Home      Themenübersicht / Sitemap      Webmaster      

 

172. Newsletter - sicherheitskultur.at - 31.05.2021

von Philipp Schaumann

Zum Archiv-Überblick

 

Hier die aktuellen Meldungen:

 

1. Die Zukunft von Ransomware - ich bleibe ratlos, wie das Problem gelöst werden könnte

Mit Ergänzungen Juni 2021

Spätestens seit 2015 berichte ich, dass Ransomware sich zu einer immer größeren Bedrohung auswächst. Nachdem schon im letzten Jahr auch Angriffe auf Krankenhäuser und andere kritische Infrastrukturen passiert sind, scheint die Lage 2021 immer mehr zu eskalieren.

Ich habe den Eindruck, dass Ransomware wie zu einer "Linzenz zum Gelddrucken" für eine professionelle, kriminelle Infrastruktur geworden ist. Es herrscht effektive Arbeitsteilung: einige recht clevere "Techniker" finden Verwundbarkeiten, bauen eine Cloud-Infrastruktur zur Verteilung der Schadsoftware und zur Veröffentlichung von entwendeten vertraulichen Daten und eine Support-Infrastruktur auf (oft im sog. Darknet, d.h. nur erreichbar über das TOR-Netzwerk). Diese Software und Infrastruktur vermieten sie dann andere Organisationen, die z.B. Infektionen mittels Phishing durchführen und vor allem das Inkasso, d.h. das Eintreiben des Geldes von Firmen, Behörden und anderen Organisationen betreiben. Bei ganz lukrativen Opfern wird zum Teil von den Experten auch "von Hand" gearbeitet (dies können aber auch 'als Ransomware getarnte' Industriespionage-Aktionen sein - auch das gibt es).

Die Erträge scheinen beachtlich zu sein: Angeblich hat die US-Versicherung CNA Financial 40 Millionen US$ Lösegeld gezahlt. Üblicherweise liegen die Beträge wohl eher bei 5 Mio, wie bei der Pipeline-Aktion, aber auch das addiert sich schnell auf. Mit dem Angriff auf die Betreiber der Colonial Pipeline in den USA durch die Software der Organisation DarkSide ist das doch etwas eskaliert und hat die Aufmerksamkeit der Politik gefunden. Die Ersteller der Software distanzierten sich von diesem Angriff als sie sahen, welche Auswirkungen das noch haben könnte. Sie schoben die Schuld auf ihre "Eintreiber" die sie stärker in die Pflicht nehmen wollen und betonen, dass sie unpolitisch wären und nur Geld verdienen. Das ändert aber für die Opfer gar nichts.

Dazu kommt, dass diese kriminellen Infrastrukturen nur funktionieren können, weil es Staaten gibt, denen dies alles egal ist, solange nur sie und ihre Firmen nicht angegriffen werden. So prüft die Schadsoftware die hier eingesetzt wurde ob der befallene Rechner in Russland oder einem anderen Land der Ex-Sowjetunion läuft - in diesem Fall deaktiviert sie sich wieder. D.h. wir haben es hier mit einer ähnlichen Situation wie im 17. und 18. Jahrhundert zu tun, wo Staaten wie England Piraten Unterschlupf in ihren weltweit verteilten Häfen boten, solange sie nicht die eigenen Schiffe überfielen.

Russland hat den Ruf, gegenüber solchen Kriminellen sehr großzügig zu sein. Das Land profitiert ja auch von den Devisen-Einnahmen durch diese sehr lukrativen Erpressungen. Einzelne Gruppen gibt es in anderen Ländern, vor allem wohl in Asien, aber auch Brasilien (Nord-Korea ist ein Spezialfall, dort arbeiten die Cyber-Kriminellen wohl direkt als "Staatsbeamte" in staatlichem Auftrag und sind stark als digitale Bankräuber großen Stils aktiv).

Aber in keinem Land gibt es wohl so viele Ransomware-Organisationen und nirgendwo werden diese von der Regierung so wohlwollend toleriert wie in Russland. Jetzt hat wohl irgend jemand Druck gemacht, denn die Server der DarkSide Piraten sind (angeblich) nicht mehr verfügbar, so berichten die Kriminellen und ihr erpresstes Geld wäre auch weg. Evt. hat Russland Angst, dass es Repressionen geben könnte und hat DarkSide geopfert (oder es war jemand anderes oder es war nur einfach geblufft um von sich abzulenken).

Druck von den Host-Regierungen scheint ein wichtiger Faktor zu sein, den immer stärker werdenden Schaden durch diese Form der Kriminalität hoffentlich bald einzubremsen. Die Möglichkeit der für die Kriminellen fast risikolosen Zahlungen mittels Bitcoin scheint, auch wenn Bitcoin durchaus nicht anonnym ist, trotzdem diese Form der Kriminalität gegenüber fast allen kriminellen Tätigkeiten zu bevorzugen. Die Kriminellen fühlen sich unverwundbar solange sie irgendwo einen "sicheren Hafen" haben. Sie können in Russland in tollem Luxus und sehr offen leben und das Geld verprassen.

Evolution und Klassifizierung von Ransomware

Ransomware als Schadsoftwareklasse hat sich mittlerweile gegenüber fast allen anderen Arten von Schadsoftware durchgesezt. Die Gründe werden nebenstehend ausführlicher beschrieben.

Die 1. Generation ("Commodity Ransomware") bestand aus Programmen, die meist mittels Anhang im Email oder über Web-Download auf einen (zumeist privaten) Rechner kamen und dort die erreichbaren Dateien verschlüsselten, oft auch die Datensicherung (falls die online ist). Ein Beispiel dafür ist z.B. CryptoLocker.

Nachdem es immer wieder passiert ist, dass solche Programme auch Firmenrechner infiziert hatten und dort auch die sog. Netzwerk-Shares erreichen und verschlüsseln konnten hat es die 2. Generation dann ganz gezielt auf solche geteilten Netzwerke in Firmen abgesehen.

Dies führte dann zur 3. Generation von "Commodity Ransomware". Dabei bekommt die Schadsoftware zusätzlich die Fähigkeiten eines "Computer Wurms", d.h. sie versucht vom infizierten Rechner zu weiteren Rechnern zu gelangen, typischerweise im gleichen Firmennetz, aber manchmal auch außerhalb. Ein drastisches Beispiel dafür ist WannaCry, der auf diese Weise drastisch höhere Schäden anrichtet(e) (der auf Software aufbaut, dass der NSA "abhanden kam" und bei dem vermutet wird, dass er die Staatskasse von Nordkorea aufbessert).

Die 4. Generation kann als "Human-Operated Ransomware" bezeichnet werden, denn dabei werden gezielt Firmen und Organsationen (z.B. staatliche Behörden, Unis, Krankenhäuser) angegriffen von denen ein hohes Lösegeld verlangt werden kann. Dies sind, im Gegensatz zu den ersten 3 Generationen nun "gezielte" Angriffe von kriminellen Technikern, die oft über Wochen versuchen, alle kritischen Systeme und Daten des Opfers zu identifizieren und dann einzelne Dateien, die als "brisant" gesehen werden zu exfiltrieren und dann den Rest zu verschlüsseln. Solche Angriffe können sich über Wochen hinziehen.

Dies könnte als 5. Generation bezeichnet werden. Die Exfiltration der Dateien ist eine Antwort darauf, dass solche high-value Targets oft ihre Datensicherungen deutlich verbessert und geschützt haben und daher auf die Zahlung des Lösegelds nicht angewiesen waren. In diesen Fällen kann bei dieser Form mit Erpressung mit Datenveröffentlichung gedroht werden (z.B. weil Gesundheitsdaten oder Geschäftsgeheimnisse).

Beide Formen von Ransomware ("commodity" und "human-operated") haben die Herausforderung, dass die Opfer ja nicht wissen (können), ob die Zahlung zum Wiederherstellen der Daten führen wird. Darauf haben die Kriminellen mit dem Versuch von "Branding" geantwortet. D.h. die Gruppen betreiben P.R. und berichten, dass "ihre Opfer" nach Zahlung des Lösegelds schnell wieder zu ihren Daten gekommen sind. Außerdem bieten sie "Support-Kontakte", d.h. Opfer können mit den Tätern in einem Dialog treten und es werden dann "vertrauensbildende Maßnahmen", z.B. die Entschlüsselung einiger Dateien angeboten. Beispiele für solche "Brands" sind z.B. DarkSide (berühmt und berüchtigt wegen des Angriffs auf die Colonial Pipeline in den USA) und der Konkurrenzgruppe REvil (die ebenfalls gerade einen größeren Angriff in den USA hingelegt haben). Solche Gruppen betreiben typischerweise "Franchising", d.h. sie schreiben die Software, betreiben die notwendige Infrastruktur und den Helpdesk und bieten diese Dienste auf Websites in TOR-Netzwerk anderen Kriminellen an, die dann für das Eintreiben des Lösegelds zuständig sind und einen Anteil davon abgeben müssen.

Dieser Text bis hierher ist eine Zusammenfassung eines Artikels aus Treatpost: On the Taxonomy and Evolution of Ransomware.

Jetzt noch ein paar Kuriositäten zum Colonial Pipeline Fall und zum Fleischproduzenten JBS:

Dass die nach der Zahlung gelieferte ENTschlüssungssoftware nicht die Qualität der VERschlüsselungssoftware hat, scheint nicht ungewöhnlich zu sein: Das Verschlüsseln geht sehr schnell, aber die Entschlüsselungsprogramme die nach der Zahlung angeboten werden, die sind oft noch langsamer als die Wiederherstellung aus der Datensicherung.

Außerdem weiß man nie, was das neue Programm noch alles auf den Systemen installiert, z.B. eine kleine Hintertür in das interne Netz. Denn wenn ein Unternehmen einmal gezahlt hat, so ist das Unternehmen natürlich auch ein guter Kandidat für eine weitere Erpressungen. Auch sind diese Entschlüsselungsprogramme oft fehlerhaft und haben angeblich manchmal Probleme mit großen Dateien wie Datenbanken. Weiter verkomplizieren die Angreifer die Wiederherstellung manchmal, indem sie zum Teil entweder doppelt verschlüsseln oder mit 2 unterschiedlichen Programmen und Schlüsseln.

M.E. ist es notwendig, die Rolle von IT-Sicherheits-Versicherungen bei dieser Ransomware-Pandemie zu hinterfragen. Der AXA Konzern hat jetzt verkündet, dass er für neue Cyber-Versicherungen in Frankreich kein Lösegeld mehr inkludieren will. Cyber-Kriminelle erklärten bei verschiedenen Gelegenheiten, sie bevorzugten es, wenn ihre Opfer eine Cyber-Versicherung hätten. Solche Unternehmen zahlten in der Regel bereitwilliger und der ganze Vorgang gehe sehr professionell über die Bühne. Die Sicherheitsfirma Recorded Future berichtet für die USA über 65000 erfolgreiche Ransomware-Angriffe in den USA, das ist einer alle 8 Minuten, beeindruckend.

A Perfect Storm

Das heißt wohl, wir haben hier so was wie einen "perfect storm".

Und mittlerweile gibt es ganz neue Geschäftszweige: Da sind z.B. die Menschen, die die Verhandlungen mit den Erpressern professionell führen (und dabei etwas 'mitschneiden') und viele voll ausgelastete Sicherheitsfirmen, die versuchen, alle Rechner ganz neu aufzusetzen (die einzige wirklich sichere Lösung,, die Dateien zu rekonstruieren (mit oder ohne Lösegeldzahlung) und das Netz des Unternehmens möglichst von Hintertürchen u.ä. Spuren zu reinigen. Ver- oder Entschlüsselungssoftware kann ja auch ein Backdoor installieren. Solche Zugänge könnten die Kriminellen später nutzen oder auch weiterverkaufen. Sicher ist eigentlich nur, wenn alle Rechner neu aufgesetzt werden, aber das ist harte Arbeit und kostet viel Zeit.

Ich habe auch keine kreative Idee, was bei diesem globalen Riesenproblem eine Lösung sein könnte (mal abgesehen von international koordinierter Rechtsdurchsetzung). Das Konzept, dass die Firmen einfach alle ihre Unsicherheiten fixen und ihre Mitarbeiter trainieren, nie auf Phishing hereinzufallen (bzw. durch Konzepte die 2-Faktor-Authentifizierung solche Zugriffe sicher zu verhindern) hat bisher nicht gegriffen (es gibt ja immer noch genügend MS Exchange Server die durch die Hafnium Lücke eingreifbar sind (254 Exchange Server waren in Österreich (Stand: 2021-03-26) ungepatcht - die Zahl hat sich bis Juni 2021 auf "nur" 156 reduziert, d.h. immer noch genug Auswahl für die Kriminellen)

Sich gegen Lösegeldforderungen einfach zu versichern und sofort bezahlen mag im Einzelfall gut klingen, aber global wirkt es wie ein Brandbeschleuniger, denn dann wird diese Form der Kriminalität noch ertragreicher als sie eh schon ist.

Hier einige Ideenansätze:

Die Fortsetzung dieses Textes findet sich einige Monate später. Und an anderer Stelle gibt es viel mehr Details zum traurigen Ransomware-Trend, z.B. geht es da auch um den Ransomware-Schutz für Firmen und Privatleute.

 

2. Reclaim Your Face

'Reclaim Your Face' ist eine EU-weite Initiative zum Stopp von Gesichtserkennung im öffentlichen Raum. In zwölf Monaten müssen insgesamt eine Million gültige Unterstützungsbekundungen in sieben EU-Mitgliedstaaten gesammelt werden. Deutschland und Österreich spielen dabei beide eine große Rolle, es geht auch um Anteile in diesem 7 Ländern, da sollen kleinere Länder angeblich im Vorteil sein.

Dass der Einsatz von Gesichtserkennung keine Theorie ist, das zeigen z.B. die Experimente in unseren beiden Ländern, in D z.B. Berlin Südkreuz, mit grauslich schlechten Ergebnissen, die aber als Erfolg verkauft werden. Auch in AT laufen seit Ende 2019 Pilotversuche. Ich habe bereits unterschrieben und unterstütze daher diese Iniative sehr.

Hier mein Text zu den grundsätzlichen Problemen und Herausforderungen von Biometrie, auch beim Pilotprojekt am Südkreuz in Berlin.

Ergänzung Juni 2021: Auch die EU-Datenschutzbeauftragten und der Europäische Datenschutzrat sprachen sich im Juni für ein Verbot von biometrischer Massenüberwachung aus.

 

3. Fake-Shops erkennen - immer mehr betrügerische Online-Shop

Wieder mal eine Verlinkung auf die Watchlist-Internet, hier geht es um Tipps, um falsche Online-Shops zu erkennen und zu vermeiden.
Dort gibt es noch viele andere Tipps. Das ist m.E. auch tolles Material für alle, die in Schulen über Gefahren im Internet reden müssen. Z.B. auf Abofallen fallen auch ziemlich viele junge Menschen rein (weil sie glauben, im Internet sei eh alles kostenlos).

 

4. Taugen Kryptowährungen als Geldanlage?

Zu meiner Überraschung bin ich öfter gefragt worden, ob Bitcoin oder andere Kryptowährungen eigentlich eine gute Idee sind wenn jemand Geld anlegen will. Kurze Antwort NEIN, lange Antwort hier im c't-Interview mit 2 Anlageexperten: Taugen Kryptowährungen als Geldanlage?

Ergänzung Juni 2021:
Noch eine prononzierte Meinung dazu: Der bekannte Autor von "Black Swan" Nassim Taleb schreibt in Businessinsider: Bitcoin is worth zero and there is no evidence that blockchain is a useful technology. Seine 4 Argumente:

  1. Etwas das solche Schwankungen hat, ist keine nutzbare Währung. Weil einige Leute große Kursgewinne hatten, wird dies nicht realisiert
  2. Im Gegensatz zu Gold sind Kryptowährungen nicht "wartungsfrei" - die Kurse müssen gut beobachtet werden. Jeder Tweet von Elon Musk kann zu einem Einbruch führen
  3. Bitcoin schützt nicht gegen Inflation
  4. Bitcoin schützt auch nicht gegen Regierungsentscheidungen - zu sehen als der Zugriff des FBI auf die Lösegeldzahlungen von Colonial zu einem sofortigen Kurseinbruch geführt hatte

 

5. Tipps von deutschen und österreichischen Behörden

Eine neue Website der österreichischen Regierung onlinesicherheit.gv.at klärt über die durch die viele neue Online-Präsenz und fehlenden realen Interaktionsmöglichkeiten verstärkten Herausforderungen im Internet auf, z.B. Cyber-Mobbing in Zeiten der Pandemie oder das Vorgehen gegen Hetze und Radikalismus im Internet mit Verlinkungen auf Stellen und Materialien in D und Ö. Es sind Tipps für Betroffene, Bezugspersonen und viel Material für Lehrer:innen.

Neue BSI-Broschüren (nicht für Deutschland): Wegweiser für den digitalen Alltag

Und für Firmen mit Windows im Einsatz: Das BSI hat im Rahmen der „Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ (SiSyPHuS Win10) Handlungsempfehlungen zur Absicherung der Windows-Systeme in deutscher und englischer Sprache veröffentlicht.

 

6. Aktuelle Warnungen: Benachrichtigungen zum Lieferstatus einer Bestellung

Watchlist-Internet warnt aktuell vor Benachrichtigungen zum Lieferstatus einer Bestellung, das gibt es per SMS und auch per Email, ich bekomme reichlich davon. Da soll man sich entweder irgendwo einloggen oder eine Datei öffnen, oft ein PDF. Bitte nur wenn ein Paket erwartet wird und z.B. der Absender des Emails WIRKLICH von der richtigen Firma kommt.
Und hier, wie ich erkennen kann, ob ein Mail ein Phishing Mail ist und wo es wirklich herkommt.

 

7. Precomputed Contact Chaining - Ein NSA Tool zur Analyse von Kontakten und Beziehungen

Der Link Inside the NSA’s Secret Tool for Mapping Your Social Network führt zu einem längeren Text bei dem es um die Entwicklung des NSA Tools Mainway geht, einer Software, die den sog. Social Graph, d.h. welcher Mensch kontaktiert mit welchen anderen Menschen ständig aktualisiert und dadurch die sozialen Kontakte der Menschen auswertet. Ganz konkret wird dies für alle US-Bewohner gemacht, bzw. andere Personen an denen die US-Behörden interessiert sind.
Aber der Artikel ist auch für uns interessant, er zeigt auf, was heute Stand der Technik bei der Analyse von Kontaktnetzen ist und berichtet über viele interessante Hintergründe.

 

Humor: Big Tech’s guide to talking about AI ethics

Big Tech’s guide to talking about AI ethics
Nein, das ist übrigens kein Zynismus, das ist Sarkasmus :-)

 

Schon nicht mehr lustig: Ersetzung unserer Parlamentarier durch AI - ein Alptraum der wohl (knapp) mehrheitsfähig ist

Link: Viele Europäer würden Abgeordnete durch Algorithmen ersetzen. (Hier die Studie selbst European Tech Insights 2021). Dies ist ein Beispiel für den schrecklichen Irrglauben, dass eine künstliche Intelligenz "irgendwie neutral und objektiv" sei und außerdem schlauer als Menschen - beides ist gründlich falsch, wie die vielen Beispiele auf meiner Website zeigen, z.B. Diskriminierung durch Algorithmen und mein Vortrag: Problematische Algorithmen greifen in unser Leben ein.

Die große Frage wäre für mich: Wer darf denn diese Systeme programmieren (trainieren). Ich denke mir, Google, Facebook, Amazon und die chinesischen Konzerne sind gern bereit, diese Programmierung für uns zu übernehmen (notfalls sogar kostenlos) - ein Alptraum das Ganze.
 


 


 

Philipp Schaumann, http://sicherheitskultur.at/

Zum Archiv-Überblick

Home

 


Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.