Die Melde- und Analysestelle Informationssicherung MELANI der Schweizer Eidgenossenschaft hat Ihren Halbjahresbericht für die erste Hälfte des Jahres 2016 veröffentlicht.
Der Bericht hat das Thema „Cybererpressung“ als Schwerpunkt gesetzt. Ebenfalls wird auf die nationale und internationale Lage eingegangen. Was passierte in der Schweiz, was ausserhalb. Auch ein kleiner Ausblick wird gewagt, was könnte uns erwarten.
Der gesammte Bericht steht auf der MELANI Webseite zum Download bereit.
Wie VMware berichtet sind mehrere Horizon View Versionen von Sicherheitslücken betroffen.
Das Tool für den Fernzugriff auf Virtuelles Desktops soll von einer Sicherheitslücke geplagt sein.
Durch die Sicherheitslücke können Directory Traversal Angriffe ausgeführt werden.
Betroffen sind die Versionen
– 5.x
– 6.x
– 7.x
Die neuen Sicherheitspatches sind 5.3.7 / 6.2.3 und 7.01
Von Seiten VMware werden diese Patches als Kritisch eingestuft.
Schon wieder gibt es vermehrt Meldungen über gefälschte Anrufe des Microsoft Supports.
Die Angriffe laufen immer nach dem selben Schema ab. Benutzer erhalten einen Anruf von einem vermeintlichen Windows Supportmitarbeiter. Diese wollen Helfen da der Computer von einem Virus befallen ist und fordern dafür Remotesupport an. Nachdem der Benutzer die Software, gemäss Anweisungen des Supporters, heruntergeladen hat. Erhält der „Supporter“ Vollzugriff auf das Gerät und fängt mit seiner Untersuchung an. Nach ein paar Befehl eingaben im CMD wird eine echo Ausgabe angezeigt in welcher es sinngemäss heisst „Sie haben einen Virus“. Anschliessend werden dem Kunden Sicherheitszertifikate oder Anti-Viren Software angeboten. Der Preis liegt zwischen 140 und 250 Euro. Weigert sich der Benutzer denn Betrag zu bezahlen drohen die Supporter mit Datenlöschung, Sperrungen des Computers mit einem Passwort wurden auch schon gemeldet. Sozusagen eine manuelle Ransomware.
Wer Anrufe von einem vermeintlichen Windows Support erhalten sollte kann dies direkt an Microsoft melden und das Telefon auflegen. Sobald die Software heruntergeladen wurde haben dritte eine Hintertür zu eurem Computer.
Eine Interessante Geschichte haben die Kollegen von Golem hier veröffentlicht.
Laut den Ransomware Experten von Bleeping Computers lernt der Verschlüsselungstrojaner Cerber dazu. Bisher haben laufende Datenbankprozesse die Arbeit von Cerber behindert. Die Verschlüsselung der in Bearbeitung befindlichen Datenbanken konnten nicht aufgeführt werden. Doch Cerber hat dazugelernt. Nun können Prozesse wie sqlagent.exe und Oracle.exe durch Cerber beendet werden um die Datenbanken zu verschlüsseln.
Ebenfalls werden Dateiendungen nicht mehr nur .cerber3 genannt. Neu erstellt Cerber kryptische Zufalls Bezeichnungen wie 54ghjdd.d56g. Dies erschwert die Analyse und Nachverfolgung der Daten.
Cerber wartet mit noch einer Neuerung auf. Der „Erpresserbrief“ wird nun nicht mehr im txt angezeigt sondern wird nun als HTML-Applikation angezeigt.
Es gibt noch kein Tool zur Entschlüsselung des Cerber Trojaners
© 2024 it-sicherheit.li
Theme von Anders Norén — Hoch ↑
