23.11.2021 - Der Meldeeingang beim NCSC bleibt erhöht. Dem NCSC wurde ein Entwicklungsserver gemeldet, welcher für das Schürfen von Kryptogeld missbraucht wurde. Beim Angriff auf das Touristikunternehmen FTI-Group sind auch Daten von Schweizer Bürgern in die Hände von Hackern gefallen. Zudem hat das NCSC der am letzten Montag veröffentlichten «Blacksmith» Schwachstelle die international gültige «Common Vulnerabilities and Exposure»-Identifikationsnummer vergeben.
Kopien von Schweizer Pässen bei einem Ransomware-Vorfall abgeflossen
Am Freitag wurde bekannt, dass im Darknet unter anderem Kopien von Schweizer Pässen aufgetaucht sind. Die Daten wurden einem in Deutschland beheimateten Touristikunternehmen bei einem Ransomware-Angriff gestohlen. Die Cyberkriminellen veröffentlichten die Daten, nachdem Sie eine sogenannte Double-Extorsion (doppelte Erpressung) versucht hatten. Als doppelte Erpressung wird ein Angriff bezeichnet, bei dem Daten zuerst verschlüsselt werden und dem Opfer angeboten wird, diese gegen Bezahlung wieder zu entschlüsseln (erste Erpressung). Bei der zweiten Erpressung drohen die Angreifer der Firma, die vor dem Verschlüsseln gestohlenen Daten zu veröffentlichen.
Sind die Daten einmal im Internet veröffentlicht, können diese zumeist nicht mehr entfernt werden. Das NCSC hat die entsprechenden Massnahmen getroffen.
- Falls Kopien von Ihren Ausweispapieren zu Betrügern gelangt sind, sollten Sie dies der Ausweisstelle Ihrer Gemeinde melden und mit ihnen das weitere Vorgehen klären. Gegebenenfalls sollten Sie neue Papiere erstellen lassen.
Wenn der Server Kryptowährungen schürft
Die Cyberkriminellen nutzen alle erdenklichen Tricks, um an Geld zu kommen. Ein gutes Beispiel dafür war eine Meldung an das NCSC von letzter Woche. Ein Melder berichtete, dass sein Entwicklungsserver – eine GitLab-Instanz – gehackt und für das Schürfen (engl. mining) von Kryptogeld missbraucht worden sei.
Nun muss man wissen, dass zur Erzeugung von Kryptogeld aufwändige Berechnungen durchgeführt werden müssen. Dies wird als Mining bezeichnet. Das Mining benötigt so viele Rechenleistung, dass dafür meistens sehr leistungsfähige Grafikkarten verwendet werden. Die Hacker, welche in diesem Fall am Werk waren, haben das Problem so gelöst, dass sie fremde Server für sich arbeiten lassen. Ermöglicht wurde ihnen der Missbrauch durch eine Lücke in der Software GitLab mit der Bezeichnung CVE-2021-22205, welche im Mai 2021 bekannt wurde. Die Betreiber der GitLab-Instanz hatten es verpasst, ihre Software auf den neuesten Stand zu bringen.
- Halten Sie Ihre Software – insbesondere, wenn diese mit dem Internet kommuniziert – stets aktuell und befolgen Sie die Anweisungen der Software-Lieferanten.
- Abonnieren Sie die Informationen zu der von Ihnen eingesetzten Software, damit Sie über allfällige Sicherheitslücken zeitnah informiert werden.
- Reagieren Sie, falls sich Ihr Computer unvorhergesehen verhält, also zum Beispiel langsam wird, neue Meldungen anzeigt und ähnliches. Lassen Sie in diesem Fall den Computer durch eine Fachperson untersuchen.
«Blacksmith»-Verwundbarkeit hat die erste vom NCSC vergebene CVE-Nummer erhalten
CVE steht für «Common Vulnerabilities and Exposure», übersetzt auf Deutsch: Verbreitete Schwachstellen und Risikoexpositionen. Die CVE-Nummer selbst besteht aus der vierstelligen Jahres- und einer fortlaufenden Zahl und ermöglicht es, Schwachstellen weltweit eindeutig zuordnen zu können. Im September wurde das NCSC als Zulassungsbehörde für die Vergabe von CVE-Nummer anerkannt. Letzte Woche wurde nun das erste Mal eine CVE-Nummer durch das NCSC vergeben. Die Schwachstelle mit dem Namen «Blacksmith» erhielt die Nummer CVE-2021-42114.
Die Schwachstelle selbst betrifft Speicherchips und beschreibt, wie diese mit gezielten Aktivierungen und Deaktivierungen von Speicherbereichen Fehler in benachbarten Speicherzellen hervorrufen können. Diese Fehler könnten dann für einen Angriff missbraucht werden. Die Schwachstelle wurde von der ETH Zürich entdeckt und dem NCSC gemeldet.
- Melden Sie uns Schwachstellen, welche Sie gefunden haben, über den Meldeknopf auf der Startseite oder folgen Sie dem Link:
Schwachstelle melden
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 23.11.2021