CSIRT-CAN – Centro de Respuesta a Incidentes de Seguridad de Canarias

Bloglisten

KI-ARTEN: WORAUF UNTERSCHEIDEN SIE SICH?

Künstliche Intelligenz (KI) ist eines der leistungsstärksten Innovationswerkzeuge unseres Jahrhunderts. Es gibt jedoch verschiedene Arten mit unterschiedlichen und sich ergänzenden Funktionen.Daher analysieren wir heute die Unterschiede zwischen generativer KI (GPT Chat) und prädiktiver KI (Google Maps).1) HauptzielGenerative KI lernt Muster aus großen Datenmengen und generiert daraus neue Ergebnisse wie Text, Bilder, Audio, Video oder Code.Prädiktive KI nutzt historische Daten, um zukünftige Ergebnisse vorherzusagen oder Kategorien zuzuordnen: beispielsweise Umsatzprognosen, Betrugserkennung, Schätzung der Kundenabwanderung oder die Entscheidung, ob eine E-Mail Spam ist.2) AusgabetypDie Ausgabe generativer KI ist in der Regel etwas „Erstelltes“: ein E-Mail-Entwurf, ein Bild, eine Zusammenfassung, eine Antwort im Chat oder ein Codefragment. Die Ausgabe von prädiktiver/traditioneller KI ist üblicherweise eine Wahrscheinlichkeit, ein Label, eine Bewertung, eine Empfehlung oder eine Entscheidung: „Hohes Risiko“, „Kunde mit einer Kündigungswahrscheinlichkeit von 82 %, genehmigt/abgelehnt“, „Produkt empfohlen“.3) Wie sie „denken“Vereinfacht ausgedrückt:• Prädiktive KI versucht die Frage zu beantworten: „Was wird passieren?“ oder „Zu welcher Kategorie gehört dies?“• Generative KI versucht die Frage zu beantworten: „Wie sähe ein neues Beispiel aus, das dem bereits gelernten Beispiel ähnelt?“4) Daten und TrainingGenerative KI wird üblicherweise mit sehr großen und vielfältigen Datensätzen trainiert, da sie die Struktur der Inhalte lernen muss, um neue, überzeugende Ergebnisse zu generieren. Prädiktive KI kann mit fokussierteren und gelabelten Daten für eine spezifische Aufgabe arbeiten, z. B. Zahlungsausfall (ja/nein), Kundenabwanderung (ja/nein), wöchentliche Nachfrage oder Diagnose nach Kategorie.5) Alltagsbeispiele Generativ• Eine E-Mail verfassen.• Ein vild erstellen.• Einen Bericht zusammenfassen.• Code generieren.• Ein Transkript oder eine Gesprächsantwort erstellen.Prädiktiv• Spamfilter.• Boniätsprüfung.• Betrugserkennung.• Absatzprognosen.• Empfehlungssysteme.• Dokumenten- und Bildklassifizierung.6) Eine einfache Eselsbrücke• Generativ: Bericht schreiben.• Prädiktiv: Wahrscheinlichkeit eines Ereignisses berechnen. 

Mehr lesen

Mirai: Eine Infrastruktur für Cyberkriminalität

Mirai ist eine Schadsoftware, die Geräte wie Kameras, WLAN-Geräte und Smart-TVs infiziert. Sie verwandelt diese Geräte in ein von Angreifern kontrolliertes Netzwerk, ein sogenanntes Botnetz. Diese Schadsoftware wurde bereits für koordinierte Massenangriffe eingesetzt. Allerdings gibt es Aktualisierungen ihrer Konfiguration.Die neuen Varianten haben DDoS-Angriffe verbessert. Sie sind nun größer, verteilter und schwerer zu blockieren. Die wichtigste Neuerung liegt in der Verwendung neuer, bösartiger Proxys.• Der Angreifer leitet den Datenverkehr über diese Proxys um.• Von außen erscheinen sie als „normale Benutzer“. Dies ermöglicht ihnen:• Die Identität des Angreifers zu verbergen.• Sperren und Sicherheitssysteme zu umgehen.• Legitimen Datenverkehr zu simulieren. Es ist ähnlich wie die Nutzung eines VPNs … nur illegal und mit gehackten Geräten.Diese Neuerungen können primär dazu genutzt werden, die Anonymität der Angreifer zu wahren und Angriffe in größerem Umfang durchzuführen.Anders als noch vor wenigen Monaten, als diese Malware lediglich eine Website lahmlegen konnte, kann sie nun anonym agieren und Betrug begehen.Sie entwickelt sich zu multifunktionalen Plattformen, nicht nur zu Angriffswerkzeugen. Und das ist äußerst besorgniserregend:• Es gibt Millionen von anfälligen IoT-Geräten.• Angriffe sind nun:o schwerer zu erkenneno lukrativer für Angreifero hartnäckigerDarüber hinaus dient die Mirai-Malware bereits als eine Art „Basisvorlage“, die ständig wiederverwendet wird. Mirai hat sich von einem DDoS-Tool zu einer kompletten Cyberkriminalitätsinfrastruktur entwickelt.

Mehr lesen

FBI zerschlägt pro-iranische Hacktivistengruppen

Das FBI (Federal Bureau of Investigation) hat diese Woche zwei Websites beschlagnahmt, die mit der pro-iranischen Hackergruppe „Handala Hack Team“ in Verbindung stehen. Die Aktion erfolgte in Zusammenarbeit mit dem US-Justizministerium im Rahmen einer koordinierten Operation zur Bekämpfung von Cyberaktivitäten, die als bösartig eingestuft und mit einem ausländischen Akteur in Verbindung gebracht werden.Die beiden vom FBI beschlagnahmten Domains:1. Eine diente als zentrale Website, auf der die Handala-Gruppe Informationen über ihre Hacking-Operationen veröffentlichte.2. Die andere wurde genutzt, um persönliche Daten („Doxing“) von Personen zu veröffentlichen, die angeblich Verbindungen zu israelischen Rüstungs- oder Technologieunternehmen (wie Elbit Systems oder der NSO Group) haben.Auf beiden Websites ist nun ein offizieller Hinweis zu finden, der besagt, dass die Infrastruktur von US-Bundesbehörden beschlagnahmt wurde, da sie nachweislich dazu genutzt wurde, „bösartige Cyberaktivitäten im Auftrag oder in Abstimmung mit einem ausländischen staatlichen Akteur zu ermöglichen“.Das Handala Hack Team ist eine Hacktivistengruppe, die sich als pro-palästinensisch darstellt und mindestens seit Ende 2023 aktiv ist. Obwohl sich die Gruppe selbst als „aktivistisch“ bezeichnet, wird angenommen, dass sie zumindest stillschweigend von iranischen Staatsakteuren unterstützt wird oder als inoffizielles Sprachrohr iranisch geführter Operationen agiert. Die Gruppe hat sich zu politisch motivierten Angriffen bekannt, darunter das Löschen von Netzwerkdaten, Informationslecks und die Veröffentlichung von Ziellisten.Der Polizeieinsatz erfolgte kurz nachdem Handala die Verantwortung für einen bedeutenden Cyberangriff auf die Stryker Corporation, ein großes Medizintechnikunternehmen mit Zehntausenden von Mitarbeitern, übernommen hatte.Laut der Gruppe:• Sie erlangten Zugriff auf ein internes Windows-Administratorkonto.• Sie kontrollierten das Microsoft Intune-Verwaltungssystem.• Von dort aus löschten sie Daten von Zehntausenden von Firmen- und Privatgeräten.Dieser Vorfall verdeutlicht, wie sehr Cyberoperationen zu einem integralen Bestandteil der aktuellen geopolitischen Spannungen geworden sind. Nicht nur Staaten führen Angriffe durch, sondern auch regierungsnahe oder staatlich finanzierte Gruppen können sich an digitalen Kampagnen mit politischen oder strategischen Zielen beteiligen.Nach dem Stryker-Angriff haben Behörden wie die CISA (die US-amerikanische Cybersicherheits- und Infrastruktursicherheitsbehörde) und Microsoft Empfehlungen zur Stärkung von Geräteverwaltungssystemen herausgegeben. Dazu gehören strengere Zugriffskontrollen, Multi-Faktor-Authentifizierung und das Prinzip der minimalen Berechtigungen. 

Mehr lesen

Microsoft Teams im Visier von Social-Engineering-Angriffen

Eine Social-Engineering-Kampagne, die Microsoft Teams und Windows Quick Assist missbraucht, ist in vollem Gange. BlueVoyant warnt vor dem Einsatz einer neu identifizierten Malware-Familie namens A0Backdoor. Angreifer haben Mitarbeiter dazu gebracht, ihnen Fernzugriff zu gewähren.Diese Aktivitäten ähneln Taktiken, die zuvor mit Blitz Brigantine (auch bekannt als Storm-1811) in Verbindung gebracht wurden. Dabei handelt es sich um einen Finanzcluster, den Microsoft mit den Black-Basta-Ransomware-Angriffen verknüpft hat.Laut BlueVoyant beginnen die Angriffe typischerweise mit einer E-Mail-Flut.Das Opfer erhält eine große Anzahl von Spam-Nachrichten und wird anschließend von jemandem kontaktiert, der sich über Microsoft Teams als interner technischer Support ausgibt. Der Angreifer bietet Hilfe bei der Behebung des E-Mail-Problems an und überzeugt den Mitarbeiter, Quick Assist zu starten – ein legitimes Microsoft-Tool für die Fernwartung, das Bildschirmfreigabe und Gerätesteuerung ermöglicht.BlueVoyant entdeckte, dass Installationsprogramme Dateien in Benutzerverzeichnissen (AppData) ablegten, die den Speicherorten legitimer Microsoft-Software nachempfunden waren. Anschließend wurde die Installation von DLL-Dateien genutzt, um Schadcode auszuführen.Die Kampagne ist bedeutsam, da sie zeigt, dass die seit 2014 bewährten Strategien der IT-Sicherheitsexperten weiterhin funktionieren – allerdings mit aktualisierten Tools und einer verdeckteren Steuerung.Für IT-Sicherheitsexperten ist die Lehre klar: Microsoft Teams sollte als erster Zugangskanal und nicht nur als Kollaborationsanwendung betrachtet werden. Organisationen sollten die Schnellunterstützung einschränken oder entfernen, wo sie nicht benötigt wird, unerwünschte externe Teams-Chats überwachen und signierte MSI-Installationsdateien oder Microsoft-Binärdateien untersuchen, die in ungewöhnlichen Verzeichnissen mit Schreibrechten für den Benutzer auftauchen. 

Mehr lesen

Tycoon 2FA zerschlagen: Wie die globale Operation ablief

Eine internationale Operation, koordiniert von Strafverfolgungsbehörden und Technologieunternehmen, hat Tycoon 2FA, eine der am weitesten verbreiteten Phishing-as-a-Service-Plattformen (PhaaS) zum Kompromittieren von Konten mit Multi-Faktor-Authentifizierung (MFA), zerschlagen. Diese Aktion markiert einen Meilenstein im Kampf gegen Cyberkriminalität und demonstriert die Bedeutung öffentlicher und privater Zusammenarbeit auf globaler Ebene.Was war Tycoon 2FA und warum stellte es eine Bedrohung dar?Tycoon 2FA war ein krimineller Dienst, der sofort einsatzbereite Tools anbot, mit denen Cyberkriminelle auch ohne tiefgreifende technische Kenntnisse ausgeklügelte Phishing-Kampagnen starten konnten.Hauptziel war das Abfangen von Anmeldeinformationen und Authentifizierungstoken in Echtzeit, um Angreifern Zugriff auf legitime Konten zu ermöglichen, selbst wenn diese durch MFA geschützt waren. Das System nutzte „Adversary-in-the-Middle“-Techniken (AiTM): Gefälschte Anmeldeseiten fungierten als Vermittler zwischen dem Opfer und dem legitimen Dienst.So konnte der Angreifer, nachdem der Nutzer seine Zugangsdaten eingegeben und den Authentifizierungsprozess abgeschlossen hatte, sowohl das Passwort als auch das für die Anmeldung benötigte Session-Token unbemerkt abfangen.Seit seinem Aufkommen im Jahr 2023 hat sich Tycoon 2FA zu einem der Haupttreiber von Online-Phishing-Betrug entwickelt.Laut Microsoft-Daten wurde es mit zig Millionen Phishing-E-Mails pro Monat in Verbindung gebracht und betraf mehr als 500.000 Organisationen weltweit.Ein kriminelles Ökosystem basierend auf „Diensten“Die Popularität von Tycoon 2FA beruhte auf seinem Geschäftsmodell. Es fungierte als abonnementbasierte Plattform, die Kriminellen Folgendes bot:• Web-Dashboards zur Verwaltung von Phishing-Kampagnen• Realistische Anmeldeseitenvorlagen• Automatische Erfassung von Zugangsdaten und Session-Cookies• Infrastruktur für groß angelegte AngriffeDieses Modell senkte dieEinstiegshürde für Cyberkriminelle erheblich und ermöglichte es unerfahrenen Angreifern, ausgeklügelte Angriffe auf Dienste wie Microsoft 365 oder Google Workspace durchzuführen.Infolgedessen konnten Tausende Angreifer Unternehmenskonten kompromittieren und so weitere Angriffe wie Business Email Compromise (BEC), Datendiebstahl oder Finanzbetrug ermöglichen.Die internationale Operation zur Zerschlagung des SystemsDie Abschaltung von Tycoon 2FA war das Ergebnis monatelanger gemeinsamer Ermittlungen von Behörden und Unternehmen. Die Ermittlungen begannen, als Sicherheitsforscher die Infrastruktur des Dienstes identifizierten und die Informationen mit internationalen Strafverfolgungsbehörden teilten. Die Operation wurde von Microsoft geleitet und in Zusammenarbeit mit Europol sowie Strafverfolgungsbehörden aus mehreren Ländern – darunter Spanien, Großbritannien, Portugal, Polen, Lettland und Litauen – und verschiedenenCybersicherheitsunternehmen durchgeführt.Zu den wichtigsten Maßnahmen derOperation gehörten:• Beschlagnahmung von mehr als 330 Domains, die die Plattform für ihre Kontrollpanels und Phishing-Seiten nutzte.• Deaktivierung der technischen Infrastruktur, die den Betrieb des Dienstes ermöglichte.• Koordination mit Technologieanbietern zur Blockierung der von den Angreifern genutzten Server und Dienste.• Austausch von Informationen mit Computer Security Incident Response Teams (CSIRTs) weltweit.Ziel war es, die Wertschöpfungskette der Cyberkriminalität zu unterbrechen, indem der Zugang zur Infrastruktur abgeschnitten und es Betreibern und ihren Kunden erschwert wurde, Phishing-Kampagnen fortzusetzen.Die globalen Auswirkungen von Tycoon 2FADie Reichweite dieser Plattform verdeutlicht das Ausmaß, das kriminelle Dienste im Internet erreicht haben.Schätzungen zufolge wurde Tycoon 2FA seit 2023 mit fast 100.000 identifizierten Opfern und einer Vielzahl von Phishing-Kampagnen in Verbindung gebracht, die gezielt Unternehmen, Gesundheitseinrichtungen und Bildungseinrichtungen ins Visier nahmen.Darüber hinaus haben nachfolgende Untersuchungen Hunderttausende von Datensätzen mit Zugangsdaten und Anmeldeinformationen identifiziert, die über die Plattform erlangt wurden.Dies verdeutlicht das Ausmaß ihrer Auswirkungen auf Unternehmen und öffentliche Einrichtungen.Ein Hinweis für die digitale Sicherheit: Die Zerschlagung von Tycoon 2FA unterstreicht sowohl die Raffinesse der heutigen Cyberkriminalität als auch die Notwendigkeit internationaler Zusammenarbeit zu ihrer Bekämpfung.Dies unterstreicht auch, dass die traditionelle Multi-Faktor-Authentifizierung anfällig für fortgeschrittene Phishing-Angriffe sein kann, insbesondere wenn keine phishingresistenten Methoden wie Sicherheitsschlüssel oder hardwarebasierte Authentifizierung eingesetzt werden.Obwohl solche Operationen kriminelle Infrastrukturen stören können, warnen Experten davor, dass sich das kriminelle Ökosystem schnell anpasst.Daher bleibt die Kombination aus gemeinsamem Informationsaustausch, rechtlichen Schritten und kontinuierlichen Verbesserungen der digitalen Verteidigung unerlässlich. 

Mehr lesen

Was ist CSIRT-CAN?

Das CSIRT-CAN (Zentrum für die Reaktion auf Sicherheitsvorfälle der Kanarischen Inseln) ist eine Einrichtung, die sich dem Schutz und der Widerstandsfähigkeit digitaler Infrastrukturen auf den Kanarischen Inseln widmet. Unser Zentrum spezialisiert sich auf die Erkennung, Analyse und Abschwächung von Cyber-Sicherheitsvorfällen und bietet technischen sowie strategischen Support für öffentliche und private Organisationen.

Einen Vorfall melden
Bild-CAPTCHA
Neues Captcha erzeugen
Geben Sie die Zeichen ein, die im Bild gezeigt werden.

Was tun wir für Sie?

CSIRT-CAN bietet verschiedene Dienstleistungen zur Prävention und schnellen Lösung von Vorfällen im Zusammenhang mit der Cybersicherheit.

Tarjeta de Links

Information ist PRÄVENTION

Meldung von VORFÄLLEN

proaktivität und SCHULUNG

Aktuell

Trends

Slider Principal

Vorsicht bei Google-Suchen!

Mehr lesen

Sicherheitslücke, die…

Mehr lesen

Dienstleistungen nach Profilen

Públicos Objetivo