[freifunk-public] FWD: [CB-Report#20240823-10000723] Schadprogramm-Infektionen in AS201701 [Ticket#431820]

Fr Aug 23 11:59:40 CEST 2024

Hallo Freifunk-Kollegen,

wir erhielten diese Warnmeldung vom CERT. Auf Grund der IP-Adresse scheint sie zu Euch zu gehören.

Für Rückfragen stehe ich gerne zur Verfügung

Viele Grüße
Dieter
---
Dr. Dieter Winkler
Mitglied Vorstand

Freifunk Rheinland e. V.
Hirzenrott 2-4
52076 Aachen

[1] https://freifunk-rheinland.net
kontakt at freifunk-rheinland.net

---Anfang der weitergeleiteten Nachricht:---

> Betreff: [CB-Report#20240823-10000723] Schadprogramm-Infektionen in AS201701
> Datum: 23.08.2024 05:26
> Von: "CERT-Bund Reports"
> An: abuse at freifunk-rheinland.net
>
> [English version below]
>
> Sehr geehrte Damen und Herren,
>
> CERT-Bund hat aus vertrauenswürdigen externen Quellen Informationen
> zu IP-Adressen in Deutschland erhalten, unter denen sich mit hoher
> Wahrscheinlichkeit Systeme befinden, welche mit einem Schadprogramm
> infiziert sind.
>
> Nachfolgend senden wir Ihnen eine Liste betroffener Systeme
> in Ihrem Netzbereich. Neben der IP-Adresse des betroffenen Systems,
> Zeitstempel (UTC) und Bezeichnung der Schadprogramm-Familie sind jeweils
> (soweit uns diese Daten vorliegen) Quell-Port, Ziel-IP-Adresse, Ziel-Port,
> Ziel-Hostname und Protokoll zu der Verbindung angegeben, die vermutlich
> von einem Schadprogramm ausgelöst wurde, um Kontakt zu einem
> Kontrollserver aufzunehmen.
>
> Die meisten der hier gemeldeten Schadprogramme verfügen über Funktionen
> zum Identitätsdiebstahl (Ausspähen von Benutzernamen und Passwörtern)
> und/oder zur Manipulation der Kommunikation beim Online-Banking.
>
> Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende
> Maßnahmen zur Bereinigung der Systeme einzuleiten bzw. Ihre Kunden
> zu informieren.
>
> Weitere Informationen zu dieser Benachrichtigung finden Sie unter:
>
>
> Diese E-Mail ist mittels PGP digital signiert.
> Informationen zu dem verwendeten Schlüssel finden Sie unter:
>
>
> Bitte beachten Sie:
> Dies ist eine automatisch generierte Nachricht. Antworten an die
> Absenderadresse werden NICHT gelesen
> und automatisch verworfen. Bei Rückfragen wenden Sie sich bitte
> unter Beibehaltung der Ticketnummer [CB-Report#...] in der
> Betreffzeile an .
>
> !! Bitte lesen Sie zunächst unsere HOWTOs und FAQ, welche unter
> !! verfügbar sind.
>
> ======================================================================
>
> Dear Sir or Madam,
>
> from trusted external sources, CERT-Bund received information on
> IP addresses geolocated in Germany which are most likely hosting
> a system infected with malware.
>
> Please find below a list of affected systems on your
> network. Each record includes the IP address of the affected system,
> a timestamp (UTC) and the name of the related malware family.
> If available, the record also includes the source port, destination IP,
> destination port and destination hostname for the connection most
> likely triggered by the malware to connect to a command-and-control
> server.
>
> Most of the malware families reported here include functions for
> identity theft (harvesting of usernames and passwords) and/or
> online-banking fraud.
>
> We would like to ask you to check the issues reported and to take
> appropriate steps to get the infected hosts cleaned up or notify
> your customers accordingly.
>
> Additional information on this notification is available at:
>
>
> This message is digitally signed using PGP.
> Information on the signature key is available at:
>
>
> Please note:
> This is an automatically generated message. Replies to the
> sender address will NOT be read
> but silently be discarded. In case of questions, please contact
> and keep the ticket number [CB-Report#...]
> of this message in the subject line.
>
> !! Please make sure to consult our HOWTOs and FAQ available at
> !! first.
>
> ============================================================================
> Bitte teilen Sie uns unter mit, wenn Sie die Daten zu
> betroffenen Systemen zukünftig als Dateianhang statt inline erhalten möchten.
>
> Please let us know at if you would like to receive
> the data on affected systems as a file attachment instead of inline.
> ============================================================================
>
> Betroffene Systeme in Ihrem Netzbereich:
> Affected hosts on your networks:
>
> "asn","ip","timestamp","malware","src_port","dst_ip","dst_port","dst_host","proto"
> "201701","185.66.193.27","2024-08-22 07:26:28","zeus","1083","44.221.84.105","80","[14] setup.ghwr87ytiuwhgf4ihsjdnbbdvsh.com","tcp"
>
> Mit freundlichen Grüßen / Kind regards
> Team CERT-Bund
>
> Bundesamt für Sicherheit in der Informationstechnik
> Federal Office for Information Security (BSI)
> CERT-Bund
> Godesberger Allee 87, 53175 Bonn, Germany

[1] https://freifunk-rheinland.net
[2] https://reports.cert-bund.de/schadprogramme
[3] https://reports.cert-bund.de/digitale-signatur
[4] mailto:reports at reports.cert-bund.de
[5] mailto:certbund at bsi.bund.de
[6] https://reports.cert-bund.de/
[7] https://reports.cert-bund.de/en/malware
[8] https://reports.cert-bund.de/en/digital-signature
[9] mailto:reports at reports.cert-bund.de
[10] mailto:certbund at bsi.bund.de
[11] https://reports.cert-bund.de/en/
[12] mailto:certbund at bsi.bund.de
[13] mailto:certbund at bsi.bund.de
[14] http://setup.ghwr87ytiuwhgf4ihsjdnbbdvsh.com
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://lists.hacksaar.de/pipermail/freifunk-public/attachments/20240823/a88802e4/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : file
Dateityp    : application/pgp-signature
Dateigröße  : 908 bytes
Beschreibung: nicht verfügbar
URL         : <https://lists.hacksaar.de/pipermail/freifunk-public/attachments/20240823/a88802e4/attachment.sig>