ICS feed

SANS Internet Storm Center - Cooperative Cyber Security Monitor
SANS Internet Storm Center, InfoCON: green

  1. ISC Stormcast For Thursday, March 19th, 2026 https://isc.sans.edu/podcastdetail/9856, (Thu, Mar 19th)

  2. Interesting Message Stored in Cowrie Logs, (Wed, Mar 18th)

    This activity was found and reported by BACS student Adam Thorman as part of one of his assignments which I posted his final paper [1] last week. This activity appeared to only have occurred on the 19 Feb 2026 where at least 2 sensors detected on the same day by DShield sensor in the cowrie logs an echo command that included: "MAGIC_PAYLOAD_KILLER_HERE_OR_LEAVE_EMPTY_iranbot_was_here". My DShield sensor captured activity from source IP 64.89.161.198 between 30 Jan - 22 Feb 2026 that included portscans, a successful login via Telnet (TCP/23) and web access that included all the activity listed below captured by the DShield sensor (cowrie, webhoneypot & iptables logs).

  3. Scans for "adminer", (Wed, Mar 18th)

    A very popular target of attackers scanning our honeypots is "phpmyadmin". phpMyAdmin is a script first released in the late 90s, before many security concepts had&#;x26;#;xc2;&#;x26;#;xa0;been discovered. It&#;x26;#;39;s rich history of vulnerabilities made it a favorite target. Its alternative, "adminer", began appearing about a decade later (https://www.adminer.org). One of its main "selling" points was simplicity. Adminer is just a single PHP file. It requires no configuration. Copy it to your server, and you are ready to go. "adminer" has a much better security record&#;x26;#;xc2;&#;x26;#;xa0;and claims to prioritize security in its development.

  4. ISC Stormcast For Wednesday, March 18th, 2026 https://isc.sans.edu/podcastdetail/9854, (Wed, Mar 18th)

  5. IPv4 Mapped IPv6 Addresses, (Tue, Mar 17th)

    Yesterday, in my diary about the scans for "/proxy/" URLs, I noted how attackers are using IPv4-mapped IPv6 addresses to possibly obfuscate their attack. These addresses are defined in RFC 4038. These addresses are one of the many transition mechanisms used to retain some backward compatibility as IPv6 is deployed. Many modern applications use IPv6-only networking code. IPv4-mapped IPv6 addresses can be used to represent IPv4 addresses in these cases. IPv4-mapped IPv6 addresses are not used on the network, but instead, translated to IPv4 before a packet is sent.

Security-Insider | News | RSS-Feed

  • KRITIS-Dachgesetz stärkt Anlagenresilienz
    Der Bundestag hat mit Beschluss vom 29. Januar 2026 das KRITIS-Dachgesetz verabschiedet. Für Betreiber stellt sich damit die Frage, inwieweit das Gesetz neben zusätzlicher Dokumentation bestehende Sicherheits- und Governance-Strukturen substanziell berührt. | Dr. Daniel Meßmer
  • Fünf Schichten für effektive Cyber-Resilienz
    Nur sechs Prozent der Unternehmen fühlen sich laut PwC-Studie gegen Cyberangriffe gewappnet. Ein Grund: Budgets fließen zu oft in reaktive Maßnahmen statt in präventive Resilienz. Ein systematischer Ansatz mit fünf Schichten – von API-Schutz über Datenzugriffskontrolle bis zu Multi-Site-Redundanz – bietet umfassenden Schutz und schnelle Wiederherstellung.
  • Claude löscht Live-Datenbank und verursacht Ausfall
    Beim Umzug einer Web-Plattform von GitHub Pages auf AWS hat sich ein Entwickler Hilfe von Claude Code geholt. Die Folge waren der Verlust von Jahren an Inhalten sowie ein Systemabsturz.
  • BSI bemängelt Sicherheit von Gesundheitssoftware
    Während im Gesundheitswesen hochsensible Daten verarbeitet werden, lässt die IT-Sicherheit der entsprechenden Software zu wünschen übrig. Dies ist das Ergebnis von Tests des BSI, welches Handlungsempfehlungen für einen besseren Schutz gibt.
  • Bundesrat beschließt KRITIS-Dachgesetz
    Nachdem der Bundesrat dem KRITIS-Dachgesetz zugestimmt hat, wurde es am 16. März 2026 im Bundesgesetzblatt verkündet. Demnach trat das Gesetz am 17. März 2026 in Kraft. Doch einige Bundesländer sind damit nicht glück­lich.
  • Cloud-Vorfälle: 90 Prozent erleiden Schaden vor Eindämmug
    Cloud-Incident-Untersuchungen dauern laut Darktrace-Umfrage durch­schnitt­lich drei bis fünf Tage länger als On-Premises-Vorfälle. 90 Prozent der befragten Sicherheitsverantwortlichen berichten, dass sie bereits Schaden erlitten, bevor sie mit der Eindämmung beginnen konnten. Volatile Daten gehen oft verloren, bevor sie erfasst werden – automatisierte Forensik kann diese Lücke schließen.
  • Sieben Strategien gegen KI-gesteuerte Cyberangriffe
    Deepfakes, sowie KI-gesteuerte Malware und Pishing verändern die Bedrohungslage fundamental: Angriffe, die früher Tage dauerten, laufen heute in Minuten ab. Sieben Strategien helfen Unternehmen, sich gegen diese neuen Bedrohungen zu wappnen – von KI-spezifischen Reaktionsplänen bis zu Zero-Trust-Architekturen.
  • Ermittler nehmen Computer-Betrüger fest
    Online-Banking geknackt, Verifizierungen ausgehebelt: Drei Betrüger sollen so Millionen ergaunert haben. Nun hat die Polizei die Bande auffliegen lassen.