Die Generalstaatsanwaltschaft Koblenz und das Bundeskriminalamt (BKA) haben den illegalen Online-Service “AegisTools.pw” abgeschaltet.

Group-IB, weltweit agierender Threat Hunter und Berater des Europäischen Zentrums für Cyberkriminalität (EC3) von Europol hat seinen jährlichen Bericht “Hi-Tech Crime Trends 23/24”…

Erfolgreiche Ransomware-Gruppierungen wechseln immer häufiger auf Remote-Verschlüsselung, hat Security-Experte Sophos in seinem neuesten CryptoGuard-Report analysiert.

Security-Experte Kaspersky berichtet in seinem Rückblick auf das Jahr 2023 von der Entdeckung von rund 411.000 neuen schädlichen Dateien pro Tag zwischen Januar und Oktober 2023.

Nach einer Untersuchung von Check Point wurde ein deutlicher Anstieg von Ransomware-Angriffen auf Linux-Systeme seit 2021 verzeichnet. Im Vergleich zu Windows fällt die Ransomware für Linux durch ihre relative Einfachheit auf, wie die Sicherheitsforscher berichten. Die Studie von Check Point verglich Ransomware-Angriffe auf Windows und Linux und dokumentierte dabei seit dem Jahr 2021 einen signifikanten...

Der Beitrag Zunahme von Ransomware-Angriffen auf Linux laut Studie erschien zuerst auf MichlFranken.

Nach einer Untersuchung von Check Point wurde ein deutlicher Anstieg von Ransomware-Angriffen auf Linux-Systeme seit 2021 verzeichnet. Im Vergleich zu Windows fällt die Ransomware für Linux durch ihre relative Einfachheit auf, wie die Sicherheitsforscher berichten. Die Studie von Check Point verglich Ransomware-Angriffe auf Windows und Linux und dokumentierte dabei seit dem Jahr 2021 einen signifikanten...

Der Beitrag Zunahme von Ransomware-Angriffen auf Linux laut Studie erschien zuerst auf MichlFranken.

Auch 2024 zähle Ransomware zu den größten Gefahren für deutsche Unternehmen, teilt der Sicherheitsexperte Trend Micro mit.

Sicherheitsexperte Sophos hat in einem Bericht seine Erkenntnisse über Verbindungen zwischen Hive, Black Basta und Royal, den bekanntesten Ransomware-Gruppen des vergangenen Jahres veröffentlicht.

Für den Bericht “Clustering Attacker Behavior Reveals Hidden Patterns” hatte Sophos X-Ops ab Januar 2023 über einen Zeitraum von drei Monaten vier verschiedene Ransomware-Angriffe untersucht, bei denen einer auf Hive, zwei auf Royal und einer auf Black Basta zurückgegangen seien, teilt Sophos mit. Dabei seien deutliche Ähnlichkeiten zwischen den Angriffen festgestellt worden und dies, obwohl Royal als sehr verschlossene Gruppe gelte, die keine Partner aus Untergrundforen sichtbar involviere. Es seien aber feine Ähnlichkeiten in der Forensik der Angriffe entdeckt worden, und damit Indizien, die darauf hinweisen würden, dass alle drei Gruppen im Rahmen ihrer Aktivitäten entweder Partner oder hochspezifische technische Details teilten, heißt es weiter.

„Da das Ransomware-as-a-Service-Modell externe Partner für die Durchführung der Angriffe erfordert, ist es generell nicht ungewöhnlich, dass es Überschneidungen in den Taktiken, Techniken und Verfahren (TTPs) zwischen verschiedenen Ransomware-Gruppen gibt. In diesen Fällen handelt es sich jedoch um Ähnlichkeiten auf einer sehr feinen Ebene. Diese hochspezifischen Verhaltensweisen legen nahe, dass die Royal-Ransomware-Gruppe viel abhängiger von Partnern ist als bisher angenommen”, sagt Andrew Brandt, leitender Forscher bei Sophos.

Die von Sophos entdeckten spezifischen Ähnlichkeiten hätten insbesondere drei Aspekte umfasst: Hatten erstens die Angreifer die Kontrolle über die Systeme der Ziele übernommen, kamen die gleichen spezifischen Benutzernamen und Passwörter zur Anwendung. Zweitens wurde die endgültige Payload in einem .7z-Archiv, das jeweils nach der Opferorganisation benannt war, bereitgestellt. Drittens wurden Befehle auf den infizierten Systemen mit denselben Batch-Skripten und Dateien ausgeführt, berichtet Sophos.

Eine mögliche Ursache für die Ähnlichkeiten könnte die Tatsache sein, dass Ende Januar 2023 nach einer geheimen Operation des FBI ein großer Teil der Operationen von Hive aufgelöst worden sei. Dies könnte dazu geführt haben, dass Hive-Partner nach einer neuen Beschäftigung suchten – möglicherweise bei Royal und Black Basta – was die auffälligen Übereinstimmungen in den folgenden Ransomware-Angriffen erklären könnte.

Bislang sei die Royal-Ransomware in diesem Jahr die zweithäufigste bei den Sophos Incident Response festgestellte Ransomware-Familie, teilt der Security-Anbieter mit.

Der Beitrag Sophos entdeckt Verbindungen zwischen Ransomware-Gruppen erschien zuerst auf Linux-Magazin.

Security-Spezialist Sophos hat den aktuellen State of Ransomware Reports für die verarbeitende Industrie vorgestellt. Fazit: Es ist keine Entspannung in Sicht: Angriffe werden häufiger und raffinierter, zugleich steigen die Lösegeldforderungen und die Wiederherstellung nach einem Angriff dauert immer länger.

In der weltweiten Umfrage zwischen Januar und März unter 3000 Führungskräften aus 14 Ländern, die für IT/Cybersecurity verantwortlich sind, waren laut Sophos 363 aus dem Fertigungs- und Produktionssektor.

Der Anteil der produzierenden Unternehmen, die mit Ransomware attackiert wurden, sei nur wenig von 55 Prozent im Jahr 2022 auf 56 Prozent in 2023 gestiegen. Dass mehr als jedes zweite Unternehmen von den Cyberkriminellen ins Visier genommen werde, sei aber beunruhigend, teilt Sophos mit.

In der Rangliste der Angriffstaktiken hätten produzierende Unternehmen die potenziell ausnutzbaren Schwachstellen mit nur 24 Prozent vergleichsweise gut im Griff. Über alle Branchen hinweg seien Exploits für Lücken mit 36 Prozent deutlich höher.

Besonderen Nachholbedarf habe das produzierende Gewerbe laut der Studie mit 20 Prozent bei der Abwehr von Phishing-Angriffen. Der branchenübergreifende Durchschnitt liege hier bei 13 Prozent.

Ein Angriff bedeute nicht zwingend, dass die Cyberkriminellen Ransomware erfolgreich zum Einsatz bringen und Lösegeld fordern, teilt Sophos mit. Der Trend für die produzierende Industrie zeige jedoch, dass die Cyberkriminellen bei ihren Angriffen und den eingesetzten Technologien kräftig aufgerüstet haben. In der aktuellen Studie seien 68 Prozent der Angriffe „erfolgreich“ und nur 27 Prozent konnten rechtzeitig entdeckt und gestoppt werden. Im Vergleichszeitraum ein Jahr zuvor schafften es die Cyberkriminellen nur bei 57 Prozent ihrer Angriffe, die Daten zu verschlüsseln und 38 Prozent konnten verhindert werden.

Zudem komme zunehmend die „Double-Dip“-Taktik der Cyberkriminellen zum Einsatz. Dabei werden die Daten noch gestohlen, bevor sie verschlüsselt werden. Damit lasse sich das Lösegeld und die Bereitwilligkeit zu bezahlen in die Höhe treiben, da Unternehmen zusätzlich mit Veröffentlichung der Daten erpresst werden können, heißt es weiter.

Der mittlere Durchschnitt der geforderten Lösegeldsumme liegt in der produzierenden Branche bei  1.156.289 Euro. Ein Jahr zuvor habe der Durchschnitt deutlich niedriger bei 745.372 Euro gelegen.

Die Studie ist online gegen Registrierung abrufbar.

Der Beitrag State of Ransomware Reports für die Industrie erschien zuerst auf Linux-Magazin.

Der TÜV-Verband kommt in seiner aktuellen Cybersecurity Studie zum Ergebnis, dass rund 11 Prozent der deutschen Unternehmen im vergangenen Jahr von IT-Sicherheitsvorfällen betroffen waren.

Dabei habe es sich um erfolgreiche Cyberangriffe oder andere sicherheitsrelevante Vorfälle wie Sabotageakte oder Hardware-Diebstahl gehandelt, teilt der TÜV-Verband mit. 501 Unternehmen ab 10 Mitarbeitenden seien für die Studie befragt worden.

In absoluten Zahlen entspreche das rund 50.000 Vorfällen. Die größte Gefahr gehe aus Sicht der Befragten von der organisierten Cyberkriminalität aus: 57 Prozent fühlten sich von organisierten Banden bedroht. Jeweils 27 Prozent sehen staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure als große Gefahr. 22 Prozent fürchten so genannte Innentäter, die über interne Kenntnisse eines Unternehmens verfügen und diese bei einem Angriff ausnutzen können. 64 Prozent der Befragten stimmen der Aussage zu, dass jedes Unternehmen verpflichtet sein sollte, angemessene Maßnahmen für seine Cybersecurity zu ergreifen.

Laut den Ergebnissen der Umfrage hat der Krieg in der Ukraine das Risiko von Cyberangriffen in der deutschen Wirtschaft stark erhöht. Dieser Ansicht sind 58 Prozent der Unternehmen.  16 Prozent verzeichnen seit Ausbruch des Krieges mehr Cyberangriffe oder Angriffsversuche. Am stärksten betroffen seien große Unternehmen ab 250 Mitarbeitenden mit 28 Prozent. Es folgen mittlere Unternehmen mit 20 Prozent (50-249 Mitarbeitende) und kleine mit 11 Prozent (10-49 Mitarbeitende). Die mit Abstand häufigste Angriffsmethode sei Phishing. Bei 62 Prozent der betroffenen Unternehmen sei ein Phishing-Angriff erfolgreich gewesen, teilt der TÜV-Verband mit.

An zweiter Stelle stehen Ransomware-Angriffe mit 29 Prozent. Eine weitere beliebte Masche sei die Manipulation von Mitarbeitenden, das Social Engineering (26 Prozent). Und 22 Prozent der betroffenen Unternehmen berichteten von einem Passwort-Angriff, bei dem Zugangsdaten gehackt wurden.

Die Folgen der Angriffe sind massiv. 42 Prozent der Unternehmen erlitten finanzielle Einbußen, Dienste für Mitarbeitende (38 Prozent) oder Kunden (29 Prozent) waren nicht erreichbar, die Produktion ist ausgefallen (13 Prozent) oder sensible Daten wurden gestohlen (13 Prozent), heißt es in der Studie.

Der Beitrag Cybersecurity: Jedes zehnte Unternehmen von IT-Sicherheitsvorfällen betroffen erschien zuerst auf Linux-Magazin.

Sicherheitsexperte Sophos kommt in seiner globalen Studie „State of Ransomware 2023“ zum Schluss, dass es Cyberkriminellen in Deutschland in 71 Prozent der Ransomware-Angriffe auf Organisationen gelingt, Daten zu verschlüsseln.

International betrachtet liege die erfolgreiche Verschlüsselung 76 Prozent der Angriffe. Aus der internationaler Perspektive sei dies die höchste Rate an Datenverschlüsselung durch Ransomware, seit Sophos der jährlich erscheinende Ransomware-Report erstmals im Jahr 2020 veröffentlicht wurde.

Insgesamt seien in Deutschland 58 Prozent (international 66 Prozent) der für die Studie befragten Unternehmen von Ransomware angegriffen worden. Dies deutet darauf hin, dass die Zahl der Ransomware-Attacken trotz des vermeintlichen Rückgangs während der Pandemiejahre doch konstant hoch geblieben sei.

Bei der Analyse der Ursache von Ransomware-Attacken seien die häufigsten Ausgangspunkte eine ausgenutzte Schwachstelle mit 24 Prozent (international 36 Prozent) sowie kompromittierte Zugangsdaten mit 36 Prozent (international 29 Prozent) gewesen.

Die Daten der Studie “State of Ransomware 2023″ stammen laut Sophos aus einer herstellerunabhängigen Umfrage unter 3000 Führungskräften im Bereich Cybersicherheit/ IT, die zwischen Januar und März 2023 durchgeführt wurde. Die Befragten stammen demnach aus 14 Ländern in Nord- und Südamerika, EMEA und dem asiatisch-pazifischen Raum. Die interviewten Unternehmen beschäftigen zwischen 100 und 5.000 Mitarbeiter und generieren einen Umsatz zwischen weniger als 10 Millionen und mehr als 5 Milliarden US-Dollar.

Der Beitrag State of Ransomware 2023: Höchstes Niveau erreicht erschien zuerst auf Linux-Magazin.

Eine Ransomwaregruppe hat nach einem Hack etliche interne Daten von MSI veröffentlicht. Darunter auch private Schlüssel zum Signieren.

Bei einem Ransomware-Angriff auf den Hardware-Hersteller MSI haben die Angreifer auch dessen Bootguard-OEM- und Firmware-Signatur-Schlüssel erbeutet und nun veröffentlicht, wie die Sicherheitsfirma Binarly berichtet.

Bei der Analyse der geleakten Daten entdeckte Binarly etliche Schlüssel zum Signieren von Firmware sowie den OEM-Schlüssel für Intels Bootguard. Die Sicherheitsfirma dokumentiert eine Liste der betroffenen Geräte mitsamt einer Liste der öffentlichen Firmware-Signier- sowie Bootguard-Schlüssel auf Github.

Die privaten Schlüssel sind in den durch die Ransomwaregruppe Money Message geleakten Daten ebenfalls enthalten. Die Untersuchung des Datenlecks dauert laut Binarly jedoch noch an.

Mit den geleakten Schlüsseln könnten Angreifer signierte Firmware-Updates verteilen, die scheinbar von MSI stammen, jedoch Schadcode enthalten. Bereits im April warnte MSI seine Kunden vor der Installation von davor Firmware- und Bios-Updates aus anderen Quellen als der offiziellen MSI-Webseite herunterzuladen.

Ähnliches gilt für Intels Bootguard auf der betroffenen Hardware. Die Technik soll unautorisierte Veränderungen an Hardware und Bios beim Bootvorgang erkennen und so einen sicheren Bootprozess ermöglichen. Mit der Veröffentlichung der privaten Schlüssel dürfte dies zumindest auf Hardware des Herstellers MSI nicht mehr gegeben sein.

Offensichtlich hat MSI die zur Gewährleistung der Firmware- und Bootguard-Sicherheit notwendigen privaten Schlüssel nur unzureichend geschützt, da die Angreifer die Schlüssel wohl über das Internet aus dem Netzwerk des Herstellers exfiltrieren konnten. Durch die geleakten Schlüssel seien auch Geräte anderer Hersteller wie Lenovo, Intel oder Supermicro betroffen, schreibt Binarly auf Twitter.

Der Beitrag Firmware- und Bootguard-Schlüssel von MSI veröffentlicht erschien zuerst auf Linux-Magazin.

Bayerns Innenminister Joachim Herrmann hat in Nürnberg das Lagebild Cybercrime Bayern 2022 vorgestellt und gewarnt: „Das Risiko, in der digitalen Welt Opfer einer Straftat zu werden, ist so groß wie nie zuvor.“

Die Zahl der Straftaten mit dem Internet als Tatmittel habe 2022 mit 45.065 Fällen in Bayern einen neuen Höchststand erreicht, sagte der Innenminister. Im Vergleich zum Vor-Corona-Jahr 2019 sei das ein Anstieg um 51,6 Prozent (2019: 29.717 Fälle; 2021: 39.469 Fälle).

Zu den Straftaten zählen unter anderem Beleidigungen in Sozialen Medien oder Betrugsdelikte auf Auktionsplattformen. Einen Anstieg gab es laut dem Lagebild in Bayern auch beim Ausspähen von Daten, Schadsoftware und Computersabotage. Ein Anstieg um 10 Prozent auf 15.889 Straftaten  verzeichnete die Kriminalstatistik vom Jahr 2019 auf das Jahr 2022. Im Jahr 2019 seien es 14.420 Fälle gewesen, 2021 waren es 15.344 Fälle. Innenminister Herrmann kündigte an, die Cybercrime-Bekämpfung in Bayern deutlich zu verstärken.

Dass die die Aufklärungsquote 2022 bei Fällen mit dem Tatmittel Internet bei 52,5 Prozent (2019: 49,1 Prozent; 2021: 52,3 Prozent) gelegen habe, wertete Herrmann als Erfolg. Die Aufklärungsquote im Bereich Cybercrime im engeren Sinne, wozu das Ausspähen von Daten, Schadsoftware und Computersabotage zählen, habe 2022 bei 31,9 Prozent gelegen und damit im längerfristigen Vergleich eher unverändert im Mittelfeld.

Laut Herrmann hat Bayern in den letzten Jahren eine Cybersicherheitsarchitektur aufgebaut. In der 2020 geschaffenen ‚Cyberabwehr Bayern‘ erfolge ein Austausch zu Cybersicherheitsvorfällen in Bayern und ein abgestimmtes Vorgehen. Teilnehmer seien neben der Zentralen Ansprechstelle Cybercrime beim Bayerischen Landeskriminalamt auch das Cyber-Allianz-Zentrum Bayern beim Bayerischen Landesamt für Verfassungsschutz, die Zentralstelle Cybercrime Bayern bei der Generalstaatsanwaltschaft Bamberg, das Landesamt für Datenschutzaufsicht, der Landesbeauftragte für den Datenschutz sowie das Landesamt für Sicherheit in der Informationstechnik.

Bei der Bayerischen Polizei seien rund 400 IT-Spezialisten eingesetzt, sagte Herrmann. Dabei handle es sich um rund 300 speziell aus- und fortgebildete Ermittler sowie um rund 100 IT-Forensiker. In diesem Jahr sollen weitere 20 IT-Kriminalisten eingestellt werden, kündigte Herrmann an. Das Polizeipräsidium Oberfranken erprobe zudem den mobilen Einsatz eines vollwertigen IT-Forensiklabors. Das Labor beinhalte Geräte zur digitalen Beweissicherung sowie spezielle Arbeitsplätze zum Sichten und Sichern digitaler Beweise und koste rund 300.000 Euro.

Der Beitrag Cybercrime: Bayerns Innenminister zeichnet düsteres Lagebild erschien zuerst auf Linux-Magazin.

Identitätsdiebstahl und der Missbrauch persönlicher Daten sind für fast die Hälfte der Internetnutzer die größte Sorge, so lautet das Ergebnis einer repräsentativen Umfrage des IT-Sicherheitsunternehmens Eset.

45,5 Prozent der Befragten sind laut der Umfrage besorgt, dass sie Opfer von Identitätsdiebstahl oder vom Missbrauch ihrer persönlichen Daten werden könnten. Jeder Vierte (25,8 Prozent) fürchtet sich vor einer Infektion mit Schadprogrammen, jeder Fünfte vor Betrug etwa durch Fake-Shops. Ransomware spiele bei Privatanwendern eine geringe Rolle, hat die Umfrage ergeben. Nur 8,1 Prozent befürchten, dass sie von solchen Verschlüsselungstrojanern betroffen sein könnten.

Aber auch der Schutz der Daten hat einen höheren Stellenwert erreicht. 34,2 Prozent der Befragten setzen bei jeder Gelegenheit auf die Zwei-Faktor-Authentifizierung – ein Zuwachs von 6,4 Prozent im Vergleich zur Umfrage aus dem vergangenen Jahr. 45,8 Prozent setzen zumindest teilweise auf die Zwei-Faktor-Authentifizierung. Und nur jeder Fünfte verzichte komplett darauf. Im Vergleich zum letzten Jahr sei das ein Rückgang um sechs Prozent, teilt Eset mit.

Jeder Dritte setzt auf einen Passwort-Manager (30,6 Prozent) ein Anstieg um fünf Prozent im Vergleich zur ESET Umfrage 2022. 21,4 Prozent der Internetnutzer haben ein klassisches Notizbuch im Einsatz, um sich ihre Passwörter aufzuschreiben. 32,2 Prozent der Befragten haben angegeben, dass Sie sich ihre Passwörter ohne Hilfsmittel merken. Den Browser als Speicherort für die Kennwörter nutzen 9,2 Prozent. Nur 6,6 Prozent nutzen identische Passwörter für mehrere Online-Dienste.

Der Beitrag Deutsche fürchten Identitätsdiebstahl erschien zuerst auf Linux-Magazin.

Über den Darknet-Dienst Chipmixer sollen 2,8 Milliarden Euro in Bitcoin geschleust worden sein. Nun ist die Infrastruktur in Deutschland beschlagnahmt worden.

Die Polizei hat die Serverinfrastruktur des weltweit umsatzstärksten Krypto-Mixers in Deutschland beschlagnahmt. Der Chipmixer genannte Dienst war über das Darknet erreichbar und diente zur Verschleierung der Eigentümerschaft von Bitcoins – darunter sollen auch die Gelder aus den FTX- und Axie-Infinity-Hacks sein.

Gemeinsam mit dem Bundeskriminalamt (BKA) beschlagnahmte die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) die Server sowie Daten im Umfang von rund 7 TByte und Bitcoins im Wert von derzeit 44 Millionen Euro. Damit handelt es sich um die bisher höchste Sicherstellung von Kryptowerten durch das BKA.

“Bei Chipmixer handelte es sich um einen seit Mitte 2017 bestehenden Dienst, der insbesondere Bitcoin kriminellen Ursprungs entgegennahm, um sie nach Verschleierungsvorgängen (sogenanntes Mixing) wieder auszuzahlen”, erklärte das BKA. Dabei wurden die entgegengenommenen Bitcoins in Kleinstbeträge verteilt und vermengt, um die Herkunft der Gelder zu verbergen.

Der Dienst soll nach einer Schätzung insgesamt 154.000 Bitcoin im Wert von 2,8 Milliarden Euro gemixt haben. Ein erheblicher Teil stammt dabei laut BKA aus betrügerisch erlangten Kryptowährungen, darunter etwa die Ransomwaregruppen Zeppelin, Suncrypt, Mamba, Dharma und Lockbit sowie die illegale Handelsplattform Hydra Market.

Auch die Gelder aus den Hacks der Kryptowährungsbörse FTX sowie dem Kryptospiel Axie Infinity sollen über die Plattform gewaschen worden sein. Der Chipmixer-Betreiber wurde durch das FBI zur Fahndung ausgeschrieben, ihm wird gewerbsmäßige Geldwäsche sowie der Betrieb einer kriminellen Handelsplattform vorgeworfen.

Der Beitrag BKA beschlagnahmt Server von Krypto-Mixer erschien zuerst auf Linux-Magazin.

Die Ransomware Hardbit 2.0 verlangt die Versicherungspolice der Unternehmen, um die Lösegeldforderung anzupassen. Nicht ungefährlich für die Betroffenen.

Mit der neuen Version 2.0 versuchen die Betreiber der Ransomware Hardbit, mit ihren Opfern eine Lösegeldzahlung auszuhandeln, die von deren Versicherung übernommen wird. Dazu fragen die Kriminellen die entsprechende Versicherungspolice bei ihren Opfern an und versuchen diese davon zu überzeugen, dass dies auch in deren Interesse geschehe.

Für die gehackten Unternehmen, die über eine Versicherung für Cyberangriffe verfügen, haben die Kriminellen laut dem Onlinemagazin Bleepingcomputer eine ausführliche Anleitung erstellt. Demnach fordern sie nicht nur die Weitergabe entsprechender Informationen über die Höhe der Versicherung, sondern lassen es auch so erscheinen, als ob die Weitergabe der Versicherungsdaten für die Opfer von Vorteil wäre.

Dabei stellen die Kriminellen die Versicherung als Bösewicht dar, die einer Wiederherstellung der Daten nur im Wege stehe, da sie mit lächerlichen Gegenangeboten versuchen würden, die Lösegeld-Verhandlungen zum Scheitern zu bringen, um letztlich die Zahlung nicht übernehmen zu müssen.

“Um all dies zu vermeiden und das Geld für die Versicherung zu bekommen, sollten Sie uns anonym über die Verfügbarkeit und die Bedingungen der Versicherungsdeckung informieren. Das nützt sowohl Ihnen als auch uns, aber nicht der Versicherungsgesellschaft”, schreiben die Betreiber der Ransomware an ihre Opfer.

Allerdings sind die Versicherten üblicherweise vertraglich dazu verpflichtet, den Angreifern keine Details über ihre Versicherung zu nennen. Tun sie dies dennoch, riskieren sie, dass die Versicherung den Schaden nicht übernimmt. Entsprechend bestehen die Kriminellen auch darauf, die Informationen vertraulich weiterzugeben.

Strafverfolgungsbehörden raten dazu, Lösegelder grundsätzlich nicht zu bezahlen, da durch die Bezahlung das Geschäftsmodell der Ransomwaregruppen befördert wird. Unabhängig davon sollten sich insbesondere Unternehmen auf Ransomwareangriffe vorbereiten. Dabei reicht es nicht, sich nur eine Sicherheitssoftware anzuschaffen und Compliance-Regelungen zu erfüllen.

Der Beitrag Ransomware will Versicherungspolice erschien zuerst auf Linux-Magazin.

Sicherheitsexperte Kaspersky hat eine Prognose zu den Bedrohungen durch Cyberkriminelle für Unternehmen im Jahr 2023 veröffentlicht. Der Trend geht dabei in Richtung Malware-as-a-Service und öffentliche Ausschreibungen.

Im vergangenen Jahr seien etwa zwei Drittel der Großunternehmen in Deutschland mit mehr Cyberangriffen konfrontiert gewesen. Für das Jahr 2023 haben die Experten des Kaspersky Security Services die Bedrohungen untersucht, die für große Unternehmen und den staatlichen Sektor relevant sein könnten.

Eine Methode sei die Erpressung Erpressung durch Countdown bis zum Datenleck. Dabei berichten Ransomware-Akteure in ihren Blogs über erfolgreiche Hackerangriffe auf Unternehmen. Allein im September und November vergangenen Jahres hat Kaspersky rund 500 solche Beiträge aufgespürt.  Während Cyberkriminelle sich früher direkt an die Betroffenen wandten, posten sie in Blogs über die Sicherheitsverletzung und zeigen dort einen Countdown für die Veröffentlichung der durchgesickerten Daten an, anstatt privat ein Lösegeld zu fordern. Dieser Trend werde sich voraussichtlich auch in diesem Jahr fortsetzen glaubt Kaspersky. Die Cyberkriminellen profitieren davon, egal ob das betroffene Unternehmen zahlt oder nicht. Denn die Daten würden oft versteigert, wobei das Schlussgebot manchmal sogar das geforderte Lösegeld übersteige.

Countdown bis zu Veröffentlichung der Daten im Blog der Ransomware LockBit. Quelle: Kaspersky

Dass Cyberkriminelle sich mit falschen Leaks brüsten, sei ein weiteres Phänomen. Blog-Beiträge über Erpressungen seien medienwirksam. Das könnten weniger bekannte Akteure im Jahr 2023 ausnutzen, indem sie behaupten, ein Unternehmen angeblich gehackt zu haben, unabhängig davon, ob der Angriff tatsächlich stattgefunden hat. Schaden werde es dem so diffamierten Unternehmen trotzdem.

Dass Leaks persönlicher Daten berufliche Mail-Accounts gefährden werde sich auch im Jahr 2023 vermehrt fortsetzen. Neben der Privatsphäre des Einzelnen werde dadurch auch die Cybersicherheit von Unternehmen gefährdet. Mitarbeiter würden häufig berufliche E-Mail-Adressen einsetzen, um sich bei Websites von Drittanbietern zu registrieren. Öffentlich verfügbare E-Mail-Adressen seien für Cyberkriminelle interessant, um Diskussionen über potenzielle Angriffe im Darknet auszulösen und sie für Phishing und Social Engineering zu verwenden.

Malware-as-a-Service, Angriffe über die Cloud und kompromittierte Daten aus dem Dark Web stellen für Kaspersky ein weiteres Bedrohungsszenario dar. Die Kaspersky-Experten gehen davon aus, dass sich Ransomware-Angriffe durch Malware-as-a-Service (MaaS)-Tools immer ähnlicher werden. Durch immer komplexere Angriffe würden automatisierte Systeme nicht mehr ausreichen, um Sicherheit zu gewährleisten. Darüber hinaus werde die Cloud-Technologie zu einem beliebten Angriffsvektor werden.

Der Beitrag Kaspersky skizziert Cyberbedrohungen für Unternehmen erschien zuerst auf Linux-Magazin.

In einem Untergrundforum tauschen Kriminelle mit ChatGPT erstellte Skripte aus, die beispielsweise als Ransomware verwendet werden können.

Die Text-KI ChatGPT kann für zahlreiche Aufgaben eingesetzt werden, darunter auch das Schreiben von Schadsoftware. So berichtet die Sicherheitsfirma Checkpoint, dass Teilnehmer in Cybercrime-Foren die KI nutzen, um Ransomware zu schreiben. Darunter befinden sich auch solche mit wenig oder gar keiner Programmiererfahrung.

Das Unternehmen entdeckte eine Diskussion in einem entsprechenden Forum. Dort sollen Forenteilnehmer ChatGPT zum Erstellen von Skripten verwendet haben, darunter ein Python-Skript, das verschiedene kryptografische Funktionen einschließlich Verschlüsselung, Entschlüsselung und Signierung bereitstellt und als Ransomware verwendet werden kann.

Dieses und andere Skripte seien ausführbar gewesen und hätten die versprochenen Funktionen bereitgestellt, erklärten Forscher von Checkpoint in einem Blogeintrag.

Andere Code-Schnipsel, die mit ChatGPT erstellt wurden, dienten dazu, Informationen von bereits kompromittierten Systemen zu kopieren oder den SSH-Client Putty auf einem Zielsystem herunterzuladen und per Powershell auszuführen. Ein weiteres Beispiel wurde genutzt, um die Kryptowährungskurse auf einem illegalen Marktplatz zu aktualisieren.

Viele der Skripte ließen sich auch für legitime Zwecke nutzen, betonen die Forscher. So kann das oben genannte Skript beispielsweise zum Verschlüsseln eigener sensibler Daten eingesetzt werden, es können aber auch die Daten Dritter damit verschlüsselt werden und ein Lösegeld für deren Entschlüsselung verlangt werden.

“Es ist noch zu früh, um zu entscheiden, ob die ChatGPT-Fähigkeiten das neue Lieblingstool für Teilnehmer im Dark Web werden”, schreiben die Forscher. “Die Gemeinschaft der Cyberkriminellen hat jedoch bereits großes Interesse gezeigt und springt auf diesen neuesten Trend zur Generierung von bösartigem Code auf.” In anderen Foren würde zudem bereits diskutiert, wie man ChatGPT für Betrugsmaschen nutzen könne.

Der Beitrag Skriptkiddies schreiben Malware mit ChatGPT erschien zuerst auf Linux-Magazin.

Northwave, Spezialist für Informationssicherheit,  hat eine wissenschaftliche Untersuchung zu den psychischen Auswirkungen großer Ransomware-Angriffe gegen Unternehmen veröffentlicht. Die Studie zeige, dass eine solche Krise tiefe Spuren bei allen Betroffenen hinterlasse, teilt Northwave mit.

Eine weitere Erkenntnis lautet, dass auch nach der Überwindung des Angriffs selbst noch lange dauern kann, bis bei den IT- und Sicherheitsteams wieder Normalität einkehre. Die Ergebnisse würden zeigen, dass sich bei Mitgliedern der Krisenteams erst wesentlich später ernsthafte Symptome entwickeln würden, heißt es weiter.

Einer von sieben Mitarbeitern, die direkt oder indirekt von dem Angriff betroffen waren, weise mehrere Monate später Symptome auf, die so schwerwiegend seien, dass sie über der klinischen Schwelle liegen, ab der eine professionelle Traumabehandlung erforderlich sei.  Jeder fünfte Mitarbeiter gebe zudem an, dass er mehr professionelle Hilfe gebraucht hätte, um mit dem Erlebten zurechtzukommen. Jeder Dritte hätte sich gewünscht, über mehr Wissen und konkrete Instrumente zu verfügen, um die psychischen Folgen des Angriffs zu bewältigen.

Diese langfristigen Auswirkungen haben laut der Untersuchung auch Einfluss auf die Personalfluktuation:  Jeder Fünfte, der direkt von dem Angriff betroffen war, hat einen Stellenwechsel in Erwägung gezogen oder tut dies immer noch. Über die Hälfte der Manager und IT-Mitarbeiter berichten, dass mehrere Beschäftigte Monate oder sogar ein Jahr nach dem Angriff längere Zeit abwesend waren.

ZU den positiven Auswirkungen von Ransomware-Angriffen zähle, dass IT-Abteilungen feststellen, dass sie endlich längst überfällige Sicherheitsmaßnahmen umsetzen konnten. Und jeder fünfte von einem Ransomware-Angriff betroffene Mitarbeiter gab an, er habe jetzt besseren Kontakt zu seinen Kollegen.

Die Untersuchung fand laut Northwave in drei Etappen statt. Zunächst führten die Forscher halbstrukturierte Interviews mit Mitarbeitern des Cyber Emergency Response Teams (CERT) von Northwave, nachdem diese an der Bewältigung von Ransomware-Angriffen mitgewirkt hatten. Anschließend wurden hochrangige Führungskräfte internationaler Unternehmen, die in den letzten 24 Monaten von Ransomware-Angriffen betroffen waren, zu ihren persönlichen Erfahrungen und den Auswirkungen auf ihr Unternehmen befragt. Die meisten dieser Firmen haben ihren Hauptsitz in den Benelux-Staaten oder der DACH-Region (Deutschland/Österreich/Schweiz). Und schließlich füllten die Mitarbeiter der betroffenen Unternehmen einen Fragebogen aus.

Der Beitrag Studie zu psychischen Folgen von Cyberangriffen erschien zuerst auf Linux-Magazin.

Gemäß seinem Trend Micro 2022 Midyear Roundup Report hat der Sicherheitsexperte im ersten Halbjahr 2022 insgesamt 63 Milliarden Cyberbedrohungen blockiert. Auffällig sei dabei die Zunahme von Ransomware-Angriffen auf Linux- und Embedded-Systeme im zweistelligen Prozentbereich gewesen, so Trend Micro.

Die Sicherheitsexperten erwarten deshalb, dass Attacken auf diese Systeme in den kommenden Jahren noch weiter zunehmen werden. Mit den 63 Milliarden blockierten Bedrohungen weltweit sei ebenfalls ein Anstieg von 52 Prozent im Vergleich zum gleichen Vorjahreszeitraum verbunden, berichtet der japanische Sichrheitsspezialist. Am häufigsten von Malware-Angriffen betroffen seien der öffentliche Sektor, produzierendes Gewerbe und das Gesundheitswesen, heißt es weiter.

Die Erkennung von Ransomware-as-a-Service-Angriffen sei in der ersten Hälfte des Jahres 2022 sprunghaft angestiegen, besonders von großen Akteuren: Bei LockBit sei ein Anstieg von 500 Prozent gegenüber dem Vorjahr beobachtet worden, die Erkennungen von Conti verdoppelten sich fast innerhalb von sechs Monaten. Speziell das Geschäftsmodell Ransomware-as-a-Service (RaaS) habe den Entwicklern von Ransomware und ihren Partnern („Affiliates“) erhebliche Gewinne beschert, berichtet Trend Micro.

Und ständig tauchten neue Ransomware-Gruppierungen auf. Am auffälligsten sei in der ersten Jahreshälfte eine Gruppierung namens Black Basta gewesen, die innerhalb von nur zwei Monaten 50 Unternehmen angegriffen hätten. Wie der Bericht zudem belege, würden viele Angriffe weiterhin auf große Unternehmen abzielen, sogenanntes „Big-Game Hunting“.

Einer der wichtigsten Angriffsvektoren für Ransomware sei die Ausnutzung von Schwachstellen. Die Zero-Day-Initiative (ZDI) von Trend Micro veröffentlichte im Berichtszeitraum Hinweise auf 944 Sicherheitslücken, was einem Anstieg von 23 Prozent gegenüber dem Vorjahr entspreche. Die Zahl der veröffentlichten Hinweise auf kritische Bugs sei im Jahresvergleich sogar um 400 Prozent gestiegen.

Es besteht Anlass zur Sorge, dass Angreifer zunehmend in der Lage seien, solche Schwachstellen schneller auszunutzen, als Anbieter Patch-Updates veröffentlichen und Unternehmen diese Patches einspielen könnten, warnt Trend Micro. Der Trend Micro 2022 Midyear Roundup Report ist online verfügbar.

Der Beitrag Sicherheitslagebericht:  Zunahme von Ransomware-Angriffen auf Linux-Systeme erschien zuerst auf Linux-Magazin.

Die USA haben eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen zu Mitgliedern der Conti-Bande ausgelobt. Die 2019 entdeckte Ransomware Conti sei für mehr als 1000 Ransomware-Operationen verwendet worden, die auf kritische Infrastrukturen in den USA und weltweit abzielten, heißt es in der Begründung.

Unter den Opfern seien Strafverfolgungsbehörden, medizinische Notdienste, Notrufzentralen und Gemeinden gewesen. Auch Netzwerke des Gesundheitswesens und der Ersthelfer hätten zu den mehr als 400 Organisationen weltweit gehört, die Opfer von Conti geworden seien, mehr als 290 davon in den Vereinigten Staaten, heißt es in der Begründung weiter.

Laut einer Mitteilung des Antiviorenspezialisten Sophos erfolgt die Zahlung der Belohnung im Rahmen einer globalen US-Initiative zur Verbrechens- und Terrorismusbekämpfung, die unter dem Namen Rewards for Justice (RfJ) bekannt sei. Sie werde vom diplomatischen Dienst der USA im Auftrag des US-Außenministeriums verwaltet. Zwar sei es unwahrscheinlich, dass ein einzelner Hinweisgeber die gesamten 10 Millionen Dollar für sich beanspruchen könne, teilt Sophos mit, es gäbe aber genügend finanzielle Anreize, um sachdienliche Hinweise zu geben.

Das US-Außenministerium habe ein ausdrückliches Interesse an fünf Personen bekundet, die im Moment nur unter ihren Untergrundnamen bekannt sind: Dandis, Professor, Reshaev, Target und Tramp. Auf der entsprechenden Seite der Rewards for Justice sind dazu Dummybilder zu sehen.

Wie Sophos weiter mitteilt steckt hinter dem Namen Conti eine so genannte Ransomware-as-a-Service (RaaS)-Bande. Bei diesem kriminellen Geschäftsmodell werde der der Part der Ransomware-Code-Erstellung, der Erpressung und der Entgegennahme von Erpressungszahlungen von einer Kerngruppe übernommen, während die Angriffe selbst von einem lose zusammengesetzten “Team” von Mitgliedern durchgeführt werde. Diese rekrutiere man in der Regel nicht wegen ihrer Fähigkeiten zur Malware-Programmierung, sondern wegen ihrer Fähigkeiten in den Bereichen Phishing, Social Engineering und Netzwerkeinbruch.

Der Beitrag USA lobt Millionen Dollar für Informationen zu Ransomware-Bande aus erschien zuerst auf Linux-Magazin.

Gemeinsam mit weiteren Staaten warnen die USA vor russischen Cyberangriffen. Diese könnten von kriminellen Ransomwaregruppen unterstützt werden.

Sicherheitsbehörden aus den USA, Australien, Kanada, Neuseeland und Großbritannien (Five-Eye-Staaten) warnen vor russischen Cyberangriffen auf Organisationen und kritische Infrastrukturen in westlichen Ländern, die die Ukraine im Angriffskrieg Russlands unterstützen. Cyberangriffe durch Russland könnten auch “als Reaktion auf die beispiellosen wirtschaftlichen Kosten erfolgen”, welche die auferlegten Sanktionen verursachen, erklärt die US-amerikanische Cyber Security and Information Security Agency (CISA).

“Angesichts der jüngsten Erkenntnisse, die darauf hindeuten, dass die russische Regierung Optionen für potenzielle Cyberangriffe auf kritische US-Infrastrukturen prüft, veröffentlicht die CISA gemeinsam mit unseren behördenübergreifenden und internationalen Partnern diese Empfehlung, um auf die nachweisliche Bedrohung und die Fähigkeiten russischer staatlich geförderter und mit Russland verbündeter Cybercrime-Gruppen hinzuweisen”, sagte CISA-Direktorin Jen Easterly.

Auch US-Präsident Joe Biden verwies auf “sich entwickelnde Erkenntnisse, dass die russische Regierung Optionen für potenzielle Cyberangriffe prüft”. Er rief Unternehmen und Organisationen dazu auf, umgehend die Verteidigung ihrer Netzwerke zu verstärken.

Über die direkte Bedrohung durch russische Advanced Persistent Threats (APT) hinaus wie Cozy Bear oder Fancy Bear, die beispielsweise auch für den Bundestagshack im Jahr 2015 verantwortlich sein sollen, hätten auch “mehrere Cybercrime-Gruppen kürzlich öffentlich ihre Unterstützung für die russische Regierung zugesagt”, betonte die CISA. Die Gruppen hätten ebenfalls mit Vergeltungsmaßnahmen gedroht und bereits Angriffe auf ukrainische Websites durchgeführt.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Zuge des Ukrainekrieges bereits mehrfach vor einer Bedrohung gewarnt. Zudem empfahl das BSI Behörden und Unternehmen auf den Einsatz von Produkten der russischen Sicherheitsfirma Kaspersky zu verzichten. Durch russische Drohungen gegen EU, Nato und die Bundesrepublik bestünden Zweifel an der Zuverlässigkeit des Herstellers. So könne Kaspersky auch gegen seinen Willen gezwungen werden, Angriffe durchzuführen, erklärte das BSI.

Der Beitrag Ukrainekrieg: USA warnen vor Cyberangriffen auf kritische Infrastruktur erschien zuerst auf Linux-Magazin.