Software-Anbieter Kronos/UKG durch Ransomware befallen, für Wochen außer Gefecht

Sicherheit (Pexels, allgemeine Nutzung)[English]Ich hatte es bereits gestern kurz auf Twitter gesehen, der Anbieter von Software-Lösungen "aus der Cloud" (Buchhaltung, Personaleinsatzplanung, Zeiterfassung etc.), die Firma Kronos, ist am Wochenende (11. Dez. 2021) Opfer eines Ransomware-Angriffs geworden. Die UKG-Lösungen, die die "Kronos Private Cloud" nutzen, sind aufgrund dieses Ransomware-Angriffs seit dem 11. Dezember 2021 nicht mehr verfügbar.


Anzeige

UKG und Kronos

Ich gestehe, mir sagten die beiden Namen weniger, da ich in diesem Bereich nicht aktiv bin – daher kommt die Info etwas verspätet. Kronos Titan, eine gänzlich andere Firma, war mir nur als Hersteller von Titandioxid-Pigmenten geläufig, was aber mit UKG und Kronos eher weniger zu tun hat. Beide Unternehmen Kronos und UKG sind aber auch in Deutschland als Softwareanbieter vertreten. Bei UKG heißt es auf dieser Seite:

UKG™ vereint die Stärke und Innovationskraft von Ultimate Software, Kronos® und PeopleDoc. Die neue Marke schöpft aus der insgesamt 70-jährigen Erfahrung dieser führenden Anbieter von HR-Lösungen.

Und die deutschsprachige Kronos-Webseite verrät, dass "Kronos und Ultimate Software jetzt UKG" sind. Angeboten werden Lösungen zum Workforce-Management wie Zeiterfassung, Personaleinsatzplanung, Fehlzeitenmanagement, Aufgabenmanagement und Workforce Analytics.

Der Ransomware-Befall

Die ersten Infos kamen gestern auf Twitter – wie beispielsweise der nachfolgende Tweet von Catalin Cimpanu, der von einem Kunden informiert wurde, dass UKG wochenlange Ausfälle auf Grund eines Ransomware-Angriffs befürchtet und Kunden vor den Weihnachtsfeiertagen keine Gehälter bearbeiten können.

Kronos / UKG Ransomware attack


Anzeige

Das Unternehmen hat wohl Kunden zum 13. Dezember 2021 per E-Mail über Beeinträchtigungen der Kronos Private Cloud (KPC) auf Grund eines Cyber-Sicherheitsvorfalls informiert. Der Inhalt lässt sich in der Kronos-Community in diesem Post nachlesen.

We are reaching out to inform you of a cyber security incident that has disrupted the Kronos Private Cloud.

As we previously communicated, late on Saturday, December 11, 2021, we became aware of unusual activity impacting UKG solutions using Kronos Private Cloud. We took immediate action to investigate and mitigate the issue, and have determined that this is a ransomware incident affecting the Kronos Private Cloud—the portion of our business where UKG Workforce Central, UKG TeleStaff, Healthcare Extensions, and Banking Scheduling Solutions are deployed. At this time, we are not aware of an impact to UKG Pro, UKG Ready, UKG Dimensions, or any other UKG products or solutions, which are housed in separate environments and not in the Kronos Private Cloud.

We are working with leading cyber security experts to assess and resolve the situation, and have notified the authorities. The investigation remains ongoing, as we work to determine the nature and scope of the incident.

While we are working diligently, our Kronos Private Cloud solutions are currently unavailable. Given that it may take up to several weeks to restore system availability, we strongly recommend that you evaluate and implement alternative business continuity protocols related to the affected UKG solutions. Support is available via our UKG Kronos Community and via our UKG Customer Support Team to provide input on your business continuity plans.

We deeply regret the impact this is having on you, and we are continuing to take all appropriate actions to remediate the situation. We recognize the seriousness of this issue and will provide another update within the next 24 hours.

Thank you for your support and partnership.

Bob Hughes

Executive Vice President

Am Samstag, den 11. Dezember 2021 hat man ungewöhnliche Aktivitäten in der Konos Private Cloud festgestellt und dann gesehen, dass dort Ransomware wütete. Das betrifft die Teile des Unternehmens UKG, wo die Leistungen Workforce Central, UKG TeleStaff, Healthcare Extensions und Banking Scheduling Solutions eingesetzt werden. Bisher wohl nicht betroffen sind UKG Pro, UKG Ready und UKG Dimensions.

Die IT arbeitet nun daran, die Kronos Private Cloud-Lösungen, die nicht mehr verfügbar sind, wiederherzustellen. Da die Wiederherstellung der Systemverfügbarkeit bis zu mehreren Wochen dauern kann, empfiehlt der Anbieter den Kunden dringend, alternative Business-Continuity-Protokolle in Bezug auf die betroffenen UKG-Lösungen zu prüfen und umzusetzen. Wäre in etwas so, als wenn SAP sagt "sorry, wir können nicht mehr, sucht euch was anderes". Keine Ahnung, ob das für deutschsprachige Kunden überhaupt relevant ist. Aber das ist der GAU für Kunden, die auf diese Konos Private Cloud-Lösungen von Kronos/UKG gesetzt haben.

In diesem Forum-Bereich gibt es weitere Statusmeldungen. Parallel dazu sind die Leute auch durch die log4j-Schwachstelle CVE-2021-44228 betroffen und dort bereits am patchen.

ArsTechnica berichtet hier, dass der Angriff über Log4Shell und die log4j-Schwachstelle erfolgt sei. Dort gibt es zwar keine Bestätigung, aber denen ist auch mein obiger Hinweis auf das Patchen der log4j-Schwachstelle CVE-2021-44228 aufgefallen. Und die Kronos Private Cloud soll stark von JAVA abhängen.

Auf The Record berichtet Catalin Cimpanu von einem Kronos/UKG-Kunden, dass dieser keinen Zugang zu den Zeiterfassungs- und Gehaltsabrechnungsdaten seiner Mitarbeiter habe. Der Kunde kann keine Gehälter kurz vor den Weihnachtsfeiertagen bzw. den dort anlaufenden Winterferien auszahlen. So langsam werden die langen Schatten der Cloud – egal ob als private oder public gebrandet – sichtbar. Ein deutschsprachiger Artikel, der einige weitere Spekulationen aufbereitet, findet sich hier.

Ähnliche Artikel:
Media Markt/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ Lösegeldforderung
Cyber-Angriff auf Eberspächer-Gruppe – Belegschaft in Kurzarbeit
Ransomware-Angriff auf Arztdienstleister medatixx
Ransomware-Angriff auf Media Markt/Saturn
Cyber-Angriff auf IKEAs-Mail-System, Trojaner im Gepäck
Kisters AG Opfer eines Ransomware-Angriffs (10./11. Nov. 2021)
Cyber-Angriffe auf Pädagogische Hochschule Weingarten
Bestätigt: Volvo wurde Opfer eines Cyberangriffs der Snatch-Ransomware-Gruppe


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Software-Anbieter Kronos/UKG durch Ransomware befallen, für Wochen außer Gefecht

  1. mw sagt:

    Tja, Cloud. Man kann nur hoffen, dass sich Kronos davon nicht mehr erholt und seine Dienste einstellt. Alle seien davor gewarnt, unternehmenkritische Daten und Anwendungen in die Cloud zu legen.

  2. Knusper sagt:

    Vielleicht sollte "Cloud" mal definiert werden. Alles was nicht unter dem Tisch steht ist es im umfassenden Sinne. Denn irgendwo liegt die Daten. Stichwort Intranet. Und will jetzt jemand behaupten, dass so ein Intranet nicht befallen werden kann?
    @mw Also ich wünsche so etwas keiner Firma.

  3. Bolko sagt:

    1.
    Wie verschlüsselt man denn die Container von laufenden VM bei einem Ransomwareangriff?
    Das müsste doch Zugriffsfehler geben, weil die Container-Datei bereits exklusiv geöffnet ist.

    2.
    Müsste die "Ordnerüberwachung" von Windows so einen Ransomewareangriff nicht erkennen und verhindern können? Dafür ist diese Funktion schließlich da.

    3.
    Warum gibt es keine Backups und einen Spiegelserver, wo täglich alle VM kopiert werden?

    4.
    Warum setzt man kein Dateisystem mit Versionierung ein, wo man innerhalb von Sekunden zu einem früheren Stand (Snapshot) zurückkehren kann, wie etwa btrfs oder ZFS?

  4. Sebastian sagt:

    Ich dachte immer bei "Private Cloud" hostet man selbst, womit einem egal sein könnte ob es den Anbieter getroffen hat. Wieder was gelernt.

  5. 1ST1 sagt:

    Buchhaltung, Personaleinsatzplanung, Zeiterfassung etc. in der Cloud, ja kann man machen… Aber wenn das dann kurz vor Jahres-Ende (wegen Ransomware-Befall) ausfällt, dann ist da bei diversen Kunden sicher gerade die Kagge am dampfen!

    • Günter Born sagt:

      Ich lasse mal DATEV hier fallen … war da nicht was im November … und ich habe durchaus einige Vorfälle vor Steuerabgabeterminen in den letzten Jahren im Hinterkopf. Dekre könnte da mehr zu schreiben …

  6. Thor sagt:

    Schön.
    Wieder ein Tag, an dem das Internet ein wenig sicherer wird. Wer seine IT-Infrastruktur ins Netz hängt, sollte auch für entsprechende Sicherheit sorgen. Ansonsten hat die da nix zu suchen.

    Die sollten mal noch eine Strafzahlung von mindestens drei Admin-Jahresgehältern aufgebrummt bekommen. Wie übrigens auch alle anderen, die Hops genommen werden.

    Mehrere Wochen? Da fühlt man sich doch gut aufgehoben.
    Um nicht zu sagen, beste Benutzererfahrung!1!!

  7. janil sagt:

    So entsteht dann auch wieder Sicherheit im Netz.

  8. Michael sagt:

    Also man soll laut Anbieter seinen Business Continuity Plan zücken, aber selbst versagt man hier katastrophal – mehrere Wochen Downtime?!?!

    wenn der Dorfelektriker mit seine 4 Angestellten keinen Disaster Recovery Plan hat, der auch sinnvoll greift OK, aber wenn dort ein Cloud Anbieter der noch dazu mit DSGVO relevanten Daten mehrere Wochen Downtime erwartet, dann läuft dort definitiv etwas falsch.

  9. Stephan sagt:

    Also ich kann dazu nur sagen, das bei uns auf der Arbeit (DHL) Kronos als Zeitbuchung über Stechkarten und Terminals verwendet wird,
    seit 2 Tage nicht Funktioniert.

    d.h. man kann seine Zeiten zwar buchen, aber keine Daten Abrufen.
    Überstunden, Buchungen der einzelnen Tage usw. Funktionieren nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.