• Doppeltes Ungemach: Henry Schein gleich zweimal von Ransomware-Angriffen betroffen

    VonJuliane Heinen

    Henry Schein, ein in den Fortune 500 gelisteter US-amerikanischer Gesundheitskonzern mit Niederlassungen in 32 Ländern, wurde im Oktober 2023 zweimal innerhalb weniger Wochen von der Ransomware-Gruppe BlackCat (ALPHV) angegriffen. Der Fall zeigt, wie Angreifer nach einem ersten Einbruch im System verbleiben oder erneut eindringen können — und warum eine halbherzige Incident Response den Schaden vervielfacht.

    Erster Angriff: 15. Oktober 2023

    Henry Schein nahm mehrere Systeme als Reaktion auf den Angriff vom Netz. E-Mail- und Telefoninfrastruktur waren zeitweise nicht nutzbar. Das Unternehmen arbeitete teilweise mit Behelfsmitteln — tausende Bestellungen wurden per Telefon und Messenger entgegengenommen, was den Betrieb erheblich verlangsamte.

    Die dreiwöchige forensische Untersuchung ergab, dass sich die Angreifer Zugang zu sensiblen Daten verschafft hatten: Lieferanteninformationen, Zahlungskartennummern und Bankkontodaten. BlackCat bekannte sich zum Angriff und nahm Henry Schein auf ihre Leak-Site auf.

    Zweiter Angriff: Die erneute Verschlüsselung

    Henry Schein identifizierte die Ursache der Störung und begann mit der Wiederherstellung von Systemen und Daten. An diesem Punkt griff BlackCat erneut ein und verschlüsselte die Daten ein zweites Mal — die Wiederherstellungsbemühungen waren vergeblich.

    Ob die Angreifer zwischen den beiden Angriffen im System verblieben waren oder sich erneut Zugang verschafften, blieb unklar. Beide Szenarien sind gravierend:

    • Persistenz: Die Angreifer waren nie vollständig entfernt worden — eine häufige Konsequenz unvollständiger Incident Response
    • Erneuter Einbruch: Die initialen Einfallstore wurden nicht ausreichend geschlossen, sodass ein zweiter Einbruch möglich war

    BlackCat/ALPHV: Professionelle Ransomware-Gruppe

    BlackCat (auch ALPHV genannt) war zum Zeitpunkt des Angriffs eine der aktivsten Ransomware-Gruppen weltweit. Die Gruppe operierte als Ransomware-as-a-Service und war bekannt für die Double-Extortion-Methode: Daten verschlüsseln und gleichzeitig mit Veröffentlichung drohen.

    Im Dezember 2023 führte das FBI eine Disruption-Operation gegen BlackCat durch und übernahm temporär deren Leak-Site. Die Gruppe stellte den Betrieb Anfang 2024 ein — allerdings nicht ohne einen letzten Exit-Scam gegen ihre eigenen Affiliates.

    Lehren für Incident Response

    1. Vollständige Bereinigung vor Wiederherstellung

    Systeme wiederherstellen, bevor die Angreifer vollständig aus dem Netzwerk entfernt sind, ist der häufigste und teuerste Fehler in der Incident Response. Bevor ein System wieder online geht, muss sichergestellt sein, dass keine Backdoors, persistenten Zugänge oder kompromittierten Accounts verbleiben.

    2. Compromise Assessment nach jedem Vorfall

    Nach einem Ransomware-Angriff reicht es nicht, die verschlüsselten Systeme aus Backups wiederherzustellen. Ein vollständiges Compromise Assessment muss klären: Wie sind die Angreifer eingedrungen? Welche Systeme waren betroffen? Welche Persistenz-Mechanismen wurden installiert? Welche Daten wurden exfiltriert?

    3. Isolierte Backup-Infrastruktur

    Backups müssen offline oder in einem isolierten Netzwerksegment vorgehalten werden. Wenn Angreifer Zugriff auf die Backup-Infrastruktur haben, können sie Backups vor der Verschlüsselung löschen oder manipulieren — und eine Wiederherstellung unmöglich machen.

    4. Getestete Recovery-Prozesse

    Henry Schein brauchte Wochen für die Wiederherstellung — und wurde mittendrin erneut angegriffen. Disaster-Recovery-Prozesse müssen regelmäßig getestet werden — nicht nur dokumentiert. Die Recovery-Zeit (RTO) muss bekannt und realistisch sein.

    Handlungsempfehlungen

    • Incident Response Plan testen: Mindestens einmal jährlich eine Tabletop Exercise durchführen, die ein Ransomware-Szenario simuliert
    • Forensik vor Recovery: Niemals Systeme wiederherstellen, bevor die forensische Analyse den Angriffsvektor und alle Persistenz-Mechanismen identifiziert hat
    • Backup-Isolation: 3-2-1-Regel konsequent umsetzen — mindestens eine Kopie offline und für Angreifer unzugänglich
    • 24/7-Monitoring nach Vorfällen: In den Wochen nach einem Angriff ist erhöhte Wachsamkeit geboten — Angreifer kehren zurück

  • Cyberangriff auf Rheinische Post

    VonJuliane Heinen

    Am Abend des 16. Juni 2023 traf ein schwerwiegender Cyberangriff die Mediengruppe Rheinische Post. Betroffen waren die Rheinische Post, der General-Anzeiger Bonn, die Aachener Nachrichten, die Saarbrücker Zeitung und der Trierische Volksfreund — sowohl die Online- als auch die Printausgaben. Die Verlage mussten fast eine Woche lang im eingeschränkten Notbetrieb arbeiten und nur reduzierte Ausgaben veröffentlichen.

    Ablauf und Auswirkungen

    Nach Bekanntwerden des Angriffs schaltete die Mediengruppe betroffene Systeme ab, um eine weitere Ausbreitung von Schadsoftware zu verhindern. Die Wiederherstellung erfolgte schrittweise — Server für Server, System für System. Während des Notbetriebs erschienen die Zeitungen in stark reduziertem Umfang. Online-Portale waren teilweise nicht erreichbar.

    Die Mediengruppe erklärte zunächst, Nutzer- und Kundendaten seien „sicher”. Diese Einschätzung erwies sich als verfrüht: Wie am 30. August 2023 bekannt wurde, ergab die Überprüfung von rund 1.200 betroffenen Servern, dass doch Daten abgeflossen waren. Ob Nutzerdaten betroffen waren, ließ sich nicht mit Sicherheit ausschließen.

    Nachträgliche Entdeckung: Datenabfluss nicht auszuschließen

    Das Unternehmen informierte die Nutzer per Brief über die Entdeckung und empfahl, auf verdächtige Transaktionen auf Bankkonten zu achten und bei eingehenden E-Mails besonders wachsam zu sein — ein Hinweis auf die Möglichkeit gezielter Phishing-Angriffe mit den erbeuteten Daten.

    Der zeitliche Ablauf verdient besondere Beachtung: Zwischen dem Angriff im Juni und der Information der Nutzer über den möglichen Datenabfluss vergingen über zwei Monate. In dieser Zeit hätten Angreifer gestohlene Daten bereits für weitere Attacken nutzen können.

    Medienhäuser als Ziel: Warum die Branche besonders exponiert ist

    Medienhäuser sind aus mehreren Gründen attraktive Ziele für Cyberangreifer:

    • Zeitdruck als Hebel: Tageszeitungen müssen täglich erscheinen. Jeder Tag Ausfall kostet nicht nur Umsatz, sondern Leser und Abonnenten. Das erhöht die Bereitschaft, Lösegeld zu zahlen
    • Große Nutzerdatenbanken: Abonnenten-Daten, E-Mail-Adressen, Zahlungsinformationen — alles in zentralen Systemen
    • Komplexe IT-Landschaften: Content-Management-Systeme, Redaktionssysteme, Druckvorstufe, Verlagssoftware — viele Systeme, oft historisch gewachsen und nicht immer aktuell gepatcht
    • Öffentlichkeitswirkung: Ein Angriff auf eine große Tageszeitung generiert Aufmerksamkeit — für manche Angreifer ein Ziel an sich

    Lehren aus dem Vorfall

    • Transparente Kommunikation von Anfang an: Die voreilige Entwarnung bezüglich der Nutzerdaten erwies sich als falsch. Besser: Offene Kommunikation über das, was bekannt ist — und was nicht
    • Forensik braucht Zeit — Nutzer brauchen schnelle Information: Dass die vollständige forensische Analyse von 1.200 Servern Monate dauert, ist nachvollziehbar. Nutzer sollten dennoch frühzeitig über mögliche Risiken informiert werden — auch wenn der Umfang noch unklar ist
    • Incident-Response-Plan muss Kommunikation umfassen: Nicht nur die technische Bewältigung, sondern auch die Kommunikation mit Nutzern, Datenschutzbehörden und Öffentlichkeit muss vorab geplant sein
    • Netzwerksegmentierung: Wenn ein Angriff 1.200 Server erreicht, ist die Segmentierung unzureichend. Redaktionssysteme, Nutzerdatenbanken und Produktionssysteme müssen in getrennten Segmenten laufen

  • Konkurs wegen eines Cyberangriffs?

    VonJuliane Heinen

    Der Fahrrad- und E-Bike-Hersteller Prophete aus Rheda-Wiedenbrück mit den weiteren Marken Kreidler, VSF Fahrradmanufaktur, Cycle Union und E-Bikemanufaktur hat Konkurs angemeldet. Dieser Enthüllung war ein Cyberangriff vorausgegangen, der die Produktion fast einen Monat lang lahmlegte. Eine so lange Unterbrechung der Produktion wirkte sich auf den Absatz aus und führte zu einem Mangel an finanziellen Mitteln.

    Prophete ist ein deutscher Hersteller von Fahrrädern, Elektrofahrrädern und Mopeds. Zu dem Unternehmen gehören auch die Marken VSF Fahrradmanufaktur, Rabeneick und Kreidler. Außerdem besitzt sie ein Tochterunternehmen, die Cycle Union. Das Unternehmen hat etwa 400-450 Beschäftigte und verfügt über 4 Produktionsstätten. Im vergangenen Jahr sah sich das Unternehmen mit mehreren Herausforderungen konfrontiert, die sich erheblich auf seine Finanzlage auswirkten. Probleme in der Lieferkette, bei der Planung und ein unter den Erwartungen liegender Umsatz belasteten das Unternehmen.

    Deshalb hat das Unternehmen im vergangenen Jahr eine Finanzierungsrunde mit Gläubigern und Aktionären eingeleitet. Und alles hätte gut sein können, doch dann gab es einen Cyberangriff. Dadurch wurde nicht nur der Betrieb gestört, sondern auch die Finanzierungsrunde zum Scheitern gebracht. Leider ist über den Angriff selbst nicht viel bekannt. Nach Angaben des Unternehmens gab es Probleme bei der Rechnungsstellung, die die Probleme bei der Lieferung von Ersatzteilen noch verschärften.

    Dies kann auf einen Phishing-Angriff hindeuten, der höchstwahrscheinlich auf privilegierte Konten abzielt. Solche Angriffe auf Unternehmen werden per E-Mail verbreitet, weshalb sichere E-Mails für alle Unternehmen von entscheidender Bedeutung sind. Es ist unklar, warum die Strafverfolgungsbehörden erst einen Monat später benachrichtigt wurden. Im Falle eines Cyberangriffs muss das BSI innerhalb von 72 Stunden kontaktiert werden und alle betroffenen Kunden müssen über den Vorfall informiert werden.

    Der Cyberangriff war zwar nicht der einzige Faktor für die Insolvenz des Unternehmens, aber der letzte Strohhalm. Wer weiß, wie sich das Schicksal nach erfolgreichen zusätzlichen Finanzierungsrunden entwickelt hätte. Höchstwahrscheinlich wird das Unternehmen seine Aktivitäten mit neuen Eigentümern fortsetzen. Das hängt auch von den Schlussfolgerungen der Prüfung und der Untersuchung der wahren Folgen des Cyberangriffs ab, vielleicht ist alles schlimmer als wir denken.

    Unbestreitbare Investitionen in die Cybersicherheit des Unternehmens führen zu einem kontinuierlichen Betrieb. Sie macht das Unternehmen berechenbarer und widerstandsfähiger, verbessert den Ruf und kostet letztlich weniger. Es gibt keinen guten Zeitpunkt, um von Angreifern gehackt zu werden, aber in Zeiten finanzieller Not ist es besonders kritisch. Zögern Sie nicht, Ihr digitales Vermögen zu schützen, kontaktieren Sie https://stage.neosec.eu/!

  • Phishing wird immer heimtückischer

    VonJuliane Heinen

    Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele Länder ab, darunter auch Deutschland. Es werden infizierte Websites verwendet, die keinen Verdacht erregen, und selbst Aggregatoren und Google Alert nehmen diese Websites in ihre Mailings auf. Proofpoint (Cybersicherheitsunternhemen) hat bereits etwa 300 solcher Websites entdeckt und die Zahl könnte noch steigen.

  • Die Gefahren von OneNote-Dokumenten

    VonJuliane Heinen

    Eine neue bösartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die bösartige “.one”-Datei erstmals Anfang Dezember.

    Die Experten erhielten die Datei mit einer typischen Phishing-E-Mail. Die “.one”-Datei bestand aus bösartigen Skripten, die PowerShell-Befehle enthielten. Diese bestanden aus Anweisungen, um Dateien (sog. Payloads) von der Domain des Bedrohungsakteurs – a0745450[.]xsph[.]ru – herunterzuladen.

    Die Datei lädt andere bösartige Komponenten nicht automatisch herunter. Sie verleitet den Benutzer dazu, die Skriptausführung zu starten, indem er auf die einzige angezeigte Schaltfläche klickt, doch darunter befindet sich ein bösartiges Skript.

    Normalerweise warnt das System den Benutzer vor dem Öffnen einer Ausführungsdatei, aber diese Meldungen werden von den Benutzern häufig ignoriert.

    was der Benutzer sieht
    was wirklich vor sich geht

    Der weitere Weg der Malware ist schwer zu erkennen. Die Forscher behaupten, dass ein Formbook-Trojaner heruntergeladen wird, der aber jederzeit geändert werden kann.

    Formbook selbst ist ein Malware-as-a-Service, aber der gesamte Angriff könnte Teil eines Phishing-as-a-Service-Angriffs sein, worüber wir bereits geschrieben haben. Hierbei ist es wahrscheinlich, dass die Malware Browserdaten stiehlt und Screenshots macht, und die Folgen können mit der Zeit immer größer werden.

    Um die Risiken zu mindern, sollten Sie “.one”-Anhänge besser kennzeichnen, Mitarbeiter über Bedrohungen informieren und eine Mail Security Gateway Regeln konfigurieren. Es handelt sich (noch) nicht um einen typischen Angriff, aber je früher Sie sich vorbereiten, desto sicherer sind Sie.

  • Ist der erste Februar ein guter Tag für die Cybersicherheit?

    VonJuliane Heinen

    Kürzlich ist ein interessanter Tag in Bezug auf die IT-Sicherheit verstrichen, auf dessen Symbolkraft ich näher eingehen möchte. Im Jahr 2012 wurde der 1. Februar zum Nationalen Tag der Passwortzurücksetzung erklärt. Dieser Tag soll die Menschen an die Bedeutung des Passwortschutzes erinnern. Ist dies noch sinnvoll?

    Dieser Tag soll die Menschen dazu ermutigen, alle ihre Passwörter zu ändern, was die Sicherheit erhöhen soll. Aber wenn man so viele Passwörter ändern muss, erstellen die Leute sie in der Regel nach bestimmten Mustern oder, was noch schlimmer ist, sie verwenden überall dasselbe Passwort. Passwörter sollten unterschiedlich und sicher sein und an einem sicheren Ort aufbewahrt werden!

    Da es unmöglich ist, sich alle Passwörter zu merken, geschweige denn solche, die sich ständig ändern, bewahren die Menschen sie an unsicheren Orten auf. Zum Beispiel auf einem Blatt Papier unter der Tastatur. Wenn dies auf Sie oder Ihre Kollegen zutrifft, ändern Sie das Passwort sofort und werfen Sie den Zettel weg!

    Aber wie bewahren Sie Ihre Passwörter sicher auf?

    Sie sollten einen Passwort-Manager wie Bitwarden verwenden und Ihre Passwörter nicht nach einem Kalender ändern. Ja, sie müssen gelegentlich aktualisiert werden, aber nicht unbedingt einmal im Jahr oder noch öfter. Es ist sehr wichtig, Ihr Passwort zu ändern, wenn es möglicherweise durch eine Sicherheitsverletzung kompromittiert wurde oder wenn seine Länge nicht mehr den modernen Standards entspricht. Außerdem sollten Sie nie zweimal dasselbe Passwort verwenden.

    Passwortmanager verfügen über gute Passwortgeneratoren, die lange und zufällige Passwörter erstellen, welche Angreifer nicht erraten können. Auch die Verwendung von Passwörtern ist einfach: Sie können das Passwort mit ein paar Klicks kopieren oder eine Browsererweiterung verwenden, die Sie zur Verwendung des Passworts auffordert.

    Das einzige Passwort, das Sie sich merken müssen, ist das Master-Passwort. Es sollte sicher aufbewahrt und separat gelagert werden. Mit diesem Passwort erhalten Sie Zugang zum Tresor.

    Ein komplexes und nicht kompromittiertes Passwort ist viel besser als ein ständiger Wechsel von einfachen und unsicheren Passwörtern. Verwenden Sie einen Passwort-Manager und bleiben Sie sicher! Für die Einrichtung eines Passwort-Tresors für Organisationen kontaktieren Sie uns.

  • Verwaltung der Zugänge der Mitarbeiter?

    VonJuliane Heinen

    Im Oktober 2022 veröffentlichte der Twitter-Account der New York Post mehrere beleidigende und gewaltverherrlichende Tweets. Das Unternehmen erklärte zunächst, das Konto sei gehackt worden. Wenig später stellte sich heraus: Ein Mitarbeiter hatte die Tweets verfasst — ein Mitarbeiter, der für seine Rolle keinen Zugriff auf den offiziellen Twitter-Account hätte haben müssen.

    Das eigentliche Problem: Unkontrollierte Zugriffsrechte

    Der Vorfall war kein Cyberangriff im klassischen Sinne. Aber er illustriert ein Sicherheitsproblem, das in vielen Unternehmen existiert: Mitarbeiter haben Zugriff auf Systeme und Accounts, die sie für ihre tägliche Arbeit nicht benötigen.

    Das Prinzip dahinter ist so alt wie die IT-Sicherheit selbst: Least Privilege — jeder Benutzer erhält nur die minimalen Zugriffsrechte, die für seine Aufgabe erforderlich sind. In der Praxis wird dieses Prinzip häufig unterlaufen:

    • Berechtigungen werden bei Abteilungswechseln nicht angepasst: Ein Mitarbeiter wechselt von Marketing zu HR, behält aber den Zugriff auf Social-Media-Accounts
    • Geteilte Zugangsdaten: Team-Passwörter für Social-Media-Accounts, Admin-Portale oder Cloud-Dienste werden an mehr Personen weitergegeben als nötig
    • Fehlende regelmäßige Access Reviews: Berechtigungen werden einmal vergeben und nie überprüft
    • Kein Offboarding-Prozess: Ausscheidende Mitarbeiter behalten Zugriff auf Systeme, weil niemand die Deaktivierung anstößt

    Insider-Risiko: Nicht nur böswillig

    Wenn von Insider-Bedrohungen gesprochen wird, denken viele an bewusste Sabotage. Die Realität ist differenzierter. Laut dem Verizon Data Breach Investigations Report 2023 sind übermäßige Berechtigungen ein wesentlicher Faktor bei Datenschutzverletzungen durch Insider — ob fahrlässig oder absichtlich.

    Übermäßige Zugriffsrechte vergrößern den Blast Radius jedes Sicherheitsvorfalls:

    • Ein Phishing-Angriff auf einen Mitarbeiter mit zu vielen Rechten kompromittiert mehr Systeme
    • Ein gestohlenes Passwort eines Mitarbeiters mit Admin-Zugang öffnet das gesamte Netzwerk
    • Ein unzufriedener Mitarbeiter mit unnötig breitem Zugriff kann mehr Schaden anrichten

    Privilegierte Accounts: Mehr Schutz, nicht mehr Rechte

    Administratoren und Führungskräfte benötigen erweiterte Zugriffsrechte — das ist unvermeidlich. Aber diese Accounts erfordern zusätzliche Schutzmaßnahmen:

    • Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Accounts — ohne Ausnahme
    • Privileged Access Management (PAM): Zentrale Verwaltung und Überwachung privilegierter Zugänge, zeitlich begrenzte Rechteerweiterung (Just-in-Time Access)
    • Separate Admin-Accounts: Tägliche Arbeit mit Standard-Account, Administrative Aufgaben nur über dedizierten Admin-Account
    • Session-Monitoring: Protokollierung aller Aktionen mit privilegierten Accounts

    Identity Governance als kontinuierlicher Prozess

    Zugriffsrechte zu verwalten ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Effektives Identity Governance and Administration (IGA) umfasst:

    • Automatisiertes Provisioning und Deprovisioning: Zugriffsrechte werden automatisch vergeben, wenn ein Mitarbeiter eine Rolle antritt, und entzogen, wenn er sie verlässt
    • Regelmäßige Access Reviews: Manager bestätigen quartalsweise, dass ihre Teammitglieder nur die Rechte haben, die sie benötigen
    • Role-Based Access Control (RBAC): Berechtigungen werden an Rollen gebunden, nicht an Personen — das vereinfacht die Verwaltung erheblich
    • Anomalie-Erkennung: Ein SIEM, das ungewöhnliche Zugriffsmuster erkennt — ein Mitarbeiter, der plötzlich auf Systeme zugreift, die er nie zuvor genutzt hat

  • Phishing – Definition, Erklärung und Schutz

    VonJuliane Heinen

    Phishing ist eine betrügerische Nachricht, die darauf abzielt, Anmeldedaten zu stehlen, eine finanzielle Transaktion durchzuführen oder Zugang zu internen Systemen zu erhalten.

    Diese Art von Cyberangriffen ist die häufigste. Es gibt sie schon, seitdem es das Internet gibt und wird uns voraussichtlich auch in der Zukunft beschäftigen. Die Angriffsmethode des Phishing fällt unter das “Social Engineering”, d. h. sie beruht auf menschlichem Versagen. Und das passiert leider recht häufig.

    Die Hacker geben sich als bekanntes Unternehmen oder als eine andere Person, z. B. als Chef aus oder leiten ihre Opfer auf eine gefälschte Website. Einem Bericht von Check Point zufolge waren die am häufigsten für Phishing-Angriffe verwendeten Marken Microsoft, DHL und LinkedIn. Fast die Hälfte aller Phishing-Angreifer weltweit gaben sich als zugehörig zu diesen Unternehmen bzw. Netzwerken aus.

    Das ist auch nicht verwunderlich, denn diese Dienste gehören zu den beliebtesten der Welt, werden von vielen Menschen und Unternehmen genutzt und erscheinen vertrauenserweckend. Das bedeutet, dass eine E-Mail von einem solchen Unternehmen kaum Verdacht erregt, sodass die Angreifer mehr Möglichkeiten haben, die Opfer zu manipulieren.

    Es gibt verschiedene Anzeichen, an denen man Phishing-Nachrichten erkennen kann.

    Das erste Zeichen ist ein dringlicher Bedarf. Die Hacker wollen Sie davon überzeugen, dass Sie beispielweise so schnell wie möglich Ihr Passwort ändern, eine Transaktion durchführen, neue Datenschutzbestimmungen bestätigen müssen. Unter Zeitdruck entstehen weniger Zweifel an der Glaubwürdigkeit und Informationen werden weniger überprüft.

    Das zweite Anzeichen für Phishing können Fehler im Link oder Absender sein. Angreifer können Mails von einer Mailbox mit einem Namen aus einer Reihe von Zeichen oder mit einem Namen, der dem Firmennamen ähnelt, aber leicht verändert oder mit Fehlern versehen ist, versenden. Hacker wissen auch, dass dies alarmierend sein kann, und versuchen daher, dieses Vorgehen mit Linkverkürzern oder durch Ausnutzung anderer legitimer Funktionen zu verbergen.

    Das dritte Anzeichen sind Tippfehler im Text der Nachrichten, ein für dieses Unternehmen oder diese Person ungewöhnlicher Stil oder eine ungewöhnliche Anfrage. Ungewöhnliche E-Mails sollten Sie mit gesunder Skepsis betrachten und durch einen Anruf bei dem Unternehmen oder der Person überprüfen. Oder prüfen Sie, ob entsprechendes Schreiben über einen anderen zusätzlichen Kommunikationskanal versendet wird.

    Leider stehen auch die Angreifer nicht still und entwickeln ihre Werkzeuge weiter. Sie erstellen Anhänge und Links, die keinen Verdacht erregen, und erstellen immer überzeugendere E-Mails und vollständige Kopien von Websites. Das Hijacking (Übernahme von Kontrolle) von Konten trotz Zwei-Faktor-Authentifizierung und die Schaffung von Phishing-as-a-Service-Plattformen, über die wir bereits berichtet haben, können die Folge sein.

    Es ist notwendig, einen besseren Schutz zu verwenden

    Es besteht ein zunehmender Bedarf an komplexeren Sicherheitswerkzeugen als Reaktion auf die immer raffinierteren Angriffsmethoden. Zusätzlich zu den bereits üblichen Firewalls sollten die Mitarbeiter davor gewarnt werden, Anmeldeinformationen weiterzugeben oder Links und Anhänge zu öffnen. Die Systeme sollten so eingerichtet sein, dass sie E-Mails filtern und Anhänge und Links in einer sicheren, getrennten Umgebung öffnen. Ersteres schützt die Mitarbeiter vor dem Empfang der meisten Phishing-E-Mails, letzteres vor dem Hijacking und der Verschlüsselung aller Computerinhalte.

    Für Unternehmen wird es immer schwieriger, solche Maßnahmen aus eigener Kraft umzusetzen. Daher ist die Einbeziehung von Informationssicherheitsexperten unumgänglich.

    Wir bieten Schutz vor verschiedenen Arten von Angriffen, einschließlich Phishing. Der Schutz Ihres Unternehmens wird so schnell wie möglich nach den Bedürfnissen des Unternehmens konfiguriert. Und, was am wichtigsten ist, in Übereinstimmung mit neuen Herausforderungen aufrechterhalten. https://stage.neosec.eu/angebot/index.html

    Wir bieten auch Schulungen für Ihre Mitarbeiter zur Erkennung von Phishing-E-Mails an, nicht nur theoretisches Wissen, sondern wir führen auch Simulationen von Phishing-Angriffen durch, um das Bewusstsein der Mitarbeiter des Unternehmens zu beurteilen. Falls Sie sich über die Sicherheit von Anhängen nicht sicher sind, aber keine wichtigen Informationen verpassen wollen, dann können sie diesen Anhang in unserem sogenannten “Giftschrank” hochladen, und wir werden diesen auf Malware überprüfen.

    Für einen wirksamen Schutz vor Phishing ist es heute also notwendig, verschiedene Tools einzusetzen. Diese Tools sind unterschiedlich komplex und zielen darauf ab, Phishing-Nachrichten auf unterschiedliche Weise zu erkennen, um den höchsten Sicherheitsstandard zu gewährleisten.

  • Ein neues Malware-as-a-Service DuckLogs

    VonJuliane Heinen

    Malware-Forscher von Cyble haben einen neuen Malware-as-a-Service namens DuckLogs online entdeckt. Die Webseite behauptet, dass sie bereits über zweitausend Kunden hat, die über sechstausend erfolgreiche Angriffe durchgeführt haben.

    Quelle: cyble.com

    Es wird eine breite Palette von Funktionen angegeben, die es Ihnen ermöglichen, Dateien, E-Mails, Passwörter, Browserverläufe, Krypto-Wallets zu stehlen, die Fernsteuerung von Geräten zu übernehmen und vieles mehr.

    Quelle: cyble.com

    Cyberkriminelle verwenden zahlreiche Techniken, um die Entdeckung zu erschweren. Die Forscher gehen davon aus, dass die Verbreitung dieser Malware über E-Mails erfolgt, aber die Verbreitungskanäle sind nicht darauf beschränkt.

    Wie ähnliche Dienste bieten sie eine breite Palette von Funktionen, die verschiedene Arten von ausgeklügelten Angriffen zu relativ geringen Kosten ermöglichen, selbst für Angreifer ohne ein hohes Maß an Wissen in der Cyberkriminalität. Dadurch erhöht sich die Wahrscheinlichkeit, dass auch Ihr Gerät, Ihr Netzwerk oder Ihr Unternehmen kompromittiert wird, erheblich. Denn jetzt kann jeder ein Hacker werden, der raffinierte Angriffsmethoden anwendet.

    Ein weiteres Merkmal dieses Services ist eine noch größere Funktionserweiterung. Das ist ein Problem, denn wenn ein Hacker die erste Schwelle überwunden hat, kann er fast alle sensiblen Informationen stehlen, vollen Zugriff auf das Gerät erhalten und Sie sogar daran hindern, den Computer zu benutzen.

    Daher ist der Schutz vor dieser Malware äußerst wichtig. Nach den vorliegenden Informationen gibt es mehrere Stellen, an denen Sie sich schützen können.

    Denn es scheint, dass die Verbreitung durch Phishing erfolgt. So kann eine E-Mail mit Malware gefiltert oder ein bösartiger Anhang blockiert werden.

    Dateien, die DuckLogs enthalten oder enthalten könnten, werden untersucht und in die Datenbank aufgenommen, damit sie von Antivirenprogrammen überprüft werden können. Das Problem ist jedoch, dass Angreifer den Code ständig verbessern und verändern können, was die Wirksamkeit dieser Maßnahmen verringert. Selbst wenn ein Antivirenprogramm über eine Datenbank mit allen früheren Versionen dieser Malware verfügt, kann es sein, dass es eine neue Version nicht erkennt.

    Der Virus kann auch durch das Verhalten von Dateien erkannt werden, aber in diesem Fall haben wir eine breite Funktionalität, und daher sehr variables Verhalten. Um diese Malware zu erkennen, muss man daher ein Dutzend Anwendungen konfigurieren, die verschiedene Aspekte des Programmverhaltens auf Verdachtsmomente hin überwachen. Der Vorteil dieses Ansatzes besteht darin, dass die Einrichtung solcher Maßnahmen, ähnlich wie bei der E-Mail-Filterung, weniger von Viren-Updates abhängig ist und auch einen Schutz vor anderen Cyberangriffen bietet.

    Im Gegensatz zu Ransomware kann diese Malware die vollständige Kontrolle über das infizierte Gerät übernehmen. Das macht es viel schwieriger, diese Software zu entfernen, Daten wiederherzustellen und den normalen Betrieb des Geräts zu gewährleisten. Daher ist die Verhinderung der Infizierung eine wichtige Aufgabe.

    Leider nimmt die Anzahl und Raffinessen von Malware nicht ab, was eine höhere Komplexität und eine Ausweitung der Cyberabwehr erfordert. Zum Glück haben Sie uns, wir überwachen die neueste Malware, wenden die wirksamsten Schutzinstrumente an und implementieren sie für Sie.

  • 200.000 Kundenkonten von North Face wurden gestohlen

    VonJuliane Heinen

    Im August 2022 kompromittierten Angreifer rund 200.000 Kundenkonten auf der Website von The North Face — der Outdoor-Marke des VF-Corporation-Konzerns. Der Angriff lief über einen Monat unentdeckt und nutzte die Credential-Stuffing-Methode: automatisiertes Testen von Zugangsdaten aus früheren Datenlecks anderer Dienste. The North Face meldete den Vorfall aufgrund gesetzlicher Meldepflichten und informierte betroffene Nutzer.

    Credential Stuffing: Alter Angriff, neue Dimension

    Credential Stuffing ist keine neue Technik. Angreifer nutzen dabei Kombinationen aus E-Mail-Adressen und Passwörtern, die bei früheren Datenlecks anderer Dienste erbeutet wurden. Da viele Nutzer dieselben Zugangsdaten für mehrere Dienste verwenden, funktioniert ein erheblicher Prozentsatz der Versuche.

    Die Werkzeuge dafür sind frei verfügbar. Tools wie OpenBullet, SentryMBA oder spezialisierte Bots testen automatisiert Tausende Credentials pro Minute gegen Login-Seiten. Aktuelle Proxy-Netzwerke verteilen die Anfragen über tausende IP-Adressen, um Rate-Limiting und IP-basierte Sperren zu umgehen.

    Laut dem Verizon Data Breach Investigations Report 2023 sind gestohlene oder kompromittierte Zugangsdaten der häufigste initiale Angriffsvektor — beteiligt an über 80 Prozent der Webanwendungs-Angriffe.

    Warum der Angriff einen Monat unbemerkt blieb

    Dass Angreifer einen Brute-Force-artigen Angriff über vier Wochen ungehindert durchführen konnten, deutet auf grundlegende Defizite in der Angriffserkennung hin:

    • Fehlendes Login-Anomalie-Monitoring: Ungewöhnliche Anmeldeversuche — massenhaft, von wechselnden IPs, zu ungewöhnlichen Zeiten — wurden offenbar nicht als verdächtig erkannt
    • Kein Rate-Limiting oder Account-Lockout: Ohne Begrenzung der Login-Versuche pro Account oder IP können Angreifer beliebig viele Kombinationen testen
    • Fehlende Bot-Erkennung: Moderne Bot-Detection-Systeme erkennen automatisierte Login-Versuche anhand von Verhaltensmustern, Browser-Fingerprints und Mausbewegungen

    Welche Daten betroffen waren

    Bei erfolgreichem Login erhielten die Angreifer Zugriff auf die in den Kundenkonten hinterlegten Informationen — darunter potenziell Name, Adresse, Kaufhistorie und gespeicherte Zahlungsinformationen. VF Corporation erklärte, dass vollständige Kreditkartennummern nicht exponiert gewesen seien, da diese nicht im Klartext gespeichert würden.

    Die eigentliche Gefahr geht jedoch über The North Face hinaus: Angreifer validieren durch erfolgreiche Logins, dass bestimmte E-Mail-Passwort-Kombinationen aktiv genutzt werden. Diese verifizierten Credentials werden anschließend gegen höherwertige Ziele eingesetzt — Banking-Portale, E-Mail-Konten, Unternehmens-VPNs.

    Handlungsempfehlungen

    Für Endnutzer:

    • Passwort-Manager verwenden und für jeden Dienst ein einzigartiges Passwort generieren
    • MFA aktivieren, wo immer verfügbar
    • Have I Been Pwned prüfen: Unter haveibeenpwned.com lässt sich überprüfen, ob die eigene E-Mail-Adresse in bekannten Datenlecks auftaucht

    Für Unternehmen mit Webportalen:

    • Credential-Stuffing-Detection implementieren: Login-Versuche auf Anomalien überwachen — Velocity Checks, Device Fingerprinting, geografische Plausibilität
    • Rate-Limiting und progressive Lockouts nach fehlgeschlagenen Versuchen
    • Kompromittierte Credentials proaktiv prüfen: Passwörter gegen bekannte Breach-Datenbanken abgleichen
    • SIEM-Integration: Login-Events an ein zentrales Monitoring weiterleiten

Keine weiteren News.

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse