Derzeit berichten Medien über Cyber-Sicherheitsvorfälle mit hoher Schadenswirkung, die durch die Ransomware "WannaCry" ausgelöst werden. Von den Angriffen sind Unternehmen und Institutionen weltweit und auch in Deutschland betroffen. Das Besondere an dieser Schadsoftware ist, dass sie sich selber verbreiten kann. Die Verbreitung erfolgt dabei ohne weiteres Zutun des Nutzers. Dies kann insbesondere in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen. Betroffen sind Systeme mit dem Betriebssystem Microsoft Windows. Der Mechanismus der Weiterverbreitung der Schadsoftware wird durch den Software-Patch von Microsoft vom 14. März 2017 (MS17-010) verhindert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher zum Aufspielen dieses Patches, sofern dies nicht bereits geschehen ist. Informationen und Handlungsempfehlungen zum Schutz vor Ransomware hat das BSI in einem Dossier zusammengefasst, das auf der BSI-Webseite heruntergeladen werden kann. Über die etablierten Kanäle von CERT-Bund, UP KRITIS und Allianz für Cyber-Sicherheit stellt das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.

BSI-Präsident Arne Schönbohm: "Als nationale Cyber-Sicherheitsbehörde beobachten wir rund um die Uhr intensiv die Lage und stimmen uns dazu auch mit betroffenen Unternehmen in Deutschland sowie mit unseren internationalen Partnern in Frankreich und Großbritannien ab. Seit Bekanntwerden der Angriffswelle gestern Abend hat unser Lagezentrum hierzu eine Reihe von Telefonkonferenzen und Gesprächen geführt. Das Krisenmanagement funktioniert. Um einen möglichst vollständigen Überblick über die Lage zu bekommen, rufen wir betroffene Institutionen auf, Vorfälle beim BSI zu melden. Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen."

Downloadmöglichkeiten der Microsoft_Patches

Microsoft-Sicherheitsbulletin MS17-010 – Kritisch

Customer Guidance for WannaCrypt attacks

Quelle

Derzeit berichten Medien über Cyber-Sicherheitsvorfälle mit hoher Schadenswirkung, die durch die Ransomware "WannaCry" ausgelöst werden. Von den Angriffen sind Unternehmen und Institutionen weltweit und auch in Deutschland betroffen. Das Besondere an dieser Schadsoftware ist, dass sie sich selber verbreiten kann. Die Verbreitung erfolgt dabei ohne weiteres Zutun des Nutzers. Dies kann insbesondere in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen. Betroffen sind Systeme mit dem Betriebssystem Microsoft Windows. Der Mechanismus der Weiterverbreitung der Schadsoftware wird durch den Software-Patch von Microsoft vom 14. März 2017 (MS17-010) verhindert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät daher zum Aufspielen dieses Patches, sofern dies nicht bereits geschehen ist. Informationen und Handlungsempfehlungen zum Schutz vor Ransomware hat das BSI in einem Dossier zusammengefasst, das auf der BSI-Webseite heruntergeladen werden kann. Über die etablierten Kanäle von CERT-Bund, UP KRITIS und Allianz für Cyber-Sicherheit stellt das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.

BSI-Präsident Arne Schönbohm: "Als nationale Cyber-Sicherheitsbehörde beobachten wir rund um die Uhr intensiv die Lage und stimmen uns dazu auch mit betroffenen Unternehmen in Deutschland sowie mit unseren internationalen Partnern in Frankreich und Großbritannien ab. Seit Bekanntwerden der Angriffswelle gestern Abend hat unser Lagezentrum hierzu eine Reihe von Telefonkonferenzen und Gesprächen geführt. Das Krisenmanagement funktioniert. Um einen möglichst vollständigen Überblick über die Lage zu bekommen, rufen wir betroffene Institutionen auf, Vorfälle beim BSI zu melden. Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen."

Downloadmöglichkeiten der Microsoft_Patches

Microsoft-Sicherheitsbulletin MS17-010 – Kritisch

Customer Guidance for WannaCrypt attacks

Quelle

 Weltweiter Hackerangriff auf Port 7547 von DSL-Routern

Vom  Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde eine Pressemitteilung herausgegeben, die recht allgemein von einem Hackerangriff auf  Fernverwaltungsports spricht. 

Am 27. und 28. November 2016 sind über 900.000 Kundenanschlüsse der Deutschen Telekom von Internet- und Telefonieausfällen betroffen gewesen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht in ständigem Austausch mit der Deutschen Telekom, um diesen Vorfall zu analysieren.

Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben. Das Nationale Cyber-Abwehrzentrum koordiniert derzeit unter Federführung des BSI die Reaktion der Bundesbehörden.

Beim Internet Storm Centre findet sich hier die Information, dass aktuell weltweit DSL-Modems über Port 7547 angegriffen werden. Der Port 7547 ist für das Fernwartungsprotokoll TR-069 in der Regel offen.

Unser Sachverstädnigenbüro unterstützt die Zusammenarbeit zur Förderung der IT-Sicherheit in Unternehmen. Mit dem "Security Consulter"lassen sich mittels eines Selbst-Checks kostenlos und anonym Sicherheitslücken und potentielle Gefährdungen in der Unternehmens-IT aufdecken. Der Security Consulter ist ein Self Check Tool von heise Security und techconsult. Damit können Sie einfach, kostenlos und völlig anonym Sicherheitslücken und Gefährdungspotenziale in Ihrem Unternehmen aufzeigen.

Hier der kostenlose Online-Sicherheitscheck für Ihr Unternehmen

Millionen von gekaperten IoT-Geräten werden als Angriffsarmee genutzt

Zig Millionen von unsicheren Videokameras und anderen Geräten im Internet werden für Denial of Service Angriffe (DDoS) genutzt, die ungewöhnlich hohe Bandbreiten erzeugen. Am 21. Okt. 2016 wurden große Teile der US-Infrastruktur durch einen Angriff gegen die Firma Dyn DNS lahm gelegt, betroffen sind z.B. Amazon, Spotify, Twitter, Paypal und viele andere.

Eine Auflistung betroffener Geräte können Sie dem Artikel hier entnehmen!

Wer die Hersteller des IoT-DDOS-Botnets sind

Das schlimme daran scheint zu sein, dass diese Geräte mit einem Standard-Benutzername mit öffentlich bekanntem Passwort im Netz erreichbar sind.

Die Malware nutzt laut Malwaretech einen Fehler in Busybox aus, und versucht dann, alle Prozesse auf den Ports 22, 23 und 80 zu blockieren, um dem eigentlichen Eigentümer des Gerätes den Zugriff zu verweigern. Dann wird der eigentliche Angriff per Syn-Flood und mit HTTP-Get-Requests gestartet.

Mit Hilfe dieser Botnets aus IoT-Geräten wird ein massiver und erfolgreicher Angriff auf weite Teile der US-Internet-Infrastruktur gefahren.

Mehr Details gibt es bei der NY Times: Hackers Used New Weapons to Disrupt Major Websites Across U.S.. Dort wird spekuliert, dass die Angreifer evtl. einen Probelauf für den Wahltag gemacht haben, bei dem in den USA in einige Bundesstaaten online gewählt werden kann.

Aktuell auch Angriff auf unsere Infrastruktur:

Wir möchten Sie heute auf einen aktuellen Fall aufmerksam machen und bitten Sie das aktuell auch auf Ihren Securityprodukten zu prüfen.

Eine C&C Angriffswelle wurde heute Nacht an viele Unternehmen, auch viele Kunden von uns gefahren u.a. betraf dieser Angriffsversuch auch unsere Infrastrukturen.

Zu sehen war folgender Traffic bzw. Angriffsversuche durch C&C Server aus dem Raum Moskau:

Auszug aus einem Log:

2016:10:27-03:41:47 xxxxx afcd[21066]: id="2022" severity="warn" sys="SecureNet" sub="packetfilter" name="Packet dropped (ATP)" srcip="195.62.53.168" dstip="xx.xxx.x.xxx" fwrule="63001" proto="6" threatname="C2/Generic-A" status="1" host="lock.bz" url="" action="drop"

Sind das Vorboten auf einen massiven geplanten Angriff in der Zukunft?

Meine persönliche Vermutung hierzu: Dieser C&C Angriffsversuch ist eine Bereicherung der IoT Geräte.

Steht die Bereicherung eventuell mit der Wahl des amerikansiche Präsidenten in Verbindung?

Der BSI empfiehlt aktuell zum Thema IoT folgendes in einem PDF Dokument:

Sicherheit von IP-basierten Überwachungskameras v1.0

Kennen Sie den Hauptgrund für die Infektion von Computern durch Schadprogramme? Es ist die Spam-Mail, die zum Öffnen schadhafter Anhänge oder zum Anklicken infizierter Webseiten verleitet. Die Kommunikation per E-Mail ist zwar für viele selbstverständlich geworden, das Bewusstsein über die damit verbundenen Risiken aber nicht. Der 3-Punkte-E-Mail-Check des #BSI liefert Ihnen #Tipps zum sichereren Umgang mit der elektronischen Post. #ECSM #cybersecmonth (im)

Ein lehrreiches Video, dazu finden Sie direkt beim BSI --> Hier der Direktlink für Sie