[English]Es sind neue Informationen zum Angriff per Clop-Ransomware auf den Energieversorger von Ludwigshafen, die Technische Werke Ludwigshafen (TWL), bekannt geworden. Beim dem Ransomware-Angriff sind Kundendaten gestohlen und jetzt veröffentlicht worden.
Anzeige
Der Angriff auf den Energieversorger Technische Werke Ludwigshafen (TWL) fand bereits am 20. April 2020 statt. Ich im Blog im Beitrag im Blog-Beitrag Sicherheitsmeldungen 5. Mai 2020 berichtet. Und Anfang der Woche habe ich im Blog-Beitrag Clop Ransomware bei Technische Werke Ludwigshafen offen gelegt, dass es ein Ransomware-Angriff der Clop-Gruppe war und dass diese erbeutete Daten veröffentlichte. Zu diesem Zeitpunkt gab es von TWL noch keine diesbezüglichen Informationen – aber die Informationswege funktionieren. Meine Redakteurin bei heise informierte mich per Mail über neue Informationen – und es gibt inzwischen diesen Artikel bei heise.
Hintergrundinformation: Die TWL versorgen rund 100.000 Haushalte in Ludwigshafen und im gesamten Bundesgebiet mit Energie und Trinkwasser. In meinen Augen also ein kleinerer Energieversorger.
Der Energieversorger wurde erpresst
In einer Pressemitteilung schreibt das Unternehmen nun, dass man 'Aufgrund der forensischen Untersuchungen, der Arbeiten an der Gefahrenabwehr und der Ermittlungen der Strafverfolgungsbehörden war das Unternehmen bis zum 11. Mai 2020 angehalten, keine Details zum Sicherheitsvorfall zu veröffentlichen.'
Zu den Details stellt sich der Vorgang inzwischen so dar. Am 20. April wurde von TWL ein Cyber-Angriff entdeckt. Der Versorger schreibt, dass man gesehen habe, dass Kriminelle Daten von den Systemen stehlen. Es wurden umgehend Maßnahmen eingeleitet, um den weiteren Datendiebstahl zu stoppen.
Weiterhin schreibt man: Leider konnten trotzdem über 500 GB an Daten erfolgreich gestohlen werden. Inzwischen ist dem Unternehmen bekannt, dass der Erstzugriff der Kriminellen Mitte Februar über einen infizierten E-Mail-Anhang erfolgte, die von den technischen Abwehrsystemen nicht erkannt wurde.
Anzeige
Nach der Entdeckung des Angriffs hat TWL, nach eigenen Aussagen, sofort das zuständige Dezernat der Kriminalpolizei, das Dezernat Cybercrime des Landeskriminalamtes (LKA) Rheinland-Pfalz und das Bundesamt für Sicherheit in der Informationstechnik (BSI), eingeschaltet. Ermittlungen wurden aufgenommen und dauern noch an.
Die zuständige Landesdatenschutzbehörde wurde von dem Vorfall in Kenntnis gesetzt. Ein externes Unternehmen für IT-Sicherheit wurde mit der forensischen Untersuchung und Abwehr des Vorfalls beauftragt. Eine Verschlüsselung der Systeme sowie ein Zugriff auf die Prozessleittechnik konnten erfolgreich verhindert werden. Die Versorgung der Stadt Ludwigshafen war und ist deshalb nicht gefährdet.
Die bittere Wahrheit: Angreifer über Wochen aktiv
Die bittere Wahrheit hinter dem Vorfall sieht anders aus, wie aus den weiteren Einlassungen des Versorgers hervor geht. Zitat:
In den darauffolgenden Wochen schafften es die Kriminellen trotz zahlreicher Sicherheitsvorkehrungen, sich unerkannt im Netzwerk von TWL auszubreiten.
Es liegen zwar keine genauen Details über den Angriff vor. Ist aber auch egal: Wenn die Angreifer über Wochen unerkannt im Netzwerk unterwegs waren, hatten diese vermutlich Zugriff auf den gesamten Datenbestand. Ich tippe darauf, dass der IT irgendwann ungewöhnliche Netzwerkverbindungen aufgefallen sind, so dass man erst dann reagieren konnte. Zu diesem Zeitpunkt war das Kind aber schon in den Brunnen gefallen.
Lösegeldforderung in Millionen-Höhe
Am 30. April 2020 hat die Hackergruppe Kontakt dann zum Versorger TWL aufgenommen und versucht, Lösegeld im zweistelligen Millionenbereich zu erpressen. Gedroht wurde mit der Veröffentlichung der gestohlenen Daten. Wie ich bereits berichtete, befinden sich unter den erbeuteten Daten auch Kundeninformationen (Name, E-Mail, Konto etc.).
Die Leitung der Technische Werke Ludwigshafen (TWL) ist dieser Forderung der Erpresser nicht nachgekommen, 'da man keine Geschäfte mit Kriminellen mache' und die Gefahr sah, dass die Daten trotzdem weitergegeben werden. Die Folgen sind natürlich auch absehbar gewesen.
Seit dem 11. Mai 2020 werden die Kunden des Unternehmens von den Kriminellen per E-Mail angeschrieben, in denen diese TWL mangelnde Kooperation und Fehlverhalten vorwerfen, um weiteren Druck auf das Unternehmen auszuüben. Parallel haben die Täter angefangen, die gestohlenen Daten im Darknet zu veröffentlichen.
Zu den im Darknet veröffentlichten Daten zählen nach aktuellem Stand personenbezogene Daten wie Name, Vorname und Anschrift, die E-Mail-Adresse oder Telefonnummer, sofern sie bei TWL hinterlegt ist, Angaben zum gewählten Tarif und, sollte TWL eine Einzugsermächtigung erteilt worden sein, die Bankverbindung. Das Unternehmen geht derzeit davon aus, dass alle seine Kunden und Geschäftspartner betroffen sind.
Der Versorger weist seine Kunden darauf hin, dass durch den Angriff die Gefahr besteht, dass Kriminelle die erbeuteten Daten für weitere Straftaten missbrauchen können. Dazu zählen zum Beispiel:
- Identitätsdiebstahl
- Phishing
- Versand von Viren und Trojanern per E-Mail.
Kunden sollten jetzt folgende Schutzmaßnahmen ergreifen, um sich vor Folgeschäden zu schützen.
- Konten regelmäßig zu prüfen und bei ungewöhnlichen Kontobewegungen unverzüglich Kontakt mit seiner Bank aufzunehmen,
- Passwörter, die in der Kommunikation mit TWL bspw. beim Zugang zum Kundenportal verwendet werden, zu ändern,
- Verdächtige E-Mails von unbekannten Absendern sofort zu löschen. Keinesfalls sollten Links oder Dateianhänge in solchen Mails geöffnet werden.
Alle Betroffenen werden derzeit vom Unternehmen per Brief oder E-Mail persönlich und individuell informiert.
Ähnliche Artikel
Sicherheitsmeldungen 5. Mai 2020
Clop Ransomware bei Technische Werke Ludwigshafen
Anzeige
@Erstzugriff über einen infizierten E-Mail-Anhang erfolgte
Hat mal wieder einer seine Neugier nicht unterdrücken können oder war das so gut getarnt, dass man es nicht auf Anhieb erkennbar war?
"Verdächtige E-Mails von unbekannten Absendern sofort zu löschen. Keinesfalls sollten Links oder Dateianhänge in solchen Mails geöffnet werden."
Das mit den "unbekannten Absendern" ist inzwischen ein schlechter Rat.
Denn die Angreifer verfügen oft genug über genug Informationen, neuen Opfern genau mit der Addresse eines Mitarbeiter von z.B. TWL zu schreiben, der schon einmal geschrieben hat. Also einer sehr gut bekannten eMail-Adressen.
Das geht da nicht mehr um Massenangriffe. Wenn sie soweit sind wie hier, sitzen da Menschen auf der Angreiferseite und machen das Handarbeit!
Der Hinweis muß heutzutagen m.E. lauten:
"Verdächtige E-Mails, egal oder der Absender bekannt oder unbekannt ist, sofort wirklich löschen. Keinesfalls sollten Links oder Dateianhänge in solchen Mails geöffnet werden."
Das "wirklich löschen" soll verhindern, dass man diese eMail ausversehen doch in "Gelöschte Elemente" aufmacht, weil die Angreifer durchaus nochmal nachkaten "Wir warten auf die Antwort auf unser Schreiben vom xx.xxx. Schauen sie doch mal im Spamordner nach"….
Evtl. könnte konsequente eMail-verschlüsselung und signierierung Spätfolgen (Nach Enttarnung des Angrifs) reduzieren. Die privaten/öffentlichen Schlüssel kann man durch neue ersetzen, bei eMail-Adressen ist das i.A. schwierig.
Bei Outook sollte man sich die Mühe machen die Spalte "Email adresse des Absenders" (return adress) zu erzeugen. Diese ist nicht gleich dem angezeigten "Von" und nicht ganz so einfach zu fälschen wie die ""Von" Adresse, die nur der Kommentar zu einer eMail-Adress ist. Jedem fällt auf, wenn der TWL-Mitarbeiter mit einer Adresse von Yahoo schreibt. Nur, normalerweise sieht man dies Info nicht in Outlook.
(Leider sind die MS Adressen sehr lang. Kennt da wer einen Trick die eigene OA da zu verkürzen?)
Hallo, ich weiss zwar, wie ich die "Internetkopfzeilen" unter Outlook einsehen kann, aber mir ist keine Funktion bekannt, diese DIREKT im Lesebereich oberhalb der Nachricht anzuzeigen.
Dort steht immer nur "Gesendet:" und "An:" sowie, falls zutreffend "Signiert von:".
Du mußt mal na einer Anleitung google.
Es gibt min. 2 Verfahren. Bei dem einen definierst Du eine Art Formular… Unschön ist, das dann alle internen Adresse mit dem OA-domain sermon dargestellt werden.
Wenn man sieht wie versteckt das ist, könnten
bösen Menschen der Gedanke kommen, dass MS Phishern helfen wolle…
Schon der "Mail from" läßt von
Bürgermeister Amt
im "Von:" bei Outlook nur das den Display Teil "Bürgermeister Amt" erscheinen.
Oder bei buergermeister@gemeinde.de
ein buergermeister@gemeinde.de in der "Von:"-Spalte…
Und wer gerade einen Bauantrag laufen hat wird ohne groß zu denken auf den Anhang klicken…er macht doch nicht den RfC-Header auf oder startet eine Antwort (denn sieht man die vollständige Adresse im Zitat…
Mich wundert es nicht das Leute bösartige Anhänge öffnen.
(Gerade wenn so getan wird, das immer der Absender unbekannt sei)
"Der Versorger weist seine Kunden darauf hin, dass durch den Angriff die Gefahr besteht, dass Kriminelle die erbeuteten Daten für weitere Straftaten missbrauchen können."
Wenn der Versorger seine Kunden anschreibt muss er auch sagen, dass die Angreifer bereits (signierte) eMails mit Adressen des Versorgers über dessen Mailserver verschickt haben könnten und den Kunden umbemerkt infiziert haben. (hey, die waren da Monate drin und wurden nicht bemerkt) und nicht nur vor "Unbekannten Absendern" waren.
Der Kunde also auch eMail des Versorgers nach Feb. 2020 mit vorsicht behandeln sollte, sogar wenn es aussah wie ganz normale Korrenzpodenz.
Da ich den Schlafmützenverein kenne, verweise ich nur auf meine Antwort aus diesem Beitrag:
https://www.borncity.com/blog/2020/05/12/clop-ransomware-bei-technische-werke-ludwigshafen/#comments
Und so richtig klein ist dieser Versorger auch nicht. Nicht immer kommt es auf die Menge der Kunden an. Man betrachte sich nur mal die Kundenstruktur.
Darunter sind einige namhafte Firmen und Großverbraucher.
Und mit ihrer Müllverbrennung verdienen die sich eine goldene Nase, da sie aus der gesamten Region den Hausmüll angefahren bekommen.