Die Infosec-News der Woche

Freitag 25.November – Freitag 2. Dezember

Sicherheitsexperten raten von Hive Social ab, GoTo und LastPass melden Sicherheitsvorfall, TikTok-Challenge verbreitet Malware, Cyberangriffe auf Universität Duisburg-Essen und Stadt Drensteinfurt, Cybertrading-Bande aus Zypern zerschlagen und Anklage gegen Darknet-Drogenhändler – das sind die Infosec News der Woche.



Schwachstellen und Exploits

Sicherheitsexperten warnen dringend ab Hive Social zu nutzen

Das Sicherheitsexperten Kollektiv „ZERFORSCHUNG“ warnt nach einer Untersuchung des Microblogging Dienstes Hive Social, in der gegenwärtigen Situation dringend von der Nutzung ab.

Nach der Twitter-Übernahme durch Elon Musk wechselten viele Nutzer auf Alternativen. Darunter ist auch der Dienst Hive Social. Die Forscher waren deshalb interessiert, wie es um die Sicherheit bei dem Mitbewerber steht und nahmen eine Untersuchung vor.

Die gefunden Sicherheitslücken ermöglichen es Angreifern auf alle Daten zuzugreifen, inklusive privater Beiträge, privater Nachrichten, freigegeben Medien und gelöschten Direktnachrichten. Darunter auch private E-Mail-Adressen und Telefonnummern, die bei Registrierung hinterlegt wurden, schreiben die Experten auf ihrer Webseite.

Sie veröffentlichten außerdem ein Video, in dem sie zeigen, dass Angreifer Daten von anderen Nutzern überschreiben können. Die Forschungsergebnisse teilte ZERFORSCHUNG am 23.11.22 mit dem Microblogging-Dienst. Sie versuchten zudem den CEO von Hive Social zu erreichen, damit die Fehler so schnell wie möglich behoben werden.

Am ersten Dezember veröffentlichten die Forscher dann ein Update, in dem es heißt: „Nachdem unser Artikel veröffentlicht wurde, hat Hive beschlossen, seine Server zu deaktivieren. Das bedeutet, dass die Sicherheitslücken nicht mehr ausgenutzt werden können.“

Die Sicherheitslücken sind so massiv, dass Hive den Betrieb einstellen musste. Der Entwickler arbeitet indes daran, die Probleme zu beheben. Viele User kommentieren unter dem Twitter Post von Hive, zu Mastadon zu wechseln, genau wie die Sicherheitsexperten von ZERFORSCHUNG.


Hacker-Gruppen und Kampagnen

GoTo und LastPass melden Sicherheitsvorfall

Das Softwareunternehmen GoTo (ehemals LogMeln) dass auf Fernwartungsdienste spezialisiert ist und seine Tochtergesellschaft LastPass, ein webbasierter Passwortmanager-Dienst, geben einen Sicherheitsvorfall bekannt. Paddy Srinivasan, CEO von GoTo schreibt in seiner Mitteilung, dass sie ungewöhnliche Aktivitäten in ihrer Entwicklungsumgebung und bei einem ihrer Speicherdienste, eines Drittanbieters festgestellt haben. Sämtliche GoTo Produkte und Dienste seien aber weiterhin uneingeschränkt einsatzfähig.

Der betroffene Cloud Speicherdienst wird auch vom Tochterunternehmen LastPass genutzt. Deshalb gab auch der CEO von LastPass, Karim Toubba, zeitgleich in einer Mitteilung bekannt, dass auch sie unter einem Sicherheitsvorfall leiden. Cyberkriminelle verschafften sich mit Informationen aus dem Sicherheitsvorfall vom August 2022, Zugriff auf bestimmte Elemente von Kundendaten. Passwörter der LastPass Kunden sollen aber dank ihrer Zero-Knowledge-Architektur zu jeder Zeit sicher verschlüsselt sein.

Das genaue Ausmaß des Sicherheitsvorfalls sei noch nicht bekannt. Ein führendes Sicherheitsunternehmen wurde beauftragt, Untersuchungen eingeleitet und die Strafverfolgungsbehörden informiert.

Invisible-Challenge auf TikTok verbreitet Malware

Sicherheitsforscher von Checkmarx, einem globalen Software-Sicherheitsunternehmen sind auf eine Kampagne gestoßen, die es auf Anwender von TikTok abgesehen hat.

In der Invisible-Challenge geht es darum, nackt ein Video aufzunehmen, mit einem Spezialeffekt, dem „Invisible Body“. Der Effekt entfernt den Körper der Person aus dem Video und ersetzt ihn durch ein unscharfes Konturenbild. Die Angreifer locken ihre Opfer mit TikTok Videos in denen sie eine Software bewerben namens „unfilter“. Die soll angeblich dafür sorgen, TikTok-Filter aus Videos zu entfernen, um die Menschen der Invisible-Body-Challenge nackt zu sehen. Der Einladungslink der beworbenen Software, führt zu einem eigens eingerichteten Discord-Server, danach geht es weiter auf GitHub um den Filter schlussendlich zu erhalten. Um das Ganze noch glaubhafter zu machen, gibt es Videos auf dem Discord-Server, in denen der Filter vermeintlich verwendet wurde.

Die Anweisungen, mit denen man die „unfilter“ Software erhalten soll, setzen WASP-Stealer-Malware ein, die sich in bösartigen Python-Paketen versteckt.

WASP Stealer ist eine Malware mit der Angreifer, Passwörter, Krypto-Wallets, Discord-Konten und weitere sensible Daten abgreifen können.

Die TikTok Konten der Cyberkriminellen sind zwar mittlerweile gesperrt, aber der Discord-Server ist nach wie vor vorhanden mit über 30.000 Mitgliedern, wobei die Zahl weiterhin ansteigt und der Angriff durch ständigen Identitätswechsel der Angreifer nach wie vor andauert.


Der vorrangegange Artikel zeigt eine Form von Phishing, wenn auch nicht via E-Mail. Die Cyberkriminellen nutzten hier eine Technik, mit der sie die potenziellen Opfer freiwillig und durch ihre Neugier angetrieben, dazu brachten eigenhändig etwas schadhaftes herunterzuladen und zu installieren.

Wir zeigen im Rahmen unserer Awareness Kurse solche und viele weitere Techniken auf und bringen dir und deinen Kolleginnen und Kollegen diese Seite unseres zunehmend digitalisierten Lebens auf spannende Weise näher.

Schau am besten auf learn.lastbreach.com vorbei oder schreib uns an training@lastbreach.com. Wir freuen uns auf deine Anfrage und zeigen dir gerne, warum unsere individualisierten Awareness-Schulungen genau das Richtige für dein Unternehmen sind.


Cyberangriff auf die Universität Duisburg-Essen

Die Duisburger Universität gab am 28. November in einer Pressemeldung bekannt, dass sie Opfer einer Cyberattacke geworden sind.

Die komplette IT-Infrastruktur musste infolgedessen heruntergefahren und vom Netz genommen werden. So stehen auch die zentralen Dienste wie PC-Anwendungen, E-Mail und Festnetztelefonie, nicht zur Verfügung. Die Schäden werden derzeit von IT-Experten der Universität ermittelt, die intensiv damit beschäftigt sind, die Systeme schnellstmöglich wieder betriebsbereit zu machen. Die Dauer ist jedoch noch nicht abzusehen und wird eher länger dauern sagt die Rektorin der Uni in einem Video.

Der Angriff der Cyberkriminellen fand am Wochenende statt. Sie drangen in die internen Systeme ein und verschlüsselten große Teile davon. Im Anschluss forderten sie Lösegeld. Zuständige Behörden wurden informiert und eine Anzeige erstattet.

Nach der ersten Bestandsaufnahme war schnell klar, dass alle Microsoft-Office-Anwendungen, interne Verwaltungssysteme und der E-Mail-Verkehr kompromittiert worden sind.

Es gibt massive Einschränkungen für Studierende und Angestellte der Universität, sogar die Prüfungen wurden um 14 Tage verschoben. Außerdem werden die Studenten darum gebeten auch ihre eigenen Endgeräte auf Schadhaftes zu prüfen.

Stadt Drensteinfurt informiert über einen möglichen Cyberangriff

Die Stadt Drensteinfurt in Nordrhein-Westfalen informiert auf ihrer Webseite, dass möglicherweise ein Cyberangriff auf sie vorbereitet worden ist. Die Information dazu haben sie aus einem laufenden polizeilichen Verfahren.

Zur Sicherheit haben sie die gesamten Systeme heruntergefahren, schreibt die Stadtverwaltung. Aktuell wird alles geprüft und die Polizei Münster ist eingeschaltet.

Vom 30.November bis 9.Dezember ist nur ein eingeschränkter Betrieb möglich. Die Systeme werden derzeit geprüft, um dann schrittweise wieder in Betrieb genommen zu werden.

Am 2.Dezember kann man dem Update zum Sachstand entnehmen, dass die wichtigsten Scans der Systeme abgeschlossen wären. Es wurde keine Schadsoftware auf den städtischen Servern festgestellt, auch Datenverluste gibt es laut der Mitteilung nicht. Als nächstes soll die Hard- und Software der Bediensteten überprüft werden. Zeitgleich erfolgen die ersten Arbeiten zum Hochfahren der Fachanwendungen durch die IT-Abteilung sowie ausgelagerter Systeme durch externe Dienstleister, schreibt die Stadtverwaltung Drensteinfurt.


Wirtschaft, Politik und Kultur

Schlag gegen eine Bande der zypriotischen Cybertrading-Industrie

Laut einer Pressemitteilung der Generalstaatsanwaltschaft Bamberg gab es zahlreiche Festnahmen und bereits erste Anklagen im Zuge des „Cheetah“-Ermittlungsverfahrens.

Ein Callcenter aus Zypern schädigte in Deutschland zahlreiche Personen mit einer Cybertrading-Masche. Drei verdächtige der Tätergruppe wurden gefasst, zwei davon hat die Bayerische Zentralstelle für Cybercrime mittlerweile angeklagt.

Ein Betroffener aus dem Landkreis Fürstenfeldbruck erstatte im Januar 2022 eine Anzeige wegen Anlagenbetrugs im Internet und wurde so der Auslöser für die Ermittlungen. Ende 2021 hatte das Opfer über Monate hinweg, mehr als eine halbe Million Euro auf der Tradingplattform www. Kryptoeuclub .com eingezahlt und damit sein eingesetztes Kapital vermeintlich, mehr als verdoppelt. Er erkannte den Betrug erst, als sein Gewinn, von den Cyberkriminellen nicht ausgezahlt wurde.

Die kriminelle Gruppe, die sich selbst „Cheetah“ nennt, begingen ihren Betrug aus einem Callcenter im Nordteil der Insel. Sie kontaktierten ihre potenziellen Opfer in Deutschland, mit angeblichen profitablen Investitionen über ihre Fake-Handelsplattform.

Eine 32-jährige Frau wurde bereits im April 2022 von der Bundespolizei in Frankfurt festgenommen und befindet sich seitdem in Untersuchungshaft. Im Juli 2022 nahmen die zypriotischen Behörden in Nikosia dann eine mutmaßliche Komplizin fest, die dann auf Veranlassung des Bayerischen Landesamtes für Kriminalitätsbekämpfung an Deutschland ausgeliefert wurde. Darauf folgte dann noch die dritte Festnahme im August 2022, ein 36-jähriger Mann wurde schließlich in Griechenland verhaftet und soll zu der Führungsebene der Bande gehören. Auch er wurde inzwischen an Deutschland ausgeliefert und befindet sich ebenfalls in U-Haft.

Der verursachte Gesamtschaden der Gruppe liegt bei etwa 1,9 Millionen Euro. Für gewerbs- und bandenmäßigen Betrug sieht das Gesetz eine Freiheitsstrafe von einem Jahr bis zu zehn Jahren vor.

Die Ermittlungen dauern an und zogen eine Vielzahl an Wohnungsdurchsuchungen in Bayern, Hamburg, Rheinland-Pfalz und Nordrhein-Westfalen mit sich.

Anklage gegen mutmaßlichen Darknet-Drogenhändler

Ein 20-jähriger aus dem Landkreis Schwandorf wird beschuldigt, in der Zeit zwischen Januar 2020 und Februar 2022 auf verschieden Plattformen im Darknet mit Betäubungsmitteln gehandelt zu haben.

Über seine „Vendorenaccounts“ soll er große Mengen von verschieden Drogen, darunter Kokain, Heroin und Crystal Meth verkauft haben. Er nahm mit seinen illegalen Geschäften scheinbar fast 167.000 € ein und betrieb sein Geschäft mit den Drogen als eine Art Dropshipping im Darknet.

Der junge Mann war bereits vorbestraft und sitzt seit März 2022 in Untersuchungshaft. Die Anklage lautet: Vorsätzliches unerlaubtes Handeltreiben mit Betäubungsmitteln in 1.083 Fällen und unerlaubtes Handeltreiben mit Betäubungsmitteln in nicht geringer Menge in 144 Fällen.

Auf die Zulassung der Anklage durch das Amtsgericht Amberg wird derzeit noch gewartet.


Das wars für diese Woche, die Weekly News gibt es als Newsletter, auf unserem Youtube Channel oder als Podcast zu Abonnieren. Bis zum nächsten Mal, stay safe!