Blog: Bedrohungsstudien

Eine technische Diskussion über die Untersuchung von Cyberbedrohungen, Cyberangriffe und Bedrohungsdaten vom FireEye Labs-Team.


    Angreifer setzen das neue ICS-Angriffsframework "TRITON" ein - kritischen Infrastrukturen gehen in die Knie

    Von FireEye

    Vor kurzem konnte Mandiant mit dem Einsatz des TRITON Frameworks einen gegen industrielle Steuerungssysteme gerichteten Angriff beobachten. Die dabei eingesetzte Malware folgt in den Fußstapfen von Stuxnet und Industroyer, was die Gefährlichkeit angeht.

    Mehr lesen...


    Cybersicherheit 2017: Quo vadis, EMEA?

    Von Jochen Rummel

    Jedes Jahr sind Experten von Mandiant, einem Unternehmen von FireEye, weltweit bei der Bekämpfung zahlreicher Cyberangriffe im Einsatz. Für den Bericht „M-Trends 2017: Ein Blick in die Praxis“ wurden die im letzten Jahr untersuchten Vorfälle zusammengestellt und eine globale sowie regionale Analysen erstellt.

    Mehr lesen...


    Proaktive IT-Sicherheit – Was ist Hunting? (Teil 2)

    Von Ariel Jungheit, Sven Schriewer

    In diesem Beitrag erörtern wir, welche Anforderungen unserer Ansicht nach zur Aufstellung eines eigenen Hunting-Teams gegeben sein müssen.

    Mehr lesen...


    End of Life für Internet Explorer 7, 8, 9 und 10

    Von Genwei Jiang, Kenneth Johnson
    Microsoft startet mit einer wichtigen Ankündigung ins neue Jahr: Seit dem 12. Januar gibt es keinen weiteren Support mehr für ältere Versionen des Internet Explorers (IE). Betroffen sind die Versionen 7, 8, 9 und 10. Was das mit IT-Sicherheit zu tun hat? Viel – denn Microsoft wird ab sofort keine Sicherheitsupdates mehr für den Browser entwickeln und veröffentlichen. Will der Nutzer aktuelle Software nutzen, bleiben ihm künftig nur zwei Optionen: Internet Explorer Mehr lesen...


    Was bremst die Abwehr in EMEA und APAC dermaßen aus?

    Von Oliver Salzberger | Bedrohungsdaten
    Warum eigentlich hinken EMEA und APAC bei der Threat Detection im weltweiten Vergleich derart hinterher? Wo genau liegen die Gründe für diesen Rückstand? Mehr lesen...


    WannaCry Ransomware Campaign

    Von John Miller, David Mainor
    WannaCry Ransomware-Kampagne – Details zur Bedrohungslage und zur Schadensvermeidung Seit 12. Mai 2017 greift eine sehr umfangreiche Ransomware-Kampagne Organisationen weltweit an. Die WannaCry (auch WCry oder WanaCryptor genannt) Malware ist eine sich selbst weiterverbreitende, wurmartige Ransomware, die sich durch das interne Netzwerk und über das öffentlich zugängliche Internet verbreitet, indem es eine Schwachstelle im Microsoft Server Message Block (SMB) Protokoll ausnutzt. Die Malware versieht verschlüsselte Dateien mit einer .WCRY Erweiterung, legt ein Mehr lesen...


    APT28: Steht auch Deutschland im Ziel russischer Hackergruppierungen?

    Von Jochen Rummel
    Im Zuge der US-Wahl wurde hitzig über die Beeinflussung durch Hacker diskutiert. Waren es russische Cyberkriminelle, die sich in die Mailaccounts demokratischer (und potentiell auch republikanischer) Politiker hackten und die Informationen anschließend gezielt verbreiteten? Im Oktober 2016 wurde schließlich ein gemeinsames Statement vom US-Heimatschutzministerium und dem Office of the Director of National Intelligence (ODNI) veröffentlicht, laut dem die US Intelligence Community (USIC) davon überzeugt ist, dass Russland Einfluss auf die Präsidentschaftswahlen nimmt. Mehr lesen...


    Warum Cyberangreifer in EMEA und APAC leichtes Spiel haben

    Von Oliver Salzberger | Bedrohungsdaten
    Nachdem Mandiant im Juni bereits EMEA im weltweiten Vergleich bei der Cybersicherheit ein schlechtes Abschneiden bescheinigt hat, wurde aktuell APAC ebenfalls ein schlechtes Zeugnis ausgestellt. Doch wie stehen die beiden Regionen im direkten Vergleich da? Können sie eventuell voneinander lernen? FireEye hat anhand der Reports nun eine vergleichende Analyse der beiden Regionen erstellt und die Bedrohungslandschaft näher betrachtet. Vergleich EMEA und APAC Angriffserkennung: Im Schnitt haben Hacker in APAC 520 Tage Zeit, Mehr lesen...


    Trojaner Locky ist zurück – sein neues Ziel: Krankenhäuser

    Von Jonell Baltazar , Joonho Sa
    Wer dieser Tage eine E-Mail mit Dateianhang bekommt, sollte diese noch kritischer beäugen als sonst: Der Verschlüsselungs-Trojaner „Locky“ verbreitet sich rasend schnell. Mit Ransomware wie dieser werden sensible Daten und Anwendungen der Opfer von Cyberkriminellen verschlüsselt und sind meist bis zur Zahlung eines Lösegelds nicht mehr zugänglich. Locky war bereits am Jahresanfang in aller Munde, hat im August 2016 seine Methode verändert. Und die gefährliche Ransomware hat sich spezialisiert, greift vorwiegend Krankenhäuser Mehr lesen...


    Bedrohung durch Ransomware steigt weiter an

    Von Richard Hummel, Ronghwa Chong, David Mainor, Adam Greenberg, John Miller | Gezielter Angriff
    Bedrohung durch Ransomware steigt weiter an Cyber-Erpressung mit dem Ziel, finanzielle Vorteile zu erzielen, kennt generell zwei Wege: Eine Methode ist es, Unternehmen damit zu drohen, sensible Daten zu veröffentlichen, zu löschen oder zu verschlüsseln – außer jedoch, es fließt entsprechendes Lösegeld. Die Angreifer suchen sich ihre Opfer meist genau aus, da die Wahrscheinlichkeit einer Lösegeldauszahlung besonders hoch ist. Die andere – mittlerweile sehr gängige und bekannte – Methode heißt Ransomware. Der Mehr lesen...


    Deutsche Fertigungsindustrie im Visier der Hacker

    Von Bill Hau | Gezielter Angriff
    Locky, Jigsaw & Petya – Etliche Unternehmen wurden dieses Jahr bereits durch Ransomware erpresst. Vor allem im Februar war fast täglich in der Zeitung von erfolgreichen Attacken zu lesen. Dabei ist der Trend schon älter, wie FireEye nun im neuen „Regional Advanced Threat Report for Europe, Middle East and Africa 2H2015“ zeigt. Denn schon seit Mitte 2015 ist in der ganzen EMEA-Region ein explosionsartiger Anstieg an Angriffen mit Ransomware zu verzeichnen. Anzahl Mehr lesen...


    Dem Geld auf der Spur: So agiert die Cyberkriminellengruppe FIN6

    Von FireEye Threat Intelligence
    Dem Geld auf der Spur: So agiert die Cyberkriminellengruppe FIN6 Einen Überblick über die gesamte Landschaft moderner Cyberkriminalität zu bekommen, ist beinahe unmöglich. Und oftmals sind die öffentlich verfügbaren Informationen über solche Attacken sehr lückenhaft. So werden meist nur die konkreten Folgen von Cyberangriffen diskutiert oder verbesserter Schutz vor Angriffen gefordert – nur selten werden die kompletten Abläufe und die Zusammenhängen der Angriffe geschildert. Gemeinsam mit iSIGHT hat FireEye nun genau diese Mehr lesen...


    SlemBunk: eine mutierende Familie von Android-Trojanern zielt auf Anwender weltweiter Banking Apps

    Von Wu Zhou, Jimmy Su, Heqing Huang, Zhaofeng Chen, Jing Xie
    Am 17. Dezember 2015 hat das Research-Team von FireEye eine Serie von Android-Trojanern identifiziert. Sie imitieren die Apps von 33 Finanzmanagement-Instituten und Serviceprovidern mit weltweiter Präsenz. Wir haben die Familie kurz “SlemBunk,” genannt. Sie greift vor allem in 3 Kontinenten an: Nordamerika, Europa und Asien/Pazifischer Raum. Wir haben die Entwicklung von SlemBunk weiter beobachtet: die Angriffskette ist länger, als wir angenommen hatten. Bevor die eigentliche Payload von SlemBunk aufgerufen wird, müssen bis Mehr lesen...


    Die dunkle Seite der Web Analytics

    Von FireEye Threat Intelligence
    Gruppe von Cyberkriminellen sammelt in großem Stil Daten Tagtäglich nutzen Fachleute aus Werbung, Marketing und Einzelhandel Web Analytics, um Erkenntnisse darüber zu gewinnen, wie sie ihre Kunden und Zielgruppen am besten erreichen können. Doch diese Methode hat auch ihre Schattenseiten: Cyberkriminelle können potenzielle Opfer leicht identifizieren und Daten über sie sammeln. Das beweist auch eine Entdeckung, die FireEye kürzlich gemacht hat: Eine Gruppe von Cyberkriminellen, die vermutlich von staatlicher Seite unterstützt wird, Mehr lesen...


    Malware SYNful Knock macht Cisco-Router zum Ziel für Cyberangriffe

    Von FireEye
    SYNful Knock – das ist eine neue Malware, die Router von Cisco angreift. Sie manipuliert deren Firmware und erlaubt uneingeschränkten Zugriff auf Netzwerke. Wir haben 14 Router in vier Ländern identifiziert, deren Firmware durch eine manipulierte Version ersetzt worden war. Die Modifikation der Router-Firmware ist durch den Einsatz der Malware SYNful Knock sehr einfach und ermöglicht Angreifern, den Zugang zu einem kompromittierten Netzwerk aufrechtzuerhalten. Sie erlaubt Angreifern zudem, Funktionsmodule aus dem Internet Mehr lesen...


    FireEye entdeckt zwei neue Sicherheitslücken bei iOS-Geräten

    Von FireEye
    CVE-2015-3722/3725 und CVE-2015-3725: FireEye hat weitere Sicherheitslücken im Apple-Betriebssystem entdeckt. Mittels „Extension Masque“- und „Manifest Masque“-Attacken sind Angreifer durch diese Lücken in der Lage, Systemanwendungen im Apple-Betriebssystem zu zerstören und Datenspeicher aufzubrechen. Mit der Veröffentlichung der Version 8.4 hat Apple diese Lücken geschlossen, doch eine Vielzahl an Geräten wurde noch nicht aktualisiert. Was genau verbirgt sich hinter den Bedrohungen? „Extension Masque“-Angriffe Ziel von „Extension Masque“-Attacken ist es, den Datenspeicher von Apps aufzubrechen. Mehr lesen...


    Neue Gefahr für Android-Nutzer

    Von Yulong Zhang
    Weitere schädliche Adware-Familie für Android entdeckt Kemoge – so heißt die neue Bedrohung für Android-Nutzer, die jetzt von FireEye-Spezialisten identifiziert wurde. Dabei handelt es sich erneut um eine Adware-Familie für Android-Endgeräte, die Angreifern über Root-Rechte vollen Zugriff auf das Gerät einräumen können. Der Name stammt übrigens von der Command-and-Control-Domain „aps.kemoge.net“, die die sich weltweit schnell verbreitende schädliche Adware nutzt. Infizierungen mit Kemoge haben wir bereits in mehr als 20 Ländern weltweit beobachtet. Mehr lesen...


    Lauschangriff auf Apple-Nutzer

    Von FireEye
    Apple-User aufgepasst: Eine neue Sicherheitslücke ermöglicht es iOS-Apps, unbegrenzt im Hintergrund zu laufen und Sicherheitsvorkehrungen von Apple zu umgehen. Das Ergebnis: GPS-Daten werden ohne Erlaubnis getrackt und Mikrofonmitschnitte durchgeführt. Apple hat die von FireEye entdeckte Lücke bestätigt und in der Version iOS 8.4.1. behoben. Für ältere Versionen besteht das Risiko nach wie vor. Bei FireEye sprechen wir hier von der Sicherheitslücke „Ins0mnia“. Im Normalfall beendet das iOS-System alle im Hintergrund laufenden Apps Mehr lesen...


    Schädliche Backdoors eingebettet in Tausende iOS-Apps

    Von Zhaofeng Chen, Peter Gilbert , Adrian Mettler, Yong Kang
    Tausende iOS-Apps sind davon betroffen: FireEye hat Backdoor-Versionen einer Ad-Bibliothek entdeckt, die ursprünglich im Apple App-Store veröffentlicht wurden. Die betroffenen Versionen der Bibliothek wurden für das Ausspielen von Anzeigen verwendet und ermöglichten potentiell Zugriff auf sensible Nutzerdaten sowie Gerätefunktionalitäten. Diese Backdoors konnten per Fernzugriff durch das Laden eines JavaScript-Codes von einem entfernten Server gesteuert werden. Doch welche Folgen hat das für den Nutzer? Folgende Aktionen können auf dem iOS-Gerät durchgeführt werden: Aufnahme Mehr lesen...


    6 von 10 deutschen Unternehmen von Banking-Trojaner „Dridex“ betroffen

    Von FireEye
    Eine Million US-Dollar – so sieht die vorläufige Schadensbilanz für den Trojaner „Dridex“ aus. Laut einem Bericht von IBM erbeutete Dridex diesen Betrag von Online-Banking-Konten von Unternehmen, indem große Geldbeträge auf verschiedene Offshore-Konten und von dort weiter überwiesen wurden. Die Rückverfolgung der Transaktionen war durch dieses Vorgehen häufig nicht mehr möglich. Hohe Reichweite der Malware in Nordamerika – und in Deutschland Auch in Deutschland hat die Malware eine hohe Reichweite bei Unternehmen: Mehr lesen...


    Operation Clandestine Wolf

    Von FireEye
    Neue Zero-Day-Sicherheitslücke im Adobe Flash Player entdeckt Unser FireEye-Team in Singapur hat eine neue Sicherheitslücke entdeckt – CVE-2015-3113. Über E-Mails verschicken Angreifer Links zu kompromittierten Servern, die wiederum zu einer schädlichen Adobe Flash Player-Datei führen. Die schädliche Datei nutzt die nun entdeckte Sicherheitslücke aus. Adobe hat im jüngsten Adobe Security Bulletin mit einem Patch für CVE-2015-3113 reagiert. Wir empfehken allen Nutzern, den Adobe Flash Player so schnell wie möglich auf die neueste Mehr lesen...


    Adobe Flash Player: Chinesische APT-Gruppierungen attackieren Unternehmen

    Von FireEye
    Nach dem Bekanntwerden der Zero-Day-Sicherheitslücke CVE-2015-5119 im Adobe Flash Player haben wir bei FireEye gezielte Angriffe der bekannten Gruppierungen APT3 und APT18 verfolgt. Zahlreiche Unternehmen aus unterschiedlichen Branchen standen im Visier der Angreifer. Noch bevor Adobe einen Patch für die Sicherheitslücke veröffentlichen konnte, kam es zu Angriffen beider Gruppierungen. Was genau ist passiert? Angriffe von APT3 wurden bei mindestens zehn Kunden von FireEye in den Branchen Luftfahrt und Verteidigung, Bauwesen, Energiewirtschaft, Technologie, Non-Profit, Mehr lesen...


    Datenklau in sozialen Netzwerken und Messengern wie WhatsApp

    Von FireEye
    Seit Monaten gezielte Angriffe auf iOS-Geräte Moderne Cyberattacken spielen sich nicht nur in Unternehmensnetzen ab, sondern sind auch für mobile Endgeräte wie Smartphone und Tablet eine reale Bedrohung. Die schlechte Nachricht: Betroffen sind nahezu alle mobilen Betriebssysteme. Im Fokus stehen allerdings aufgrund ihres hohen Verbreitungsgrades vor allem iOS-Geräte. Schädliche Apps ersetzen WhatsApp & Co. auf iOS-Geräten Um nur ein Beispiel zu nennen: FireEye-Recherchen entdeckten bereits im Sommer 2015 eine Fernzugriffs-App für iOS-Geräte, Mehr lesen...