Cyberangriffe: Rathaus Bissingen, Landesregierung Kärnten, BGV-Versicherung

Sicherheit (Pexels, allgemeine Nutzung)Kleiner Sammelpost, weil angesichts der Zahl der stattfindenden Cyberangriffe die Beiträge hier im Blog explodieren würden. Es hat die Landesregierung von Kärnten (Österreich) mit einem Ransomware-Angriff getroffen. Auch das Rathaus der Gemeinde Bissingen ist dabei. Und die BGV Versicherung ist von einer Cyber-Attacke auf einen Dienstleister betroffen.


Anzeige

BVG-Versicherung indirekt betroffen

Die Badische Gemeinde Versicherungen (BGV) ist indirekt Opfer eines Cyberangriffs geworden. Wie sich nachfolgendem Tweet entnehmen lässt, hat es einen Dienstleister dieses Unternehmens mit einem Cyberangriff getroffen.

BVG-Versicherung

IT-daily.net berichtet hier über den Fall. Das Softwareunternehmen perbit mit Sitz im nordrhein-westfälischen Altenberge ist am 7. April 2022 Opfer eines Ransomware-Angriffs geworden, zahlte aber wohl kein Lösegeld. Daher wurden bei dem Angriff erbeutete Daten durch die Erpresse veröffentlicht. Betroffen sind auch bis zu 770 BGV-Mitarbeiter, genauso wie ehemalige Mitarbeiter und Mitarbeiterinnen und Bewerber. Diese Daten speichert perbit im Auftrag der BGV. Alle möglicherweise Betroffenen seien intern oder per Post informiert worden, so ein BGV-Sprecher. Kundendaten seien nicht betroffen.

Land unter in Bissingen

Bissingen ist ein Markt im schwäbischen Landkreis Dillingen an der Donau. Nachfolgender Tweet informiert, dass diese Kommune Opfer eines Cyberangriffs geworden ist, der die Verwaltung des Rathauses IT-mäßig lahm gelegt hat.


Anzeige

Cyberangriff auf Bissingen

Zum 23. Mai 2022 informiert die Kommune, dass man im Rathaus Opfer eines Hackerangriffs wurde. Damit keine weiteren Schäden entstehen, wurden die IT-Einrichtungen (E-Mail-Server) vom Netz genommen. Aus diesem Grund können die Mitarbeiter in den nächsten 14 Tagen sämtliche Dienste nur sehr eingeschränkt abwickeln. Davon betroffen sind auch der Kindergarten Bissingen (auch E-Mail und Telefon) sowie die Grund- und Mittelschule Bissingen (E-Mail). Die Augsburger Allgemeine meldet  hier, dass geprüft wird, ob Bürgerdaten abgeflossen sind.

Landesregierung Kärnten betroffen

Ich hatte es gestern bereits auf Twitter mitbekommen, die Landesregierung Kärnten ist ebenfalls Opfer eines Cyberangriffs geworden.  Das Medium hier meldet, dass das Land Kärnten (Österreich) seit Dienstag Vormittag (24.5.2022) mit massiven IT-Problemen zu kämpfen habe.

Kärnten, Cyberangriff

Es sind große Teile der IT ausgefallen, teilt der Chef des Landespressedienstes (LPD), Gerd Kurath, der Öffentlichkeit mit. Ursache ist ein Cyberangriff, der um 5.45 Uhr in der Früh wurde bemerkt wurde, nachdem es externe Zugriffe auf die IT gegeben habe. Am heutigen Mittwoch bleiben in Kärnten wohl viele Ämter geschlossen. heise hat in diesem Artikel einige Informationen zusammen getragen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Cyberangriffe: Rathaus Bissingen, Landesregierung Kärnten, BGV-Versicherung

  1. Paul sagt:

    Beobachtet wer auch, das derzeit viele Angriffe mit korrekten Localparts, aber Vertipper-Domains kommen, deren Inhalt (sozial-)psychologisch gut gemacht ist?
    Teilweise folgt wohl manchmal eine Aufforderung, die eMail zu löschen, da der Empfänger irrtümlich auf der Liste stand und der Anhang vertraulich sei…
    Der Hoster der komplett mit MX, SPF und DKIM eingerichteten Domain ist z.B. mailgun_org. Was ist das für ein Laden? Kann man dessen IPs blocken?

  2. Marv sagt:

    Einfach Linux/Limux nutzen und gut ist es. Mit AD, Exchange und allem habt ihr den Bock zum Gärtner gemacht.

    Ein guter Ansatz wäre meiner Meinung nach ein E-Mail-Server, der Office-Dokumente auf das neuste Format aktualisiert und Makros aus der docx/etc löscht. Das sind nur ZIP files mit XML. Automatisiserbar. PDFs erneut in PDFs konvertieren und Scripte löschen. Etc. Verschlüsselte E-Mail-Anhänge automatisch löschen. Warnung an Absender, dass so ein Dreck nicht empfangen wird, bis es korrekt gesendet wird.

    Erzieht die Absender, nicht die Nutzer. So einfach ist das?

    • Minta sagt:

      @ Marv
      Welche Makros sind denn enthalten in docx? 😁

      • Marv sagt:

        Das Dateiformat und die Fähigkeiten des Selben zu kennen würden deinem Beitrag enorm an Qualität verhelfen.

        [https://support.microsoft.com/de-de/office/sch%C3%BCtzen-sie-sich-vor-makroviren-a3f3576a-bfef-4d25-84dc-70d18bde5903]

        • Marv sagt:

          Ich spreche es nochmals gaaanz langsam aus:

          Offenkundig erhalte ich eine docx wenn ich Makros aus einer docm lösche und konvertiere. Sollte jetzt auch dir klar sein, Minta. Habe einen schönen Feiertag, du brauchst die Entspannung sehr :)

          • Minta sagt:

            @ Marv
            Dann noch mal ganz langsam für dich: Man kann aus Docx keine Makros "löschen", wie du mit deinen Beiträgen anzudeuten versuchst, weil garkeine Makros enthalten sein können.

    • Gerrit Buesse sagt:

      "einfach Linux benutzen" ist keine endgültige Lösung und 100% sicher auch nicht.

      Vor allem geht das nicht so einfach, wie sich die Linux-Nutzer zu Hause das vorstellen. Bei privaten Rechnern geht das sicher, aber nicht in der Landschaft außerhalb der Privatgeräte.

      Dieses "linux ist immer sicher und kann alles besser" nervt irgendwann, weil's nicht hilfreich ist.

      • Frankel sagt:

        Ahhhh da ist es wieder, das alte Strohmann-Argument "100% sicher". Erstens hat niemand von 100% gesprochen, zweitens ist es nicht von der Hand zu weisen, dass Monokulturen fahren die Sicherheit eher verschlechtert. Die ganzen Ransomware-Gruppen eskalieren doch ihre Privilegien bis zum Domänen-Controller. Da siehst du bei Microsoft only ganz schön alt aus.

        Aber gut Hauptsache Strohmann, der lässt sich leichter dekonstruieren, als auf das genannte ernstgemeint einzugehen.

    • Martin Feuerstein sagt:

      Damit die Nutzer keine veralteten Formate oder potentiell verseuchte Dokumente in Anhängen (versehentlich) öffnen können, verarbeiten wir diese einfach automatisiert auf dem Server. Genau, lass uns alle potentiell schadsoftwarebehafteten Dokumente verarbeiten! Super Idee! Mit Linux ist alles sicher ;-)

      Die ganze E-Mail bei Bedenken abzulehnen ist aber ein sinnvoller Ansatz.

      Was AD und Exchange mit Postfachinhalten zu tun haben, erläuterst du bestimmt in deinem nächsten Post.

      • Frankel sagt:

        Die ganzen Ransomware-Gruppen eskalieren doch ihre Privilegien bis zum Domänen-Controller. Da siehst du bei Microsoft only ganz schön alt aus. Es ist nicht von der Hand zu weisen, dass Monokulturen fahren die Sicherheit eher verschlechtert.

        >Was AD und Exchange mit Postfachinhalten zu tun haben, erläuterst du bestimmt in deinem nächsten Post.

        Von der Sekretärin zum Admin zum Domänencontroller.

        "https://delinea.com/blog/windows-privilege-escalation"

        "https://www.logpoint.com/en/blog/detecting-investigating-and-mitigating-privilege-escalation-vulnerabilities-to-prevent-full-ad-control/"

        Google hilft! Dein nächster Schritt ist nachzulesen was Mimikatz ist.

        • Martin Feuerstein sagt:

          Und genau deshalb kriegt niemand Admin-Rechte auf den Desktops, auch nicht als lokaler Admin. Oder mit seinem DAU-Benutzerkonto Admin-Rechte auf einem der Server.

          "Von der Sekretärin zum Admin zum Domänencontroller."
          die Sekretärin darf nix im Benutzerprofil ausführen (und damit Temp, wie Outlook) und VBA/Makros ohne Signatur wird geblockt.

          "Google hilft! Dein nächster Schritt ist nachzulesen was Mimikatz ist."
          No Shit Sherlock… Btw. der Virenscanner auf dem PC der Sekretärin sortiert das schon vor Ausführung aus 🙄
          –> Mimikatz braucht afaik auch erhöhte Rechte ;-)

  3. Bernd B. sagt:

    Wäre nett, wenn Sie auch im eigenen Blog auf Datenschutz/Datensparsamkeit Wert legten, bester Herr Born.
    Sie schreiben "Das Medium hier meldet" und schicken ihre Blogleser auf Twitter (der Link unter "hier" ist https://t[.]co/WdQZCiSp9v)
    statt mit z.B.
    "KleineZeitung.at meldet" mit aufgelöstem/korrektem Link https://www.kleinezeitung.at/kaernten/6143814/Auch-alle-BH-betroffen_Wurde-Land-Kaernten-Opfer-eines-Hackerangriffs direkt auf die Kleine Zeitung zu verlinken.

    • Günter Born sagt:

      Der Linkverkürzer ist inzwischen aufgelöst – mache ich normalerweise (ist mir durchgerutscht, weil ich zur Physio musste).

      Bezüglich Twitter: Aus Datenschutzgründen sind keine Tweets direkt eingebunden, sondern max. verlinkt und als Screenshot eingebunden – sowie die Links auf Originalbeiträge i.d.R. mit angegeben.

      Wer sehr viel Wert auf Datensparsamkeit legt, wird den Twitter-Links nicht folgen (ich binde die Screenshots aber gerne ein, weil das gewisse Vorteile für Social Media Posts hat, ohne dass die Leserschaft im Blog zwingend auf Twitter muss).

      Ob ich hier Nitter für die Tweets verwendet, habe ich noch nicht entschieden. Recherche ist da ein Krampf und es ist jeweils Zusatzaufwand, das dann von Twitter auf Nitter aufzulösen. Ich halte aktuell den Kompromiss im Sinne zwischen Aufwand und dem, was ich der Leserschaft überlasse, für ausreichend.

      • Marv sagt:

        Das ist technisch vollkommen korrekt, wie in uMatrix ersichtlich stellt Herr Born keine Verbindung auf dieser Seite zum Drittanbieter Twitter her.

        Ansonsten ist auch einbinden legitim mit [https://www.heise.de/newsticker/meldung/Embetty-Social-Media-Inhalte-datenschutzgerecht-einbinden-4060362.html]

        Oder über Nitter-Instanzen, was ich Herrn Born als Anreiz für noch bessere Links ans Herz lege :)

        [https://github.com/zedeus/nitter/wiki/Instances]

  4. Minta sagt:

    @ Marv
    Richtig, und wer die Behauptung aufwirft, Docx sei von Makro betroffen, kennt die technischen Spezifikationen bewiesenermaßen nicht.

  5. Art sagt:

    Ich freue mich schon auf dieses und das folgende lange Wochenende in Deutschland: idealer Zeitpunkt für Exploitation und Exfiltration

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.