Woche 50: Wenn man sich mal selbst hacken sollte
Ransomware dominiert in der Schweiz, eine Ransomware für Kollegenschweine und fünf todsichere Tipps, gehackt zu werden. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.
Der israelische Sicherheitsanbieter Check Point hat einen Blick auf die Schweiz geworfen. Im Rahmen seiner monatlichen Bedrohungsanalysen verfasste das Unternehmen auch eine Top-10-Liste für den Monat November in der Schweiz.
Die Liste zeigt ein eindeutiges Bild: Erpressungsversuche dominierten im vergangenen Monat. Gleich zwei Ransomware-Programme schafften es in die Top 3. Dabei handelt es sich um die Schadprogramme Cryptowall und Locky.
Auf Platz 2 kam Matsnu, eine sogenannte Backdoor. Also eine Hintertür im System, durch die Angreifer Code oder ausführbare Dateien einschleusen können. Die Malware weiss sich vor Schutzmechanismen wie Sandboxes zu verstecken. Aber auch Matsu könne Dateien verschlüsseln und so verwendet werden, um Opfer zu erpressen.
Die vollständige Liste für den Monat November:
-
Cryptowall (Ransomware)
-
Matsnu (Backdoor)
-
Locky (Ransomware)
-
Hackerdefender (Rootkit)
-
Sundown ek (Exploit Kit)
-
Kelihos (Botnez)
-
Conficker (Wurm)
-
Nivdort (Trojaner)
-
Certor (Trojaner)
-
Shadowgate ek (Exploit Kit)
Fünf todsichere Tipps, gehackt zu werden
Das Internet ist voller Ratgeber und Anleitungen, die versprechen, sofern man nur diese Anweisungen befolgt, kann einem kein Hacker irgendetwas antun. Sich da eine Übersicht zu verschaffen, wer was sagt und wer eigentlich gar nichts sagen sollte, ist schwierig.
Die Nexus Group versucht, mit umgekehrter Psychologie aus der Masse hervorzustechen. Der Anbieter von Identity-Access-Management-Lösungen veröffentliche eine Liste mit "fünf todsicheren Tipps, gehackt zu werden".
In der Liste empfiehlt Nexus etwa: "Klicken Sie auf unbekannte Links!" Denn in diesem Jahr sei das Risiko, sich auf diese Weise eine Schadsoftware einzufangen, dramatisch gestiegen.
Ferner rät das Unternehmen noch dazu, die eigene Website nur etwa alle drei Jahre zu aktualisieren. Wer Plug-ins nicht aktualisiere, mache sich zum perfekten Ziel für Cyberkriminelle.
Die vollständige Liste veröffentlichte Nexus auf seiner Website.
Wenn man sich selbst mal hacken sollte
Bestimmte Router von Netgear lassen sich derzeit ohne grosse Mühen kapern. Die Schwachstelle steckt im Webserver der Router, wie Heise berichtet. Mit einem simplen Befehl über die Web-Konfigurationsoberfläche könnten sich Hacker Root-Rechte verschaffen. Mit diesen Befugnissen könnte der Angreifer den Datenverkehr abfangen oder weitere Geräte im Netz angreifen.
Standardmässig ist das Webinterface nur über das lokale Netzwerk zu erreichen. Dennoch könnten Angreifer die Schwachstelle auch aus der Ferne ausnutzen. Dazu müsste er den Besitzer des Routers etwa auf eine infizierte Website locken.
Der Hersteller weiss nach eigenen Angaben von der Schwachstelle. Auf seiner Website listet Netgear alle betroffenen Modelle. Ein Patch ist aktuell noch nicht verfügbar, aber der Hersteller arbeite daran.
Heise verweist derweil auf einen Eintrag von Bas’ Blog. Dort findet sich eine unorthodoxe Lösung zum Problem: Betroffene sollten ihre Router selbst hacken. Nutzer sollten über das Webinterface den Befehl "http://<Router-IP>/cgi-bin/;killall$IFS'httpd'" eingeben. Dieser schliesse die Lücke. Danach lässt sich der Router nicht mehr per Weboberfläche konfigurieren.
Und eine Ransomware für echte Kollegenschweine
Auf den ersten Blick wirkt die Erpressersoftware Popcorn Time wie jede andere Ransomware. Sie infiziert den Rechner, verschlüsselt die Daten und fordert ein Lösegeld von ihrem Opfer. Um ihre Daten zurückzuerhalten, müssen die Betroffenen ein Bitcoin zahlen, wie The Register berichtet. Umgerechnet entspricht dies fast 793 Franken.
Popcorn Time bietet seinen Opfern jedoch noch eine Alternative – sofern sie über eine fiese Ader verfügen. Statt zu zahlen, können Opfer auch zwei weitere Personen mit der Ransomware infizieren.
Das ursprüngliche Opfer muss jedoch nur dann nichts zahlen, wenn beide seiner Opfer das Lösegeld überweisen. Um zu bestätigen, dass sie vom ursprünglichen Opfer infiziert wurden, generiert die Ransomware einen Empfehlungslink, ähnlich wie etwa bei Onlineangeboten, die man Freunden empfehlen kann.
Laut einem Bericht von Bleeping Computer handelt es sich bei Popcorn Time noch um ein unfertiges Produkt. Gewisse Codezeilen deuten an, dass die Ransomware künftig auch Dateien löscht, sollte das Opfer viermal den falschen Code zur Entschlüsselung eintippen.
Entdeckt wurde das Schadprogramm von der Malwarehunter Group.
Die Security-Beitragsreihe nimmt nach dieser Ausgabe eine kurze Auszeit. Ab Mitte Januar fasst die Redaktion wieder jede Woche die Neuigkeiten zu Cybercrime und Cybersecurity zusammen.