Was Sicherheitsexperten den Schlaf raubt

Woche 47: Der Zorn des obersten Pinguins

Uhr
von Coen Kaat

Höflicher Hacker entschuldigt sich für Hack, Botnetz tauscht Locky gegen Scarab und Unbekannte schnüffeln nach Kryptowährungen. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)
(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Linus Torvalds, Initiator und treibende Kraft hinter der Entwicklung des Linux-Kernels, ist sauer. Und dies äusserste sich in ein paar äusserst gewählten Ausdrücken. Auslöser des ganzen Debakels – und Objekt Torvalds' Zorns – ist Kees Cook, ein Mitglied des Pixel-Sicherheitsteams bei Google, wie Heise berichtet.

Cook hatte einen Patch mit Sicherheitsverbesserungen eingereicht. Daraufhin ergriff Torvalds in der öffentlichen Entwickler-Mailingliste des Kernels selbst das Wort. Cooks Verhalten sei "komplett inakzeptabel", schreibt er.

Das Highlight der Tirade – und die in den Medien meistzitierte Stelle - ist wohl folgendes Schmankerl (im originalen Wortlaut):

Some security people have scoffed at me when I say that security problems are primarily 'just bugs'. Those security people are f*cking morons.

Sicherheitsexperten könnten nicht einfach magische Regeln aufstellen und dann einen Kernel panic verursachen, wenn diese Regeln verletzt werden. "Sicherheitsprobleme sind bloss Bugs." Dieses Mantra sollen sich Sicherheitsexperten einprägen gemäss Torvalds.

Solange Cook den Ansatz verfolge, einfach den Prozess abzuwürgen, wenn etwas nicht stimmt, werde Torvalds seine "beschissenen Patches" nicht mehr annehmen. Statt Prozesse abzubrechen, sollten Entwickler sich darauf konzentrieren, solche Bugs zu finden und zu beheben.

Höflicher Hacker entschuldigt sich unaufrichtig für ÖV-Hack

Die Website des öffentlichen Verkehrsbetriebs in Sacramento, Sacramento Regional Transit (SACRT), ist Opfer eines Hackers geworden. Der Unbekannte drang am 18. November in das Netzwerk ein und platzierte eine Nachricht auf dem Webportal des Betriebs, wie Bleepingcomputer berichtet.

Darin entschuldigt sich der Hacker dafür, dass er die Homepage modifizierte. Er sei jedoch ein guter Hacker und wolle dem SACRT nur helfen, einige sehr gefährliche Sicherheitslücken zu beheben. Das Unternehmen solle ihn doch möglichst rasch per E-Mail kontaktieren.

Ganz so freundlich wie er scheint, war der Geselle dann aber doch nicht. Gemäss dem Bericht verlangte der Unbekannte einen Bitcoin von dem Verkehrsbetrieb. Als diese nicht zahlten, löschte er kurzerhand knapp einen Drittel der Daten, die auf dem Server lagen.

Der öffentliche Verkehr sei hiervon jedoch nicht betroffen gewesen. Auch der operative Betrieb sei weitgehend verschont geblieben. Die Mitarbeiter hätten schlicht wieder auf Stift und Papier zurückgegriffen.

Botnetz tauscht Locky gegen Skarabäus

Die Ransomware Scarab hat einen neuen Freund gefunden: das Botnetz Necurs. Eines der grössten Botnetze im Internet, das der Verbreitung von Spam dient. Scarab (der englische Name des Pillendreher-Käfers) treibt zwar schon seit Juni sein Unwesen. Mit Necurs macht die Ransomware jedoch erst seit den frühen Morgenstunden des 23. Novembers gemeinsame Sache. In fünf Stunden fingen die Sicherheitsexperten von Forcepoint nach eigenen Angaben über 12,5 Millionen infizierter E-Mails ab.

Necurs wird in der Regel mit einer anderen Ransomware in Verbindung gebracht: Locky. Die Scarab-E-Mail-Kampagne nutzt sogar die gleiche Betreffzeile wie die früheren Locky-Kampagnen, wie Sicherheitsanbieter Forcepoint mitteilt. "Scanned from" gefolgt vom Namen eines Druckerherstellers, darunter Canon, Epson, HP und Lexmark.

Die Ransomware selbst basiert gemäss Bleepingcomputer auf dem open source Ransomware-Baukasten Hidden Tear. Die aktuelle Version der Ransomware gibt den verschlüsselten Daten die Dateiendung .scarab. In einer früheren Version nutzte die Ransomware auch die Endung .scorpio.

Interessanterweise nennt die Lösegeldforderung keinen exakten Betrag. Stattdessen versprechen die Kriminellen, dass das Lösegeld kleiner ist, je schneller die Opfer per E-Mail oder Bitmessage Kontakt mit ihnen aufnehmen.

Und Unbekannte schnüffeln nach Kryptowährungen

Wer Bitcoins oder andere Kryptowährungen besitzt, sollte seine Wallets jetzt ganz fest festhalten. Dem belgischen Sicherheitsforscher Didier Stevens fielen in letzter Zeit einige Suchanfragen auf seinem Webserver auf. Diese suchten spezifisch nach den folgenden Dateien:

  • wallet - Copy.dat

  • wallet.dat

  • wallet.dat.1

  • wallet.dat.zip

  • wallet.tar

  • wallet.tar.gz

  • wallet.zip

  • wallet_backup.dat

  • wallet_backup.dat.1

  • wallet_backup.dat.zip

  • wallet_backup.zip

Die Dateien konstituieren die sogenannte Wallet. Sozusagen die digitale Brieftasche, in der ein Nutzer seine Bitcoins hält. Stevens kenne solche Anfragen zwar schon seit Jahren. Doch dass sie in diesem Ausmass vorkommen, sei neu.

Die Suchanfragen beschränken sich jedoch nicht nur auf die Kryptowährung Bitcoin. Ein weiterer Sicherheitsexperte, Dimitrios Siamaris, deckte vergleichbare Scans auf, die es auf die Währung Ethereum abgesehen hatten. Die Anfragen landeten in seinem Honeypot – sozusagen ein bewusst offengelassenes Ziel, um Angreifer auf eine falsche Fährte zu locken.

Aufgrund des stark angestiegenen Werts von Bitcoin und Ethereum liegt die Vermutung nahe, dass Cyberkriminelle danach schnüffeln, um sich daran zu bereichern. Siamiris jedenfalls beschreibt, was er in seinem Honeypot gesehen hat, als "full Ethereum robbery".

Und noch zum Nachschlagen: das kleine IT-Security-ABC. Über den Direktlink oder den Webcode SecurityABC in das Suchfeld eingeben.

Webcode
DPF8_71115