorfälle bei Firmen vor.

Die Kriminellen haben sich offenbar Methoden und Techniken der staatlich geförderten Hacker-Gruppen abgeschaut: „Emotet ist nach unserer Einschätzung ein Fall von Cyber-Kriminalität, bei der die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert wurden“ erklärt BSI-Präsident Arne Schönbohm die neuartige Qualität der Angriffe. Konkrete Vorbilder für die neuen Cybercrime-Aktivitäten sind Spear-Phishing und das sogenannte Lateral Movement nach einer Infektion.

Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Achtung-Dynamit-Phishing-Gefaehrliche-Trojaner-Welle-legt-ganze-Firmen-lahm-4241424.html

Trojaner: Achtung bei angeblichen Rechnungen

/in /von

(Quelle: www.heise.de Stand 12.11.2018)

Vetrauenswürdiger Absender, glaubhafter Text in gutem Deutsch –
und trotzdem handelt es sich bei der angehängten Rechnung um einen Trojaner.

Derzeit spült es wieder in großem Umfang gefälschte Rechnungen in die Mail-Postfächer. Die Mails stammen oft scheinbar von Kollegen, Geschäftspartnern und auch von angeblichen Telekom-Rechnungen berichten Leser. Sie sind in gutem Deutsch verfasst und erzählen Geschichten von Rechnungskorrekturen oder -reklamationen wegen falscher Mehrwertsteuer. Und alle haben gemeinsam, dass sie als Anhang eine DOC-Datei enthalten, die versucht, das System mit Schad-Software zu infizieren.

Die DOC-Datei enthält Makros, deren Aktivierung durch einen Trick versucht wird. Angeblich handelt es sich um ein Dokument, das in der Online-Version „Office 365“ erstellt wurde. Um es anzusehen, müsse man „Enable content“ klicken. Wer das tut, aktiviert ein Makro, das im Hintergrund via Powershell Schad-Software aus dem Internet nachlädt und startet. In einem von heise Security analysierten Fall war das die auf Passwort-Diebstahl und Online-Banking-Betrug spezialisierte Malware Emotet.

Antiviren-Software schützt kaum

Antiviren-Software schützt derzeit nicht ausreichend vor dieser Gefahr. Zumindest die statische Erkennungsquote der Scanner bei Virustotal ist erschreckend niedrig; viele bekannte AV-Programme erklären die DOC-Datei und auch die nachgeladenen Malware-Programme für sauber. Darauf, dass der Wächter beim Öffnen des Dokuments trotzdem aktiv wird und eine Infektion verhindert, sollte man sich lieber nicht verlassen.

Am besten schützt man sich, indem man keine Office-Dateien öffnet, die einen via Mail erreichen. Und auf gar keinen Fall sollte man der Aktivierung der Makros zustimmen – auch wenn es noch so plausibel erscheint. Oft klärt auch schon ein kurzer Rückruf bei Kollegen, dass dieser nichts von der angeblich von ihm stammenden Mail weiß.

Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Trojaner-Achtung-bei-angeblichen-Rechnungen-4219043.html

Vorsicht! Neue betrügerische Bewerbungsmail mit Erpressungstrojaner im Umlauf

/in /von

(Quelle: www.heise.de Stand 07.11.2018)

GrandCrab geht in die nächste Runde

Derzeit kursiert eine gefakte Bewerbung von „Peter Reif“ im Internet. Nach dem Öffnen des Dateianhangs verschlüsselt ein Schädling Daten und fordert Lösegeld.

Wer dieser Tage eine E-Mail mit dem Betreff „Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif“ erhält, sollte die Mail umgehend löschen und den Dateianhang unter keinen Umständen öffnen. Berichten zufolge variiert der Namen in den Mails und es gibt auch Versionen mit beispielsweise „Peter Schnell“, „Caroline Schneider“ und „Viktoria Henschel“. Leser haben heise Security eine Mail mit dem gefährlichen Anhang weitergeleitet.

Der Empfang der Mail und das Entpacken des Archivs löst nach jetzigem Kenntnisstand noch keine Infektion aus. Erst wer das Archiv entpackt und die darin enthaltene Datei öffnet, holt sich einen Windows-Erpressungstrojaner auf den Computer, der Dateien verschlüsselt und erst nach einer Lösegeld-Zahlung wieder freigeben will. Dem Online Analysedienst Virustotal zufolge handelt es sich dabei um die Ransomware GandCrab 5.0.4.

Infektionsvorgang

Die Mail ist in sauberem Deutsch formuliert und im Anhang der Mail befindet sich ein passwortgschütztes RAR-Archiv, in dem sich die Datei „Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe“ befindet. Das Kennwort für das Archiv findet sich in der Nachricht.

In der Mail steht, dass der Fake-Bewerber das Archiv aus Gründen der Privatsphäre mit einem Kennwort geschützt hat – das ist aber Blödsinn. Die Drahtzieher der Kampagne haben ein Passwort vergeben, damit Virenscanner nicht in das Archiv gucken können. Die können das nämlich nur, wenn man ihnen das Kennwort für ein geschütztes Archiv mitteilt. Derzeit stufen auf Virustotal lediglich zwei von 68 Scannern das Archiv als gefährlich ein.

Da Windows in der Standardeinstellung bekannte Dateiendungen (.exe) ausblendet, sieht es so aus, als handelt es sich um ein PDF-Dokument. Es ist aber immer noch um eine ausführbare Datei. Wer doppelt auf „Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf“ klickt löst die Infektion aus. Auf die als PDF getarnte .exe-Datei schlagen momentan 39 Scanner auf Virustotal an.

Entschlüsselungstool für GandCrab noch aktuell?

Ende Oktober hat Bitdefender sein kostenloses Entschlüsselungstool für GandCrab-Opfer aktualisiert und mit der Version 5.0.3 kompatibel gemacht. Bitdefender zufolge kursieren derzeit zwei Subvarianten von GandCrab 5.0.4. Mit einer davon soll das Tool kompatibel sein. Opfer sollten es in jedem Fall ausprobieren.

GandCrab hängt schon länger als gefährlicher Dateianhang an gefakten Bewerbungsmails. Außerdem haben die Malware-Entwickler den Schädling als Software-Cracks getarnt.

Zum vollständigen Artikel gelangen sie hier: https://www.heise.de/security/meldung/Vorsicht-Neue-betruegerische-Bewerbungsmail-mit-Erpressungstrojaner-im-Umlauf-4214191.html

 

Nachlese: it-sa 2018 ein voller Erfolg

/in /von

Die it-sa IT-Security Messe in Nürnberg war ein voller Erfolg.

Wir danken unseren Kunden und Interessenten, dass sie uns am Stand besucht haben und wir viele interessante Gespräche führen durften. Der Hersteller dataglobal war im Bereich Archivierung mit personeller Unterstützung an unserem Stand zugegen.

Neben den Fragen rund um die DSGVO waren die möglichen Lösungen zur Sicherheit der Unternehmensdaten ein Hauptthema. Ein weiteres wichtiges Thema war in diesem Jahr der Schutz der Endgeräte, wo uns z. B. die Hersteller Bitdefender (GravityZone Lösung) und Virtual Solution (SecurePIM für mobile Geräte) unterstützt haben.

 

GANDCRAB Ransomware auf dem Vormarsch – Warnung

/in /von

Derzeit stellen wir einen erhöhten Befall durch den GANDCRAB Schadcode fest. Dieser verschlüsselt auf Rechnern und Servern Ihre Benutzerdaten und fordert zur Lösegeld Zahlung auf. Der Schadcode entfernt sich nach der Verschlüsselung selbstständig und hinterlässt die Dateiendung .KRAB. Die hauptsächliche Verteilung erfolgt über SPAM-E-Mail und E-Mail Anhänge. Einige Virenscanner erkennen die Bedrohung nicht, sodass die Verschlüsselung selten direkt erkannt wird.

In aktuellen Fällen wurde der Schadcode durch vermeintliche Bewerbungs-E-Mails mit einem gepackten Anhang namens „Bewerbung.zip“ oder „Lebenslauf.zip“ versendet.

Wir empfehlen Ihnen grundsätzlich:

  • Öffnen Sie KEINE Anhänge von E-Mails, die verdächtig sein könnten
  • Öffnen Sie KEINE Anhänge von E-Mails von unbekannten Absendern
  • Sobald Sie dies doch ausgeführt haben, trennen sie den betroffenen Rechner SOFORT vom Netzwerk
  • Stellen Sie sicher, dass Sie einen Virenscanner installiert und aktualisiert betreiben
  • Stellen Sie sicher, dass Ihre unternehmenskritischen und wichtigen Daten aktuell gesichert sind
  • Ziehen Sie uns zu Rate, wenn Sie unsicher sind

Wenn Sie eine Verseuchung feststellen, trennen Sie sofort Ihren Rechner vom Netzwerk, um die Verschlüsselung im Netzwerk einzudämmen/zu verhindern. Melden Sie sich bei uns, um den weiteren Ablauf zu planen.

Für eine genaue Beschreibung, wie der Schadcode ausgeführt wird, können wir Ihnen gern die aktuellen Erkenntnisse zur Verfügung stellen.

Paessler PRTG

/in /von

Um eine stabile und effiziente IT-Infrastruktur betreiben zu können, ist nichts wichtiger als Information.

Egal ob präventiv oder reaktiv auf Probleme und Entwicklungen reagiert wird, nichts ist von so entscheidender Bedeutung, wie über den anliegenden Sachverhalt Bescheid zu wissen.

Aus diesem Grund ist es unabdingbar, die Geräte und Server in einem Netzwerk zu überwachen, die für ein gelingendes, reibungsfreies Arbeiten von Bedeutung sind. Mit Paessler PRTG können wir Ihnen eine auf ihre Bedürfnisse genau abstimmbare Monitoring-Lösung anbieten mit welcher Sie genau das erreichen.

Mit Paessler PRTG haben Sie nicht nur eine einfach zu administrierende Software zur Überwachung Ihrer IT, nein Sie können diese auch beliebig soweit erweitern wie es Ihren Bedürfnissen entspricht.

Für allgemeine Fragen zum Produkt klicken Sie bitte hier.

Für technische Fragen klicken Sie bitte hier hier.

Gerne stehen wir Ihnen auch für weitere Fragen zum Produkt oder zur Umsetzung zur Verfügung.

Die neue Enterprise Vault Suite – Alles drin

/in /von

Veritas hat die neue Enterprise Vault Suite veröffentlicht, die alle Anforderungen an ein modernes Datenmanagement in Zeiten der DSGVO erfüllt.

Alle Vorteile von Enterprise Vault wie

– Mailbox Archivierung und Supervision (Journaling)
– Archive Discovery
– Klassifizierung und Retention (sehr wichtig für die Erfüllung der DSGVO)
– File Governance (File Archivierung, Sharepoint und Data Insight Analyse
– Skype für Business Archivierung

sind in der neuen Suite erhalten und das zu einem günstigen Lizenzpreis. Und das alles ist nicht nur für Neukunden interessant, es gibt auch interessante Crossgrade-Angebote für Bestandskunden von Enterprise Vault.

Wappnen Sie sich mit der Allround-Lösung für die neuen Herausforderungen. Kontaktieren Sie uns per Mail oder rufen Sie einfach an und erhalten Sie Ihr individuelles Angebot.

DSGVO – Wie wir Sie unterstützen können

/in /von

Sie werden von unzähligen Informationen zur EU-DSGVO überhäuft und sind unsicher, wie Sie dieses Thema behandeln sollen? Wir haben die Grundanforderungen der DSGVO in 7 Säulen zusammengefasst und können Ihnen hierzu unterschiedliche Lösungsansätze anbieten. Sprechen Sie uns einfach an.

Zum Download des I.Tresor Lösungsportfolio EU-DSGVO