News

"Im Internet schwirrte eine Liste mit IP-Adressen inklusive Zugangsdaten von IoT-Geräten mit aktiviertem Fernzugriff herum." - heise.de

Ein Unbekannter hat auf Pastebin eine Liste mit 8233 IP-Adressen nebst gültigen Nutzernamen und Passwörtern von IoT-Geräten wie Routern veröffentlicht, warnt der Sicherheitsforscher Ankit Anubhav .

Die Aufstellung soll seit Juni online gewesen und regelmäßig gepflegt worden sein. Seitdem es Berichte über diese Liste gibt, sollen die Zugriffszahlen von 700 auf über 13.000 angestiegen sein.

Das BSI warnt alle Firmen, die in den letzten Monaten die Buchhaltungssoftware „M.E.Doc“ verwendet haben.
Laut dem BSI ist die Bedrohungslage, die durch den Ausbruch von NotPetya bekannt wurde, größer als bislang angenommen . Die Updatefunktion der ukrainischen Buchhaltungssoftware „M.E.Doc“ soll bereits seit Mitte April 2017 zur Verbreitung von Schadsoftware verwendet worden sein.

Das BSI warnt daher, dass Firmen, die diese Software eingesetzt haben, unbemerkt mit Spionagesoftware infiziert worden sein können, auch wenn sie nicht direkt vom Ausbruch von NotPetya betroffen waren. Varianten der mittels der Updatefunktion verbreiteten Schadsoftware ermöglichen nach Analysen von IT-Sicherheitsforschern das Ausspähen von Daten in den betroffenen Firmennetzwerken.

Das BSI empfiehlt daher neben dem dringenden Einspielen des Patches MS17-010 eine Reihe weiterer Maßnahmen. Unter anderem sollten Rechner, auf denen „M.E.Doc“ eingesetzt wurde oder die von solchen Rechnern aus erreichbar sind, auf mögliche Infektionen untersucht werden. Infizierte Rechner sollten neu aufgesetzt und alle verwendeten Passwörter geändert werden. Auch Backups, die nach dem 13. April erstellt wurden, sollten als potentiell kompromittiert betrachtet werden. Im Zweifel sollten laut BSI externe Fachkräfte hinzugezogen werden.

Das BSI bittet betroffene Firmen um Meldung unter meldestelle@bsi.bund.de.

Der Trojaner, der sich am Dienstag rasant verbreitete , ähnelt dem bereits im Jahr 2016 aufgetretenen Trojaner „Petya “. Sicherheitsforscher stufen ihn aber als neuen Trojaner ein und nennen ihn daher meist „NotPetya “. Obwohl der Trojaner zunächst den Anschein erweckte, als handele es sich um Ransomware wie „WannaCry“, ist das Ziel offenbar nicht, bei den Betroffenen ein Lösegeld zu erpressen. Die Angreifer sind gar nicht in der Lage, die Daten wieder zu entschlüsseln . Daher hat sich mittlerweile der Verdacht erhärtet, dass es bei „NotPetya“ hauptsächlich darum geht, Firmen lahmzulegen und möglichst viel Schaden anzurichten.

Die Verbreitung erfolgt unter anderem über die Schwachstelle im SMB-Protokoll , die bereits von „WannaCry“ verwendet wurde. Es wurden jedoch weitere Verbreitungswege hinzugefügt. Nachdem er das erste System in einem Netzwerk infizieren konnte, sucht der Trojaner als nächstes Ziel einen Domain Controller. Dort sammelt er eine Liste von Systemen im Netzwerk, die er danach ganz gezielt infiziert. Dabei verwendet er auch Admin-Passwörter, die er zuvor auf dem Domain Controller zu erbeuten versucht.

Für die derzeit beobachtete Version von „NotPetya“ wurde mittlerweile ein Mechanismus gefunden , durch den eine Infektion unterbunden werden kann. Der Trojaner prüft, ob bestimmte Dateien existieren, und bricht in diesem Fall die Ausführung ab. Diese Dateien vorsorglich anzulegen, mindestens auf den Domain Controllern und allen besonders gefährdeten Systemen, könnte Firmen daher vor Schaden bewahren. Hierfür kann diese Datei verwendet werden.

Es kann natürlich jederzeit eine neue Variante in Umlauf gebracht werden, die nicht länger auf das Vorhandensein dieser Dateien reagiert, weshalb dies nicht die einzige Maßnahme bleiben sollte. IT-Verantwortliche sollten auf jeden Fall auch überprüfen, ob auf allen Domain Controllern sämtliche Sicherheitsupdates von Microsoft eingespielt wurden, und ob angemessene Maßnahmen zu deren Härtung ergriffen wurden.

Die Reportage „Wir hacken Deutschland“ wurde am 22.05.2017 um 22:45 Uhr in der ARD gezeigt.

Die ARD beschreibt den Inhalt wie folgt: »Das „Internet der Dinge“ hält Einzug in unsere vier Wände – mit intelligenten Kaffeemaschinen, smarten Glühbirnen und dazu Überwachungssystemen. Der Film macht deutlich, wie wir immer verwundbarer werden durch die vernetzten Systeme.«

Für alle, die diesen gelungenen Beitrag gestern verpasst haben, ist er in der Mediathek der ARD bis zum 22.05.2018 verfügbar.

Seit Freitag wird über weltweite IT-Sicherheitsvorfälle mit hoher Schadenswirkung berichtet, die durch die Ransomware "WannaCry" ausgelöst werden. Auch deutsche Unternehmen sind betroffen.
Die Infektion kann über eine E-Mail mit einem komprimierten Dateianhang erfolgen. Antivirus-Filter auf Mailservern filtern die Schadsoftware meist nicht aus. Sobald erst einmal ein System in einem Netzwerk infiziert ist, nutzt die Schadsoftware eine Schwachstelle in Microsoft Windows, um sich ohne Zutun der Benutzer weiter im Netzwerk auszubreiten.

Durch Zufall wurde ein Weg gefunden, die Verbreitung der Schadsoftware vorerst einzudämmen, indem eine Domain registriert wurde, die als eine Art „Killswitch“ funktioniert. Um hiervon zu profitieren, ist es unbedingt erforderlich, dass die Domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com erreichbar ist und Traffic dorthin nicht durch einen Proxy oder durch Virenschutzsoftware gefiltert wird.

Es sind jedoch bereits neue Varianten gesichtet worden, bei denen dieser „Killswitch“ keine Wirkung zeigt. Daher sollte als wichtigste Gegenmaßnahme das Microsoft-Sicherheitsupdate MS-17-010 unbedingt schnellstmöglich auf allen Geräten mit Windows-Betriebssystem eingespielt werden. Microsoft hat auch Updates für ältere Versionen von Windows veröffentlicht, inklusive Windows XP.

Allgemeine Informationen und Handlungsempfehlungen zum Schutz vor Ransomware hat das BSI in einem Dossier zusammengefasst, das auf der BSI-Webseite heruntergeladen werden kann. Über die etablierten Kanäle von CERT-Bund , UP KRITIS und Allianz für Cyber-Sicherheit stellt das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.

Update 2017-05-18

Das US-CERT  hat ein Fact Sheet zu WannaCry veröffentlicht.

Download verfügbar

Während des CERT@VDE-Workshops auf der Hannover Messe 2017 wurden wir von Besuchern gefragt, ob wir die Präsentationen online verfügbar machen können. Diesem Wunsch entsprechen wir sehr gern und veröffentlichen an dieser Stelle die Präsentationen als PDF:

• Vorstellung CERT@VDE
  Andreas Harner (VDE Verband der Elektro­technik Elektronik Informations­technik e.V.)
• Schwachstellen im Umfeld von Prozess-IT
  Dr. Kai Lorentz (Weidmüller Interface GmbH & Co. KG)
• Umgang mit Schwachstellenmeldungen – Vorteile durch CERT@VDE
  Jens Schmidt (Pepperl+Fuchs GmbH)
• Vertrauensvolle Behandlung – Auf kurzem Weg zwischen Anbietern und Anwendern
  Dr. Lutz Jänicke (Phoenix Contact GmbH & Co. KG)
• Noch ein CERT! Warum?
  Prof. Dr. Klaus-Peter Kossakowski (DFN-CERT Services GmbH)

Die Website des CERT@VDE ist seit heute online

Nach der Pressekonferenz des VDE auf der Hannover Messe 2017  am heutigen Vormittag wurde diese Website für die Öffentlichkeit freigegeben. Wir freuen uns, dass die Arbeit der letzten Wochen nun Früchte trägt.

In den nächsten Tagen werden wir vermutlich noch einige Änderungen an dieser ersten öffentlichen Version vornehmen. Feedback zu den Inhalten und dem Design der Website ist willkommen.