Ein Konglomerat von kriminellen Cybergangs hat eine Leaksite im Darknet veröffentlicht. Dort erpresst es 39 namhafte Unternehmen und droht, aus Salesforce-Systemen kopierte Daten zu veröffentlichen, sollten die Unternehmen kein Lösegeld aushandeln. Zudem droht die Erpressergruppe damit, mit Anwaltskanzleien zusammenzuarbeiten, die zivil- und wirtschaftsrechtliche Ansprüche gegen die Opfer geltend machen sollen.

Auf der Liste der Unternehmen finden sich unter anderem Adidas, ASICS, Cartier, Chanel, Cisco, Disney/Hulu, FedEx, Fujifilm, Google Adsense, HBO Max, Home Depot, IKEA, KFC, Marriott, McDonalds, Puma, Toyota, Stellantis und UPS, aber auch einige Fluglinien sind darunter. Die kriminellen Gruppen arbeiten offenbar unter der Federführung von ShinyHunters zusammen, die Leaksite nennt noch die Cybergang-Namen „Scattered Laspsu$ Hunters“, was neben ShinyHunters auf die Cyberbanden Scattered Spider und Lapsus$ hinweist. Google führt sie unter dem Kürzel UNC6040.

Die einzelnen Einträge zu den Opfern listen auf, welche sensiblen Daten entwendet wurden. Außerdem findet sich dort jeweils ein Beispieldatensatz. Als Frist für die Aufnahme von Verhandlungen haben die Kriminellen Freitag, den 10. Oktober, gesetzt. Ein übergeordneter Eintrag – der vierzigste – wendet sich direkt an Salesforce. Die insgesamt rund eine Milliarde Einträge würden die Täter nicht veröffentlichen, sollte das Unternehmen die Cybergangs kontaktieren und Verhandlungen aufnehmen. Dann müssten auch die einzelnen erpressten Unternehmen nicht mehr zahlen.

Voice-Phishing als Einfallstor

Bereits im Juni hat Google von der kriminellen Gruppe UNC6040 berichtet, die die Google Threat Intelligence Group (GTIG) beobachtet hat. Die kriminelle Vereinigung greift Unternehmen mit Voice-Phishing-Anrufen an und versucht dabei Zugang zu deren Salesforce-Umgebungen zu erlangen. Im Anschluss stiehlt sie dort Daten und erpresst die Unternehmen damit.

Die Angreifer geben sich bei den betrügerischen Telefonanrufen als IT-Support aus und versuchen, Mitarbeiter mittels Social Engineering zu überzeugen, ihnen Zugriff zu gewähren oder sensible Zugangsdaten zu überlassen. In den beobachteten Fällen haben die Angreifer stets die Endnutzer manipuliert, es kam zu keinem Missbrauch von eventuellen Sicherheitslücken in Salesforce. Im Visier stehen demnach meist Mitarbeiter englischsprachiger Zweige von multinationalen Unternehmen.

Googles IT-Sicherheitstochterunternehmen Mandiant hat nun auch einige Handreichungen veröffentlicht, wie Unternehmen sich besser gegen die UNC6040-Angriffe wappnen können. Dazu gehört etwa die Verifikation der Identitäten von Anrufern. Dabei sollten Mitarbeiter keine Annahmen treffen und bei allen sicherheitsrelevanten Anfragen eine Identitätsprüfung vornehmen. Die Verifikation sollte sich zudem nicht auf einen einzelnen Faktor stützen oder unsichere Merkmale nutzen – Google nennt das Geburtsdatum, die letzten vier Ziffern der Sozialversicherungsnummer, frühere Namen oder Namen von Vorgesetzten. Besser sei es, auf Videoanrufe zu setzen und dabei etwa das Vorzeigen von Unternehmensausweisen zu verlangen. Auch Rückrufe unter bekannten Nummern sei eine Möglichkeit. IT-Verantwortliche sollten diese und die weiteren Hinweise in Ruhe studieren.

(dmk)

Eigentlich unscheinbare Grafiken im Format SVG (Scalable Vector Graphics) dienen bösartigen Akteuren als Einfallstor für Schadsoftware. Die kommen etwa als E-Mail-Anhang an Phishing-Mails auf den Rechner. Microsoft schließt die potenzielle Lücke, indem das Unternehmen Outlook und Outlook for Web nun einfach keine SVG-Grafiken mehr anzeigen lässt.

Das hat Microsoft im MS365-Admin-Center bekannt gegeben. Der weltweite Roll-out dieser Änderung soll bereits Anfang September gestartet und Mitte des Monats beendet worden sein. Für „GCC, GCC-H, DoD, Gallatin“ soll die Verteilung Mitte Oktober abschließen. „Inline-SVG-Bilder werden von Outlook for Web und dem neuen Outlook für Windows nicht länger angezeigt. Stattdessen bekommen Nutzerinnen und Nutzer einen leeren Platz zu Gesicht, wo diese Bilder angezeigt werden sollten“, erklärt Microsoft.

Das betreffe lediglich weniger als 0,1 Prozent aller Bilder, die in Outlook genutzt würden, daher sollen die Auswirkungen minimal sein. Als klassisch als Anhänge gesendete SVG-Bilder werden hingegen weiter unterstützt und lassen sich als Anhang anzeigen. Diese Änderung soll mögliche Sicherheitsrisiken wie Cross-Site-Scripting-Angriffe abwehren. Admins müssen nichts machen, Microsoft empfiehlt jedoch, die interne Dokumentation um diese Information zu ergänzen sowie Nutzer zu informieren, die auf Inline-SVG-Grafiken in E-Mails setzen.

Warnung vor SVG-Dateien

Mitte des Jahres hatte das österreichische CERT eine Warnung vor bösartigen SVG-Dateien herausgegeben. SVG-Dateien bestehen aus Beschreibungen im XML-Format, können jedoch auch JavaScript-Code enthalten, den die anzeigende Komponente ausführt. Das können Phisher etwa missbrauchen, um Empfänger auf gefälschte Anmeldeseiten zu leiten, direkt falsche Anmeldungen anzuzeigen oder gar Schadsoftware zu installieren.

Das zu Google gehörende Virustotal hat zudem kürzlich eine kolumbianische Malware-Kampagne basierend auf bösartigen SVGs entdeckt. Von Anfang August bis Anfang September seien bei dem Malware-Prüfdienst mehr als 140.000 einzigartige SVG-Dateien eingegangen, von denen 1442 von mindestens einer Antivirensoftware als bösartig erkannt wurden, mithin grob ein Prozent der geprüften Dateien. Allerdings waren unter den 140.000 Bildern auch bösartige SVG-Dateien, die von keinem Malware-Scanner identifiziert wurden. Mit einer KI-Erweiterung „Code Insight“ hat Virustotal 44 weitere bösartige SVGs aus dem Fundus gefischt. Diese nutzten Techniken zur Code-Verschleierung, Polymorphismus, sodass jede Datei leichte Änderungen aufwies, sowie große Mengen an nutzlosem Dummy-Code, um statische Erkennung zu erschweren. Bei genauerer Untersuchung entpuppten sich mehrere Dateien als Teil einer Kampagne, deren Mails vorgeben, von der kolumbianischen Generalstaatsanwältin zu stammen. Eine einfache Suche nach Textstellen aus den bösartigen SVGs lieferte 523 weitere Treffer in den vergangenen 365 Tagen.

SVGs stellen somit eine reale Gefahr in der Praxis dar. Microsoft versucht, mit der Nicht-Anzeige von Inline-SVG-Grafiken die Angriffsfläche zu reduzieren. IT-Verantwortliche sollten gegebenenfalls einen Schritt weitergehen und die Handlungsempfehlungen zum Umgang mit SVG des österreichischen CERT umsetzen.

(dmk)

Zwei Jahre nach der Erweiterung des Bug-Bounty-Programms um KI-Produkte führt nun Google ein eigenes Belohnungsprogramm ein, das speziell darauf ausgerichtet ist, Fehler in KI-Produkten zu finden. Besonders gefährliche Exploits können den Findern bis zu 30.000 Dollar einbringen.

Wie Google in seiner Ankündigung zum neuen KI-Bug-Bounty-Programm schreibt, war die Integration von KI-Themen in das „Abuse Vulnerability Reward Program“ (VRP) „ein großer Erfolg für die Zusammenarbeit von Google mit KI-Forschern“. Die am „VRP“ beteiligten Forscher hätten „einige großartige Entdeckungen gemacht“. Externe Forscher hätten für ihre Entdeckungen seit Beginn des KI-Programms über 430.000 US-Dollar an Prämien eingesammelt.

Mit dem am Montag eingeführten KI-Bug-Bounty-Programm hat Google die Anforderungen klarer formuliert: So genüge es nicht, die KI einfach halluzinieren oder Gemini dumm aussehen zu lassen. Die Liste der seitens Google qualifizierten Fehler umfasst etwa Prompt-Injektionen, die für die Angegriffenen unsichtbar sind und den Status des Kontos des Opfers oder eines der verbundenen Produkte verändern.

Zu weiteren unzulässigen Aktionen gehören etwa die Änderung des Kontos oder der Daten einer Person, um deren Sicherheit zu beeinträchtigen oder etwas Unerwünschtes zu tun; beispielsweise, wenn ein Angreifer mithilfe eines manipulierten Google-Kalender-Eintrags intelligente Rollläden öffnet und das Licht ein- oder ausschaltet.

Viel Geld für entdeckte Bugs in Gemini und der Suche

Google bietet Forschern, denen es gelingt, folgenschwere Sicherheitslücken aufzudecken, bis zu 20.000 US-Dollar für gut gemachte Fehlerberichte. Dazu müssen diese die Flaggschiff-KI-Produkte des Unternehmens betreffen, also die Suche, die Gemini-App oder wichtige Workspace-Apps wie Gmail und Drive.

Außerdem hat Google „Bonus-Multiplikatoren“ des bisherigen Bug-Bounty-Programms für die Qualität und Neuheit von Meldungen übernommen. Damit könne die Belohnung für eine einzelne Meldung bis zu 30.000 US-Dollar betragen. Die Belohnung für Fehler, die IT-Sicherheitsforscher in anderen Google-KI-Produkten wie Jules oder AI Studio finden oder für weniger schwerwiegende Bugs wie die unbefugte Produktnutzung, fällt hingegen niedriger aus.

CodeMender

Neben dem KI-Bug-Bounty-Programm hat Googles Deepmind einen KI-Agenten namens CodeMender angekündigt, der anfälligen Code patchen soll. Laut Konzern hat der KI-Agent in den vergangenen sechs Monaten bereits 72 Sicherheitskorrekturen in Open-Source-Projekte eingebracht, darunter einige mit bis zu 4,5 Millionen Zeilen Code. Ferner habe Deepmind CodeMender so konzipiert, dass es vorhandenen Code proaktiv umschreibt, um sicherere Datenstrukturen und APIs zu verwenden, heißt es in der Ankündigung.

(afl)