Ransomware-Infektionen, Datenabflüsse, Sicherheitslücken Ende Mai 2023

Zum Wochenabschluss noch eine kurze Übersicht über Cybervorfälle Ende Mai 2023. Beim Klinikverbund Nord in Bremen (Geno) ist es nach einem Ransomwarebefall zum Datenabfluss persönlicher Daten (Mitarbeiter, Patienten) gekommen.  In Thüringen hat es wieder Kommunen mit Ransomware getroffen. Auch in der Schweiz gab es einen Ransomware-Angriff auf eine Unternehmensgruppe mit weitreichenden Folgen. Und beim iPhone bzw. iOS gibt es eine neue Schadsoftware, die die Geräte angreift.

Datenabfluss in Bremer-Kliniken

Im Blog-Beitrag Cyberangriffe und Datenschutz: Kliniken in Bremen, Verkehrsbetriebe Chemnitz und mehr hatte ich über einen Cyberangriff auf den Klinikverbund Nord in Bremen (Geno) berichtet. Nun steht fest, dass bei diesem Angriff Daten von Patienten abgeflossen sind.

In diesem Beitrag berichtet butenunbinnen, dass bis zu 100.000 Dateien beim Angriff abgezogen wurden.  Eine Sprecherin sagte, dass hauptsächlich Daten aus dem Klinikum Bremen-Ost – und zwar aus allen Bereichen – abgeflossen seien. Diese Daten beträfen sowohl Patienten als auch Beschäftigte des Bremer Klinikverbundes. Darunter sind zum Beispiel Stammdaten, Befunde, Sitzungsprotokolle oder Urlaubspläne, so die Geno-Sprecherin. Ein Beitrag findet sich auch bei heise.de.

Ransomware bei Kommunen in Thüringen

Gemäß nachfolgendem Tweet wurden von gleich zwei Kommunen, die Internetseiten der Stadtverwaltung Kaltennordheim und der Verwaltungsgemeinschaft Hohe Rhön in Thüringen kompromittiert. Der Grund: Beide Stellen verwendeten den gleichen Server, der von Angreifern übernommen werden konnte. Nachdem Daten verändert und Schadsoftware gefunden wurde, hat man den Server offline genommen.

Details berichten der MDR und it-daily.net.

Cyberangriffe in der Schweiz

Gemäß nachfolgendem Tweet gab es einen Cyberangriff auf die Unico AG, ein Schweizer IT-Dienstleister, durch die Play-Ransomware-Gruppe. Das betrifft  unter anderem die Pathé-Kinos, einen Werkzeughersteller und eine Gemeinde. Details lassen sich in diesem Beitrag nachlesen.

Weiterhin meldet Inside Paradeplatz (ein Finanz-News-Portal aus Zürich) in diesem Beitrag einen Cyberangriff auf den Schweizer Krypto-Broker Bitcoin Suisse. Ergänzung: Zudem gab es einen Angriff (Supply Chain Attack) auf den IT-Dienstleister XPlain, von dem die Schweizer Armee und/oder das Bundesamt für Polizei (Fedpol) direkt betroffen sein sollen. Details finden sich in diesem französischen Artikel – via Twitter. Zudem hat mich ein Leser auf diesen deutschsprachigen SRF-Bericht hingewiesen.

Datenleck bei Zooplus

Ein Blog-Leser hat mich Ende Mai 2023 per Mail über ein Datenleck beim Anbieter Zooplus informiert und schrieb in einer E-Mail:

Hallo Herr Born,

bei Zooplus hat es über Pfingsten ein Datenleck mit kompromitierten Konten gegeben.

Wir sind direkt davon betroffen.

Es wurden mehrere Pakete an uns völlig fremde Personen versendet, mit Abbuchung über unsere Kreditkarte.

Bei einer Kontaktaufnahme wurde uns nur gesagt, wir sollen doch Strafanzeigen stellen… Naja, wenigstens haben sie auf unseren Wunsch den Account zugemacht.

Erste Meldungen an diversen Stellen tauchen auf, u.a. bei Zooplus Facebook.

Auf finanznachrichten.de gibt es diesen Beitrag zum Thema. Auch bei onlinehaendler-news.de gibt es einen Beitrag.

Weitere Sicherheitsmeldungen

Besitzer von iOS-Geräten stehen im Fokus diverser Angreifer. Sicherheitsanbieter Kaspersky ist auf einen 0day 0-click Exploit gestoßen, der iOS-Geräte befällt. Aufgefallen ist der Schädling bei der Überwachung des Netzwerkverkehrs des unternehmenseigenen Kaspersky Wi-Fi-Netzwerks für mobile Geräte mit der Kaspersky Unified Monitoring and Analysis Platform (KUMA). Zuerst wurden verdächtige Aktivitäten, die von mehreren iOS-basierten Telefonen ausgingen, bemerkt.

Die Analyse legt dann die Schadfunktionen der Kampagne "Operation Triangulation" offen. Details lassen sich über obigem Tweet in diesem Beitrag auf Securelist.com nachlesen.

Die zweite Meldung zu iOS kommt aus Russland. Der russische Föderale Sicherheitsdienst (FSB) beschuldigt den US-Geheimdienst (NSA), "Tausende von Apple-Handys" gehackt zu haben, um russische Diplomaten auszuspionieren. Dies seit nach "Vorarbeiten von Apple" passiert. Die US-Behörden und Apple dementieren. The Register hat einen Beitrag zum Thema – heise hat in diesem Artikel die Darstellung von Apple aufgegriffen.

Weiterhin gab es Ende Mai 2023 eine Meldung über ein Datenleck bei einem VPN-Anbieter. Sicherheitsforscher sind auf eine falsch konfigurierte Datenbank des Anbieters SuperVPN gestoßen. Die Datenbank besaß die Größe von 133 GB und enthielt über 360 Millionen Datensätze. Darunter waren auch die privaten Informationen, wie E-Mail-Adressen, ursprüngliche IP-Adressen, Geolocation-Daten und mehr, der Nutzer dieses Diensts. Details finden sich in diesem Beitrag.

Und zum Thema KI sind mir diese Woche zwei Meldungen unter die Augen bzw. Ohren gekommen. Es gibt einen offenen Brief mit einer Warnung von KI-Koryphäen, u.a. von OpenAI und Google, die vor Ende der Menschheit durch aus dem Ruder laufende Künstliche Intelligenz-Anwendungen warnen. Der Spiegel hat diesen Beitrag zum Thema publiziert.

Weiterhin gab es heut Früh einen Beitrag im HR-Radio, der eine Warnung des BKA vor KI-gestützten Angriffen und Betrugsversuchen warnen. So gibt es wohl erste Anrufe bei der "Enkel-Trick-Masche", bei der per KI generierte Stimmen von Familienangehörigen benutzt werden sollen, um die angerufenen Opfer zur Zahlung von Geldern zu bringen, um Familienangehörigen aus einer Notlage zu helfen.

Im Mai 2023 hatte ich im Blog-Beitrag Kritisches Sicherheitsupdate (24. Mai 2023) für alle Zyxel-Firewall-Produkte – Angriffe laufen bereits über eine Schwachstelle in Zyxel Firewall-Produkten berichtet. Inzwischen sind Cyber-Kriminelle dazu übergegangen, ungepatchte Instanzen anzugreifen und über die Schwachstelle zu infizieren, um ein Botnetz aufzubauen. heise berichtet in in diesem Artikel über diesen Sachverhalt.

Die Kollegen von Bleeping Computer hatten Ende Mai 2023 noch den Beitrag New PowerExchange malware backdoors Microsoft Exchange servers, der eine neue Backdoor in Exchange aufgreift. Es ist eine neue PowerShell-basierte Malware mit dem Namen PowerExchange, die bei Angriffen der Gruppe APT34, (iranische Staatshacker) verwendet  wurde, um Microsoft Exchange-Server vor Ort zu infiltrieren. Nach der Infiltrierung des Mail-Servers über eine Phishing-E-Mail mit angehängter Malware installieren die Angreifer eine Web-Shell namens ExchangeLeech. Das FortiGuard Labs Threat Research-Team ist auf den kompromittierten Systemen einer Regierungsorganisation der Vereinigten Arabischen Emirate auf die PowerExchange-Backdoor gestoßen. Hier kann ich die Relevanz für andere Ziele aber nicht wirklich einschätzen.

Ergänzung: heise berichtet hier, dass Sicherheitsprodukte von Symantec über Schwachstellen angreifbar seien – die Produkte müssten per Update aktualisiert werden. Photo-Solarzellen werden ja immer beliebter – aber die Konverter (Wechselrichter) sind oft mit dem Internet verbunden. Niederländische Experten haben sich diverse Produkte angesehen und bei fünf von neun Wechselrichtern Schwachstellen gefunden. Die Wechselrichter ließen sich von Cyber-Angreifern abschalten. Die Epochtimes hat das Thema in diesem Artikel aufgegriffen.