IT Security Newsletter: Attacke auf SolarWinds, neue Ransomware-Opfer, Wirtschaftlichkeit von Lösegeldzahlungen

Aktuelle Berichte, Kommentare und Analysen aus der IT-Security

In dieser Ausgabe lesen Sie

  • Gravierende Auswirkungen der Attacke auf SolarWinds

  • Zahlreiche Ransomware-Angriffe auf Firmen

  • Markt für Automated Breach and Attack Simulation

  • Zur “Wirtschaftlichkeit” von Lösegeldzahlungen

  • Cloud-basierte EDR-Lösung von Bitdefender

  • Gefälschte Rechnungen direkt von PayPal

Das IT-Security-Jahr geht mit einem Paukenschlag zu Ende

Der vor wenigen Tagen bekannt gewordene Hacker-Einbruch beim Sicherheitsanbieter FireEye hat weit umfangreichere Folgen als bisher angenommen. Wie nun gemeldet wurde, konnten sich die Angreifer über einen automatischen Update-Mechanismus bei FireEye einschleichen. Wie das Unternehmen, das ja selbst auf Cyber-Attacken spezialisiert ist, mittlerweile nach eigener Aussage herausgefunden hat, wurde dafür die Orion-Plattform von SolarWinds kompromittiert.

Zwischen März und Juni dieses Jahres sollen Updates für die in zahllosen Unternehmen auf der ganzen Welt eingesetzte IT-Monitoring- und Netzwerkmanagement-Software mit der Malware Sunburst infiziert gewesen sein. Der Schädling wurde unter anderem eingesetzt, um Daten zu stehlen und um sich weiter in der jeweiligen IT-Umgebung festzusetzen. In den USA sollen einige Behörden wie die NTIA (National Telecommunications and Information Administration) zum Opfer dieser Aktion geworden sein.

Wie FireEye in einer Stellungnahme schreibt, hat die Malware weitreichende Fähigkeiten:

After an initial dormant period of up to two weeks, [Sunburst] retrieves and executes commands, called “Jobs”, that include the ability to transfer files, execute files, profile the system, reboot the machine, and disable system services.

Auch bei der Extraktion von Daten geht Sunburst sehr trickreich vor:

The malware masquerades its network traffic as the Orion Improvement Program (OIP) protocol and stores reconnaissance results within legitimate plugin configuration files allowing it to blend in with legitimate SolarWinds activity.

Des Weiteren schützt sich der Schädling vor AV-Software:

The backdoor uses multiple obfuscated blocklists to identify forensic and anti-virus tools running as processes, services, and drivers.

18.000 potentielle Opfer

SolarWinds hat den Angriff mittlerweile eingestanden und Patches veröffentlicht. Unternehmen, die Software des Herstellers einsetzen, stehen aber nun vor einem Scherbenhaufen. Ihnen bleibt im schlimmsten Fall nur, die gesamte IT-Umgebung neu aufzusetzen. Laut einem Bericht von SolarWinds haben möglicherweise bis zu 18.000 Kunden die verseuchten Updates erhalten. Insgesamt hat das Unternehmen etwa 300.000 Kunden, zu denen auch Behörden wie der amerikanische Secret Service, die NSA und das Executive Office of the President gehören. 33.000 von ihnen hatten im fraglichen Zeitraum die Möglichkeit, Updates herunterzuladen. Wenn die Zahlen von SolarWinds stimmen, dann haben etwa 15.000 von ihnen nicht davon Gebrauch gemacht.

Wie es die Angreifer in die Update-Systeme von SolarWinds schafften, ist noch unklar. Teils wird eine verseuchte E-Mail als initiale Quelle vermutet, teils ein Standardpasswort. Laut Reuters waren die Update-Server von SolarWinds lächerlich schlecht gesichert:

Security researcher Vinoth Kumar told Reuters that, last year, he alerted the company that anyone could access SolarWinds’ update server by using the password “solarwinds123”

“This could have been done by any attacker, easily,” Kumar said.

Trotzdem sei dies wahrscheinlich nicht die Ursache, schreibt Reuters weiter. Der Bericht enthält aber weitere pikante Details:

Others - including Kyle Hanslovan, the cofounder of Maryland-based cybersecurity company Huntress - noticed that, days after SolarWinds realized their software had been compromised, the malicious updates were still available for download.

SolarWinds-Aktie unter Druck

Wie es weitergeht, ist derzeit noch offen. US-Behörden sollen bereits angewiesen worden sein, alle IT-Systeme, auf denen die Orion-Plattform installiert ist, umgehend vom Netzwerk zu trennen. Die Aktien von SolarWinds sind derweil um ein knappes Viertel eingebrochen.

Unerwartete Hilfe kommt von Microsoft. Das Unternehmen hat zusammen mit mehreren anderen Sicherheitsfirmen die Domain blockiert, die nach derzeitigem Kenntnisstand beim Angriff auf SolarWinds als zentrale Anlaufstelle für die verseuchten Systeme verwendet wurde.

Was sonst noch wichtig ist

  • Der Schweizer Elektrotechnik-Hersteller Huber + Suhner ist das Opfer einer Cyber-Attacke worden. Was genau passiert ist, ist derzeit noch nicht bekannt. Das Unternehmen ist laut Schweizer Medienberichten „abgetaucht“. Selbst die Webseite des Unternehmens wurde mit einem knappen Hinweis auf technische Probleme ersetzt.

  • Ein ähnlich schwerer Fall hat Symrise, einen deutschen Hersteller von Duftstoffen und Aromen, getroffen. Der Angriff mit „erpresserischer Absicht“ sei so heftig gewesen, dass die Produktion vorübergehend eingestellt werden musste, berichtet die Tagesschau.

  • Auch die norwegische Schifffahrtslinie Hurtigruten ist das Opfer einer Ransomware-Attacke geworden.

  • Der Markt für Lösungen aus dem Bereich Automated Breach and Attack Simulation soll bis 2025 auf ein Volumen von rund 1,2 Milliarden US-Dollar anwachsen, prognostiziert die Marktforschungsgesellschaft Adroit.

  • Besondere Vorsicht sollten Sie momentan bei Rechnungen im Namen von Hilfsorganisationen walten lassen, die laut Eset massenhaft an Paypal-Nutzer verschickt werden. Das Fatale: „Die Benachrichtigungs-E-Mail über den Eingang einer Rechnung stammt tatsächlich von Paypal und erscheint auch im Paypal-Dashboard. Wer dort auf den ‚Prüfen und Bezahlen-Button’ klickt, verliert bares Geld.“

Nochmal zum Thema Ransomware

Zumindest in den USA kann das Eingehen auf die Forderungen der Erpresser zu rechtlichen Schwierigkeiten führen, warnt das Security Magazine:

„[...] payment of ransoms to certain cyber attackers could get a company in trouble under U.S. sanctions laws and regulations for helping to finance sanctioned organizations“.

Aus Sicht vieler von Ransomware betroffenen Firmen ist es aber oft wirtschaftlicher, das Lösegeld zu bezahlen, als die meist deutlich höheren Kosten für Wiederherstellung und Bereinigung zu tragen. Das haben selbst manche Cyber-Versicherungen erkannt und sind daher bereit, die Zahlung des Lösegeldes zu übernehmen. Für betroffene Unternehmen lohnt sich daher ein Blick in die Bestimmungen ihrer Cyber-Versicherung.

Kurz berichtet

  • Bitdefender führt eine neue Cloud-basierte EDR-Lösung (Endpoint Detection and Response) ein. Sie richtet sich an Firmenkunden und Managed Service Provider (MSPs).

  • Mehr als 45 Millionen medizinische Datensätze wurden frei zugänglich auf mehr als 2.000 Servern im Internet gefunden, hat das Sicherheitsunternehmen CybelAngel herausgefunden.

  • Unbekannte Cyber-Kriminelle haben versucht, „kritische Daten bei der Europäischen Arzneimittel-Agentur zu stehlen“, berichtet Terry Greer-King. Er ist Vice President EMEA bei der IT-Sicherheitsfirma SonicWall.

Ein ganz anderes Thema: Der letzte Wille eines schrägen US-Millionärs

Charles Vance Millar hat auf seinem Sterbebett im Jahr 1926 derjenigen Frau in seiner Heimatstadt Toronto 9 Millionen US-Dollar versprochen, die innerhalb von zehn Jahren die meisten Kinder auf die Welt bringt. Eine reichlich makabere Idee. Zahlreiche vor allem arme Familien sind damals inmitten einer der größten Wirtschaftskrisen der jüngeren Geschichte auf das Versprechen eingegangen und haben trotzdem kein Geld erhalten.

Share IT Security Newsletter

Aufmacherbild: Pixabay von Pexels