LKA-TH: Cyber- Sicherheitswarnungen

Datum der Warnmeldung

14.03.2024

Zusammenfassung

Gegenwärtig kommt es vermehrt zu Strafanzeigen verschiedener Unternehmen, deren Buchhaltungen per E-Mail zwecks Änderung der Gehaltskontoverbindung (neue IBAN) angeschrieben werden.

Dabei geben sich die Betrüger als Mitarbeiter der Unternehmen namentlich aus.

Es handelt sich demnach um einen relativ einfache Tatausführung, jedoch kommt es dennoch zu Überweisungen auf betrügerisch genutzte Zielkonten.

Daher wird dringend angeraten bei derartigen Änderungswünschen immer persönlich oder telefonisch Rücksprache (unter einer bisher bekannten Rufnummer!) zu nehmen.

Zusätzlich sollte ein Foto der Vorderseite der neuen Bankkarte übermittelt / vorgezeigt werden, welches Mitarbeitername in Verbindung mit der neuen IBAN aufweist.

Bekannt sein sollte, dass zu jeder E-Mail-Adresse ein frei zu vergebender Alias eingetragen werden kann, bspw.:

„Max Mitarbeiter <Betruegeradresse@gmail.com>“, weshalb diese bewusst eingesehen werden sollte.

Datum der Warnmeldung

04.12.2023

Zusammenfassung

Sicherheitsforscher haben mehr als 20.000 Exchange Server weltweit
identifiziert, die sich in einem potenziell angreifbaren Zustand befinden. Diese Server, darunter
mehr als 10.000 in Europa, haben den End-of-Life-Status erreicht, was bedeutet, dass sie keine
Sicherheitsupdates mehr erhalten. Insbesondere die EOL-Version Exchange Server 2013 ist
betroffen, für die der Support im April dieses Jahres ausgelaufen ist.

Einstufung

Kritisch

CVE

CVE-2021-26855 (ProxyLogon) - Kritisch
CVE-2023-21529 - Hoch
CVE-2023-36745 - Hoch
CVE-2023-36439 - Hoch

Handlungsempfehlungen

1. Admins sollten umgehend alle betroffenen Exchange Server auf eine noch im Support
befindliche Version aktualisieren, wie z. B. Exchange 2019 oder Microsoft 365.
2. Überprüfen Sie die Sicherheitsrichtlinien und Implementierungen, um sicherzustellen, dass
die Systeme gegen bekannte Angriffsmethoden geschützt sind.
3. Schärfen Sie die Sensibilisierung der Benutzer für mögliche Phishing-Angriffe und andere
Sicherheitsbedrohungen.
4. Regelmäßige Sicherheitsaudits und Scans sollten durchgeführt werden, um unautorisierte
Zugriffe frühzeitig zu erkennen.

Kontakt zur ZAC Thüringen

Telefon: +49 361 57 431 4545
Email: cybercrime.lka@polizei.thueringen.de 

Datum der Warnmeldung

04.12.2023

Zusammenfassung

Seit dem 26.11.2023 wurden erpresserische E-Mails an verschiedene
deutsche Unternehmen verschickt, die einen drohenden und erpresserischen Inhalt haben. Die
E-Mails beziehen sich auf den Nahost-Konflikt, sind stark pro-palästinensisch und anti-israelisch
konnotiert. Der/die Verfasser fordern Aufmerksamkeit für das Leiden im Gazastreifen,
beschuldigen die deutsche Regierung der Gleichgültigkeit und verlangen eine Zahlung von
mindestens einer Million Euro in Bitcoin. Bei Nichterfüllung der Forderung wird mit negativen
Konsequenzen, einschließlich Gewalt gegen die Empfänger und deren Angehörige, gedroht.

Einstufung

Hoch (aufgrund der erpresserischen Natur und Drohungen)

Erkenntnisse

Derzeit sind keine Informationen über den/die Verfasser verfügbar, und die
tatsächlichen Motive bleiben unklar. Es gibt Hinweise auf ideologische und finanzielle
Motivationen. Mehrere persönliche Postfächer von Mitarbeitenden wurden angeschrieben, und
die Art und Weise, wie der/die Verfasser diese Kontakte erlangt haben, ist unbekannt.

Gefährdungsbewertung

Die Ernsthaftigkeit der E-Mails ist fraglich, da die Drohungen
unkonkret bleiben. Dennoch sollten die E-Mails ernst genommen werden, da sie einen Aufbau
einer Drohkulisse darstellen. Es besteht die Möglichkeit weiterer E-Mails an andere
Unternehmen.

Handlungsempfehlungen

1. Alle betroffenen Unternehmen sollten die Sicherheitsvorkehrungen erhöhen und
Mitarbeiter sensibilisieren.
2. Keine Zahlungen tätigen und keine Kontaktaufnahme mit den Erpressern.

Kontakt der ZAC Thüringen

Telefon: +49 361 57 431 4545
Email: cybercrime.lka@polizei.thueringen.de 

Datum der Warnmeldung

26.06.2023

IT- Bedrohungslage

Warnung vor etwaiger stiller Kompromittierungen von CISCO-Netzwerkgeräten

Kurzsachverhalt

Was meldete das Unternehmen?

Scans und Logins auf Cisco ASA im Zeitraum vom 17.06 – 22.06 (vormittags).

IoCs

23.155.24.9

176.111.174.123

194.61.120.214

185.157.162.26

185.81.68.75

Modus Operandi der Täter

Der User Account kommt in Cisco Dokumentationen zur initialen manuellen Einrichtung / Konfiguration vor, sodass nicht auszuschließen ist, dass dies auch andere Cisco Installationen anderer Unternehmen betreffen könnte. (bspw.: L2TP Over IPsec zwischen Windows 8 PC und ASA mithilfe eines vorinstallierten Schlüssels konfigurieren (cisco.com))

Bewertung

Die bekannten Sessions sind ohne die Übertragung von Daten (0 bytes) terminiert, sodass keine Aktionen stattgefunden haben können (belegt durch Logfile-Analyse). Daher wird davonausgegangen, dass sich der Angriff noch in der Recon-Phase befand.“ Ein schnellstmögliches Blacklisting der aufgeführten IoCs sollte erfolgen.

Gegenmaßnahmen/Empfehlungen

Die ZAC bittet um Kenntnisnahme und Veranlassung entsprechender Maßnahmen. Besonders im Zusammenhang mit den IoCs (IP-Adressen) erscheinen Sofortmaßnahmen geboten!

Weitere Informationen

ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de

Datum der Warnmeldung

17.04.2023

IT- Bedrohungslage

Warnung vor betrügerischen Mails/Links

Kurzsachverhalt

Im Zusammenhang mit bundesweit auftretenden Cyber-Angriffen konnte aktuell folgendes Angriffsmuster erkannt werden: Mitarbeiter von betroffenen Unternehmen werden direkt angeschrieben. Die Anschreiben beziehen sich grundsätzlich auf existente / frühere Kommunikation mit anderen / bekannten Unternehmen. In den Mails sind Links und/oder Anlagen eingefügt, über welche eine Schadsoftware geladen wird und es nach einem Datenabfluss zu einer anschließenden Verschlüsselung der IT-Infrastruktur (i.d.R. Teilverschlüsselung zur Beschleunigung der Schädigung) kommt. Bei dieser Angriffsvariante muss davon ausgegangen werden, dass entwendete Daten (hier: Mail-Kommunikation) aus vorherigen Angriffen auf andere / verbundene Unternehmen genutzt werden, um ein bereits vorhandenes Vertrauensverhältnis vorzutäuschen (sog. Supply-Chain).

Bei den genutzten URLs ist aktuell folgendes Muster erkennbar: https[:]//www.domain.tld/[zeichenkette]/[zeichenkette].php     

Beispiele:

-> Dateiname gleichlautend Verzeichnis

https[:]//tvakira[.]com/aa/aa[.]php

https[:]//flexsubs[.]com[.]ng/ut/ut[.]php

http[:]//petrosalar-kohsar[.]com/suoi/suoi[.]php

http[:]//smsbuzzbd[.]com/ca/ca[.]php

https[:]//aprendemanualidades123[.]com/tlet/tlet[.]php

https[:]//arhconsultores[.]com/siue/siue[.]php

https[:]//glinsdatang[.]com/uon/uon[.]php

https[:]//zeal-boxing[.]com/lp/lp[.]php

https[:]//toptruckparts[.]com[.]au/se/se[.]php

Gegenmaßnahmen/Empfehlungen

Informieren Sie Ihre IT und berücksichtigen die Information bei den Firewall-Einstellungen.

Weitere Informationen

ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de

Datum der Warnmeldung

23.03.2023

IT- Bedrohungslage

Warnung vor betrügerischen Bestellungen unter missbräuchlicher Nutzung renommierte Firmenangaben

Kurzsachverhalt

Aktuell kommt es zu Kontaktaufnahmen durch Betrüger unter missbräuchlicher Verwendung fremder, ausländischer Firmenangaben.

Ziel der Täter ist die Lieferung großer Produktmengen mit Zahlungsvereinbarung auf Rechnung.

Gegenmaßnahmen/ Empfehlungen

Die Polizei rät: Hinterfragen Sie derartige Kontakte auf anderen Wegen, bspw. nach Internetrecherche. Achten Sie dabei genau auf Bezeichnungen von Internet- u. E-Mail-Adressen.

In einem aktuellen Sachverhalt nutzten die Betrüger die Internetadresse fenwickeu.co.uk, in Anlehnung an die seriöse, echte Firma mit Seitenname fenwick.co.uk.

Weitere Informationen

ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de

Datum der Warnmeldung

05.12.2022

Schwachstelle/Angriffsvektor

Sicherheitsforscher warnen vor Attacken auf Firmen. Der Grund ist eine kritische Lücke in Fortinet- Produkten.

IT- Bedrohungslage

KRITISCH- Patch vorhanden

Kurzsachverhalt

Die "kritische" Sicherheitslücke (CVE-2022-40684) betrifft FortiOS, FortiProxy und FortiSwitch. Konkret sind davon unter anderem Firewalls und Proxies bedroht.

Mittels präparierter HTTP/HTTPS-Anfragen könnten Angreifer Aktionen mit Admin-Rechten ausführen.

Attacken sollen ohne Authentifizierung und aus der Ferne möglich sein. Sicherheits-Patches gibt es seit Anfang Oktober 2022

Gegenmaßnahmen/ Empfehlungen

Admins sollten sicherstellen, dass die folgenden gegen die Angriffe abgesicherten Versionen installiert sind:

Weitere Informationen

ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de

Datum der Warnmeldung

11.11.2022

Schwachstelle/Angriffsvektor

Iranische Angriffskampagne

Kurzsachverhalt

Im Oktober 2022 wurden deutsche Unternehmen mittels der Versendung von Schadcode in Email-Anhängen versucht anzugreifen. Für den Versand dieser Emails wurden kompromittierte Email-Postfächer oder Email-Server (Exchange) mit zentralen Postfächern deutscher Unternehmen genutzt.

Seit einigen Jahren können vermehrt Angriffe, die nachweislich aus der Islamischen Republik Iran stammen, auf deutsche Ziele beobachtet werden. Im Anhang der Email befindet sich im Regelfall eine komprimierte IMG-Datei sowie ein Unternehmenslogo. Beim Öffnen der IMG-Datei wird eine HTA-Datei (HTML executable) auf dem lokalen Computersystem ausgeführt.

 Ziel der Ausführung der HTA-Datei ist das Erlangen von höherwertigen Rechten (Privilege Escalaten) sowie eine dauerhafte Kompromittierung des betroffenen Systems. In der Folge wird Mittels Powershell Verbindung zu einem iranischen Server aufgenommen:

Domain-Name:       bornagroup.ir

IP-Adresse:             217.144.104.53

Vom Server werden die ausführbaren Dateien audio.exe, process.exe oder voice.exe heruntergeladen.

Gegenmaßnahmen/ Empfehlungen

Es ist auch weiterhin von Angriffsversuchen mittels der oben aufgeführten Vorgehensweise auszugehen. Auch Thüringer Unternehmen - besonders im Zusammenhang komplexer Lieferketten oder kritischer Infrastruktur - sind ein attraktives Angriffsziel.

Das LKA Thüringen weist hiermit auf die Möglichkeit artgleicher Spear-Phishing-Attacken hin und empfiehlt das Einleiten von Schutzmaßnahmen.

Weitere Informationen

ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de