Die Cyberattacken schlafen nie. Neue Attacken machten seit dem Sommer von sich reden: von BadRabbit über KrackAttacks bis IoT_reaper.
Ein Papier, das aus der Forschungsarbeit unseres Threat-Intelligence-Teams hervorgegangen ist.
IoT_reaper: vernetzte Geräte im Internet der Dinge
Der Angriff IoT_reaper, der am 13. September von einem Forschungsteam entdeckt wurde, ist entfernt verwandt mit Mirai, dem sattsam bekannten Botnet aus dem Jahr 2016. Ziele: Hersteller von Internet-fähigen Geräten, beispielsweise Kameras mit Drahtlosverbindung oder Router. Konsequenzen: ein Netz aus infizierten Geräten, in dem schon mehr als zwei Millionen Apparate gefangen sind.
Wie Mirai ist IoT_reaper in der Lage, vernetzte Geräte zu infizieren und sich dann von diesen infizierten Opfern aus weiterzuverbreiten. Dieser Angriff scheint auf einer ganzen Reihe von ausnutzbaren Schwachstellen zu basieren, von Dlink bis JAWS und Vacron, die in der Malware integriert sind und vor allem regelmäßig von den Hackern aktualisiert werden.
KrackAttacks: das WLAN im Auge des Sturms
Diese neue Schwachstelle, die am 16. Oktober von Mathy Vanhoef, einem belgischen Forscher, entdeckt wurde, betrifft das Protokoll WPA2, das den Austausch zwischen dem WLAN-Access-Punkt und dem Benutzer verschlüsselt.
Diese Schwachstelle wirkt sich weltweit aus. Über WLAN, also auch über Ihres, können damit Daten gestohlen werden – von Ihren E-Mails bis zu Ihren Bankdaten.
Seit der Entdeckung dieser Schwachstelle werden laufend Patches veröffentlicht, um alle WLAN-Geräte zu schützen, die das Protokoll WPA2 verwenden. Achten Sie dennoch sorgfältig auf Ihre vernetzten Geräte, da die Wartungs- und Schwachstellenproblematik sehr unterschiedlich sein kann.
BadRabbit: viel Lärm um nichts?
Seit der Nacht vom 24. Oktober ist die Malware BadRabbit in Russland und in der Ukraine aktiv. Sie hat sich seitdem auf die Türkei, Bulgarien und Deutschland ausgeweitet. Nach WannaCry und NotPetya wird nun von einer dritten Ransomware gesprochen, die sich in Europa verbreitet. Ein Virus verbreitet sich über gefälschte Webseiten und fordert Sie auf, eine gefälschte Version von Adobe Flash Player zu installieren. Nach der Installation kann es sich automatisch in Ihrem Netzwerk verbreiten, den Zugang zu Ihren Daten sperren und von Ihnen ein Lösegeld von 0,05 Bitcoin (derzeit ca. 350 Euro) verlangen.
Mit demselben Virusmuster wie NotPetya erscheint BadRabbit dennoch etwas verändert: Er stützt sich auf die Schwachstelle EternalRomance anstelle der Schwachstelle EternalBlue. Parallel zu dieser Schwachstelle ist ein menschlicher Eingriff nötig, um die Installation durchzuführen. Möglich ist auch ein Diebstahl von Identitäten, indem eine Standard-Kennwortliste durchprobiert wird.
BadRabbit greift damit hauptsächlich dort ein, wo mit dem Cyber-Schutz sorglos umgegangen wird. Angesichts der Cyber-Attacken müssen Sie Ihre Mitarbeiter sowohl über die Gefahren des Phishings informieren als auch Ihre Betriebssysteme und Anwendungen stets aktuell halten. Bewährte Praktiken sind deshalb umso wichtiger, da die Schwachstelle, die von EternalRomance ausgenutzt wurde, gleichzeitig mit der Schwachstelle korrigiert wurde, die von den Schwachstellen WannaCry und NetPetya (Patch MS17-010) genutzt wurden. Eine Politik starker Kennwörter für Ihre Benutzer und Administratorkonten ist immer noch ein besonders wichtiger Teil des Schutzes Ihres Unternehmens.