🚨The reloaded malware is often (in the first hours after distribution) not detected by AV software. Some of the malware makes far-reaching (security-relevant) changes to the infected system that cannot simply be reversed. It is therefore generally recommended to consider infected systems to be completely compromised and to set them up again.
🚨All access data stored on affected systems (e.g. in the web browser) or entered after the infection should be regarded as compromised and the passwords changed.
🚨Crisis communication should not take place via compromised internal e-mail, but via external addresses (if possible encrypted, e.g. using PGP). Otherwise, attackers can directly recognize that they have been detected.
🚨You must file a criminal complaint.
🚨Employee communication must be considered. On the one hand to inform about the reasons for the "standstill" and about a possible private involvement of employees, if the private use of the workstation is permitted and passwords and account data etc. were used there (and probably expired) - on the other hand to sensitize for the new start including the necessary information.
💡Proactive information of business partners/customers and the relevant authorities about the incident with reference to possible future attack attempts by e-mail with sender addresses of the organization concerned. Sharing is caring!
#emotet #protectivemeasures #infos
🚨All access data stored on affected systems (e.g. in the web browser) or entered after the infection should be regarded as compromised and the passwords changed.
🚨Crisis communication should not take place via compromised internal e-mail, but via external addresses (if possible encrypted, e.g. using PGP). Otherwise, attackers can directly recognize that they have been detected.
🚨You must file a criminal complaint.
🚨Employee communication must be considered. On the one hand to inform about the reasons for the "standstill" and about a possible private involvement of employees, if the private use of the workstation is permitted and passwords and account data etc. were used there (and probably expired) - on the other hand to sensitize for the new start including the necessary information.
💡Proactive information of business partners/customers and the relevant authorities about the incident with reference to possible future attack attempts by e-mail with sender addresses of the organization concerned. Sharing is caring!
#emotet #protectivemeasures #infos
🇩🇪Emotet - Mögliche Schutzmaßnahmen
Hinter Emotet verbergen sich Cyber-Kriminelle, die die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert haben. Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzt sie automatisiert zur Weiterverbreitung, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen.
Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner „Trickbot“ nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.
💡Wie können sich Organisationen vor Emotet schützen?
Auch wenn es keine hundertprozentige Sicherheit geben kann, so existieren dennoch verschiedene Schutzmaßnahmen, die sowohl auf organisatorischer als auch auf technischer Ebene umgesetzt werden können und das Risiko einer Infektion signifikant reduzieren. Hierzu zählen insbesondere Schutzmaßnahmen zur sicheren E-Mail-Nutzung.
👉Folgende Maßnahmen MÜSSEN unbedingt innerhalb der IT-Infrastruktur umgesetzt werden:
✅Regelmäßige Information und Sensibilisierung von Mitarbeitern für die Gefahren durch E-Mail-Anhänge oder Links - einschließlich des Hinweises, auch bei vermeintlich bekannten Absendern (siehe auch gefälschte Absenderadressen) Dateianhänge oder Links bzw. über diese heruntergeladene Dateien im Zweifel nur nach Rücksprache mit dem Absender zu öffnen (insbesondere auch keine Office-Dokumente). Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.
✅Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen, PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
✅Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
✅Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
✅Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
✅Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen,Anwendungsbereichen und/oderRegionen.
✅Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.
Hinter Emotet verbergen sich Cyber-Kriminelle, die die Methoden hochprofessioneller APT-Angriffe adaptiert und automatisiert haben. Durch das sogenannte „Outlook-Harvesting“ ist Emotet in der Lage, authentisch aussehende Spam-Mails zu verschicken. Dazu liest die Schadsoftware Kontaktbeziehungen und seit einigen Wochen auch E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Diese Informationen nutzt sie automatisiert zur Weiterverbreitung, so dass die Empfänger fingierte Mails von Absendern erhalten, mit denen sie erst kürzlich in Kontakt standen.
Emotet verfügt zudem über die Möglichkeit, weitere Schadsoftware nachzuladen, sobald es einen Computer infiziert hat. Diese Schadprogramme ermöglichen den Angreifern etwa das Auslesen von Zugangsdaten und vollständigen Remote-Zugriff auf das System. Zuletzt wurde insbesondere der Banking-Trojaner „Trickbot“ nachgeladen, der sich u.a. über das Auslesen von Zugangsdaten (Mimikatz) und SMB-Schwachstellen (Eternal Blue/Romance) selbstständig in einem Netzwerk ausbreiten kann. Je nach Netzwerkkonfiguration ist es dabei zu Ausfällen kompletter Unternehmensnetzwerke gekommen. Die Schadprogramme werden aufgrund ständiger Modifikationen zunächst meist nicht von gängigen Virenschutzprogrammen erkannt und nehmen tiefgreifende Änderungen an infizierten Systemen vor. Bereinigungsversuche bleiben in der Regel erfolglos und bergen die Gefahr, dass Teile der Schadsoftware auf dem System verbleiben.
💡Wie können sich Organisationen vor Emotet schützen?
Auch wenn es keine hundertprozentige Sicherheit geben kann, so existieren dennoch verschiedene Schutzmaßnahmen, die sowohl auf organisatorischer als auch auf technischer Ebene umgesetzt werden können und das Risiko einer Infektion signifikant reduzieren. Hierzu zählen insbesondere Schutzmaßnahmen zur sicheren E-Mail-Nutzung.
👉Folgende Maßnahmen MÜSSEN unbedingt innerhalb der IT-Infrastruktur umgesetzt werden:
✅Regelmäßige Information und Sensibilisierung von Mitarbeitern für die Gefahren durch E-Mail-Anhänge oder Links - einschließlich des Hinweises, auch bei vermeintlich bekannten Absendern (siehe auch gefälschte Absenderadressen) Dateianhänge oder Links bzw. über diese heruntergeladene Dateien im Zweifel nur nach Rücksprache mit dem Absender zu öffnen (insbesondere auch keine Office-Dokumente). Nutzer sollten Auffälligkeiten umgehend an den IT-Betrieb und den IT-Sicherheitsbeauftragten melden.
✅Zeitnahe Installation von den Herstellern bereitgestellter Sicherheitsupdates für Betriebssysteme und Anwendungsprogramme (insbesondere Web-Browser, Browser-Plugins, E-Mail-Clients, Office-Anwendungen, PDF-Dokumentenbetrachter) – idealerweise automatisiert über eine zentrale Softwareverteilung.
✅Einsatz zentral administrierter AV-Software. Regelmäßige Prüfung, ob Updates von AV-Signaturen erfolgreich auf allen Clients ausgerollt werden.
✅Regelmäßige Durchführung von mehrstufigen Datensicherungen (Backups), insbesondere von Offline-Backups. Zu einem Backup gehört immer auch die Planung des Wiederanlaufs und ein Test der Rückspielung von Daten.
✅Regelmäßiges manuelles Monitoring von Logdaten, idealerweise ergänzt um automatisiertes Monitoring mit Alarmierung bei schwerwiegenden Anomalien.
✅Netzwerk-Segmentierung (Trennung von Client-/Server-/Domain-Controller-Netzen sowie Produktionsnetzen mit jeweils isolierter Administration) nach unterschiedlichen Vertrauenszonen,Anwendungsbereichen und/oderRegionen.
✅Fehler interner Nutzer stellen die größte Gefahr dar. Alle Nutzerkonten dürfen daher nur über die minimal zur Aufgabenerfüllung notwendigen Berechtigungen verfügen.
👉Folgende Maßnahmen SOLLTEN darüber hinaus umgesetzt sein, um eine Infektion mit Schadprogrammen und deren Ausbreitung im internen Netz zu erschweren:
‼️Je weniger Programme zum Öffnen von unbekannten Dateien zur Verfügung stehen, desto weniger Schwachstellen und Fehlkonfigurationen können durch einen Angreifer ausgenutzt werden. Daher sollte nicht benötigte Software generell deinstalliert werden. In Web-Browsern sollten insbesondere die Ausführung aktiver Inhalte zumindest eingeschränkt (z. B. Click-to-Play oder Einschränken auf Intranetseiten) sowie nicht zwingend benötigte Browser-Plugins (z. B. Flash, Java, Silverlight) entfernt werden.
‼️Deaktivierung von Makros und OLE-Objekten in Microsoft Office, Verwendung von signierten Makros: Die generelle Ausführung von Makros sollte (zentral per Gruppenrichtlinie) deaktiviert werden. Innerhalb der Organisation verwendete Makros sollten digital signiert sein. Es sollten nur Makros mit festgelegten digitalen Signaturen von konfigurierten vertrauenswürdigen Orten zugelassen werden.
‼️Einschränkung bzw. Deaktivierung des Windows Script Hosts (WSH).
‼️Einsatz von Application-Whitelisting, z. B. mittels Microsoft AppLocker
‼️Vermeidung von statischen lokalen Administratorkennwörtern, z. B. mittels Microsoft Local Administrator Password Solution (LAPS).
‼️Deaktiviertung administrativer Freigaben (Admin$, IPC$)
‼️Verwendung von Zwei-Faktor-Autorisierung zur Anmeldung an Systemen. Dies verhindert die automatisierte Ausbreitung von Schadprogrammen im Netzwerk mittels ausgespähter Zugangsdaten.
‼️Dateiendungen sollten standardmäßig angezeigt werden. Dadurch können Nutzer doppelte Dateiendungen wie bei "Rechnung.pdf.exe" einfacher erkennen.
‼️Verwendung von Plain-Text statt HTML für E-Mails. Viele E-Mails werden heutzutage im HTML-Format versendet. Damit diese im E-Mail-Client korrekt dargestellt werden können, nutzt dieser Client die gleichen Mechanismen zur Darstellung wie ein Web-Browser. E-Mail-Clients enthalten jedoch häufig Schwachstellen, welche bei Web-Browsern durch zusätzliche Sicherheitsmaßnahmen eingedämmt werden. Dieser umgebende Schutz ist bei E-Mail-Programmen in der Regel weniger ausgeprägt. Die größte Schutzwirkung bietet daher die Darstellung von E-Mails als Textdarstellung (oft als "Nur-Text" bzw. "Reiner Text" bezeichnet). Ein weiterer sicherheitstechnischer Vorteil dieser Darstellung ist, dass verschleierte URLs in der Textdarstellung leicht erkannt werden können (in einer HTML-E-Mail könnte eine als "www.bsi.de" angezeigte URL z. B. tatsächlich auf "www.schadsoftwaredownload.de" verweisen). Mindestens sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.
‼️Angreifer fälschen häufig die Absenderangabe in E-Mails, um dem Empfänger einen bekannten (vertrauenswürdigen) internen oder externen Absender vorzutäuschen. Oft wird dabei der gefälschte Absender inkl. Mailadresse in den so genannten Anzeigenamen (Realnamen) eingetragen, während die eigentliche Absenderadresse der E-Mail einen kompromittierten und zum Versand der E-Mail missbrauchten Account enthält. E-Mail-Clients sollten daher so konfiguriert werden, dass sie nicht nur den Anzeigenamen, sondern auch die vollständige Mailadresse des Absenders anzeigen. Potenzielle Angriffsversuche sollten im E-Mail-Client entsprechend markiert oder gar nicht erst zugestellt werden.
‼️E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen der eigenen Organisation (sei es im Envelope-Header, im From-Header oder im Anzeigenamen) ablehnen, in Quarantäne verschieben oder mindestens im Betreff deutlich markieren.
‼️E-Mails mit ausführbaren Dateien (.exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc.) im Anhang – auch in Archiven wie .zip – sollten blockiert oder in Quarantäne verschoben werden. Sollte eine generelle Filterung für manche Dateitypen oder Empfänger aufgrund von zwingend notwendigen Arbeitsabläufen nicht möglich sein, sollten entsprechende E-Mails deutlich im Betreff markiert werden.
‼️Je weniger Programme zum Öffnen von unbekannten Dateien zur Verfügung stehen, desto weniger Schwachstellen und Fehlkonfigurationen können durch einen Angreifer ausgenutzt werden. Daher sollte nicht benötigte Software generell deinstalliert werden. In Web-Browsern sollten insbesondere die Ausführung aktiver Inhalte zumindest eingeschränkt (z. B. Click-to-Play oder Einschränken auf Intranetseiten) sowie nicht zwingend benötigte Browser-Plugins (z. B. Flash, Java, Silverlight) entfernt werden.
‼️Deaktivierung von Makros und OLE-Objekten in Microsoft Office, Verwendung von signierten Makros: Die generelle Ausführung von Makros sollte (zentral per Gruppenrichtlinie) deaktiviert werden. Innerhalb der Organisation verwendete Makros sollten digital signiert sein. Es sollten nur Makros mit festgelegten digitalen Signaturen von konfigurierten vertrauenswürdigen Orten zugelassen werden.
‼️Einschränkung bzw. Deaktivierung des Windows Script Hosts (WSH).
‼️Einsatz von Application-Whitelisting, z. B. mittels Microsoft AppLocker
‼️Vermeidung von statischen lokalen Administratorkennwörtern, z. B. mittels Microsoft Local Administrator Password Solution (LAPS).
‼️Deaktiviertung administrativer Freigaben (Admin$, IPC$)
‼️Verwendung von Zwei-Faktor-Autorisierung zur Anmeldung an Systemen. Dies verhindert die automatisierte Ausbreitung von Schadprogrammen im Netzwerk mittels ausgespähter Zugangsdaten.
‼️Dateiendungen sollten standardmäßig angezeigt werden. Dadurch können Nutzer doppelte Dateiendungen wie bei "Rechnung.pdf.exe" einfacher erkennen.
‼️Verwendung von Plain-Text statt HTML für E-Mails. Viele E-Mails werden heutzutage im HTML-Format versendet. Damit diese im E-Mail-Client korrekt dargestellt werden können, nutzt dieser Client die gleichen Mechanismen zur Darstellung wie ein Web-Browser. E-Mail-Clients enthalten jedoch häufig Schwachstellen, welche bei Web-Browsern durch zusätzliche Sicherheitsmaßnahmen eingedämmt werden. Dieser umgebende Schutz ist bei E-Mail-Programmen in der Regel weniger ausgeprägt. Die größte Schutzwirkung bietet daher die Darstellung von E-Mails als Textdarstellung (oft als "Nur-Text" bzw. "Reiner Text" bezeichnet). Ein weiterer sicherheitstechnischer Vorteil dieser Darstellung ist, dass verschleierte URLs in der Textdarstellung leicht erkannt werden können (in einer HTML-E-Mail könnte eine als "www.bsi.de" angezeigte URL z. B. tatsächlich auf "www.schadsoftwaredownload.de" verweisen). Mindestens sollte die Ausführung aktiver Inhalte bei Verwendung von HTML-Mails unterdrückt werden.
‼️Angreifer fälschen häufig die Absenderangabe in E-Mails, um dem Empfänger einen bekannten (vertrauenswürdigen) internen oder externen Absender vorzutäuschen. Oft wird dabei der gefälschte Absender inkl. Mailadresse in den so genannten Anzeigenamen (Realnamen) eingetragen, während die eigentliche Absenderadresse der E-Mail einen kompromittierten und zum Versand der E-Mail missbrauchten Account enthält. E-Mail-Clients sollten daher so konfiguriert werden, dass sie nicht nur den Anzeigenamen, sondern auch die vollständige Mailadresse des Absenders anzeigen. Potenzielle Angriffsversuche sollten im E-Mail-Client entsprechend markiert oder gar nicht erst zugestellt werden.
‼️E-Mail-Server sollten von extern eingelieferte E-Mails mit Absenderadressen der eigenen Organisation (sei es im Envelope-Header, im From-Header oder im Anzeigenamen) ablehnen, in Quarantäne verschieben oder mindestens im Betreff deutlich markieren.
‼️E-Mails mit ausführbaren Dateien (.exe, .scr, .chm, .bat, .com, .msi, .jar, .cmd, .hta, .pif, .scf, etc.) im Anhang – auch in Archiven wie .zip – sollten blockiert oder in Quarantäne verschoben werden. Sollte eine generelle Filterung für manche Dateitypen oder Empfänger aufgrund von zwingend notwendigen Arbeitsabläufen nicht möglich sein, sollten entsprechende E-Mails deutlich im Betreff markiert werden.
‼️Verschlüsselung von E-Mails mittels PGP oder S/MIME, um ein Ausspähen potenziell vertraulicher E-Mail-Inhalte zu verhindern. Ein durchgängiger Einsatz von digitalen Signaturen hilft zudem bei der Validierung bekannter E-Mail-Absender. Dazu müssen die zur Verifizierung benötigten Informationen einfach erreichbar auf der Website unter Kontakten einsehbar sein.
‼️Direkte Verbindungen zwischen Clients in einem Netzwerk sollten mittels Firewall unterbunden werden (insbesondere SMB-Verbindungen, PowerShell, PsExec und RDP).
👉Was ist zu tun, wenn in meiner Organisation bereits IT-Systeme infiziert sind?
🚨Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel (LAN) ziehen. Gerät nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
🚨Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.
🚨Die nachgeladenen Schadprogramme werden häufig (in den ersten Stunden nach Verbreitung) nicht von AV-Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.
🚨Alle auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.
🚨Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen (wenn möglich verschlüsselt, z.B. mittels PGP). Sonst können Angreifer direkt erkennen, dass sie entdeckt wurden.
🚨Stellen Sie unbedingt Strafanzeige.
🚨Mitarbeiter-Kommunikation muss bedacht werden. Einerseits zur Unterrichtung über die Gründe des "Stillstands" sowie zu einer evtl. privaten Betroffenheit von Mitarbeitern, wenn die private Nutzung des Arbeitsplatzes erlaubt ist und dort Passwörter und Kontodaten etc. genutzt wurden (und wahrscheinlich abgeflossen sind) - Andererseits zur Sensibilisierung für den Neuanlauf inkl. der notwendigen Informationen.
💡Proaktive Information von Geschäftspartnern/Kunden und den entsprechenden Behörden über den Vorfall mit Hinweis auf mögliche zukünftige Angriffsversuche per E-Mail mit Absenderadressen der betroffenen Organisation. Sharing is caring!
#Emotet #Schutzmaßnahmen #Infos
‼️Direkte Verbindungen zwischen Clients in einem Netzwerk sollten mittels Firewall unterbunden werden (insbesondere SMB-Verbindungen, PowerShell, PsExec und RDP).
👉Was ist zu tun, wenn in meiner Organisation bereits IT-Systeme infiziert sind?
🚨Potenziell infizierte Systeme sollten umgehend vom Netzwerk isoliert werden, um eine weitere Ausbreitung der Schadsoftware im Netz durch Seitwärtsbewegungen (Lateral Movement) zu verhindern. Dazu das Netzwerkkabel (LAN) ziehen. Gerät nicht herunterfahren oder ausschalten, also insbesondere nicht das Netzkabel (Strom) ziehen. Gegebenenfalls forensische Sicherung inkl. Speicherabbild für spätere Analysen (durch Dienstleister oder Strafverfolgungsbehörden) erstellen.
🚨Keinesfalls darf eine Anmeldung mit privilegierten Nutzerkonten auf einem potenziell infizierten System erfolgen, während es sich noch im produktiven Netzwerk befindet.
🚨Die nachgeladenen Schadprogramme werden häufig (in den ersten Stunden nach Verbreitung) nicht von AV-Software erkannt. Die Schadprogramme nehmen teilweise tiefgreifende (sicherheitsrelevante) Änderungen am infizierten System vor, die nicht einfach rückgängig gemacht werden können. Das BSI empfiehlt daher grundsätzlich, infizierte Systeme als vollständig kompromittiert zu betrachten und neu aufzusetzen.
🚨Alle auf betroffenen Systemen (zum Beispiel im Web-Browser) gespeicherte bzw. nach der Infektion eingegebene Zugangsdaten sollten als kompromittiert betrachtet und die Passwörter geändert werden.
🚨Krisen-Kommunikation sollte nicht über kompromittierte interne E-Mail laufen, sondern über externe Adressen (wenn möglich verschlüsselt, z.B. mittels PGP). Sonst können Angreifer direkt erkennen, dass sie entdeckt wurden.
🚨Stellen Sie unbedingt Strafanzeige.
🚨Mitarbeiter-Kommunikation muss bedacht werden. Einerseits zur Unterrichtung über die Gründe des "Stillstands" sowie zu einer evtl. privaten Betroffenheit von Mitarbeitern, wenn die private Nutzung des Arbeitsplatzes erlaubt ist und dort Passwörter und Kontodaten etc. genutzt wurden (und wahrscheinlich abgeflossen sind) - Andererseits zur Sensibilisierung für den Neuanlauf inkl. der notwendigen Informationen.
💡Proaktive Information von Geschäftspartnern/Kunden und den entsprechenden Behörden über den Vorfall mit Hinweis auf mögliche zukünftige Angriffsversuche per E-Mail mit Absenderadressen der betroffenen Organisation. Sharing is caring!
#Emotet #Schutzmaßnahmen #Infos
🇩🇪 Egon Kando beschreibt, wie Hacker auf die gespeicherten Daten u.a. in „Chrome“, „Firefox“ oder „Safari“ zugreifen können.
Webbrowser speichern allerhand Daten ihrer Benutzer: Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen. Dies kann sowohl für Endnutzer als auf für Unternehmen zum Problem werden, denn Cyber-Kriminelle können offensichtlich mit gar nicht so komplizierten Mitteln auf diese Daten zugreifen. Egon Kando, „Regional Sales Director Central & Eastern Europe“ bei Exabeam geht in seiner aktuellen Stellungnahme auf die Möglichkeiten für Hacker ein, in den Webbrowsern gespeicherte Daten auszuforschen, und beschreibt Gegenmaßnahmen.
Höchst attraktiv: im Browser gespeicherte Informationen
Webbrowser bergen heutzutage allerhand Daten der Benutzer: Der Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen sind im Browser gespeichert, damit das Surfen schnell und bequem vor sich geht. Auch die Entwickler von Webseiten und die Werbebranche hätten ein starkes Interesse daran, dass der Nutzer nicht komplett anonym ist – und verließen sich beispielsweise auf sogenannte Cookies, die ihrerseits zahlreiche Informationen besuchter Webseiten speicherten.
All diese im Browser gespeicherten Informationen, wie besuchte Webseiten inklusive URL, Seitentitel und Zeitstempel, HTTP-Cookies, „LocalStorage“, Daten des Passwortmanagers, Browser-Cache und automatisch erstellte Daten, stellten ein großes Risiko dar, „sollten sie in die falschen Hände geraten“, warnt Kando: „Nutzer wähnen sich größtenteils sicher, sind ihre Daten doch im Browser verborgen und darüber hinaus verschlüsselt. Doch an diese Browser-Daten zu gelangen, ist gar nicht so schwierig, wie man es vermuten möchte.“
Zugriff auf die im Browser gespeicherte Nutzerdaten
Für Cyber-Kriminelle reiche einfach zu handhabende und leicht verfügbare Malware aus, um auf die in Webbrowsern gespeicherten Daten zuzugreifen. „Beim einem Test von tausend der beliebtesten Websites, darunter facebook, Google Mail, Amazon, Instagram und PayPal, fanden sich die persönlichen Daten der Benutzer, die lokal und im Webbrowser des Computers in den oben genannten Formaten gespeichert wurden“, berichtet Kando. Durch die Überprüfung der gespeicherten Anmeldeinformationen seien Kriminelle in der Lage, gespeicherte Passwörter für alle getesteten Websites zu extrahieren.
Dies sei keine Schwäche der Websites selbst, sondern der Standard-Passwortmanager von Webbrowsern. Unter Verwendung von „OpenWPM“, einem auf „Firefox“ basierendem Framework zur Messung der Privatsphäre, könnten Kriminelle Benutzerkonten und -aktionen austesten, wie das Erstellen von Konten, die Anmeldung sowie das Ausführen relevanter Aktionen. So könnten sie recht einfach festzustellen, welche Informationen in den lokalen Browserdateien zu finden sind.
Webbrowser speichern allerhand Daten ihrer Benutzer: Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen. Dies kann sowohl für Endnutzer als auf für Unternehmen zum Problem werden, denn Cyber-Kriminelle können offensichtlich mit gar nicht so komplizierten Mitteln auf diese Daten zugreifen. Egon Kando, „Regional Sales Director Central & Eastern Europe“ bei Exabeam geht in seiner aktuellen Stellungnahme auf die Möglichkeiten für Hacker ein, in den Webbrowsern gespeicherte Daten auszuforschen, und beschreibt Gegenmaßnahmen.
Höchst attraktiv: im Browser gespeicherte Informationen
Webbrowser bergen heutzutage allerhand Daten der Benutzer: Der Surf-Verlauf, Passwörter, Kreditkartendaten, Cookies und viele weitere sensible Informationen sind im Browser gespeichert, damit das Surfen schnell und bequem vor sich geht. Auch die Entwickler von Webseiten und die Werbebranche hätten ein starkes Interesse daran, dass der Nutzer nicht komplett anonym ist – und verließen sich beispielsweise auf sogenannte Cookies, die ihrerseits zahlreiche Informationen besuchter Webseiten speicherten.
All diese im Browser gespeicherten Informationen, wie besuchte Webseiten inklusive URL, Seitentitel und Zeitstempel, HTTP-Cookies, „LocalStorage“, Daten des Passwortmanagers, Browser-Cache und automatisch erstellte Daten, stellten ein großes Risiko dar, „sollten sie in die falschen Hände geraten“, warnt Kando: „Nutzer wähnen sich größtenteils sicher, sind ihre Daten doch im Browser verborgen und darüber hinaus verschlüsselt. Doch an diese Browser-Daten zu gelangen, ist gar nicht so schwierig, wie man es vermuten möchte.“
Zugriff auf die im Browser gespeicherte Nutzerdaten
Für Cyber-Kriminelle reiche einfach zu handhabende und leicht verfügbare Malware aus, um auf die in Webbrowsern gespeicherten Daten zuzugreifen. „Beim einem Test von tausend der beliebtesten Websites, darunter facebook, Google Mail, Amazon, Instagram und PayPal, fanden sich die persönlichen Daten der Benutzer, die lokal und im Webbrowser des Computers in den oben genannten Formaten gespeichert wurden“, berichtet Kando. Durch die Überprüfung der gespeicherten Anmeldeinformationen seien Kriminelle in der Lage, gespeicherte Passwörter für alle getesteten Websites zu extrahieren.
Dies sei keine Schwäche der Websites selbst, sondern der Standard-Passwortmanager von Webbrowsern. Unter Verwendung von „OpenWPM“, einem auf „Firefox“ basierendem Framework zur Messung der Privatsphäre, könnten Kriminelle Benutzerkonten und -aktionen austesten, wie das Erstellen von Konten, die Anmeldung sowie das Ausführen relevanter Aktionen. So könnten sie recht einfach festzustellen, welche Informationen in den lokalen Browserdateien zu finden sind.
Sicheres vs. bequemes Surfen
Die Entwicklung von Malware zur Erfassung dieser Informationen sei sehr einfach. Varianten, darunter die Ransomware-Familien „Cerber“, „Kriptovor“ und „CryptXXX“, gebe es seit Jahren – und das kostenlose NirSoft-Tool „WebBrowserPassView“ könne gespeicherte Passwörter aus Webbrowsern ausgeben, „obwohl es angeblich dazu gedacht ist, Benutzern zu helfen, ihre eigenen Passwörter wiederherzustellen“. Es sei für Cyber-Kriminelle also durchaus möglich, an die im Browser gespeicherten Daten zu gelangen.
Überhaupt keine Daten abzuspeichern, indem man alle bestehenden Daten löscht und fortan im Incognito-Modus surft, böte die höchst mögliche Sicherheit. Das Surfen wäre damit zwar sicher, allerdings alles andere als bequem. Mit einigen Maßnahmen könne man jedoch die Sicherheit erhöhen, ohne die Bequemlichkeit zu opfern. Kando: „Da die größte Bedrohung von Malware ausgeht, sollte eine Antivirensoftware ausgeführt werden. Dies sollte den Großteil aller Malware stoppen, inklusive der, die auf die Erfassung von Webbrowser-Daten abzielt. Auch die Verwendung eines Passwortmanagers von einem Drittanbieter ist in der Regel für Angreifer schwieriger zugänglich als die integrierten Browser-Passwortmanager.“ Ebenso lasse das Deaktivieren von HTTP-Cookies weniger Spielraum für Datenmissbrauch durch Angreifer, verursache jedoch auf vielen Webseiten Probleme, insbesondere wenn diese eine Anmeldung erfordern. Eine effektive Methode sei es, regelmäßig entweder alle oder ausgewählte Browserverläufe zu löschen. „Das bedeutet zwar, dass weniger Informationen für den Browser zur Verfügung stehen, um Web-Vorschläge zu liefern und bereits besuchte Webseiten wiederzufinden, aber die Menge der für Angreifer verfügbaren Daten wird dadurch deutlich reduziert“, erläutert Kando.
https://www.datensicherheit.de/aktuelles/webbrowser-als-sicherheitsrisiko-verbraucher-und-unternehmen-im-visier-30063
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Die Entwicklung von Malware zur Erfassung dieser Informationen sei sehr einfach. Varianten, darunter die Ransomware-Familien „Cerber“, „Kriptovor“ und „CryptXXX“, gebe es seit Jahren – und das kostenlose NirSoft-Tool „WebBrowserPassView“ könne gespeicherte Passwörter aus Webbrowsern ausgeben, „obwohl es angeblich dazu gedacht ist, Benutzern zu helfen, ihre eigenen Passwörter wiederherzustellen“. Es sei für Cyber-Kriminelle also durchaus möglich, an die im Browser gespeicherten Daten zu gelangen.
Überhaupt keine Daten abzuspeichern, indem man alle bestehenden Daten löscht und fortan im Incognito-Modus surft, böte die höchst mögliche Sicherheit. Das Surfen wäre damit zwar sicher, allerdings alles andere als bequem. Mit einigen Maßnahmen könne man jedoch die Sicherheit erhöhen, ohne die Bequemlichkeit zu opfern. Kando: „Da die größte Bedrohung von Malware ausgeht, sollte eine Antivirensoftware ausgeführt werden. Dies sollte den Großteil aller Malware stoppen, inklusive der, die auf die Erfassung von Webbrowser-Daten abzielt. Auch die Verwendung eines Passwortmanagers von einem Drittanbieter ist in der Regel für Angreifer schwieriger zugänglich als die integrierten Browser-Passwortmanager.“ Ebenso lasse das Deaktivieren von HTTP-Cookies weniger Spielraum für Datenmissbrauch durch Angreifer, verursache jedoch auf vielen Webseiten Probleme, insbesondere wenn diese eine Anmeldung erfordern. Eine effektive Methode sei es, regelmäßig entweder alle oder ausgewählte Browserverläufe zu löschen. „Das bedeutet zwar, dass weniger Informationen für den Browser zur Verfügung stehen, um Web-Vorschläge zu liefern und bereits besuchte Webseiten wiederzufinden, aber die Menge der für Angreifer verfügbaren Daten wird dadurch deutlich reduziert“, erläutert Kando.
https://www.datensicherheit.de/aktuelles/webbrowser-als-sicherheitsrisiko-verbraucher-und-unternehmen-im-visier-30063
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
🇬🇧 Egon Kando describes how hackers can access the stored data in "Chrome", "Firefox" or "Safari".
Web browsers store all kinds of user data: surfing history, passwords, credit card data, cookies and many other sensitive information. This can be a problem both for end users and for businesses, because cyber criminals can obviously access this data using less complicated means. Egon Kando, "Regional Sales Director Central & Eastern Europe" at Exabeam, in his recent statement, discusses the possibilities for hackers to investigate data stored in web browsers and describes countermeasures.
Highly attractive: information stored in the browser
Web browsers nowadays contain all kinds of user data: surfing history, passwords, credit card data, cookies and many other sensitive information are stored in the browser so that surfing is fast and convenient. Website developers and the advertising industry also have a strong interest in ensuring that users are not completely anonymous - and rely, for example, on so-called cookies, which in turn store a great deal of information about visited websites.
All this information stored in the browser, such as visited websites including URL, page title and timestamp, HTTP cookies, local storage, password manager data, browser cache and automatically generated data, posed a great risk if "they should fall into the wrong hands," warns Kando: "Most users think they are safe, since their data is hidden in the browser and encrypted. But getting access to this browser data is not as difficult as you might think."
Access to the user data stored in the browser
For cyber criminals, easy-to-use and accessible malware is enough to access the data stored in web browsers. "A test of a thousand of the most popular websites, including facebook, Gmail, Amazon, Instagram and PayPal, found the personal data of users stored locally and in the computer's web browser in the above formats," Kando reports. By verifying the stored credentials, criminals would be able to extract stored passwords for all tested sites.
This is not a weakness of the websites themselves, but the standard password manager of web browsers. Using "OpenWPM", a privacy measurement framework based on "Firefox", criminals could test user accounts and actions such as creating accounts, logging in, and performing relevant actions. This would allow them to easily determine what information can be found in the local browser files.
Secure vs. convenient browsing
The development of malware to capture this information is very simple. Variants, including the Ransomware families "Cerber", "Kriptovor" and "CryptXXX", have been around for years - and the free NirSoft tool "WebBrowserPassView" can output stored passwords from web browsers "although it is supposed to help users recover their own passwords". Cyber criminals are therefore able to access the data stored in the browser.
Not to store any data at all by deleting all existing data and surfing in Incognito mode from now on would offer the highest possible security. Surfing would be safe, but anything but convenient. With some measures, however, it would be possible to increase security without sacrificing convenience. Kando: "Since malware poses the greatest threat, antivirus software should be run. This should stop the majority of malware, including the one that aims to capture web browser data. Also, using a third-party password manager is usually more difficult for attackers to access than the built-in browser password managers." Disabling HTTP cookies also leaves less room for data abuse by attackers, but causes problems on many websites, especially if they require login. An effective method is to regularly delete either all or selected browser histories. "While this means that less information is available to the browser to provide web suggestions and retrieve previously visited web pages, it also significantly reduces the amount of data available to attackers," Kando explains.
Web browsers store all kinds of user data: surfing history, passwords, credit card data, cookies and many other sensitive information. This can be a problem both for end users and for businesses, because cyber criminals can obviously access this data using less complicated means. Egon Kando, "Regional Sales Director Central & Eastern Europe" at Exabeam, in his recent statement, discusses the possibilities for hackers to investigate data stored in web browsers and describes countermeasures.
Highly attractive: information stored in the browser
Web browsers nowadays contain all kinds of user data: surfing history, passwords, credit card data, cookies and many other sensitive information are stored in the browser so that surfing is fast and convenient. Website developers and the advertising industry also have a strong interest in ensuring that users are not completely anonymous - and rely, for example, on so-called cookies, which in turn store a great deal of information about visited websites.
All this information stored in the browser, such as visited websites including URL, page title and timestamp, HTTP cookies, local storage, password manager data, browser cache and automatically generated data, posed a great risk if "they should fall into the wrong hands," warns Kando: "Most users think they are safe, since their data is hidden in the browser and encrypted. But getting access to this browser data is not as difficult as you might think."
Access to the user data stored in the browser
For cyber criminals, easy-to-use and accessible malware is enough to access the data stored in web browsers. "A test of a thousand of the most popular websites, including facebook, Gmail, Amazon, Instagram and PayPal, found the personal data of users stored locally and in the computer's web browser in the above formats," Kando reports. By verifying the stored credentials, criminals would be able to extract stored passwords for all tested sites.
This is not a weakness of the websites themselves, but the standard password manager of web browsers. Using "OpenWPM", a privacy measurement framework based on "Firefox", criminals could test user accounts and actions such as creating accounts, logging in, and performing relevant actions. This would allow them to easily determine what information can be found in the local browser files.
Secure vs. convenient browsing
The development of malware to capture this information is very simple. Variants, including the Ransomware families "Cerber", "Kriptovor" and "CryptXXX", have been around for years - and the free NirSoft tool "WebBrowserPassView" can output stored passwords from web browsers "although it is supposed to help users recover their own passwords". Cyber criminals are therefore able to access the data stored in the browser.
Not to store any data at all by deleting all existing data and surfing in Incognito mode from now on would offer the highest possible security. Surfing would be safe, but anything but convenient. With some measures, however, it would be possible to increase security without sacrificing convenience. Kando: "Since malware poses the greatest threat, antivirus software should be run. This should stop the majority of malware, including the one that aims to capture web browser data. Also, using a third-party password manager is usually more difficult for attackers to access than the built-in browser password managers." Disabling HTTP cookies also leaves less room for data abuse by attackers, but causes problems on many websites, especially if they require login. An effective method is to regularly delete either all or selected browser histories. "While this means that less information is available to the browser to provide web suggestions and retrieve previously visited web pages, it also significantly reduces the amount of data available to attackers," Kando explains.
Risk for consumers and businesses alike
The danger of user data stored in the browser being hacked and used by cyber criminals is not only great for consumers, but also for companies, since users also access the Internet from their company computer and possibly use company data as part of their tasks. This would allow corporate customer data to be tapped and, in some cases, bank account numbers to be restored.
In addition, criminals could, for example, determine when an employee is usually at work and when he or she is at home. Access to the employee's browser history could also show attackers their personal interests or details of their private life. Information such as hobbies or child names could then be used as clues to guess passwords. In extreme cases, an attacker could also use sensitive personal data to blackmail an employee.
Raising awareness of possible dangers!
In order to prepare complex attacks, hackers even went one step further: in order to gain an exact picture of an employee's habits and activities, hackers created so-called web files that could be created from a person's collected browser data. In order to minimize the risk of stored company data in the browsers used by employees, the same measures apply as for consumers.
Another important tool in the fight against attackers is targeted training for employees to raise their awareness of possible dangers. Protection by vigilant employees has always been "one of the cornerstones of IT security in every company".
https://www.datensicherheit.de/aktuelles/webbrowser-als-sicherheitsrisiko-verbraucher-und-unternehmen-im-visier-30063
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
The danger of user data stored in the browser being hacked and used by cyber criminals is not only great for consumers, but also for companies, since users also access the Internet from their company computer and possibly use company data as part of their tasks. This would allow corporate customer data to be tapped and, in some cases, bank account numbers to be restored.
In addition, criminals could, for example, determine when an employee is usually at work and when he or she is at home. Access to the employee's browser history could also show attackers their personal interests or details of their private life. Information such as hobbies or child names could then be used as clues to guess passwords. In extreme cases, an attacker could also use sensitive personal data to blackmail an employee.
Raising awareness of possible dangers!
In order to prepare complex attacks, hackers even went one step further: in order to gain an exact picture of an employee's habits and activities, hackers created so-called web files that could be created from a person's collected browser data. In order to minimize the risk of stored company data in the browsers used by employees, the same measures apply as for consumers.
Another important tool in the fight against attackers is targeted training for employees to raise their awareness of possible dangers. Protection by vigilant employees has always been "one of the cornerstones of IT security in every company".
https://www.datensicherheit.de/aktuelles/webbrowser-als-sicherheitsrisiko-verbraucher-und-unternehmen-im-visier-30063
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Media is too big
VIEW IN TELEGRAM
🇬🇧 Explaining Online US Political Advertising
Over the summer
🇩🇪Erläuterung der politischen Online-Werbung in den USA
Im Laufe des Sommers haben
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Over the summer
Facebook, Google, and Twitter have started making transparent United States political ads shown on their platforms. 🇩🇪Erläuterung der politischen Online-Werbung in den USA
Im Laufe des Sommers haben
Facebook, Google und Twitter begonnen, transparente politische Anzeigen der Vereinigten Staaten auf ihren Plattformen zu schalten. Netzpolitik 👇https://netzpolitik.org/2019/die-transparenzarchive-von-facebook-google-und-twitter-ein-einblick/
Git 👉 https://online-pol-ads.github.io/Video 🇩🇪 🇬🇧👇https://media.ccc.de/v/35c3-9419-explaining_online_us_political_advertising
BlackBox archive 👇https://t.me/BlackBox_Archiv/108
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
🇬🇧 Explaining Online US Political Advertising
Over the summer
Based on our analysis we will explain how major political sponsors are using online advertising system to send microtargeted messages to different audiences. We will also explain the messages, targetting, goals, spending, and impressions for major US political advertisers. As part of our project to improve the transparency of online political advertising, we have publically released our data and tools for others to analyze online political ads.
This will be a talk about improving the transparency of online political advertising.
We will start by describing the online political advertising transparency efforts that Facebook, Google, and Twitter have implemented.
We will next explain how we collected data from each of these efforts and are making it public.
After this, we will explain some of the methodologies and tools we are building to help analyze and visualize this data. Next, we will present some of our findings on how online political ads are being targetted and the messages they are communicating with different target audiences.
We will also present some case studies on major online political advertisers such as Donald Trump, Beto O’Rourke, the NRA, and Planned Parenthood. This will focus on how they are leveraging „micro-targeted“ advertisements and the goals of their advertising.
We will finish by demonstrating some of the visualization tools are have deployed to enable people to better understand online political advertising.
🇩🇪Erläuterung der politischen Online-Werbung in den USA
Im Laufe des Sommers haben
Basierend auf unserer Analyse werden wir erklären, wie große politische Sponsoren das Online-Werbesystem nutzen, um mikrogerichtete Nachrichten an verschiedene Zielgruppen zu senden. Wir werden auch die Botschaften, Ziele, Ausgaben und Eindrücke für wichtige politische Werbetreibende in den USA erläutern. Im Rahmen unseres Projekts zur Verbesserung der Transparenz der politischen Online-Werbung haben wir unsere Daten und Tools für andere zur Analyse politischer Online-Werbung veröffentlicht.
Dies ist ein Vortrag über die Verbesserung der Transparenz der politischen Online-Werbung.
Zunächst beschreiben wir die Bemühungen um Transparenz in der politischen Online-Werbung, die Facebook, Google und Twitter umgesetzt haben.
Im Folgenden werden wir erläutern, wie wir Daten aus jeder dieser Bemühungen gesammelt und veröffentlicht haben.
Danach werden wir einige der Methoden und Werkzeuge erläutern, die wir entwickeln, um bei der Analyse und Visualisierung dieser Daten zu helfen. Als nächstes stellen wir einige unserer Ergebnisse vor, wie politische Online-Werbung gezielt eingesetzt wird und welche Botschaften sie mit verschiedenen Zielgruppen kommuniziert.
Wir werden auch einige Fallstudien über große politische Online-Werber wie Donald Trump, Beto O'Rourke, die NRA und die geplante Elternschaft vorstellen. Dabei geht es vor allem darum, wie sie "mikrogerichtete" Werbung nutzen und welche Ziele ihre Werbung verfolgt.
Wir werden abschließend demonstrieren, dass einige der Visualisierungstools eingesetzt werden, die es den Menschen ermöglichen, politische Online-Werbung besser zu verstehen.
Over the summer
Facebook, Google, and Twitter have started making transparent United States political ads shown on their platforms. We have been collecting and analyzing these political ads to understand how candidates, elected officials, PACs, non-profits, for-profit companies, and individual citizens are disseminating U.S. political content using these advertising platforms.Based on our analysis we will explain how major political sponsors are using online advertising system to send microtargeted messages to different audiences. We will also explain the messages, targetting, goals, spending, and impressions for major US political advertisers. As part of our project to improve the transparency of online political advertising, we have publically released our data and tools for others to analyze online political ads.
This will be a talk about improving the transparency of online political advertising.
We will start by describing the online political advertising transparency efforts that Facebook, Google, and Twitter have implemented.
We will next explain how we collected data from each of these efforts and are making it public.
After this, we will explain some of the methodologies and tools we are building to help analyze and visualize this data. Next, we will present some of our findings on how online political ads are being targetted and the messages they are communicating with different target audiences.
We will also present some case studies on major online political advertisers such as Donald Trump, Beto O’Rourke, the NRA, and Planned Parenthood. This will focus on how they are leveraging „micro-targeted“ advertisements and the goals of their advertising.
We will finish by demonstrating some of the visualization tools are have deployed to enable people to better understand online political advertising.
🇩🇪Erläuterung der politischen Online-Werbung in den USA
Im Laufe des Sommers haben
Facebook, Google und Twitter begonnen, transparente politische Anzeigen der Vereinigten Staaten auf ihren Plattformen zu schalten. Wir haben diese politischen Anzeigen gesammelt und analysiert, um zu verstehen, wie Kandidaten, gewählte Amtsträger, PACs, gemeinnützige Organisationen, gewinnorientierte Unternehmen und Einzelpersonen politische Inhalte der USA über diese Werbeplattformen verbreiten.Basierend auf unserer Analyse werden wir erklären, wie große politische Sponsoren das Online-Werbesystem nutzen, um mikrogerichtete Nachrichten an verschiedene Zielgruppen zu senden. Wir werden auch die Botschaften, Ziele, Ausgaben und Eindrücke für wichtige politische Werbetreibende in den USA erläutern. Im Rahmen unseres Projekts zur Verbesserung der Transparenz der politischen Online-Werbung haben wir unsere Daten und Tools für andere zur Analyse politischer Online-Werbung veröffentlicht.
Dies ist ein Vortrag über die Verbesserung der Transparenz der politischen Online-Werbung.
Zunächst beschreiben wir die Bemühungen um Transparenz in der politischen Online-Werbung, die Facebook, Google und Twitter umgesetzt haben.
Im Folgenden werden wir erläutern, wie wir Daten aus jeder dieser Bemühungen gesammelt und veröffentlicht haben.
Danach werden wir einige der Methoden und Werkzeuge erläutern, die wir entwickeln, um bei der Analyse und Visualisierung dieser Daten zu helfen. Als nächstes stellen wir einige unserer Ergebnisse vor, wie politische Online-Werbung gezielt eingesetzt wird und welche Botschaften sie mit verschiedenen Zielgruppen kommuniziert.
Wir werden auch einige Fallstudien über große politische Online-Werber wie Donald Trump, Beto O'Rourke, die NRA und die geplante Elternschaft vorstellen. Dabei geht es vor allem darum, wie sie "mikrogerichtete" Werbung nutzen und welche Ziele ihre Werbung verfolgt.
Wir werden abschließend demonstrieren, dass einige der Visualisierungstools eingesetzt werden, die es den Menschen ermöglichen, politische Online-Werbung besser zu verstehen.
Netzpolitik 👇https://netzpolitik.org/2019/die-transparenzarchive-von-facebook-google-und-twitter-ein-einblick/
Git 👉 https://online-pol-ads.github.io/Video 🇩🇪🇬🇧👇https://media.ccc.de/v/35c3-9419-explaining_online_us_political_advertising
BlackBox archive 👇https://t.me/BlackBox_Archiv/108
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
1902.03256.pdf
234.4 KB
Practical Enclave Malware with Intel SGX
Michael Schwarz, Samuel Weiser, Daniel Gruss
Michael Schwarz, Samuel Weiser, Daniel Gruss
Source: Graz University of TechnologyForwarded from cRyPtHoN™ INFOSEC (DE)
zeroBS-DDoS-Abwehr-Toolkit-Manual.pdf
605 KB
🇩🇪 DDoS-Abwehr-Toolkit by zeroBS
Wir veröffentlichen hiermit unser DDoS Abwehr Toolkit, eine in Paketstürmen erprobte Sammlung von Checklisten und Best-Practice-Ratschlägen zur Abwehr von DDoS-Angriffen, die wir im Laufe der Zusammenarbeit mit unseren Kunden entwickelt und ständig angepasst haben.
Download-Links (PDF):
👇 DDoS-Abwehr-Toolkit - Handbuch 👇
https://zero.bs/bimages/ddos-abwehr-toolkit/zeroBS-DDoS-Abwehr-Toolkit-Manual.pdf
👇DDoS-Abwehr-Toolkit - Angriffstabelle 👇
https://zero.bs/bimages/ddos-abwehr-toolkit/zeroBS-DDoS-Abwehr-Toolkit_Tabellen.pdf
Lizenz:
https://creativecommons.org/licenses/by-nc-sa/4.0/
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Wir veröffentlichen hiermit unser DDoS Abwehr Toolkit, eine in Paketstürmen erprobte Sammlung von Checklisten und Best-Practice-Ratschlägen zur Abwehr von DDoS-Angriffen, die wir im Laufe der Zusammenarbeit mit unseren Kunden entwickelt und ständig angepasst haben.
Download-Links (PDF):
👇 DDoS-Abwehr-Toolkit - Handbuch 👇
https://zero.bs/bimages/ddos-abwehr-toolkit/zeroBS-DDoS-Abwehr-Toolkit-Manual.pdf
👇DDoS-Abwehr-Toolkit - Angriffstabelle 👇
https://zero.bs/bimages/ddos-abwehr-toolkit/zeroBS-DDoS-Abwehr-Toolkit_Tabellen.pdf
Lizenz:
https://creativecommons.org/licenses/by-nc-sa/4.0/
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Audio
🇩🇪🎧Toolkit zur effektiven Abwehr von DDoS-Angriffen
DDoS Abwehr Toolkit - Eine erprobte Sammlung von Checklisten und Best-Practice-Ratschlägen ++ Im Handbuch sind Checklisten und Erklärungen zu finden, was vor und während eines Angriffs zu tun ist, um sich auf die wichtigen Services zu konzentrieren. Darüber hinaus beinhaltet das Handbuch eine Hilfestellung zur Analyse eines Angriffs, um anhand der ermittelten Angriffsart die möglichen Abwehroptionen zu erkennen. ++ Die Tabelle dient zur Veranschaulichung, bei welcher Art von Angriff welche Verteidigungsmethode noch wirkt, auch in Abhängigkeit von der individuellen Bedrohungslage. ++ Wer ist die Zielgruppe für das Handbuch und wer ist die Zielgruppe für eure Dienstleistung?
📻 https://www.all-about-security.de/unter4ohren/single/toolkit-zur-effektiven-abwehr-von-ddos-angriffen/
#Podcast #Unter4Ohren
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
DDoS Abwehr Toolkit - Eine erprobte Sammlung von Checklisten und Best-Practice-Ratschlägen ++ Im Handbuch sind Checklisten und Erklärungen zu finden, was vor und während eines Angriffs zu tun ist, um sich auf die wichtigen Services zu konzentrieren. Darüber hinaus beinhaltet das Handbuch eine Hilfestellung zur Analyse eines Angriffs, um anhand der ermittelten Angriffsart die möglichen Abwehroptionen zu erkennen. ++ Die Tabelle dient zur Veranschaulichung, bei welcher Art von Angriff welche Verteidigungsmethode noch wirkt, auch in Abhängigkeit von der individuellen Bedrohungslage. ++ Wer ist die Zielgruppe für das Handbuch und wer ist die Zielgruppe für eure Dienstleistung?
📻 https://www.all-about-security.de/unter4ohren/single/toolkit-zur-effektiven-abwehr-von-ddos-angriffen/
#Podcast #Unter4Ohren
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Forwarded from Sunny
🇬🇧🌡 Cybersecurity Barometer:
Cybercrime’s impact on privacy and securityHow serious is the cybercrime problem in America?🇩🇪 🌡 Cybersicherheitsbarometer:
The short answer to "how serious is the cybercrime problem in America?" is: Way more serious than our government appears to be taking it. That is one of the conclusions that can be drawn from recent ESET research into public attitudes to cybercrime, cybersecurity, and data privacy.
Auswirkungen der Cyberkriminalität auf Privatsphäre und SicherheitWie ernst ist das Problem der Cyberkriminalität in Amerika?👉 https://scobbs.blogspot.com/
Die kurze Antwort auf "wie ernst ist das Cyberkriminalitätsproblem in Amerika?" ist: Viel ernster, als es unsere Regierung zu nehmen scheint. Das ist eine der Schlussfolgerungen, die sich aus den jüngsten ESET-Forschungen über die Einstellung der Öffentlichkeit zur Cyberkriminalität, zur Cybersicherheit und zum Datenschutz ziehen lassen.
👉 https://www.welivesecurity.com/2019/01/24/cybersecurity-barometer-shows-impact-privacy-security/
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Media is too big
VIEW IN TELEGRAM
🇬🇧 📺 How Justus Decher Beat a Patent Troll, With Help From Alice
Thousands of patent lawsuits are filed each year, and most of them deal with computer technology and software. Nearly 90 percent of those high-tech patent lawsuits are filed by shell companies that offer the public no products or services whatsoever. These patent-assertion entities, also known as “patent trolls,” simply enrich their owners by extracting money from operating companies.
https://www.eff.org/alice
https://www.eff.org/deeplinks/2019/02/video-interview-how-justus-decher-beat-patent-troll-help-alice
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Thousands of patent lawsuits are filed each year, and most of them deal with computer technology and software. Nearly 90 percent of those high-tech patent lawsuits are filed by shell companies that offer the public no products or services whatsoever. These patent-assertion entities, also known as “patent trolls,” simply enrich their owners by extracting money from operating companies.
https://www.eff.org/alice
https://www.eff.org/deeplinks/2019/02/video-interview-how-justus-decher-beat-patent-troll-help-alice
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Media is too big
VIEW IN TELEGRAM
🇬🇧📺 The Facebook Dilemma (Part
Is Facebook more harmful than helpful?
With dozens of original interviews and rare footage, The Facebook Dilemma examines the powerful social media platform’s impact on privacy and democracy in the U.S. and around the world.
📺 https://www.pbs.org/wgbh/frontline/film/facebook-dilemma/
#DeleteFacebook #Frontline #Part1 #Podcast #Video
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
1)Is Facebook more harmful than helpful?
With dozens of original interviews and rare footage, The Facebook Dilemma examines the powerful social media platform’s impact on privacy and democracy in the U.S. and around the world.
📺 https://www.pbs.org/wgbh/frontline/film/facebook-dilemma/
Credits: https://www.pbs.org/wgbh/frontline/film/facebook-dilemma/credits/#DeleteFacebook #Frontline #Part1 #Podcast #Video
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
Media is too big
VIEW IN TELEGRAM
🇬🇧📺 The Facebook Dilemma (Part
Is Facebook more harmful than helpful?
With dozens of original interviews and rare footage, The Facebook Dilemma examines the powerful social media platform’s impact on privacy and democracy in the U.S. and around the world.
📺 https://www.pbs.org/wgbh/frontline/film/facebook-dilemma/
#DeleteFacebook #Frontline #Part2 #Podcast #Video
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
2)Is Facebook more harmful than helpful?
With dozens of original interviews and rare footage, The Facebook Dilemma examines the powerful social media platform’s impact on privacy and democracy in the U.S. and around the world.
📺 https://www.pbs.org/wgbh/frontline/film/facebook-dilemma/
Credits: https://www.pbs.org/wgbh/frontline/film/facebook-dilemma/credits/#DeleteFacebook #Frontline #Part2 #Podcast #Video
📡 @cRyPtHoN_INFOSEC_DE
📡 @cRyPtHoN_INFOSEC_EN
🇪🇸 El Informe sobre las Amenazas Globales de 2019 muestra que se necesita innovación y rapidez para vencer a los adversarios.
El Informe sobre las Amenazas Globales de este año: "Adversary Tradecraft and the Importance of Speed", aborda el ritmo acelerado y la creciente sofisticación de las tácticas, técnicas y procedimientos adversarios (TTP) durante el último año y, en particular, destaca la importancia crítica de la velocidad para mantenerse por delante de las amenazas en rápida evolución.
El año pasado, introdujimos el concepto de "tiempo de ruptura" - la ventana de tiempo desde que un adversario compromete por primera vez un endpoint, hasta cuando comienzan a moverse lateralmente a través de su red. En el informe de este año, pudimos proporcionar un examen más detallado del tiempo de ruptura registrando la velocidad media de los principales actores de los Estados-nación. El informe compara las velocidades de ruptura de Rusia, China, Corea del Norte, Irán y la categoría combinada de los actores globales del eCrime. Este y otros puntos de vista únicos en el informe pueden ayudar a las organizaciones a avanzar en sus objetivos de respuesta, dependiendo de los tipos de adversarios con los que tengan más probabilidades de encontrarse en el año que viene.
El informe también deja claro -a pesar de algunas acusaciones notables contra varios actores nacionales- que sus actividades no muestran signos de disminución. A lo largo de 2018, el eCrime y los adversarios de los estados-nación mejoraron colectivamente su juego. Algunos ejemplos:
- En los canales diplomáticos y en los medios de comunicación, varios Estados-nación se mostraron partidarios de frenar sus actividades cibernéticas clandestinas, pero entre bastidores duplicaron sus operaciones de espionaje cibernético, combinando esos esfuerzos con nuevas incursiones en ataques destructivos y fraudes por motivos económicos.
- Los actores del eCrime demostraron una nueva flexibilidad, formando y rompiendo alianzas y cambiando rápidamente las tácticas a mitad de campaña para lograr sus objetivos. Las corrientes cambiantes de la economía subterránea -incluyendo la disponibilidad de nuevos TTP de alquiler y el valor fluctuante de Bitcoin- fueron todos factores que contribuyeron.
- También hemos sido testigos de un mayor enfoque en la "caza mayor", donde los actores del eCrime combinan intrusiones dirigidas con programas de rescate para obtener importantes beneficios de las grandes organizaciones empresariales.
Las conclusiones de este informe sobre el comercio adversario y la velocidad reflejan lo que muchos defensores ya saben: Estamos en una verdadera "carrera armamentista" por la superioridad cibernética. Sin embargo, hay algunas diferencias importantes entre una carrera armamentista en el ciberespacio y el mundo físico: En el ciberespacio, cualquier actor puede convertirse en una superpotencia. En comparación con la financiación de una maquinaria de guerra física, los costes de capital son alarmantemente bajos. Incluso algunas de las regiones más empobrecidas del mundo han demostrado su capacidad para causar un impacto global a través de campañas cibernéticas en 2018.
En CrowdStrike, experimentamos a diario el papel que desempeñan los defensores en la carrera de ciberarmas. A medida que introducimos en el mercado una protección más eficaz de endpoint, aumentamos los riesgos para determinados adversarios. CrowdStrike ha documentado casos en los que actores malintencionados descubren nuestros productos en el mercado y simplemente desaparecen, presumiblemente para ejercer su oficio sobre una víctima más vulnerable. En otros casos, los atacantes simplemente vuelven a la palestra, añadiendo nuevas armas a sus arsenales cibernéticos mientras buscan un nuevo punto de entrada menos defendido.
Este ciclo interminable de ataques y defensas está en el corazón de lo que hacemos y explica la estructura única de la organización CrowdStrike®. Con nuestros equipos dedicados, nos enfocamos en estas disciplinas complementarias:
El Informe sobre las Amenazas Globales de este año: "Adversary Tradecraft and the Importance of Speed", aborda el ritmo acelerado y la creciente sofisticación de las tácticas, técnicas y procedimientos adversarios (TTP) durante el último año y, en particular, destaca la importancia crítica de la velocidad para mantenerse por delante de las amenazas en rápida evolución.
El año pasado, introdujimos el concepto de "tiempo de ruptura" - la ventana de tiempo desde que un adversario compromete por primera vez un endpoint, hasta cuando comienzan a moverse lateralmente a través de su red. En el informe de este año, pudimos proporcionar un examen más detallado del tiempo de ruptura registrando la velocidad media de los principales actores de los Estados-nación. El informe compara las velocidades de ruptura de Rusia, China, Corea del Norte, Irán y la categoría combinada de los actores globales del eCrime. Este y otros puntos de vista únicos en el informe pueden ayudar a las organizaciones a avanzar en sus objetivos de respuesta, dependiendo de los tipos de adversarios con los que tengan más probabilidades de encontrarse en el año que viene.
El informe también deja claro -a pesar de algunas acusaciones notables contra varios actores nacionales- que sus actividades no muestran signos de disminución. A lo largo de 2018, el eCrime y los adversarios de los estados-nación mejoraron colectivamente su juego. Algunos ejemplos:
- En los canales diplomáticos y en los medios de comunicación, varios Estados-nación se mostraron partidarios de frenar sus actividades cibernéticas clandestinas, pero entre bastidores duplicaron sus operaciones de espionaje cibernético, combinando esos esfuerzos con nuevas incursiones en ataques destructivos y fraudes por motivos económicos.
- Los actores del eCrime demostraron una nueva flexibilidad, formando y rompiendo alianzas y cambiando rápidamente las tácticas a mitad de campaña para lograr sus objetivos. Las corrientes cambiantes de la economía subterránea -incluyendo la disponibilidad de nuevos TTP de alquiler y el valor fluctuante de Bitcoin- fueron todos factores que contribuyeron.
- También hemos sido testigos de un mayor enfoque en la "caza mayor", donde los actores del eCrime combinan intrusiones dirigidas con programas de rescate para obtener importantes beneficios de las grandes organizaciones empresariales.
Las conclusiones de este informe sobre el comercio adversario y la velocidad reflejan lo que muchos defensores ya saben: Estamos en una verdadera "carrera armamentista" por la superioridad cibernética. Sin embargo, hay algunas diferencias importantes entre una carrera armamentista en el ciberespacio y el mundo físico: En el ciberespacio, cualquier actor puede convertirse en una superpotencia. En comparación con la financiación de una maquinaria de guerra física, los costes de capital son alarmantemente bajos. Incluso algunas de las regiones más empobrecidas del mundo han demostrado su capacidad para causar un impacto global a través de campañas cibernéticas en 2018.
En CrowdStrike, experimentamos a diario el papel que desempeñan los defensores en la carrera de ciberarmas. A medida que introducimos en el mercado una protección más eficaz de endpoint, aumentamos los riesgos para determinados adversarios. CrowdStrike ha documentado casos en los que actores malintencionados descubren nuestros productos en el mercado y simplemente desaparecen, presumiblemente para ejercer su oficio sobre una víctima más vulnerable. En otros casos, los atacantes simplemente vuelven a la palestra, añadiendo nuevas armas a sus arsenales cibernéticos mientras buscan un nuevo punto de entrada menos defendido.
Este ciclo interminable de ataques y defensas está en el corazón de lo que hacemos y explica la estructura única de la organización CrowdStrike®. Con nuestros equipos dedicados, nos enfocamos en estas disciplinas complementarias:
- Seguimiento y análisis de la actividad del adversario a través de la recopilación de inteligencia global y la caza proactiva.
- Desarrollo y despliegue de nuevas tecnologías innovadoras para combatir a los actores malintencionados.
- Ofrecer los mejores servicios de respuesta a incidentes directamente a las víctimas de ciberataques.
El Informe sobre las Amenazas Globales se une al CrowdStrike Services Cyber Intrusion Casebook y al Falcon OverWatch™ Report para presentar a los clientes y a la comunidad de ciberseguridad global los últimos desarrollos y defensas para un panorama de amenazas cada vez más peligroso. Esta visión holística del panorama de las amenazas permite a CrowdStrike proporcionarle una guía específica sobre las acciones que las organizaciones necesitan tomar para fortalecer sus posturas de seguridad.
La lucha continúa, y nunca descansaremos en nuestra búsqueda de adversarios que buscan dañar, perturbar, extorsionar o robar. A lo largo del informe sobre las amenazas mundiales, verá el talento, la experiencia y la dedicación de nuestro equipo de CrowdStrike combinadas con el poder de nuestra tecnología para detener a los adversarios más sofisticados. Estamos ansiosos por compartir lo que hemos aprendido debido a nuestro compromiso inquebrantable de derrotar a los estados-nación, a los actores del crimen electrónico, a los hackers y a los ciberdelincuentes que amenazan nuestro comercio e invaden nuestra privacidad.
https://www.crowdstrike.com/blog/2019-global-threat-report-shows-it-takes-innovation-and-speed-to-win-against-adversaries/
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
- Desarrollo y despliegue de nuevas tecnologías innovadoras para combatir a los actores malintencionados.
- Ofrecer los mejores servicios de respuesta a incidentes directamente a las víctimas de ciberataques.
El Informe sobre las Amenazas Globales se une al CrowdStrike Services Cyber Intrusion Casebook y al Falcon OverWatch™ Report para presentar a los clientes y a la comunidad de ciberseguridad global los últimos desarrollos y defensas para un panorama de amenazas cada vez más peligroso. Esta visión holística del panorama de las amenazas permite a CrowdStrike proporcionarle una guía específica sobre las acciones que las organizaciones necesitan tomar para fortalecer sus posturas de seguridad.
La lucha continúa, y nunca descansaremos en nuestra búsqueda de adversarios que buscan dañar, perturbar, extorsionar o robar. A lo largo del informe sobre las amenazas mundiales, verá el talento, la experiencia y la dedicación de nuestro equipo de CrowdStrike combinadas con el poder de nuestra tecnología para detener a los adversarios más sofisticados. Estamos ansiosos por compartir lo que hemos aprendido debido a nuestro compromiso inquebrantable de derrotar a los estados-nación, a los actores del crimen electrónico, a los hackers y a los ciberdelincuentes que amenazan nuestro comercio e invaden nuestra privacidad.
https://www.crowdstrike.com/blog/2019-global-threat-report-shows-it-takes-innovation-and-speed-to-win-against-adversaries/
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
crowdstrike.com
2019 Global Threat Report Shows It Takes Innovation and Speed to Win Against Adversaries
The 2019 CrowdStrike Global Threat Report, “Adversary Tradecraft and the Importance of Speed,” addresses the fast pace and increasing sophistication in adversary tactics, techniques and procedures (TTPs).
🇬🇧 When "bears" and "pandas" strike in cyberspace.
The IT security company CrowdStrike has for the first time compiled a ranking of notorious hacker groups. Among them are old acquaintances - but also some surprises.
The most dangerous hacker groups in the world are called "Bear", "Chollima", "Panda" or "Kitten". Behind these names hide secret services, armies and sometimes also government parties of states, which are responsible for a large part of the world-wide attacks in the Internet. For the first time, the US IT security company CrowdStrike has compiled a ranking of these state hackers. It is intended to record how efficient and active the groups are. The Global Threat Report, which will be published this Tuesday, is available at ZEIT ONLINE and ZEIT.
In first place on CrowdStrike's list are the Russian hackers known as "bears", which include the secret services GRU ("Fancy Bear") and FSB ("Cozy Bear"). North Korea ("Chollima") surprisingly follows in second place, the Chinese state hackers ("Panda") in third place and Iranian attackers, called "Kitten" by CrowdStrike, in fourth place. The report analyses around 30,000 attacks by 116 hacker groups last year.
For the ranking, CrowdStrike measured how quickly hackers spread in an attacked computer system. How much time elapses between the first intrusion and the actual attack on the internal data and areas? This time span can be determined during the subsequent investigation of hacks. CrowdStrike calls it breakout time, which can be translated as incubation time. The company sees this time span as a measure of how skillfully hackers act and how well they understand their trade.
"Speed is crucial in cyber security - both for the attackers and for the defenders," the report says. Because tools like Trojans can be bought or copied by anyone. The art is to use them effectively and infiltrate them.
However, the timing does not only say something about the abilities of the attackers. It is also important for the defense against such attacks. After all, it refers to the time that remains for victims to do something against the hackers.
According to this yardstick, private hacker groups, which are primarily concerned with earning money with their attacks, are comparatively slow. On average, it would take almost ten hours for them to succeed in taking over a computer network after intrusion. In comparison, top teams of Russian hackers, who are also on the road on behalf of the state, need just under 19 minutes. Attackers from North Korea with an average incubation time of two hours and 20 minutes, Chinese hackers, on the other hand, need four hours and Iranian hackers five hours, take second place.
Chinese attacks on the rise
The analysis also describes that digital attacks are now standard in many countries. In addition to Russia, China, North Korea and Iran, Vietnam, India and Pakistan in particular use such means. According to CrowdStrike 2018, a total of 28 state-sponsored hacker groups have been active.
The IT security company has not only investigated the speed of attacks, but also the targets, especially those of state attackers. The attacks were directed against dissidents and political opponents, but also against media companies, oil companies and last year for the first time several times against telecommunications providers.
According to the report, Russian groups are deployed worldwide. Iranian hackers, on the other hand, would mainly attack organizations in the Middle East and North Africa and take action against dissidents. As an example, CrowdStrike lists an attack on Saudi Arabia's oil and gas facilities in December 2018, which is probably due to IT specialists from Iran. In a second wave of attacks, Iranian computer specialists from the "Static Kitten" group attacked the Saudi telecommunications sector in June 2018.
Chinese hackers, on the other hand, had increasingly sought targets in the USA last year. Analysts attribute this to increasing tensions between the two countries.
The IT security company CrowdStrike has for the first time compiled a ranking of notorious hacker groups. Among them are old acquaintances - but also some surprises.
The most dangerous hacker groups in the world are called "Bear", "Chollima", "Panda" or "Kitten". Behind these names hide secret services, armies and sometimes also government parties of states, which are responsible for a large part of the world-wide attacks in the Internet. For the first time, the US IT security company CrowdStrike has compiled a ranking of these state hackers. It is intended to record how efficient and active the groups are. The Global Threat Report, which will be published this Tuesday, is available at ZEIT ONLINE and ZEIT.
In first place on CrowdStrike's list are the Russian hackers known as "bears", which include the secret services GRU ("Fancy Bear") and FSB ("Cozy Bear"). North Korea ("Chollima") surprisingly follows in second place, the Chinese state hackers ("Panda") in third place and Iranian attackers, called "Kitten" by CrowdStrike, in fourth place. The report analyses around 30,000 attacks by 116 hacker groups last year.
For the ranking, CrowdStrike measured how quickly hackers spread in an attacked computer system. How much time elapses between the first intrusion and the actual attack on the internal data and areas? This time span can be determined during the subsequent investigation of hacks. CrowdStrike calls it breakout time, which can be translated as incubation time. The company sees this time span as a measure of how skillfully hackers act and how well they understand their trade.
"Speed is crucial in cyber security - both for the attackers and for the defenders," the report says. Because tools like Trojans can be bought or copied by anyone. The art is to use them effectively and infiltrate them.
However, the timing does not only say something about the abilities of the attackers. It is also important for the defense against such attacks. After all, it refers to the time that remains for victims to do something against the hackers.
According to this yardstick, private hacker groups, which are primarily concerned with earning money with their attacks, are comparatively slow. On average, it would take almost ten hours for them to succeed in taking over a computer network after intrusion. In comparison, top teams of Russian hackers, who are also on the road on behalf of the state, need just under 19 minutes. Attackers from North Korea with an average incubation time of two hours and 20 minutes, Chinese hackers, on the other hand, need four hours and Iranian hackers five hours, take second place.
Chinese attacks on the rise
The analysis also describes that digital attacks are now standard in many countries. In addition to Russia, China, North Korea and Iran, Vietnam, India and Pakistan in particular use such means. According to CrowdStrike 2018, a total of 28 state-sponsored hacker groups have been active.
The IT security company has not only investigated the speed of attacks, but also the targets, especially those of state attackers. The attacks were directed against dissidents and political opponents, but also against media companies, oil companies and last year for the first time several times against telecommunications providers.
According to the report, Russian groups are deployed worldwide. Iranian hackers, on the other hand, would mainly attack organizations in the Middle East and North Africa and take action against dissidents. As an example, CrowdStrike lists an attack on Saudi Arabia's oil and gas facilities in December 2018, which is probably due to IT specialists from Iran. In a second wave of attacks, Iranian computer specialists from the "Static Kitten" group attacked the Saudi telecommunications sector in June 2018.
Chinese hackers, on the other hand, had increasingly sought targets in the USA last year. Analysts attribute this to increasing tensions between the two countries.