RSA Labs

Ein neuer Tag. Eine neue Ransomware.

TeslaCrypt ist ein Ransomware-Trojaner, der Computer mit Benutzerdaten und bestimmten Computerspielen befällt. Ist das System erst einmal infiziert, sucht die Schadsoftware nach bestimmten Dateitypen, die mit persönlichen Dokumenten und verschiedenen Spielen verknüpft sind, darunter Call of Duty, World of Warcraft, Minecraft und World of Tanks, und verschlüsselt diese.  Das Opfer wird dann erpresst, einen bestimmten…

Die Blogserie zu gezielter Forensik: Untersuchung von RAR-Befehlszeilenmodus und 7-ZIP-Prefetch-Dateien (Teil 2)

Als Advisory Consultant für RSA Advanced Cyber Defense Practice ist es eine meiner Hauptaufgaben, unseren Kunden zu zeigen, wie sie sich auf die Ermittlungen zu Incidents konzentrieren können und nicht nur auf deren Behebung. Diese ganzheitliche Lösung besteht aus mehreren Komponenten und eine von ihnen empfehle ich immer wieder: die Durchführung von Live Response/gezielter Forensik.…

Aus den Archiven: Automatisierter Betrug – die Voxis-Plattform

In den letzten Monaten verzeichnete RSA FirstWatch in den Onlinecommunitys und Schwarzmärkten der Cyberkriminellen eine steigende Nachfrage nach Tools zur Automatisierung von Betrugsvorgängen. Die Betrugsplattform Voxis wird von Kriminellen genutzt, um gestohlene Kreditkartendaten zu Geld zu machen und durch die Automatisierung von gefälschten Transaktionen über verschiedene Zahlungsgateways ihre illegalen Umsätze zu steigern. Das FirstWatch-Team hat in…

Die Blogserie zu gezielter Forensik: Untersuchung von RAR-Befehlszeilenmodus und 7-ZIP-Prefetch-Dateien (Teil 1)

Als Advisory Consultant für RSA Advanced Cyber Defense Practice ist es eine meiner Hauptaufgaben, unseren Kunden zu zeigen, wie sie sich auf die Ermittlungen zu Incidents konzentrieren können und nicht nur auf deren Behebung. Dieser ganzheitliche Ansatz besteht aus mehreren Komponenten und eine von ihnen empfehle ich immer wieder: die Durchführung von Live Response/gezielter Forensik.…

Terracotta VPN: Advanced Threat-Anonymität

Heute veröffentlichte RSA Research einen ausführlichen Bericht über ein kommerzielles VPN aus China, das wir „Terracotta“ nennen.  Es wird als Einführungsplattform für APT-Akteure, darunter auch die inzwischen gut bekannte Gruppe Shell_Crew/Deep Panda (die von RSA im Januar 2014 in einem Bericht aufgedeckt wurde: http://germany.emc.com/collateral/white-papers/h12756-wp-shell-crew.pdf). Das Terracotta-Netzwerk, das weltweit über 1.500 VPN-Nodes umfasst, entstand im Wesentlichen durch das…

CARIS-Workshop – Zusammenfassung und Reflexion

Das Internet Architecture Board (IAB) und die Internet Society (ISOC) veranstalteten im Juni im Rahmen der FIRST-Konferenz (Forum for Incident Response and Security Teams) in Berlin einen eintägigen CARIS-Workshop (Coordinating Attack Response at Internet Scale). Zu den Workshopteilnehmern zählten Mitglieder der FIRST-Community, Vertreter von Arbeitsgruppen für Angriffsreaktionen (APWG, ACDC usw.), Betreiber von Netzwerk- und Sicherheitssystemen,…