Diesmal halte ich mich möglichst kurz. Kürzlich bin ich auf eine Ransomware gestoßen, die Dateien mit .thor erzeugt, sobald diese verschlüsselt worden sind. In der Regel sollten Antivirussysteme Dateien dazu erkennen, aber in diesem Fall leider nicht.

Bekannt ist folgende Datei (Link zu VirusTotal):

In meinem Fall handelte es sich leider um eine Abwandlung, die nicht erkannt worden ist.

Das einzige, was ich momentan habe sind die Kontakt E-Mail Adressen, die definitiv auf eine Blacklist gehören:

  • dayt0na@tutonata.com
  • daytona@cock.lu
  • potts@secmail.pro

Kleiner Hinweis dazu: Diese Mails werden als Kontakt E-Mails genannt, an die man sich wenden kann, um einen Nachweis entschlüsselter Daten…


Disclaimer: Das hier ist nur ein Abbild der aktuellen Kenntnisse und kann sich durchaus morgen schon wieder ändern. Also, je älter der Beitrag umso ungenauer.

Es wurde bereits viel über den neuesten und einen der wohl als bekanntesten 0 Day Exploits der Geschichte geschrieben. Ich fasse mich von daher kurz und erkläre worum es hier geht, denn ich möchte euch hier eine Frage kurz und knapp erklären:

  • Was soll ich jetzt tun?

Das teile ich auf in mehrere Abschnitte:

  • Was ist genau passiert?
  • Warum ist es passiert?
  • Was kann ich jetzt tun?
  • Was kann ich für die Zukunft tun?

Die…


Spam E-Mails? Kennt jeder und die wenigsten Klicken auf den Link. Die Betrüger geben sich selten Mühe, so dass die Qualität schlecht bleibt und die meisten Menschen die Gefahr sofort erkennen.

Eine ganz andere Methode wird von der Malware Adrozek verwendet.

Wie geht Adrozek dabei vor?

  • Nach erfolgreicher Infizierung setzt sie sich im Browser fest
  • Dabei editiert sie Webseiten so, dass der Inhalt aussieht, als sei er von der vertrauenswürdigen Website (Google bspw.)
  • Damit verleitet sie den User zu einem Klick auf Links, die sie selbst als bspw. Google Ergebnisse darstellt.

Und wer vertraut den meisten Google Suchergebnissen nicht?

Das hat zur Folge, dass die…


PLEASE_READ_ME nennt sich diese Ransomware, die momentan Jagd auf MySQL Server betreibt. Bisher wurden weltweit ca. 85000 Server damit infiziert und 250000 Datenbanken wurden geladen und zum Verkauf angeboten.

Wie kommen die Angreifer an ihr Ziel?

  • Passwort Bruteforcing Angriffe
  • Daten werden vollständig kopiert und zum Angreifer hochgeladen
  • Daten werden in der originalen Datenbank gelöscht

Wie kann ich mich davor schützen?

Bruteforcing Angriffe auf Passwörter und Loginnamen führen in diesem Fall zum Erfolg. Das heißt die verwendeten Passwörter sind alle Käse und nicht vergleichbar mit denen eines Password Vaults.

Password Richtlinien

  • Möglichkeit 1: komplizierte und sehr lange Passwörter wie: q+^N2g!Uq%p3iR#VXqwNEvkGnyPgi=wm3iTpVx7tyMx?DQH,BQ69_Q:k8UoqCsLf
  • Möglichkeit 2: Passphrases basierend auf Sätzen wie “Morgen kommt der Weihnachtsmann und bringt mir 42 Geschenke”…

FireEye ist seit Jahren im IT-Sicherheitsmarkt stark vertreten und ein Premiumanbieter, was Qualität und Preise angeht.

Ein Teil von FireEyes Angeboten ist die Erforschung von Sicherheitsvorfällen und das Entdecken neuer Angriffsmöglichkeiten. Die dort gewonnen Informationen fließen in die Produkte für Kunden ein, so dass ein Schutz, auch für neuartige Angriffe, gewährleistet ist.

Was sind die klaren Fakten?

  • FireEye hat Werkzeuge im Portfolio, die helfen, die oben genannten Punkte zu realisieren.
  • Diese Werkzeuge sind vermutlich teilweise einzigartig für den Erfolg der Firma ausschlaggebend.
  • Eine unbekannte Hackergruppe hat es geschafft genau diese Werkzeuge und Informationen zu erbeuten, darunter viel Schadsoftware.
  • Ob Kundeninformationen gestohlen worden sind ist noch…

Eine relativ groß angelegte, sogenannte Phishing Kampagne, wurde beobachtet, die es auf Microsoft Office 365 Kunden abgesehen hat. Dabei werden den Benutzern E-Mails geschickt, die augenscheinlich von Microsoft stammen. Dabei gehen die Angreifer sehr effizient vor:

  • Absender: Microsoft Outlook <no-reply@microsoft.com>
  • Betreff: pending messages (zu Deutsch: Nachrichten in der Warteschleife)
  • Inhalt: “You have 3 quarantined messages in your quarintine portal … “ (zu Deutsch: “Sie haben 3 E-Mails in Quarantäne momentan …”

Ziel des Angreifers ist es, das Bedürfnis nach Informationen des Benutzers anzugreifen und auch die Neugier zu wecken. Womöglich sogar die Angst, etwas wichtiges für den Berufsalltag zu verpassen.

Andre Fritsche

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store