Die letzten Tage sind wieder einige Firmen, Kommunen und Einrichtungen Opfer von Hacks bzw. Ransomware-Angriffen geworden. Der Landkreis Ludwigsburg hat eine solchen "Cybervorfall" erlitten und auch das Erziehungsdepartment der Stadt Basel leidet unter einem Ransomware-Vorfall, bei dem Daten abgezogen wurden. Für diesen Fall liegen mir einige zusätzliche Informationen vor. Bei Firmen ist das Schweizer Unternehmen ABB das prominenteste Opfer. Hier ein kurzer (unvollständiger) Abriss diverser Cybervorfälle der letzten Tage.
Anzeige
Landkreis Ludwigsburg offline
Der Landkreis Ludwigsburg (BW) ist Opfer eines Cyberangriffs geworden – ich hatte es bereits gestern auf Twitter gesehen, wurde aber auch von zwei Blog-Lesern darauf hingewiesen (danke dafür). Der SWR berichtet in diesem Artikel, dass die IT des Landkreises durch "Hacker" angegriffen wurde. Ein Sprecher des Landkreises sagte gegenüber dem SWR "Unsere EDV hat Auffälligkeiten festgestellt und daraufhin wurden die Systeme abgeschaltet".
Die Verantwortlichen gehen von einem Cyberangriff aus und der Shutdown der IT hat Auswirkungen auf den Betrieb des Landratsamts, welches vorerst geschlossen bleibt. Das bedeutet, dass im Kreishaus und in allen Außenstellen u.a. sowohl die KFZ-Zulassung, die Führerscheinstelle, der Asylbereich, die Ausländerbehörde und das Jobcenter für den Kundenverkehr geschlossen sind.
Aktuell analysieren Experten und Expertinnen der Komm.ONE, des Landeskriminalamts sowie der Cybersicherheitsagentur Baden-Württemberg die IT-Infrastruktur, heißt es auf der Webseite des Landkreises. Ludwigsburg ist der zweitgrößter Landkreis in Baden-Württemberg und viertgrößter Landkreis in Deutschland – gemessen an der Einwohnerzahl.
Ergänzung: Einem neuen Bericht zufolge öffnete ein Mitarbeiter eine E-Mail mit einem Schadprogramm im Anhang. Daraufhin wurde die IT-Infrastruktur im Landkreis Ludwigsburg heruntergefahren. Laut Innenministerium wurden die betroffenen Computer anschließend bereinigt, am IT-System wurde kein Schaden festgestellt.
Anzeige
Anton Paar OptoTec GmbH
Die Anton Paar OptoTec GmbH ist von einem Cyberangriff betroffen, wie ich in diesem Tweet gesehen habe. Auf dieser Informationsseite der Firma heißt es:
Informationen zum Cybersicherheitsvorfall im April 2023
Im April 2023 war die Anton Paar Gruppe Ziel eines Cyberangriffs. Um unsere Systeme und Daten zu schützen, haben wir die meisten unserer Systeme und Dienste weltweit sofort offline genommen. Wir arbeiten mit höchster Priorität daran, unsere IT-Systeme wieder einsatzbereit zu machen. Wir kooperieren uneingeschränkt und unterstützen Behörden und Strafverfolgungsbehörden bei ihren Ermittlungen.
Leider führte der Cyberangriff in einigen Fällen zur unbefugten Offenlegung personenbezogener Daten. Alle Geschäftspartnerinnen und -partner oder betroffenen Personen wurden oder werden – sobald dies vernünftigerweise möglich ist – von uns aktiv und direkt informiert.
Der Angriff war ein Ransomware-Angriff, der über Phishing-E-Mails initiiert wurde, die am 6. April 2023 eingegangen waren. Über viele Tage stahlen die Angreifer eine kleine zufällige Auswahl (weniger als 1.3 %) von Dateien aus unserem Dateisystem und scannten unser internes Netzwerk auf Schwachstellen. Schließlich verschlüsselten die Angreifer am 19. April 2023 etwa 10 % unserer internen PCs und Server.
Wir haben unsere Systeme als Vorsichtsmaßnahme sofort offline geschaltet, als wir den Angriff bemerkten. Wir haben bereits viele geschäftskritische Systeme wiederhergestellt und arbeiten mit höchster Priorität daran, den Rest wieder betriebsbereit zu machen.
Die Anton Paar OptoTec GmbH ist ein Unternehmen mit Sitz in Seelze, die im Bereich optische Messtechnik tätig ist.
Germany Trade & Invest (GTAI)
Die Germany Trade and Invest – Gesellschaft für Außenwirtschaft und Standortmarketing mbH ist eine bundeseigene Marketing-Agentur für den Standort Deutschland. Seit dem 1. Januar 2009 ist sie Nachfolger der Bundesagentur für Außenwirtschaft. Über Twitter bin ich auf einen Cybervorfall aufmerksam geworden. Auf deren Webseite heißt es:
GTAI nur eingeschränkt erreichbar
10.05.2023
Aufgrund eines Hackerangriffs ist Germany Trade & Invest (GTAI) momentan nur eingeschränkt erreichbar. Wir bedauern diesen Umstand und arbeiten daran, unsere Systeme schnellstmöglich wieder in Betrieb zu nehmen.
Zurzeit können wir keine E-Mails empfangen oder versenden. Unsere Festnetzanschlüsse sind nicht erreichbar.
Bitte beachten Sie, dass uns derzeit auch Nachrichten aus den Kontaktformularen der Webseite nicht erreichen.
Unsere Mitarbeitenden sind über ihre dienstlichen Mobiltelefone erreichbar.
Es ist noch nicht absehbar, wann sich die Lage normalisiert.
Wir bitten um Verständnis.
Ziemlich magere Informationen – aber zwischen den Zeilen lese ich einen Cybervorfall – gut möglich, dass es eine Infektion mit Ransomware ist – heraus.
Ransomware bei ABB
Der Schweizer Konzern ABB, führend im Bereich Automatisierung und Bau von Elektrotechnik-Anlagen ist Opfer einer Ransomware-Infektion der Black-Basta-Gang geworden, wie ich auf Twitter gesehen habe. Die Kollegen von Bleeping Computer schreiben hier, dass das Unternehmen mit Sitz in Zürich am 7. Mai 2023 Opfer einer Ransomware-Attacke der Black Basta-Gang geworden sei.
Das Unternehmen verweigerte gegenüber Bleeping Computer zwar jegliche Stellungnahmen und schreibt hier über eine Absicherung gegen Cyberangriffe. Aber BleepingComputer hat von mehreren Mitarbeitern erfahren, dass der Ransomware-Angriff das Windows Active Directory des Unternehmens betroffen hat und Hunderte von Geräten in Mitleidenschaft gezogen worden seien. Als Reaktion auf den Angriff hat ABB die VPN-Verbindungen zu seinen Kunden gekappt, um die Ausbreitung der Ransomware auf andere Netzwerke zu verhindern.
Erziehungsdepartement Basel-Stadt
Blog-Leser Gero hatte in einem Kommentar im Diskussionsbereich darauf hingewiesen, dass Hacker im Januar 2023 erbeutete sensible Daten von Schülern und Lehrern ins Darknet stellen. Es sind wohl Hunderte von Personen in Basel betroffen. Gero hatte auf den Artikel hier verwiesen. Ein zweiter Blog-Leser hat mich per Mail auf diesen Hack des Erziehungsdepartment Basel hingewiesen.
Dem Beitrag hier entnehme ich, dass der Angriff bereits Ende Januar 2023 publik wurde. Mutmaßlich über eine Phishing-Mail konnte das System eduBS, ein Netzwerk, das den Basler Lehrpersonen und Schülerinnen und Schülern zur Verfügung steht und vom kantonalen Datennetz isoliert ist, angegriffen werden. Die Hacker haben dann geschäftliche Daten eines Angestellten abgezogen und die Stadt erpresst. In dieser Meldung hieß es noch, dass nur wenige Daten abgeflossen seien.
Nun berichtet der SRF von 1,2 Terabyte an Daten, die die Hacker aus dem Basler Erziehungsdepartement (EDI) abgezogen haben. Das geht wohl aus einer Meldung des EDI vom 10. Mai 2023 hervor, wo bestätigt wird, dass der Hack Ende Januar 2023 erfolgt sei. Die Daten finden sich nun im Darknet – dazu heißt es "Dazu zählen persönliche Informationen über Schülerinnen und Schüler, Lehrberichte, Zeugnisnoten, möglicherweise auch Abklärungsberichte über einzelne Personen".
In einer FAQ heißt es, dass die Daten Anfang 2023 abgeflossen seien. Meine Quelle berichtet, dass die Angreifer "um die Weihnachtsferien / Anfang 2023" in den pädagogischen Teil des "Netzwerks" des Erziehungsdepartements des Kantons Basel-Stadt (entspricht Kultusministerium eines Bundeslandes) eindringen konnten.
Mit etwas Recherche lässt sich herausfinden, dass es ein vom Kanton selbst gehostetes System ist, bei dem die Lehrer per VPN auf dieses System zugreifen. Dabei werden wohl auch private Geräte zum Einsatz kommen. Es reicht, wenn ein Teilnehmer auf eine Phishing-Mail hereinfällt und so die Zugangsdaten abgezogen werden können. Der Angreifer erhält dann Zugriff auf die Dienste und kann ab da auf Dateiserver zugreifen und sich möglicherweise lateral im (Windows-) Netzwerk bewegen. Wie der Angriff genau erfolgte, ob weitere Schwachstellen ausgenutzt wurden etc. wird möglicherweise nie öffentlich werden – und mein Bauchgefühl sagt mir auch, dass die IT nicht genau weiß, welche Dateien abgezogen wurden. Der Fall zeigt, wie komplex und anfällig solche Systeme im Grunde sind.
20 Jahre alte Schwachstelle in Schulministerium
Die letzten Wochen wurde ja eine Panne beim Download von Abituraufgaben in Nordrhein-Westfalen bekannt (siehe auch den heise-Artikel). In Folge wurde dann eine Schwachstelle öffentlich, über die Tausende von Datensätzen, die Lehrer angelegt hatten, zugreifbar waren.
Das Schulministerium ließ darauf hin alle IT-Prozesse der zum Geschäftsbereich des Schulministeriums gehörenden "Qualitäts- und Unterstützungsagentur – Landesinstitut für Schule NRW" (QUA-LiS NRW) durch IT-Expertenteams überprüfen. Lilith Wittmann hat in einer Serie von Tweets darauf reagiert und schreibt, dass einige Sicherheitslücken gefunden wurden.
In einem Nachtragsartikel von Golem räumt ein IT-Experte des Ministeriums ein, dass eine der Schwachstellen, die zum Leck führten, mit Sicherheit bereits 2015 bestand – möglicherweise reicht das Problem bis zum Jahr 2002 zurück – also 20 Jahre.
MSI-Hack und die Intel Keys
Im April 2023 hatte ich im Blog-Beitrag Cyberangriff auf MSI (April 2023) über einen Hack des in Taiwan angesiedelte Hersteller MSI (Micro-Star International) berichtet. Eine Ransomware-Gang mit dem Namen Money Message infiltrierte laut eigener Aussage einige Systeme von MSI. Die Gruppe drohte damit, erbeutete Dateien kommende Woche im Internet zu veröffentlichen, wenn kein Lösegeld von MSI bezahlt wird.
Nun sind wohl private Intel BootGuard-Schlüssel im aufgetaucht. Diese Keys von Lenovo/LCFC von September 2022 sind immer noch für zahlreiche Geräte (Lenovo, Supermicro, Intel etc.) in der Praxis relevant, wie jemand auf Twitter und in diesem GitHub-Beitrag schreibt. Auf DarkReading gibt es diesen Beitrag mit einigen Informationen zum Thema.
Millionen Patientendaten in US gestohlen
Im Blog-Beitrag Nachlese zu Sicherheitslücken und Patches (6. Feb. 2023 vom Februar 2023 hatte ich über eine Schwachstelle in der GoAnywhere-File-Transfer-Software berichtet. Die Clop-Ransomware-Gruppe behauptet, mit GoAnywhere-Zero-Day in 130 Unternehmen eingedrungen zu sein (siehe Cyber-News: Ransomware-Angriffe und mehr (10. Feb. 2023)).
Techchrunch berichtet hier von einem Massenhack von Gesundheitsdaten in den USA. NationBenefits, ein in Florida ansässiges Technologieunternehmen, das seinen mehr als 20 Millionen Mitgliedern in den USA Zusatzleistungen anbietet, bestätigte im April einen Ransomware-Angriff. Die Angreifer hatten eine Schwachstelle in der GoAnywhere-Dateiübertragungssoftware von Fortra ausgenutzt (siehe meine obigen Ausführungen) und waren in die Systeme eingedrungen.
Die Hacker konnten dann die Mitgliederdaten abziehen. Eine Auflistung auf dem Portal für Datenschutzverletzungen des US-Gesundheitsministeriums bestätigt nun, dass bei dem Vorfall Daten von mehr als drei Millionen NationBenefits-Mitgliedern gestohlen wurden, was den Vorfall zur drittgrößten Datenschutzverletzung im Gesundheitsbereich des Jahr 2023 macht, wie Techchrunch schreibt.
Decryptor für verschlüsselte Daten
Es gibt ein weiteres Tool zur Wiederherstellung von teilverschlüsselten Dateien nach Ransomware-Angriffen. Das automatisierte Tool "White Phoenix" zur Wiederherstellung von Daten aus teilweise verschlüsselten Dateien, die von Ransomware betroffen sind, ist auf GitHub verfügbar. Ein Artikel dazu findet sich auf Darkreading.
Anzeige
Hallo Herr Born, obwohl es vielleicht nicht die meisten Klicks oder Views bekommt: Bitte behalten Sie die Berichterstattung über solche Angriffe bei. Hochinteressant, wie ich finde. Man kann hier gut erkennen, wie weit wir in D von Sicherheit entfernt sind. Und: Die Aufbereitung der Artikel (es also leserfreundlich zu präsentieren) ist sehr gut gemacht, man versteht den eigentlich komplexen Inhalt und kann seine Schlüsse ziehen. Vielen Dank für diese Art der Artikel.
Hier schließe ich mich an.
Ich muss es einfach abwarten – mit der Zahl der Cybervorfälle komme ich deutlich über meine Grenzen hinaus. Ich will noch was zum WE schreiben – der Blog ist gerade 16 (und ich bin 68) geworden. Die Zukunft als Blog-Betreiber sieht "stürmisch" aus (inhaltlich, rechtlich, technisch, wirtschaftlich). Mal schauen, wie lange ich den Spagat noch bewerkstelligen kann. Aber dazu schreibe ich zu gegebener Zeit etwas mehr.
Noch habe ich keine Entscheidung getroffen – und "einfach den Stecker ziehen" habe ich nicht vor – wahrscheinlich wird es "langsam über die Jahre auslaufen lassen" werden – es sei denn das Ganze kollabiert irgendwann technisch und die Entscheidung wird mir aus der Hand genommen.
"Die Untersuchungen der Cybersicherheitsagentur Baden-Württemberg und des Landeskriminalamts Baden-Württemberg zum mutmaßlichen Angriff dauern weiter an. Die Untersuchungen werden auch am Wochenende fortgesetzt. "
So lautet die neueste Meldung heute Nachmittag direkt aus dem Landkreis Ludwigsburg. Und die Liste der beteiligten Bereiche ist größer geworden und umfasst jetzt Kliniken und Stadtwerke:
"Unterstützt wird das IT-Team des Landratsamts Ludwigsburg vom Dienstleister PiraCon, der Cybersicherheitsagentur Baden-Württemberg, der Komm.ONE, vom Landeskriminalamt Baden-Württemberg sowie von IT-Kräften der AVL, der RKH-Kliniken, der Stadtwerke Ludwigsburg-Kornwestheim GmbH sowie der Stadt Ludwigsburg."
Quelle: https://www.landkreis-ludwigsburg.de/de/landratsamt-landkreis/aktuelles/pressemitteilungen/detail/noch-keine-neuen-erkenntnisse-zum-sicherheitsvorfall-beim-landratsamt-ludwigsburg/
Beim IT-Dienstleister Piracon kommen beim Besuch der Homepage leichte Zweifel auf, inwieweit dieser so einer Sache gewachsen ist. Unleserliches Logo, wachsende Pflanzen und Zielflaggen, na dann viel Erfolg.
Ich frage mich in welchen Themen die IT der Stadt, der Stadtwerke und Klinken dem Landratsamt helfen können? Kann mir nicht vorstellen, dass dort für EG9/10/11 entsprechende Experten arbeiten, die ihr Wissen einbringen können/werden.