Der Security-RückKlick 2022 KW 38
Distroless Images bieten Schutz vor Missbrauch nativer Linux-Tools und optimieren den Ressourcenverbrauch. Wir zeigen zusätzlich eine Alternative dazu. Ransomware Black Basta unter der Lupe und Emotet-Botnet wieder im Einsatz – eine Auswahl.
Ransomware Play Abkömmling von Hive
Die neue Ransomware Play übernimmt unserer Analyse zufolge viele Taktiken von Hive und Nokoyawa. Die vielen Ähnlichkeiten deuten darauf hin, dass alle drei von denselben Kriminellen betrieben werden.
Native Linux-Tools bei Kriminellen
Wir führen vor, wie native Linux-Tools in Angriffen missbraucht wurden. Auch zeigen wir, wie sich die Auswirkungen dieser Attacken durch die Verwendung von Distroless-Images in Containern und präventiver Kontrollen mindern lassen.
Sicherer mit Distroless Containern
Das Konzept der Distroless Container-Images hat ein hohes Potenzial zur Ressourcenoptimierung und zur Lösung von Sicherheitsfragen. Gleichzeitig schlagen wir auch eine optimierte Alternative mit einen mehrstufigen Build sowie einem Scratch-Image vor.
Ein Schlaglicht auf Black Basta
Unter der Lupe: Die Black Basta-Gruppe setzt bei den Ransomware-Angriffen auf Ransomware-as-a-Service (RaaS), nutzt doppelte Erpressung und setzt auf Tools wie Qakbot-Trojaner oder PrintNightmare Exploit. Jetzt gibt es auch ein neues Linux-Build.
Ein 18-Jähriger hat sich angeblich über Social Engineering Zugangsdaten eines Uber-Mitarbeiters erschlichen und jetzt Zugriff auf alle internen Systeme des US-Unternehmens, etwa zu E-Mails, zum Cloudspeicher und zu den Quellcode-Repositories.
Emotet-Botnet wieder im Einsatz
Die Quantum- und BlackCat Ransomware-Bande nutzen jetzt das Emotet-Botnet, um ihre Payloads abzulegen. Interessant, weil die Conti-Gruppe das Botnet einsetzte, aber im Juni ausgeschaltet wurde.
Alert! Admins sollten die IT-Managementlösung Endpoint Configuration Manager von Microsoft aktualisieren. Angreifer eine bereits öffentlich bekannte Sicherheitslücke ausnutzen, die den Zugriff auf sensible Informationen möglich macht.