Comretix Blog

Die Generalstaatsanwaltschaft Karlsruhe hat Anklage gegen einen Cyberkriminellen erhoben. Der Mann soll Cyberattacken auf zahlreiche deutsche Unternehmen und Institutionen verübt und Lösegeld erpresst haben. Das berichtete Spiegel Online am Montag.

Anzeige

Der 45-jährige Tatverdächtige war nach mehrjährigen internationalen Ermittlungen des Landeskriminalamts Baden-Württemberg im Juni vergangenen Jahres in Zusammenarbeit mit den slowakischen Behörden in Bratislava verhaftet und im September nach Deutschland ausgeliefert worden. Nach Angaben der Strafverfolger steht der Mann im Verdacht, im Jahr 2019 die Daten von 22 deutschen Firmen und Einrichtungen mit Schadsoftware verschlüsselt und Lösegeld für die Freigabe gefordert zu haben. Zu den Betroffenen der Cyberangriffe gehörten u. a. das Württembergische Staatstheater Stuttgart sowie mehrere Hersteller von medizinischen Produkten. Durch die Datenverschlüsselung und den Systemausfall entstand ein geschätzter wirtschaftlicher Schaden von über 2,4 Millionen Euro.

Die Staatsanwaltschaft wirft dem mutmaßlichen Cyberkriminellen unter anderem banden- und gewerbsmäßigen Computerbetrug vor. Der aus der Ukraine stammende Mann gehört nach Angaben der Ermittler der weltweit agierenden Cybercrime-Gruppe "GandCrab" an, die mit Verschlüsselungsangriffen Geld von ihren Opfern erpresst hat. Der weltweit entstandene wirtschaftliche Schaden durch die Gruppierung wird auf mehr als 100 Millionen Euro geschätzt.

Die Ransomware GandCrab befiel seit 2018 unzählige Windowsrechner weltweit. Die Malware lauerte unter anderem hinter Fake-Software-Cracks und in gefälschten Bewerbungsmails. Zudem versuchte der Erpressungstrojaner, sich durch verschiedene Sicherheitslücken zu fressen. Anfang Juni 2019 gaben die Entwickler der Schadsoftware deren Ende bekannt. Nach eigenen verdienten sie pro Woche 2,5 Millionen US-Dollar. Abgelöst wurde GandCrab mutmaßlich von der Malware "Revil".

Dem Virenschutz Gdata Security Client und der Verwaltungssoftware Gdata Management Server haben Angreifer aufgrund von Sicherheitslücken Schadcode unterschieben können. Inzwischen stehen Updates bereit, die die sicherheitsrelevanten Fehler korrigieren.

Anzeige

In einem Github-Projekt wurden die Schwachstellen von dem User mit dem Handle nullby73 gemeldet. Im Gdata Management Server findet sich eine Sicherheitslücke im Gdmms-Dienst. Dieser starte einen Prozess, der nach einer ZIP-Datei in einem von Nutzern beschreibbaren Verzeichnis sucht. Beim Entpacken des Archivs findet keine Prüfung auf relative Pfade innerhalb des Archivs statt. Das führe zu einer sogenannten "Zip Slip"-Lücke, die das Schreiben oder Überschreiben beliebiger Dateien mit SYSTEM-Rechten erlaubt. Das mündet in einer Rechteausweitung (CVE-2025-0542, CVSS 7.8, Risiko "hoch").

In Gdatas Security Client klafft eine Sicherheitslücke, da der SetupSVC-Dienst, der in unregelmäßigen Intervallen gestartet wird, eine ausführbare Datei aus einem von Nutzern beschreibbaren Verzeichnis starten will. Zudem versucht die Software, zwei nicht existierende DLLs zu laden – abermals aus einem Benutzer-beschreibbaren Ordner, was in einer DLL-Injection-Schwachstelle endet. Durch das Platzieren einer bösartigen Datei anstelle einer der beiden Bibliotheken lässt sich beliebiger Code mit SYSTEM-Rechten ausführen, sobald der SetupSVC-Dienst startet (CVE-2025-0543, CVSS 7.8, hoch).

Die Sicherheitslücken hat nullby73 bereits Anfang April 2024 an Gdata gemeldet. Seit Anfang Dezember stehen beide betroffenen Softwarepakete in der fehlerkorrigierten Version 15.8.333 zur Verfügung; am Wochenende erfolgte jetzt die koordinierte Veröffentlichung der Lücke. Wer diese Gdata-Software einsetzt, sollte daher prüfen, ob in der eigenen Organisation die Software schon per automatischem Update auf die fehlerbereinigte oder neuere Version aktualisiert wurde. Gegebenenfalls sollten Admins dies manuell nachholen.

Silicon Labs stellen insbesondere Schaltkreise für die Anbindung etwa von älteren seriellen Schnittstellen(-protokollen) auf USB her. Die Installationsprogramme für zugehörige Treiber und Software weisen in vielen Fällen eine Sicherheitslücke auf, die das Unterschieben von eigenen Bibliotheken und somit das Einschleusen von eigenem Code ermöglicht.

Anzeige

Eine Zusammenfassung versteckt Silicon Labs hinter einem Log-in. Jedoch sind die CVE-Einträge zu den verwundbaren Produkten öffentlich. Denen zufolge filtern die Installer den Suchpfad nicht ordentlich, was diese sogenannten DLL-Injection-Lücken aufreißt. Das können Angreifer zum Ausweiten ihrer Rechte oder der Ausführung beliebigen Codes beim Start der Installer ausnutzen.

Insgesamt sind die Installationspakete zu zehn Produkten von Silicon Labs davon betroffen:

Die Installationsprogramme für veraltete Betriebssysteme, etwa USBXpress, sind in offenbar verwundbaren Versionen auf der Download-Seite von Silicon Labs verfügbar. Wer diese Software noch benötigt, sollte den Support des Unternehmens kontaktieren und um fehlerkorrigierte Installationsprogramme bitten. Bis auf einen universellen Windows-Treiber für die CP210x-VCP-Module sind auch die Installer für die USB-Konverter noch älterem Datums. Gegebenenfalls hilft auch hier, beim Hersteller-Support nach fehlerkorrigierten Installationspaketen zu fragen.

Derzeit fallen Scriptkiddies weltweit offensichtlich auf Betrüger herein und hantieren mit einem manipulierten Malware-Baukasten, der ihre Systeme mit Schadcode infiziert.

Anzeige

Darauf sind Sicherheitsforscher von CloudSEK gestoßen, die ihre Erkenntnisse in einem Beitrag zusammengefasst haben. Ihnen zufolge ist eine trojanisierte Version vom XWorm RAT Builder in Umlauf. Das ist ein Baukasten, mit dem man mit vergleichsweise wenig Aufwand Trojaner erstellen kann. Diese Variante ist aber selbst Schadcode und kopiert etwa Passwörter von PCs.

Der präparierte Baukasten wird den Sicherheitsforschern zufolge in erster Linie von Scriptkiddies von Github und anderen Plattformen heruntergeladen. Eigentlich kostet so ein Baukasten Geld, doch die Betrüger bewerben ihn sozialen Netzwerken als kostenlos.

Weltweit soll die Malware mehr als 18.000 Geräte infiziert haben. Der Großteil davon ist in den USA und Russland. Welches Ziel die Drahtzieher hinter dieser Kampagne konkret verfolgen, bleibt unklar. Zum jetzigen Zeitpunkt soll die Malware mehr als 1 Terabyte an Log-in-Daten kopiert haben.

Einrichtungen der sogenannten kritischen Infrastruktur haben im vergangenen Jahr deutlich mehr Cybersicherheitsvorfälle gemeldet als in den Jahren zuvor. Das geht aus einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der FDP-Fraktion hervor.

Anzeige

Demnach gab es 2024 insgesamt 769 solcher Meldungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) – rund 43 Prozent mehr als im Jahr zuvor, als 537 Meldungen das BSI erreichten. In den Jahren 2021 und 2022 waren beim BSI 385 Meldungen beziehungsweise 475 Meldungen zu Cybersicherheitsvorfällen eingegangen. Betreiber von Anlagen und Einrichtungen, die als kritische Infrastruktur gelten, sind verpflichtet, solche Vorfälle unverzüglich dem BSI zu melden.

Die Bundesregierung weist in ihrer Antwort allerdings darauf hin, dass nicht hinter jeder Meldung notwendigerweise ein Cyberangriff steht. Nicht in jedem Fall habe der Betreiber aufklären können, ob dem Cybersicherheitsvorfall ein Angriff oder eine andere Ursache zugrunde lag.

Daher sei auch der Anteil von Vorfällen, die auf staatliche Akteure zurückgehen, nicht bekannt. Zur kritischen Infrastruktur zählen beispielsweise Energie- und Transportunternehmen, Telekommunikationsanbieter, Kliniken und Kläranlagen.

Als ITler wissen Sie recht gut, was für einen sicheren Betrieb des Unternehmens nötig wäre. Aber vor der Umsetzung gilt es, die Geschäftsführung von der Notwendigkeit zu überzeugen. Dieses heise security Webinar liefert Ihnen die notwendigen Fertigkeiten, Ihrem Chef Themen der Informationssicherheit richtig "zu verkaufen".

Anzeige

Die Kommunikation zwischen Sicherheitsspezialisten und Geschäftsführung scheitert oft schon an der Themenwahl; die eher technisch orientierten Fachleute finden keine gemeinsame Gesprächsebene mit den Entscheidungsträgern. Hinzu kommen fehlendes Geschick bei der Gesprächsführung und manchmal auch ungeschickt vorgebrachte Argumente.

Unsere sowohl in der Security als auch in der C-Level-Kommunikation erfahrenen Referenten zeigen deshalb auf, welche Themen die Geschäftsleitung überhaupt bewegen und schlagen dann die Brücke zur Informationssicherheit. Zudem diskutieren sie, welchen Stellenwert Compliance und Co in diesem Zusammenhang haben und ob sie tatsächlich das Mittel zu einer größeren Akzeptanz der Informationssicherheit sind. Das ergänzen sie mit bewährten Techniken zur Vorbereitung und Führung eines Pitch-Gesprächs.

Das Webinar richtet sich an Sicherheits- und auch Datenschutzverantwortliche in Firmen, Organisationen und Behörden. Es handelt sich hierbei weder um eines der typisch technischen heise security Webinare noch um eine der verbreiteten Management-Schulungen. Die Referenten Christoph Wegener und Wilhelm Dolle haben zwar einen ausgeprägt technischen Background, aber auch reichlich Erfahrung in der Kommunikation mit Firmen-Chefs und Management. So können sie die Brücke schlagen und IT-Spezialisten die notwendigen Strategien und Techniken für erfolgreiche Kommunikation zu Security-Themen vermitteln.

Einem Sicherheitsforscher ist es gelungen, Apples neuen USB-C-Controller zu entschlüsseln, der seit dem iPhone 15 in den Smartphones des Konzerns steckt. Einen entsprechenden Talk gab es bereits auf dem letzten Chaos Communication Congress (38C3) Ende Dezember in Hamburg, das Video dazu ist nun publiziert worden. Thomas Roth alias stacksmashing, Gründer des Security-Education-Unternehmens hextree.io, der sich unter anderem auf iOS-Reverse-Engineering spezialisiert hat, zeigt darin, was der sogenannte ACE3 alles kann – und wie er potenziell angreifbar ist.

Anzeige

Der Mikrocontroller stammt eigentlich von Texas Instruments (TI), wurde aber speziell für Apple angepasst. Neben dem iPhone 15 in allen vier Varianten soll er auch in allen iPhone-16-Modellen sowie demnächst im kommenden iPhone SE 4 stecken. Apple hatte aufgrund der USB-C-Pflicht der Europäischen Union zuvor alle iPhones mit proprietärem Lightning-Anschluss vom Markt genommen. Der ACE3 gilt als grundsätzlich bekannt, da er auf dem ACE2 im MacBook Pro basiert. Hier gelang es Roth bereits, mit einem eigenen macOS-Kernelmodul (das sich allerdings nur von Admins installieren lässt) eine persistente Backdoor einzubauen, die auch vollständige System-Restore-Prozesse überlebt.

Beim ACE3 ist das aber nicht mehr so "leicht" möglich. Laut dem Sicherheitsexperten hat Apple angepasste Firmware-Updates pro Gerät implementiert, das Debug-Interface abgeschnitten und eine Flash-Validierung eingebaut. Zudem fehlen Teile der Firmware. Roth musste zum Reverse Engineering mit verschiedenen komplexen Methoden arbeiten, darunter RF-Sidechannel-Analysen und Faultinjection auf elektromagnetische Art. So sei es ihm gelungen, eine Code-Ausführung auf dem ACE3 zu ermöglichen, inklusive ROM-Dump.

Das komplexe Reverse Engineering offenbart einige potenzielle Zugangswege. Der ACE3 soll einen vollwertigen USB-Stack enthalten und verbindet sich mit internen Komponenten wie dem SPMI-Bus und dem JTAG-Application-Prozessor. Dennoch dürfte es schwierig sein, die von Roth vorgeführten Angriffe breit anzuwenden. Er selbst arbeitet aber daran, die notwendigen Hardwarekosten auf unter 100 US-Dollar zu senken.

Noch in diesem Jahr wird die deutsche Umsetzung der NIS2-Regulierung wirksam werden. Die europäische Cybersicherheits- und Resilienzrichtlinie NIS2 verpflichtet rund 30.000 – auch mittelständische – Unternehmen in Deutschland zu Maßnahmen zur Stärkung ihrer Resilienz gegenüber Cyberangriffen. Betroffen sind zudem Zulieferer und Dienstleister dieser Unternehmen: NIS2 bezieht ausdrücklich auch die Sicherheit der Lieferkette mit ein.

Anzeige

Die Online-Konferenz NIS2 – was jetzt zu tun ist liefert kompakt an einem Tag Antworten auf die wichtigsten Fragen: Welche Unternehmen sind betroffen? Welche Maßnahmen müssen umgesetzt werden? Welche Fristen gelten dabei? Welche Schwierigkeiten und Fallstricke lauern bei der Betroffenheitsprüfung? Wie läuft die Umsetzung in der Praxis? Und, da NIS2 auch Schulungen von Mitarbeitenden und Geschäftsführung fordert: Wer muss wie geschult werden?

Erfahren Sie am 3. April von rennommierten Expertinnen und Experten für IT-Sicherheit und IT-Recht, was Sie jetzt tun müssen, um Ihr Unternehmen auf NIS2 vorzubereiten. Dabei ist viel Raum für Ihre Fragen vorgesehen. Veranstalter der Konferenz sind iX, das heise-Magazin für professionelle IT, und Sigs Datacom. Bei Buchung bis zum 28. Februar profitieren Sie von 20 Prozent Frühbucherrabatt.

In den Posteingängen von Internetnutzern landen abermals Phishing-Mails, die Opfer mit einer vermeintlichen Steuerrückzahlung ködern. Auffällig bei der aktuell laufenden Masche: Die Absender-Domain nutzt einen "Tipp-Fehler" mit "i" anstatt "l", also als Absender-Domain "eister.de".

Anzeige

Die angebliche Steuerrückzahlung kommt angeblich von der Domain "eister.de" anstatt "elster.de".

(Bild: polizei-praevention.de)

Das LKA Niedersachsen erörtert in der Warnung, dass solche Buchstabenverdreher bereits länger zum Einsatz kommen und ausnutzen, dass Empfänger sie beim flüchtigen Lesen nicht erkennen. Die konkret gezeigte E-Mail landete "bei einer Mitarbeiterin des Landesamtes für Steuern Niedersachsen, die die Fälschung natürlich sofort erkannte". Auffällig ist unter anderem auch die Frist, die bis zum 01.02.2024 läuft – hier könnten Empfänger aufmerken, da wir inzwischen im Jahr 2025 unterwegs sind.

In Hardware-Appliances von Palo Alto Networks klaffen Sicherheitslücken in den Firmwares und Bootloadern. Der Hersteller beschwichtigt, diese Lücken seien kaum ausnutzbar, arbeitet jedoch an korrigierten Firmwares und Bootloadern.

Anzeige

In der Sicherheitsmitteilung von Palo Alto erklären die Entwickler des Unternehmens, dass es von der "Behauptung von mehreren Schwachstellen in Hardware-Geräte-Firmware und Bootloadern als Teil unserer PA-Baureihe an (Hardware-)Firewalls" wisse. "Es ist bösartigen Akteuren oder PAN-OS-Administratoren nicht möglich, diese Schwachstellen unter normalen Bedingungen in PAN-OS-Versionen mit aktuellen, gesicherten Verwaltungsschnittstellen auszunutzen, die den Best-Practices-Regeln entsprechend aufgesetzt wurden", schreiben sie weiter.

User und Admins hätten keinen Zugriff auf die BIOS-Firmware oder die Rechte, sie zu ändern. Angreifer müssten das System kompromittieren und schließlich Linux-Root-Rechte erlangen, um die Lücken zu missbrauchen. Die Schwachstellen hat die IT-Sicherheitsfirma Eclypsium aufgespürt und merkt dazu etwas ironisch an: "Glücklicherweise für Angreifer (und unglücklich für Verteidiger), ist das Erlangen von Root-Rechten auf Palo Alto PAN-OS-Geräten möglich durch das Kombinieren von Exploits für zwei Schwachstellen, CVE-2024-0012 und CVE-2024-9474" –Ende November wurden dadurch weltweit mehr als 2000 Palo-Alto-Geräte geknackt.

Die Sicherheitsmitteilung listet eine Reihe älterer Sicherheitslücken auf, für die jeweils einige konkret untersuchte Geräte-Reihen anfällig sind. Dazu gehört etwa die BootHole genannte Schwachstelle, die im Jahr 2020 bekannt wurde und aufgrund von Fehlern im Bootloader Grub2 trotz Secure Boot Angreifern ermöglicht, sich in den Boot-Prozess einzuklinken und quasi unsichtbare Schadsoftware einzuschleusen.

Das Landgericht Düsseldorf hat in einem Verfahren zwischen der Stuttgarter Firma Skinport und Google Irland eine einstweilige Verfügung erlassen und nach einer mündlichen Verhandlung nun auch bestätigt. Der Online-Marktplatz für sogenannte Skins für Counter Strike 2 ist damit nicht nur in erster Instanz erfolgreich gegen unzulässige Phishing-Werbeanzeigen über Google Ads vorgegangen. Vielmehr hat die zuständige Zivilkammer auch entschieden, dass Google in solchen Fällen als Störer nach dem Digital Services Act (DSA) haftet: Der Betreiber des Werbedienstes muss demnach verhindern, dass Betrüger "kerngleiche" – also ähnlich gestrickte – Anzeigen über ihn schalten können.

Anzeige

Mit der im deutschen Recht verankerten Störerhaftung lassen sich Dritte, die zur Verletzung eines geschützten Gutes nur beitragen, zur Verantwortung ziehen. Nach Artikel 8 DSA wird Anbietern von Vermittlungsdiensten – wie in diesem Fall Google – keine allgemeine Pflicht auferlegt, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hindeuten. Der EU-Gesetzgeber hat damit im Kern die Haftungsfreistellung aus der E-Commerce-Richtlinie übernommen, die sich hierzulande im Telemediengesetz (TMG) niederschlug. Ob die Störerhaftung mit den DSA-Vorgaben vereinbar ist, bereitet Juristen bislang Kopfschmerzen.

Google brachte vor dem Landgericht vor: Man habe keine "haftungsbegründende Kenntnis". Der Konzern hat nach Darstellung seiner Anwälte von der umstrittenen Textanzeige vom 8.6. 2023 erstmals mit der Zustellung des ersten gerichtlichen Beschlusses vom 20.6. 2023 erfahren. Die Reklame und der Werbetreibende seien sodann gesperrt worden, damit dieser keine vergleichbaren Phishing-Anzeigen mehr schalten könne. Die Voraussetzungen einer Haftung als Betreiber eines Hosting-Dienstes nach Artikel 6 DSA seien aber nicht erfüllt. Auch bestehe keine Pflicht, vorbeugend gegen einschlägige künftige Rechtsverletzungen vorzugehen.

"Der Widerspruch ist unbegründet", erklärt die Zivilkammer dagegen in ihrem jetzt veröffentlichten Urteil vom 15. Januar (Az.: 2a O 112/23). Google hafte zwar nicht als Täter oder Teilnehmer, aber als Störer. Denn: "Die Störerhaftung steht in Einklang mit den Vorgaben" des nunmehr geltenden Artikel 6 DSA für Vermittlungsdienstleister. Auch damit bleibe die Option bestehen, "dass eine Justiz- oder Verwaltungsbehörde nach dem Rechtssystem eines Mitgliedstaats vom Diensteanbieter verlangt, eine Zuwiderhandlung abzustellen oder zu verhindern".

Der Chaos Computer Club (CCC) wirft dem Vertrauensdiensteanbieter D-Trust "Cyber-Augenwischerei" vor, statt sich seiner Verantwortung nach Entdeckung eines Sicherheitslecks zu stellen. Deswegen schlägt CCC-Sprecher Linus Neumann dem Unternehmen einen 5-Punkte-Plan vor.

Anzeige

Der Entdecker der API-Schwachstelle hatte sich an den CCC gewandt, statt direkt mit D-Trust zu kommunizieren. Grund sei die fehlende rechtliche Absicherung für Sicherheitsforscher, so Neumann. Während D-Trust von einer "gezielten Manipulation" spricht und Strafanzeige erstattete, betont der CCC, dass kein Zugriffsschutz umgangen wurde.

Der CCC empfiehlt nach diesem Vorfall einen 5-Punkte-Plan, nachdem das Unternehmen unter anderem Verantwortung tragen, den Stand der Technik und damit "Sicherheitsstandards des aktuellen Jahrhunderts" einhalten müsse. Zudem fordert der CCC erneut eine Abschaffung des Hackerparagraphen und eine Bestrafung durch die Bundesbeauftragte für Datenschutz und Informationsfreiheit.

Im Podcast "Logbuch:Netzpolitik" sagte Neumann, dass seiner Ansicht nach diejenigen eine Strafanzeige erhalten müssten, die für die offene API Verantwortung tragen. Stattdessen seien die Daten ohne angemessenen Schutz ins Internet gestellt worden, was D-Trust laut Neumann erklären müsse.

Eine Malvertising-Kampagne läuft bei Google: Mit Links, die vermeintlich auf die Homebrew-Webseite führen, versuchen die Täter ihre Opfer zu ködern. Wer genau hinschaut, entdeckt den kleinen Fehler in der URL.

Anzeige

Die Webseite brew.sh ist die offizielle Webseite zum Homebrew-Projekt, das diverse Open-Source-Programme für macOS verfügbar macht. Es handelt sich um einen – oder eigentlich korrekter, den – Open-Source-Paketmanager für Macs.

Homebrew ist äußerst populär. Daher könnten Opfer auf solche Werbeanzeigen bei Google hereinfallen, die vermeintlich auf die Homewbrew-Webseite verweisen. Die Werbung scheint auch noch korrekte URLs zu verwenden: An mehreren Stellen findet sich die URL "brew.sh" respektive "https://www.brew.sh".

Klicken potenzielle Opfer auf den Link, landen sie auf einer Webseite, die der Original-Homebrew-Webseite zum Verwechseln ähnelt. Die URL lautet jedoch "brewe[.].sh", mit einem zusätzlichen "e" am Ende. Der angegebene Konsolenbefehl, der zur Installation des brew-Systems dient, verweist jedoch nicht auf das reguläre Homebrew-Installationsskript unter "githubusercontent.com", sondern auf eine eher beliebige, vermutlich kompromittierte URL.

Häufig sind es Fehlkonfigurationen, die Angreifern den Zugang zu Cloud-Umgebungen erleichtern, auch bei AWS. Entwicklungsfehler, unzureichende Härtung sowie Standardeinstellungen, die eher auf Funktionalität als auf Sicherheit ausgerichtet sind, erhöhen das Risiko, dass Angreifer einzelne Anwendungen, Ressourcen und Identitäten kompromittieren können.

Anzeige

In dem Workshop Angriffe auf und Absicherung von Amazon Web Services (AWS) lernen Sie die Techniken der Angreifer kennen und erfahren, mit welchen Sicherheitsmaßnahmen Sie Ihre AWS-Dienste und Cloud-Identitäten besser schützen und so potenzielle Angriffe frühzeitig erkennen und abwehren können.

Dabei setzen Sie sich mit verschiedenen Angriffsszenarien und Sicherheitsstrategien auseinander. Sie werden in die wichtigsten Methoden wie unautorisierte Informationsbeschaffung, initiale Kompromittierung von AWS Identitäten und Privilegieneskalation eingeführt. Sie erfahren auch, wie wichtig es ist, die Angriffspfade zwischen lokalen Umgebungen und der AWS-Cloud zu verstehen. Beim Aufspüren von Fehlkonfigurationen lernen Sie, wie Sie diese beheben und Sicherheitsfunktionen aktivieren können. Frank Ully zeigt Ihnen, wie Sie Angriffe auf Ihre AWS-Umgebung erkennen und wie Sie CloudTrail, CloudWatch und GuardDuty konfigurieren und einsetzen, um Sicherheitsprotokolle zu analysieren und auf Sicherheitsvorfälle zu reagieren.

Die Schulung richtet sich an Administratoren, IT-Sicherheitsverantwortliche und Security-Fachleute, die sich intensiver mit Angriffen auf und Absicherung von Amazon Web Services (AWS) auseinandersetzen wollen. Referent ist Frank Ully, erfahrener Pentester und Head of Research bei der Oneconsult Deutschland AG in München. Der nächste Workshop findet am 6. und 7. März 2025 statt

Auf dem Hacking-Wettbewerb Pwn2Own Automotive 2025 in Tokyo haben die Teilnehmer viele Treffer gelandet. Insgesamt wurde ein Preisgeld von knapp mehr als 886.000 US-Dollar ausgezahlt. Bleibt zu hoffen, dass die Autohersteller zeitnah Sicherheitsupdates veröffentlichen.

Anzeige

Schließlich können Attacken auf Infotainmentsysteme weitreichende Folgen haben und im schlimmsten Fall lebensbedrohliche Folgen haben, wenn Angreifer Steuerungssysteme während einer Fahrt manipulieren.

Die Pwn2Own-Wettbewerbe veranstaltet Trends Micros Zero Day Initiative. Je nach Ausrichtung stehen verschiedene Produkte und Geräte im Fokus. Ziel ist es, Sicherheitslücken aufzudecken, sodass Hersteller diese schließen können.

Teslas Wall Charger musste öfter dran glauben und Angreifer attackierten die Ladestation für E-Autos erfolgreich.

Eine Supply-Chain-Attacke im Chrome Web Store hat im Dezember um die dreißig Browser-Erweiterungen getroffen und die persönlichen Daten von 2,6 Millionen Nutzerinnen und Nutzern gefährdet. Die Sicherheitsfirma Sekoia hat nun weitere Details, insbesondere über die hinter dem Angriff liegende Infrastruktur, veröffentlicht.

Anzeige

Bereits Anfang Januar hat das Security-Unternehmen Annex eine erste Analyse des Angriffs und eine Liste der betroffenen Extension veröffentlicht. Der Angriff beginnt mit gezielten Phishing-Mails an Extension-Entwickler. Die Mails kommen vermeintlich von Googles Web-Store-Team, und die Angreifer drohen damit, dass die Extension aus dem Store entfernt wird, wenn die Entwickler nicht die Program Policy akzeptieren. Ein Button führt zu einer bösartigen Anwendung, die sich über OAuth in das Google-Konto der Opfer einloggt. Sobald die Täter Zugriff auf den Quellcode der Extension haben, fügen sie schädliche Abschnitte hinzu, die darauf abzielen, persönliche Browser-Daten der Opfer abzugreifen: Social-Media-Logins (Facebook), API-Schlüssel (ChatGPT), Session-Cookies und weiteres.

Sobald eine Anwenderin oder ein Anwender die betreffende Extension startet, führt diese standardmäßig ein Update durch, das den bösartigen Code enthält.

Sekoia hat insgesamt ein Dutzend verseuchter Beispiele untersucht, die vom 12. Dezember 2024 (VPNCity) bis zum 30. Dezember 2024 (Proxy SwtichyOmega V3) online waren. Die Liste von Annex geht sogar bis Juli 2024 (HiAI) zurück, die Analysten vermuten jedoch eine Aktivität der Kampagne sogar seit 2023. Die Täter scheinen diese Ende Dezember gestoppt zu haben, auffallend war insbesondere der Aufwand und die Breite der gezielten Angriffe. Es gab sogar extra Werbeseiten für die gekaperten Extensions, um möglichst viele Nutzerinnen und Nutzer anzugehen.

Es ist der wohl bislang größte Ransomware-Angriff auf deutsche Institutionen in diesem Jahr: Mehrere Dutzend Schulen in Rheinland-Pfalz wurden Mitte Januar mit einem Verschlüsselungstrojaner infiziert. Einfallstor für die Attacke war wohl das Netz eines externen Dienstleisters. Dessen Name tauchte nun auf der Leaksite der Lockbit-Bande auf.

Anzeige

Wie die "Rheinpfalz" berichtete, sind 45 Schulen in verschiedenen Städten und Landkreisen in Rheinland-Pfalz betroffen. Die Angriffe erstreckten sich wohl auf einen externen Dienstleister, der mittlerweile daran arbeite, die Netzwerke und Server wiederherzustellen, so die Zeitung weiter.

Sowohl die betroffenen Verwaltungen als auch das zwischenzeitlich eingeschaltete LKA Rheinland-Pfalz schwiegen sich über Details des Angriffs zunächst aus. Ransomware sei im Spiel und auch Unternehmenskunden des Dienstleisters seien betroffen, hieß es. Doch welche Bande dahintersteckte, ob man um Lösegeld verhandele und welche Bande sich an den Schulnetzen vergriffen habe, blieb im Dunklen.

Ist Lockbit für den Angriff auf rheinland-pfälzische Schulen verantwortlich? Zumindest behauptet die Bande das auf ihrer Leaksite.