Sicherheits-, Ransomware- und Datenschutzvorfälle Mai 2023

Sicherheit (Pexels, allgemeine Nutzung)Die letzten Tage sind erneut einige Sicherheitsvorfälle bekannt worden, bei denen Daten offen gelegt oder Systeme mit Ransomware infiziert wurden. Die Stadtverwaltung von Bad Langensalza ist durch Ransomware IT-mäßig außer Betrieb. In den USA hat sich eine Ransomware-Gruppe tagelang bei einem Versicherer für Zahngesundheit umgesehen und Daten abgezogen. Der Google Authentificator soll eigentlich abgesichert worden sein, ist es aber nicht. Und beim Hersteller von Hauptplatinen, Gigabyte, gab es einen Vorfall bei der Aktualisierung der Firmware, so dass eine Backdoor installiert werden konnte. Der gesammelte Irrsinn der IT.


Anzeige

Ransomwarevorfall in Bad Langensalza

Ich hatte es bereits vor einigen Tagen mitbekommen, die Stadtverwaltung der thüringischen Stadt Bad Langensalza (Kurstadt in Thüringen) ist Opfer eines Cyberangriffs geworden. Die Mitteldeutsche Zeitung berichtetet hier kurz über den Vorfall, bei der die meisten EDV-Systeme nach Aussage der Stadtverwaltung lahmgelegt worden seien.

Ransomwarevorfall in Bad Langensalza

Die Zeitung verwies auf die Erklärung der Stadt auf der Webseite, wo sich folgende Informationen finden:

Sehr geehrte Bürgerinnen und Bürger,

die Stadtverwaltung wurde Opfer eines Cyberangriffs, mit der Folge, dass die meisten EDV Systeme lahmgelegt worden sind. Deshalb ist eine Erreichbarkeit derzeit nur unter erschwerten Bedingungen möglich.

Ebenso ist die Arbeitsfähigkeit der Verwaltung stark beeinträchtigt. Davon ausgenommen sind die Dienste des Einwohnermeldeamtes / Standesamtes. Diese werden am 31.05.2023 wieder zur Verfügung stehen. Am 01.06.2023 werden das Einwohnermeldeamt und das Standesamt ihre Dienstleistungen bis 18 Uhr anbieten.

Die telefonische Erreichbarkeit unter der gewohnten Nummer 03603-8590 kann zur Zeit aufgrund von technischen Problemen nicht gewährleistet werden. Diese wird jedoch so schnell wie möglich eingerichtet.

Eingehende Emails können derzeit unter der üblichen E-Mail-Adresse nicht eingesehen und bearbeitet werden. Wir haben eine Ersatzadresse eingerichtet. Diese ist: info(at)stadtlsz.de. An diese Adresse gerichtete E-Mails werden aktuell abgerufen und an die zuständigen Mitarbeiter weitergeleitet.

Wir arbeiten mit Hochdruck daran, dass der volle Service wieder angeboten werden kann. Bis dahin bitten wir Sie um ihr Verständnis.

Dem obigem Tweet nach sind Standesamt, Einwohnermeldeamt und die Telefonzentrale der Stadt wieder funktionsfähig. Zudem wurde eine E-Mail-Adresse für den Notbetrieb eingerichtet. Inzwischen ist aber klar, dass der Cyberangriff eine Ransomware-Attacke war, es liegt eine Lösegeldforderung vor, auf die aber nicht eingegangen wird.


Anzeige

Faules Google Authenticator-Update

Um bei einem Verlust des Handys mit der App ein Ersatzgerät verwenden zu können, hat Google in seiner Authenticator-App die Möglichkeit implementiert, die erforderlichen Passcodes im Google-Konto zu sichern. Im Blog-Beitrag Google Authenticator: Backup der Passcodes im Google-Konto; aber Ende-zu-Ende-Verschlüsselung kommt erst noch … hatte ich berichtet, dass die Übertragung des betreffenden Passcodes in das Google-Konto ohne Ende-zu-Ende-Verschlüsselung erfolgt. Nach Kritik von Sicherheitsexperten will Google die Ende-zu-Ende-Verschlüsselung immerhin nachrüsten.

Google Authenticator-Update

Google hat die Tage ein Update für seine Google Authenticator-App veröffentlicht, die eigentlich eine Ende-zu-Ende-Verschlüsselung einführen sollte. Inzwischen gibt es aber Berichtet (siehe obiger Tweet bzw. hier und hier), dass die angekündigte Ende-zu-Ende-Verschlüsselung durch dieses Update doch nicht vorhanden ist.

Datenleck bei US-Zahnarztversicherer

MCNA Dental ist einer der größten staatlich geförderten (Medicaid und CHIP) Anbieter von Zahnbehandlungen und Mundgesundheitsversicherungen in den USA. Beim US-Unternehmen Managed Care of North America (MCNA) Dental gab es einen Ransomware-Vorfall, bei dem die persönlichen Daten von 8,9 Millionen US-Bürgern, die bei diesem Unternehmen versichert sind, abgezogen wurden.

Managed Care of North America (MCNA) Dental

Gemäß obigem Tweet und diesem Artikel von Bleeping Computer wurde der Vorfall durch eine Meldung bei den Behörden öffentlich. SPON berichtet in diesem deutschsprachigen Beitrag, dass  die Angreifer Röntgenaufnahmen und persönliche Daten von Betroffenen veröffentlicht haben und eine Millionensumme erpressen wollen.

Ransomware bei Black Cat Networks

Beim Hosting-Anbieter Black Cat Networks gab es einen Ransomware-Angriff, bei dem Systeme verschlüsselt wurden. Laut nachfolgendem Tweet kam es kurzfristig zu einem totalen Systemausfall. Der Abfluss von Daten kann nicht ausgeschlossen werden – Details lassen sich hier nachlesen.

Ransomware bei Black Cat Networks

Gigabyte Motherboards mit Backdoor

Andy Greenberg berichtet auf Wired von einem unschönen Vorfall – siehe folgender Tweet und dieser Artikel. Sicherheitsforscher des auf Firmware spezialisierten Cybersecurity-Unternehmens Eclypsium sind in der Firmware von Motherboards des taiwanesischen Herstellers Gigabyte auf einen versteckten Mechanismus gestoßen, der die Firmware bei jedem Neustart der Platine zu aktualisieren versucht.

Gigabyte Motherboards mit Backdoor

Das Aktualisierungsprogramm läuft auf dem Computer und wird aus dem Code der Firmware des Motherboards aufgerufen. Dieses Programm lädt dann eine andere Software herunter und führt diese aus. Firmware-Updates sind eigentlich ja nicht schlecht – aber heimlich und ohne Kontrolle des Nutzers schon problematisch. Noch problematischer wird es, dass dieser Update-Vorgang unsicher ist. Die Forscher entdeckten, dass der Update-Vorgang unsicher implementiert ist. Dadurch ließe sich der Mechanismus möglicherweise kapern und zur Installation von Malware anstelle des von Gigabyte vorgesehenen Programms verwenden. Der gesamte Ansatz der Firmware-Aktualisierung durch Gigabyte "stinkt gewaltig", Nutzer haben quasi keine Möglichkeit, das zu entdecken oder zu entfernen. Es dürften Millionen Benutzer betroffen sein – Details lassen sich im verlinkten Artikel nachlesen.

Volt Typhoon zielt auf kritische US-Infrastruktur

Die Sicherheitsexperten von Microsoft sind kürzlich auf einen Angriff der Volt Typhoon genannte Gruppe gestoßen. Hinter dem Angriff steckt ein staatlich geförderter Akteur mit Sitz in China, der sich normalerweise auf Spionage und Informationsbeschaffung konzentriert. Die Gruppe versucht Zugriff auf Anmeldeinformationen zu erhalten und fokussiert sich auf die Erkennung von kompromittierten Netzwerksystemen, die in kritischen Infrastrukturorganisationen in den Vereinigten Staaten betrieben werden.

Die Gruppe Volt Typhoon ist seit Mitte 2021 aktiv und hat Organisationen mit kritischer Infrastruktur in Guam und anderen Teilen der Vereinigten Staaten ins Visier genommen. In der aktuellen Kampagne sind Organisationen aus den Bereichen Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung betroffen. Das beobachtete Verhalten deutet darauf hin, dass der Bedrohungsakteur beabsichtigt, Spionage zu betreiben und so lange wie möglich unentdeckt zu bleiben.

Volt Typhoon verschafft sich zunächst über Fortinet FortiGuard-Geräte mit Internetanschluss Zugang zu den betreffenden Systemen. Bei der Analyse durch Microsoft stellte sich heraus, dass der Bedrohungsakteur versucht, alle vom Fortinet-Gerät gewährten Privilegien zu nutzen. Dann extrahiert der Angreifer die vom Gerät verwendeten Anmeldedaten für ein Active Directory-Konto. Mit diesen Anmeldedaten versucht sich der Angreifer bei anderen Geräten im Netzwerk zu authentifizieren.

Bei erfolgreicher Kompromittierung des Zielsystems versuchen die Angreifer sich im System umzusehen und einzunisten. Dabei wird selten Malware gesetzt, um um Informationen über das System zu finden, weitere Geräte im Netzwerk zu entdecken und Daten zu exfiltrieren. Volt Typhoon leitet dabei seinen gesamten Netzwerkverkehr über kompromittierte SOHO-Netzwerk-Edge-Geräte (einschließlich Router) an seine Server weiter. Microsoft hat herausgefunden, dass viele der Geräte, darunter solche von ASUS, Cisco, D-Link, NETGEAR und Zyxel, dem Besitzer erlauben, HTTP- oder SSH-Verwaltungsschnittstellen ins Internet zu stellen. Besitzer solcher Netzwerk-Geräte sollten sicherstellen, dass die Verwaltungsschnittstellen nicht aus dem Internet erreichbar sind, um ihre Angriffsfläche zu verringern. Indem die Volt Typhoon-Gruppe diese Geräte als Proxyserver einsetzt, erhöhen die Angreifer die Möglichkeiten, dass diese Operationen unerkannt bleiben.

Microsoft konnte seinen Kunden zwar entsprechende Erkennungsmaßnahmen für die Schutzsoftware zukommen lassen.  Es besteht aber die Sorge, dass viele weitere Kunden unbemerkt kompromittiert werden. Microsoft hat sich dazu entschlossen, diese Volt Typhoon-Aktivitäten im Beitrag Volt Typhoon targets US critical infrastructure with living-off-the-land techniques öffentlich zu machen.

Check Point-Security schreibt, dass diese aus China kommenden Angriffe nichts neues seien. Chinesische APT-(Advanced Persistence Threat)-Gruppen, wie Volt Typhoon, sind bekannt für ihre ausgeklügelten Spionage-Kampagnen. Sie wollen meist strategische Informationen sammeln, Störungen verursachen, oder sich in einem System festsetzen, um für künftige Operationen bereit zu sein.

Check Point hat über die letzten Monate mehrere ähnliche Attacken gegen Auswärtige Ämter und Botschaften von europäischen Staaten beobachtet, die auf einen staatlich gestützten, chinesischen Akteur zurückgeführt werden konnten, den man Camaro Dragon nennt. Der Akteur weist Ähnlichkeiten zu einem bereits bekannten chinesischen Akteur namens Mustang Panda auf. Check Point stieß bei der Analyse auf eine gefährliche Sicherheitslücke in den verbreiteten TP-Link Routern, über die die Hintertür namens Horse Shell implementiert wird (siehe Bösartige Firmware "Horse Shell" als Backdoor für TP-Link-Router enttarnt). Die Backdoor kann genutzt werden kann, um ständigen Zugang zum Router und damit zum Netzwerk zu erhalten. Die Angreifer können so eine Hacker-IT-Infrastuktur für ihre Angriffe aufbauen.

Check Point empfiehlt, Software Updates nicht auf die lange Bank zu schieben, Patches gegen Sicherheitslücken sofort einzuspielen, keine Standard-Anmeldedaten zu verwenden und eine konsolidierte Sicherheitsarchitektur zu implementieren, um Prävention gegen alle Bedrohungsarten betreiben zu können. Das Check Point-Fazit: Die USA sind nicht das einzige Ziel chinesischer Cyber-Spionage-Attacken. Es wurden auch Kampagnen gegen EU-Mitglieder entdeckt, und sogar gegen die russische Rüstungsindustrie und gegen asiatische Staaten in Süd-Ost-Asien wurden Angriffe gefahren.

Weitere Meldungen

Microsoft hat einen neue Schwachstelle in macOS entdeckt, der man den Namen Migraine (Migräne) verpasst hat. Die Schwachstelle könnte es einem Angreifer mit Root-Zugriff ermöglichen, den Systemintegritätsschutz (SIP) in macOS automatisch zu umgehen und beliebige Operationen auf einem Gerät durchzuführen. SIP ist eine Sicherheitstechnologie in macOS, die einen Root-Benutzer daran hindert, Operationen durchzuführen, die die Systemintegrität gefährden könnten. Die Microsoft Sicherheitsforscher haben diese Erkenntnisse mit Apple durch Coordinated Vulnerability Disclosure (CVD) über Microsoft Security Vulnerability Research (MSVR) geteilt. Ein Fix für diese Schwachstelle, die nun als CVE-2023-32369 identifiziert ist, wurde in die von Apple am 18. Mai 2023 veröffentlichten Sicherheitsupdates aufgenommen.

Haufe berichtet hier über ein Urteil 33 O 376/22 vom 23. März 2023 des Landgericht (LG) Köln, welches einer Klage der Verbraucherzentrale Nordrhein-Westfalen stattgegeben hat.  Die Deutsche Telekom darf dem Urteil nach vorübergehend keine personenbezogenen Daten von Nutzern ohne deren ausdrücklicher Zustimmung an Google-Server in den USA übertragen. In der Begründung heißt es, dass ein angemessenes Datenschutzniveau in den USA nicht gewährleistet sei, solange es keine Nachfolgeregelung für das Datenschutzabkommen Privacy Shield oder entsprechende Standardvertragsklauseln gebe. Über dieses Thema hatte ich ja häufiger im Blog berichtet – und das Nachfolgeabkommen dürfte wohl auch scheitern (siehe Entschließung des EU-Parlaments zum US-EU Framework (Mai 2023)).


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Sicherheits-, Ransomware- und Datenschutzvorfälle Mai 2023

  1. Pau1 anstelle email sagt:

    Ist vielleicht was was für hier oder Deiner u50 Blog

    Es gab wohl auch ein Datenleck bei Bertelsmann.
    Es wurden die Adressen von denen verraten, die in den 60er und 70er Jahren ein teueres Lexikon gekauft hatten. Bei denen kreuzen jetzt Betrüger auf, die den wirklich alten Leuten Abschluss Bände für das Lexikon andrehen. Für nur 9999 Euro das Stück.
    Bertelsmann streitet natürlich alles ab und weiß nicht wie die Daten entfleuchen konnten.
    Ich frage aber, warum gibt es dises Daten auch noch 30 Jahre später?

    Quelle
    ZDF
    XY ungelöst warnt vor Betrug

    • Norddeutsch sagt:

      – Aktenzeichen XY ungelöst – Vorsicht Betrug! aired 31.5.2023 – 20.15
      – Mediathekview Nr 571650

      – Betroffen Kunden von Buchclubs oder Bertelsmann
      – Aussage Dr. Hubert Schuster – Betrugsdezernat:
      01:03:20 Geht davon aus, dass "…Adressen gestohlen wurden, mitgenommen oder dann auch geleakt wurden"

      01:07:30 Ansatz von Nancy Faeser – Betrügereien entgegenwirken.
      Kein Wort von Ursachenlösung oder Verhinderung von Datenabfluss :-)
      Prävention wird zB eher Richtung Awareness bei Betroffenen gesehen.

      p.s.: Es gibt bei Bertelsmann in den letzten Jahren mehrere Datenschutzvorfälle. Das singuläre Bertelsmann ist dabei falsch verstanden (Subbereiche, Ausgliederungen, Dienstleister…).
      Dies ist ein großes, extrem trauriges und spannendes Thema. Ob jedoch hierbei genau die o.g. Daten abflossen wird sich nach Insidern eher nicht klären lassen.

  2. Martin Fessler sagt:

    @Gigabyte
    Jö wieder mal WPBT… UEFI ist schon ne tolle Sache!

    Hier zwei Einträge dazu aus einem von mir sehr geschätzten Blog:
    https://www.borncity.com/blog/2021/10/30/windows-wpbt-schwachstelle-ermglicht-rootkit-installation/
    https://www.borncity.com/blog/2015/08/15/backdoor-windows-platform-binary-table-wpbt/

    Da hilft nun wohl nur noch ein weiteres "Sicherheitsfeature" von Microsoft und/oder Intel. ;-)

    Grüße
    Martin

  3. noname sagt:

    Und da nun schon Juni ist, ein Beitrag für das nächste GAU-Sammelupdate:
    Ein Hackerangriff auf die Berner IT-Dienstleisterin Unico Data AG zieht immer weitere Kreise:
    https://www.watson.ch/digital/ransomware/954133431-angriff-auf-schweizer-it-dienstleister-betrifft-pathe-kinos-und-viele-mehr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.