Incident Response
Wachsamkeit und Vorsicht sind in der Cybersicherheit von entscheidender Bedeutung. Wenn wir diese Binsenweisheit wiederholen, denken die meisten von uns an Social-Engineering-Angriffe und daran, den Benutzern beizubringen, wie sie eine Phishing-E-Mail oder einen Betrugsanruf erkennen können. Ein aufmerksamer Benutzer kann jedoch auch wertvolle Erkenntnisse zu einem eher technischen Aspekt liefern.
Ein kürzlich aufgetretener Vorfall wurde gemeldet, als der Benutzer „seltsame schwarze Fenster” auf dem Desktop bemerkte und Screenshots davon machte. Dies ging einher mit PayPal-Überweisungen vom Konto des Benutzers, die nicht von diesem autorisiert worden waren.
Der in diesem Artikel beschriebene Vorfall wurde vom SECUINFRA Cyber Detection & Response Center (CDRC) im Rahmen eines MDR-Alarm entdeckt. Das Falcon-Team lieferte relevante Erkenntnisse über die Malware für die Bearbeitung und Eindämmung. Dieser Fall ist ein gutes Beispiel für eine komplexe Angriffskette im „Clickfix”-Stil mit steganografischen Elementen.
In der heutigen, sich schnell entwickelnden digitalen Welt werden Cyberbedrohungen immer ausgefeilter. Ein Incident Response Plan ist längst keine Option mehr, sondern eine grundlegende Notwendigkeit. Viele Unternehmen verlassen sich auf Managed Security Service Provider (MSSPs), um ihren Betrieb zu sichern, aber es ist wichtig zu erkennen, dass externe Expertise allein nicht ausreicht, um alle Lücken in Bezug auf Incident Response zu beseitigen.
Sobald man als Incident Responder ein Erstgespräch mit einem Kunden führt, entwickelt man bereits (unbewusst) Theorien, wie der geschilderte Fall zustande gekommen ist und was noch alles passieren kann. Ab und zu bekommt man jedoch einen Fall geschildert, bei dem man das Gefühl nicht loswird, dass es sich dabei nicht um einen Incident handelt, sondern um irgendein harmloses IT-Problem.
Edge-Infrastruktur wie Firewalls, Router, VPN-Gateways usw., die aus dem Internet erreichbar sind, sind ein häufiges Ziel für Cyberkriminelle und Spionageakteure, da diese Geräte schwer zu verteidigen sind. Nach Angaben des Schwachstellenerkennungsdienstes LeakIx könnten bereits 30 Tausend internetfähige Cisco-Geräte durch die…
Eines der beliebtesten Hypervisor-Systeme auf dem Markt ist VMware ESXi, das in den letzten 3+ Jahren regelmäßig Ziel von Ransomware-Angriffen war, um den Schaden an den IT-Systemen der Opfer zu erhöhen. Unsere Analyse - in diesem TechTalk Beitrag!
Um monetäre und reputative Schäden im Falle eines erfolgreichen IT-Sicherheitsangriffs so gering wie möglich zu halten, sind sofortige und korrekte Reaktionsmaßnahmen, der umfassende Überblick über das Ausmaß des Cyberangriffes sowie die umfassende Aufklärung des Vorfalls unverzichtbar.
Wir beginnen mit dem Einstiegspunkt dieses RATs und analysieren seinen ausgeführten Code, bevor wir alle möglichen Module dieses RATs untersuchen.
Laut Malware Bazaar werden Samples seit ca. Mitte Januar verbreitet. Der finale Payload ist ein .NET RAT, welcher dem Angreifer die Möglichkeit gibt, Befehle an das infizierte System zu senden.
Dieser Artikel soll einen tieferen Einblick in das wichtige Thema Meldepflichten bei einem IT-Sicherheitsvorfall geben.