LKA-TH: Cyber- Sicherheitswarnungen
Sie haben einen IT-Sicherheitsvorfall und benötigen dringend Informationen? Sie wollen eine freiwillige oder eine verpflichtende Meldung zu einem IT-Sicherheitsvorfall abgeben? Sie wollen sich über IT-Sicherheitsmaßnahmen informieren? Dann gilt es, unverzüglich zu handeln. Die folgenden Kontaktstellen geben Ihnen Unterstützung, um die ersten Schritte zur Bewältigung des Vorfalls angehen zu können. Zentrale Anlaufstellen der Polizeien (ZAC).
- Warnung vor betrügerischer Änderung der Gehaltskonto-IBAN
- Potenzielle Gefahr für Exchange Server
- Erpresserische E-Mails an deutsche Unternehmen
- Stille Kompromittierung von CISCO- Systemen
- Warnung vor betrügerischen Mails/Links
- Warnung vor betrügerischen Bestellungen
- FORTINET
- Erhöhte Bedrohungslage für Unternehmen und KRITIS
- Sicherheitshinweis für die Wirtschaft | 03/2022 | 17.05.2022 | Betreff: Krieg in der Ukraine
Warnung vor betrügerischer Änderung der Gehaltskonto-IBAN
Datum der Warnmeldung
|
14.03.2024
|
Zusammenfassung
|
Gegenwärtig kommt es vermehrt zu Strafanzeigen verschiedener Unternehmen, deren Buchhaltungen per E-Mail zwecks Änderung der Gehaltskontoverbindung (neue IBAN) angeschrieben werden.
Dabei geben sich die Betrüger als Mitarbeiter der Unternehmen namentlich aus.
Es handelt sich demnach um einen relativ einfache Tatausführung, jedoch kommt es dennoch zu Überweisungen auf betrügerisch genutzte Zielkonten.
Daher wird dringend angeraten bei derartigen Änderungswünschen immer persönlich oder telefonisch Rücksprache (unter einer bisher bekannten Rufnummer!) zu nehmen.
Zusätzlich sollte ein Foto der Vorderseite der neuen Bankkarte übermittelt / vorgezeigt werden, welches Mitarbeitername in Verbindung mit der neuen IBAN aufweist.
Bekannt sein sollte, dass zu jeder E-Mail-Adresse ein frei zu vergebender Alias eingetragen werden kann, bspw.:
„Max Mitarbeiter <Betruegeradresse@gmail.com>“, weshalb diese bewusst eingesehen werden sollte.
|
Potenzielle Gefahr für Exchange Server
Datum der Warnmeldung
|
04.12.2023
|
Zusammenfassung
|
Sicherheitsforscher haben mehr als 20.000 Exchange Server weltweit
identifiziert, die sich in einem potenziell angreifbaren Zustand befinden. Diese Server, darunter mehr als 10.000 in Europa, haben den End-of-Life-Status erreicht, was bedeutet, dass sie keine Sicherheitsupdates mehr erhalten. Insbesondere die EOL-Version Exchange Server 2013 ist betroffen, für die der Support im April dieses Jahres ausgelaufen ist. |
Einstufung
|
Kritisch
|
CVE
|
CVE-2021-26855 (ProxyLogon) - Kritisch
CVE-2023-21529 - Hoch CVE-2023-36745 - Hoch CVE-2023-36439 - Hoch |
Handlungsempfehlungen
|
1. Admins sollten umgehend alle betroffenen Exchange Server auf eine noch im Support
befindliche Version aktualisieren, wie z. B. Exchange 2019 oder Microsoft 365. 2. Überprüfen Sie die Sicherheitsrichtlinien und Implementierungen, um sicherzustellen, dass die Systeme gegen bekannte Angriffsmethoden geschützt sind. 3. Schärfen Sie die Sensibilisierung der Benutzer für mögliche Phishing-Angriffe und andere Sicherheitsbedrohungen. 4. Regelmäßige Sicherheitsaudits und Scans sollten durchgeführt werden, um unautorisierte Zugriffe frühzeitig zu erkennen. |
Kontakt zur ZAC Thüringen
|
Telefon: +49 361 57 431 4545
Email: cybercrime.lka@polizei.thueringen.de |
Erpresserische E-Mails an deutsche Unternehmen
Datum der Warnmeldung
|
04.12.2023
|
Zusammenfassung
|
Seit dem 26.11.2023 wurden erpresserische E-Mails an verschiedene
deutsche Unternehmen verschickt, die einen drohenden und erpresserischen Inhalt haben. Die E-Mails beziehen sich auf den Nahost-Konflikt, sind stark pro-palästinensisch und anti-israelisch konnotiert. Der/die Verfasser fordern Aufmerksamkeit für das Leiden im Gazastreifen, beschuldigen die deutsche Regierung der Gleichgültigkeit und verlangen eine Zahlung von mindestens einer Million Euro in Bitcoin. Bei Nichterfüllung der Forderung wird mit negativen Konsequenzen, einschließlich Gewalt gegen die Empfänger und deren Angehörige, gedroht. |
Einstufung
|
Hoch (aufgrund der erpresserischen Natur und Drohungen)
|
Erkenntnisse
|
Derzeit sind keine Informationen über den/die Verfasser verfügbar, und die
tatsächlichen Motive bleiben unklar. Es gibt Hinweise auf ideologische und finanzielle Motivationen. Mehrere persönliche Postfächer von Mitarbeitenden wurden angeschrieben, und die Art und Weise, wie der/die Verfasser diese Kontakte erlangt haben, ist unbekannt. |
Gefährdungsbewertung
|
Die Ernsthaftigkeit der E-Mails ist fraglich, da die Drohungen
unkonkret bleiben. Dennoch sollten die E-Mails ernst genommen werden, da sie einen Aufbau einer Drohkulisse darstellen. Es besteht die Möglichkeit weiterer E-Mails an andere Unternehmen. |
Handlungsempfehlungen
|
1. Alle betroffenen Unternehmen sollten die Sicherheitsvorkehrungen erhöhen und
Mitarbeiter sensibilisieren. 2. Keine Zahlungen tätigen und keine Kontaktaufnahme mit den Erpressern. |
Kontakt der ZAC Thüringen
|
Telefon: +49 361 57 431 4545
Email: cybercrime.lka@polizei.thueringen.de |
Stille Kompromittierung von CISCO- Systemen
Datum der Warnmeldung
|
26.06.2023
|
IT- Bedrohungslage
|
Warnung vor etwaiger stiller Kompromittierungen von CISCO-Netzwerkgeräten
|
Kurzsachverhalt
|
Was meldete das Unternehmen?
Scans und Logins auf Cisco ASA im Zeitraum vom 17.06 – 22.06 (vormittags).
IoCs
23.155.24.9
176.111.174.123
194.61.120.214
185.157.162.26
185.81.68.75
Modus Operandi der Täter
Der User Account kommt in Cisco Dokumentationen zur initialen manuellen Einrichtung / Konfiguration vor, sodass nicht auszuschließen ist, dass dies auch andere Cisco Installationen anderer Unternehmen betreffen könnte. (bspw.: L2TP Over IPsec zwischen Windows 8 PC und ASA mithilfe eines vorinstallierten Schlüssels konfigurieren (cisco.com))
Bewertung
Die bekannten Sessions sind ohne die Übertragung von Daten (0 bytes) terminiert, sodass keine Aktionen stattgefunden haben können (belegt durch Logfile-Analyse). Daher wird davonausgegangen, dass sich der Angriff noch in der Recon-Phase befand.“ Ein schnellstmögliches Blacklisting der aufgeführten IoCs sollte erfolgen.
|
Gegenmaßnahmen/Empfehlungen
|
Die ZAC bittet um Kenntnisnahme und Veranlassung entsprechender Maßnahmen. Besonders im Zusammenhang mit den IoCs (IP-Adressen) erscheinen Sofortmaßnahmen geboten!
|
Weitere Informationen
|
ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de
|
Warnung vor betrügerischen Mails/Links
Datum der Warnmeldung
|
17.04.2023
|
IT- Bedrohungslage
|
Warnung vor betrügerischen Mails/Links
|
Kurzsachverhalt
|
Im Zusammenhang mit bundesweit auftretenden Cyber-Angriffen konnte aktuell folgendes Angriffsmuster erkannt werden: Mitarbeiter von betroffenen Unternehmen werden direkt angeschrieben. Die Anschreiben beziehen sich grundsätzlich auf existente / frühere Kommunikation mit anderen / bekannten Unternehmen. In den Mails sind Links und/oder Anlagen eingefügt, über welche eine Schadsoftware geladen wird und es nach einem Datenabfluss zu einer anschließenden Verschlüsselung der IT-Infrastruktur (i.d.R. Teilverschlüsselung zur Beschleunigung der Schädigung) kommt. Bei dieser Angriffsvariante muss davon ausgegangen werden, dass entwendete Daten (hier: Mail-Kommunikation) aus vorherigen Angriffen auf andere / verbundene Unternehmen genutzt werden, um ein bereits vorhandenes Vertrauensverhältnis vorzutäuschen (sog. Supply-Chain).
Bei den genutzten URLs ist aktuell folgendes Muster erkennbar: https[:]//www.domain.tld/[zeichenkette]/[zeichenkette].php
Beispiele:
-> Dateiname gleichlautend Verzeichnis
https[:]//tvakira[.]com/aa/aa[.]php
https[:]//flexsubs[.]com[.]ng/ut/ut[.]php
http[:]//petrosalar-kohsar[.]com/suoi/suoi[.]php
http[:]//smsbuzzbd[.]com/ca/ca[.]php
https[:]//aprendemanualidades123[.]com/tlet/tlet[.]php
https[:]//arhconsultores[.]com/siue/siue[.]php
https[:]//glinsdatang[.]com/uon/uon[.]php
https[:]//zeal-boxing[.]com/lp/lp[.]php
https[:]//toptruckparts[.]com[.]au/se/se[.]php
|
Gegenmaßnahmen/Empfehlungen
|
Informieren Sie Ihre IT und berücksichtigen die Information bei den Firewall-Einstellungen.
|
Weitere Informationen
|
ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de
|
Warnung vor betrügerischen Bestellungen
Datum der Warnmeldung
|
23.03.2023
|
IT- Bedrohungslage
|
Warnung vor betrügerischen Bestellungen unter missbräuchlicher Nutzung renommierte Firmenangaben
|
Kurzsachverhalt
|
Aktuell kommt es zu Kontaktaufnahmen durch Betrüger unter missbräuchlicher Verwendung fremder, ausländischer Firmenangaben.
Ziel der Täter ist die Lieferung großer Produktmengen mit Zahlungsvereinbarung auf Rechnung.
|
Gegenmaßnahmen/ Empfehlungen
|
Die Polizei rät: Hinterfragen Sie derartige Kontakte auf anderen Wegen, bspw. nach Internetrecherche. Achten Sie dabei genau auf Bezeichnungen von Internet- u. E-Mail-Adressen.
In einem aktuellen Sachverhalt nutzten die Betrüger die Internetadresse fenwickeu.co.uk, in Anlehnung an die seriöse, echte Firma mit Seitenname fenwick.co.uk.
|
Weitere Informationen
|
ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de
|
FORTINET
Datum der Warnmeldung
|
05.12.2022
|
Schwachstelle/Angriffsvektor
|
Sicherheitsforscher warnen vor Attacken auf Firmen. Der Grund ist eine kritische Lücke in Fortinet- Produkten.
|
IT- Bedrohungslage
|
KRITISCH- Patch vorhanden
|
Kurzsachverhalt
|
Die "kritische" Sicherheitslücke (CVE-2022-40684) betrifft FortiOS, FortiProxy und FortiSwitch. Konkret sind davon unter anderem Firewalls und Proxies bedroht.
Mittels präparierter HTTP/HTTPS-Anfragen könnten Angreifer Aktionen mit Admin-Rechten ausführen.
Attacken sollen ohne Authentifizierung und aus der Ferne möglich sein. Sicherheits-Patches gibt es seit Anfang Oktober 2022
|
Gegenmaßnahmen/ Empfehlungen
|
Admins sollten sicherstellen, dass die folgenden gegen die Angriffe abgesicherten Versionen installiert sind:
|
Weitere Informationen
|
ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de
|
Erhöhte Bedrohungslage für Unternehmen und KRITIS
Datum der Warnmeldung
|
11.11.2022
|
Schwachstelle/Angriffsvektor
|
Iranische Angriffskampagne
|
Kurzsachverhalt
|
Im Oktober 2022 wurden deutsche Unternehmen mittels der Versendung von Schadcode in Email-Anhängen versucht anzugreifen. Für den Versand dieser Emails wurden kompromittierte Email-Postfächer oder Email-Server (Exchange) mit zentralen Postfächern deutscher Unternehmen genutzt.
Seit einigen Jahren können vermehrt Angriffe, die nachweislich aus der Islamischen Republik Iran stammen, auf deutsche Ziele beobachtet werden. Im Anhang der Email befindet sich im Regelfall eine komprimierte IMG-Datei sowie ein Unternehmenslogo. Beim Öffnen der IMG-Datei wird eine HTA-Datei (HTML executable) auf dem lokalen Computersystem ausgeführt.
Ziel der Ausführung der HTA-Datei ist das Erlangen von höherwertigen Rechten (Privilege Escalaten) sowie eine dauerhafte Kompromittierung des betroffenen Systems. In der Folge wird Mittels Powershell Verbindung zu einem iranischen Server aufgenommen:
Domain-Name: bornagroup.ir
IP-Adresse: 217.144.104.53
Vom Server werden die ausführbaren Dateien audio.exe, process.exe oder voice.exe heruntergeladen.
|
Gegenmaßnahmen/ Empfehlungen
|
Es ist auch weiterhin von Angriffsversuchen mittels der oben aufgeführten Vorgehensweise auszugehen. Auch Thüringer Unternehmen - besonders im Zusammenhang komplexer Lieferketten oder kritischer Infrastruktur - sind ein attraktives Angriffsziel.
Das LKA Thüringen weist hiermit auf die Möglichkeit artgleicher Spear-Phishing-Attacken hin und empfiehlt das Einleiten von Schutzmaßnahmen.
|
Weitere Informationen
|
ZAC Thüringen; 0361-574314545; cybercrime.lka@polizei.thueringen.de
|
Sicherheitshinweis für die Wirtschaft | 03/2022 | 17.05.2022 | Betreff: Krieg in der Ukraine
Der russische Angriffskrieg in der Ukraine wird nach wie vor durch Cyberangriffe und Versuche der Einflussnahme begleitet. Die Bundesregierung intensiviert ihre Unterstützung der Ukraine, indem künftig auch schwere Waffen geliefert und ukrainisches Personal daran ausgebildet werden sollen. Zudem sind vermehrt auch russische Staatsangehörige an einer Ausreise nach Deutschland interessiert.
Der aktuelle Sicherheitshinweis für die Wirtschaft des Bundesamtes für Verfassungsschutz informiert in diesem Zusammenhang unter anderem zu den folgenden Themen und bietet konkrete Handlungsempfehlungen, damit Unternehmen und Beschäftigte ihr Schutzniveau vorausschauend an die aktuelle Lage anpassen können. HERUNTERLADEN!