[English]Der Energieversorger von Ludwigshafen, die Technische Werke Ludwigshafen (TWL) sind vergangene Woche wohl Opfer eines Ransomware-Angriffs geworden. Jetzt hat die verantwortliche Clop Ransomware-Gruppe erbeutete Kundendaten veröffentlicht.
Anzeige
Erste Informationen über einen Cyber-Angriff
Ich hatte bereits vorige Woche im Blog-Beitrag Sicherheitsmeldungen 5. Mai 2020 einen kurzen Hinweis im Abschnitt 'Technische Werke Ludwigshafen gehackt' gebracht. Dort hieß es aber lediglich, dass Hacker Zugriff auf die Geschäfts- und Kundendaten des Versorgers Technische Werke Ludwigshafen (TWL) hatten. In diesem heise-Artikel wurde, unter Berufung auf den Versorger, berichtet, dass Unbekannte unter anderem Zugriff auf Kundendaten wie Namen, Adressen und Kontoangaben gehabt hatten.
Der kommunale Versorger habe die Ermittlungsbehörden informiert und ein Cybersecurity-Unternehmen eingeschaltet. Den Zeitpunkt des Angriffs und den Umfang der kopierten Daten wollte das Unternehmen unter Hinweis auf laufende Ermittlungen nicht nennen.
Die Stellungnahme der TWL
In dieser undatierten Stellungnahme schreiben die Technische Werke Ludwigshafen (TWL), dass man, trotz in der Vergangenheit getroffener massiver Sicherheitsvorkehrungen, Ziel eines erfolgreichen Hackerangriffs geworden sei.
Trotzdem ist es einer noch unbekannten Hackergruppe gelungen, in das Netz des Energieversorgers Technische Werke Ludwighafen AG, TWL, einzudringen. Unmittelbar nach Bemerken des Angriffs seien von TWL Gegenmaßnahmen eingeleitet worden. Unter anderem wurden Server, auf denen verdächtige Aktivitäten verzeichnet wurden, umgehend abgeschaltet.
Anzeige
Die Versorgungssicherheit der Ludwigshafener Bürger und der Kunden des Unternehmens war und ist sichergestellt. Das Unternehmen hat sofort die zuständigen Ermittlungsbehörden informiert sowie ein Cyber Security Unternehmen eingeschaltet. Die Ermittlungen laufen. Aufgrund der laufenden Ermittlungen der zuständigen Behörden wurden keine weiteren Angaben zum Verlauf und Umfang des Hackerangriffs gemacht.
Diebstahl von Daten
Aufgrund der unmittelbar eingeleiteten Gegenmaßnahmen konnte der Diebstahl von Daten unterbrochen, aber nicht vollständig verhindert werden. Den Hackern ist es gelungen, unter anderem Kundendaten wie Namen, Adressen und Kontodaten sowie Geschäftsdaten zu erbeuten.
Das Unternehmen bittet aus diesem Grund seine Kunden, ihre Konten regelmäßig zu prüfen und bei ungewöhnlichen Kontobewegungen Kontakt mit ihrer Bank aufzunehmen. Passwörter, die in der Kommunikation mit TWL, beispielsweise beim Zugang zum Kundenportal, verwendet werden, sollten geändert werden.
Clop Ransomware-Gruppe veröffentlicht Daten
Mir ist über meinen Twitter-Kanäle aber die nachfolgenden Information von einem Sicherheitsforscher zugegangen. Danach hat die Clop Ransomware-Gruppe den Ludwigshafener Versorger erfolgreich angegriffen. Der Name der Ransomware kommt von der Dateinamenerweiterung .CLOP, die für verschlüsselte Dateien verwendet wird. Trend Micro hat hier noch Informationen zur CLOP-Ransomware. Die Ransomware ist zumindest in Teilen bekannt und wird von Virenscannern angezeigt.
Clop Ransomware group hacked TWL, a municipal utility company that has been in charge of heating the city of Ludwigshafen for over 100 years.
– The company has over 600 employees and $400,000,000 revenue.
– The group posted over 30,000 records of sensitive customers records. pic.twitter.com/prxLHxyxMl
— Under the Breach (@underthebreach) May 11, 2020
Bekannt geworden ist dies, weil die Ransomware-Gruppe über 30.000 Datensätze mit sensitiven Kundendaten veröffentlicht hat. Darunter befinden sich die Namen und E-Mail-Adressen der Kunden, deren Tarife sowie die Verrechnungskontennummern. Offensichtlich ist die Gruppe hinter der Ransomware dazu übergegangen, die Dateien vor dem Verschlüsseln auf eigene Server zu spiegeln. Ich schließe aus der Veröffentlichung der Daten, dass die TWL nicht auf die Erpressung eingegangen und kein Lösegeld gezahlt haben.
Anzeige
Diebold Nixdorf: https://www.securityweek.com/atm-maker-diebold-nixdorf-hit-ransomware
Scheint bei der IT wie in der hiesigen Automobilindustrie zu lange auf Tradition gesetzt und nun knallt es an allen Ecken und Enden.
Die TWL sind ein klassischer öffentlicher Dienst-Drückeberger-Verein.
Situationsbeschreibung einer klassischen kleinen Baustelle:
4 Mann vor Ort, davon arbeitet einer und die Restlichen schauen zu. Feierabend halbe Stunde vor der offiziellen Zeit.
Und genauso verträumt ist deren IT aufgebaut.
Wirklicher Schutz kann also nicht funktionieren, da bei denen das klassische Beamtendenken vorherrscht.
Aber dieses Szenario ist bei fast allen Versogern anwendbar.
@woodpeaker: Das würde ich nicht mehr heute so beurteilen, denn ebenso bei privaten Unternehmen passiert es, dass ein Anwender in einem Fall tapt. Also, es hängt immer davon ab, wie die Anwender im Unternehemen ob staatlich oder privat geschult und zum Thema Datensicherheit und -Sicherung sensibilisiert werden.
Es hängt nicht nur von der Schulung ab, sondern auch davon, ob diese Leute willens sind, die Neugier im Zaum zu halten.
Wir haben ebenfalls Leute, die hartnäckig auf alles klicken, selbst wenn ein Betrugsversuch offensichtlich ist.
"Wir haben ebenfalls Leute, die hartnäckig auf alles klicken, selbst wenn ein Betrugsversuch offensichtlich ist.
"
Das ist das Problem des Management und der Mitarbeiterführung.
Im o.g. Beispiel: "Inneren Kündigung"
Sonst auch gerne genommen:
"Wenn ich jetzt drauf klicke, das ausführen von Makros erlaube habe ich mindestens eine Woche bezahlten Freistellung weil die IT alle Rechner neu aufstezn soll.
Warum sollte ich nicht klicken? Sieht doch sonst ganz plausibel aus.
"
Der Dienstleister:
"Hm, warum sollte ich den Mitarbeitern verbieten Makroausführung zu erlauben? Das sichert doch meinen Umsatz, wenn ich hier ein paar neue Kisten hinstellen soll damit der Laden wieder läuft.
"
Der Antivirushersteller:
"Warum sollte ich den perfekten Algorithmus entwickeln?
Regelmäßig ein paar falsch Alarme machen unseren Namen bekannt und zeigen was wir können. Und ab und zu mal einen Virus durchlassen, sonst verlieren die Virusprogrammierer ja die Lust."
win-win-win?
Interessant könnten die Daten schon sein…
In früheren Zeiten was es durchaus nicht ungewöhnlich, das der Bürgermeiter von den "Städitischen Werken" Strom und Wasser zu sondertarifen bekam. Auch der Chefredaktuer des örtlichen Käseblatts konnte sich über niedrige Stromrechungen freuen.
Wie gesagt: Das soll früher mal so gewesen sein. In sofern können solche Daten heute ja ruhig in die Freiheit entlassen werden. (Ist natürlich nicht gut. Niemand möchte seine Kontonummer im Freien sehen. Es gibt Banden, die Buchen dann 40 Euro ab.
Fällt kaum auf, aber 300000 mal 40 Euro für nix kassieren?)