Sicherheitsinfos: Vossko, Uni Frankfurt, LKA-Leak, Matrix-Take down etc. (4.12.2024)

Kleiner Sammelbeitrag vom 4. Dezember 2024 zu Sicherheitsthemen. Black Basta reklamiert einen Ransomware-Angriff auf Convenience Spezialist Vossko. Die RansomHub-Gruppe will Daten der Goethe Universität Frankfurt erbeutet haben. Europol zerschlägt das von Cyberkriminellen benutztes Matrix. Und ein aufmerksamer Bürger hat durch Zufall einen geheimen Datenspeicher des Staatsschutzes im Internet gefunden – und noch mehr "Sicherheits-Wahnsinn".

Ransomware bei Vossko

Die Vossko GmbH & Co. KG ist Convenience Spezialist für Geflügel-, Rind- und Schweinefleisch sowie für vegetarische und vegane Artikel in Tiefkühlung und Kühlung. 

Das Unternehmen wurde bereits am Donnerstag, den 14.11.2024, Opfer eines gezielten Cyberangriffs per Ransomware, bei dem die internen Systeme und Datenbanken verschlüsselt wurden. Die Schadsoftware beeinträchtigte die betrieblichen Abläufe, jedoch konnten betroffene Systeme und die Produktion bereits wiederhergestellt werden.

Auf X hat mich HackManac in einem Tweet darauf hingewiesen, dass die Ransomware-Gruppe Black Basta den Angriff auf Vossko reklamiert. Man habe 800 GB an Daten exfiltriert, darunter  seien Finanzdaten, persönliche Daten von Mitarbeitern, Projekte und persönliche Dokumente. Die Cyberkriminellen drohen mit der Veröffentlichung bis zum 12. Dezember 2024, wenn nicht gezahlt wird.

Datenabfluss bei Universität Frankfurt?

Ich hatte zwar im Beitrag Sicherheitsmeldungen vom 8.7.2024 einen Vorfall vom 06.07.2024 auf die Frankfurt University of Applied Sciences (eine FH) aufgegriffen – die waren Ziel eines Hacker-Angriffs geworden. Aber die FH hat nichts mit der Goethe Universität Frankfurt zu tun, die möglicherweise ebenfalls Ziel eines Ransomware-Angriffs geworden ist.

HackManac informiert in obigem Tweet über einen Post der RansomHub-Gruppe, die einen erfolgreichen Angriff auf die Goethe Universität Frankfurt für sich reklamiert. Die Gruppe will 180 GByte Daten exfiltriert haben und droht mit einer Veröffentlichung zum 10. Dezember 2024, wenn nicht gezahlt wird. Bisher habe ich noch nichts sonst über einen Cyberangriff auf die Goethe Universität Frankfurt finden können.

Weitere Ransomware-Opfer sind laut HackManac die Unternehmensberatung Deloitte UK, die von der Gruppe Brain Cipher kompromittiert wurden. Und Certified Information Security aus den USA ist Opfer der Bashe Hacking-Gruppe.

Geheimer Datenspeicher des LKA aufgedeckt

Stell dir vor, Du bist Bürger und willst das Hinweisportal der Polizei nutzen, um etwas zu melden. Dann verklickst Du dich und bist auf einem streng geheimen Online-Speicher des LKA gelandet. Da würde mir heiß und kalt den Rücken runter laufen, da der Gedanke sofort an § 203a ff. auftaucht.

Was wie Real-Satire klingt, hat sich wirklich im September 2024 zugetragen. Ein Konfigurationsfehler hat dazu geführt, dass ein geheimer Netzwerkspeicher des Staatsschutzes beim LKA Brandenburg öffentlich erreichbar war. Das Ganze wird als gravierender Datenschutzverstoß verbucht – die Details hat n-tv in diesem Beitrag aufbereitet.

Matrix-Netzwerk ausgehoben

MATRIX ist ein Messaging-Dienst, der von Kriminellen genutzt wurde (nicht mit matrix.org zu verwechseln). Von den niederländischen Behörden wurde eine App zur Nutzung des Diensts erstmals auf dem Telefon eines Kriminellen entdeckt, der 2021 wegen des Mordes an einem niederländischen Journalisten verurteilt wurde. Es wurde eine groß angelegte Untersuchung des Nachrichtendienstes eingeleitet.

Es wurde schnell klar, dass die Infrastruktur dieser Plattform technisch komplexer war als die früherer Plattformen wie Sky ECC und EncroChat. Die Gründer waren überzeugt, dass der Dienst besser und sicherer war als frühere, von Kriminellen genutzte Anwendungen. Die Nutzer konnten dem Dienst nur beitreten, wenn sie eine Einladung erhielten. Die Infrastruktur für den Betrieb von MATRIX bestand aus mehr als 40 Servern in mehreren Ländern, wobei sich wichtige Server in Frankreich und Deutschland befanden.

Die Zusammenarbeit zwischen den niederländischen und französischen Behörden begann über eine bei Eurojust eingerichtete Gruppe. Durch den Einsatz innovativer Technologie gelang es den Behörden, die Kommunikation über den Nachrichtendienst abzufangen und die Aktivitäten auf dem Dienst drei Monate lang zu überwachen. Mehr als 2,3 Millionen Nachrichten in 33 Sprachen wurden im Laufe der Ermittlungen abgefangen und entschlüsselt.

Die abgefangenen Nachrichten stehen im Zusammenhang mit schweren Straftaten wie internationalem Drogenhandel, Waffenhandel und Geldwäsche. In einer internationalen Operation haben Strafverfolger den von Kriminellen genutzten verschlüsselten Messaging-Dienst Matrix ausgehoben, wie Europol hier mitteilte.

In einer koordinierten Aktion, die von Eurojust und Europol unterstützt wurde, wurde der Messaging-Dienst am 3. Dezember 2024 von den niederländischen und französischen Behörden abgeschaltet, und ihre italienischen, litauischen und spanischen Kollegen führten Folgemaßnahmen durch.

Bei der Aktion wurden in vier Ländern Maßnahmen zur Abschaltung des Dienstes und zur Verfolgung von Schwerverbrechern durchgeführt. In Frankreich konnte ein Verdächtiger verhaftet und sein Haus durchsucht werden. In Spanien wurden zwei Verdächtige aufgrund eines Europäischen Haftbefehls aus den Niederlanden verhaftet und sechs Häuser durchsucht. In Litauen wurden sechs Häuser durchsucht. Die Hauptserver in Frankreich und Deutschland wurden abgeschaltet. Kriminelle, die den Nachrichtendienst nutzen, werden von den Behörden über eine Splash-Seite auf das Abhören aufmerksam gemacht. Auf Antrag können die Behörden nun für ihre Ermittlungen auf die Nachrichten zugreifen.

Administrator des Crimenetwork festgenommen

Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) teilten hier mit, dass man am Montag, den 2. Dezember 2024, einen der Administratoren der kriminellen Handelsplattform "Crimenetwork" festgenommen habe.

Neben umfangreichen Beweismitteln und hochwertigen Fahrzeugen konnte auch Vermögen im Wert von rund einer Million Euro in Kryptowerten sichergestellt werden. Die Plattform galt als größter deutschsprachiger Online-Marktplatz für die Underground Economy und war seit vielen Jahren aktiv. Nun konnten im Rahmen der Ermittlungen die zur technischen Infrastruktur gehörenden Server der Plattform abgeschaltet werden.

Dem 29-jährigen Beschuldigten wird vorgeworfen, über viele Jahre als technischer Administrator der Plattform (sog. Techmin) agiert zu haben. Gegen ihn besteht der Verdacht des Betreibens krimineller Handelsplattformen im Internet gemäß § 127 des Strafgesetzbuches sowie weiterer Straftaten wie etwa des Handeltreibens mit Betäubungsmitteln in nicht geringer Menge gemäß §§ 29a, 30a des Betäubungsmittelgesetzes. Er wurde noch am Montag dem Haftrichter vorgeführt und befindet sich nun in Untersuchungshaft.

„Crimenetwork" diente als Marktplatz für illegale Waren und Dienstleistungen, insbesondere für gestohlene Daten, Drogen und gefälschte Dokumente. Die Plattform bestand bereits seit dem Jahr 2012 und war über viele Jahre hinweg eine der zentralen Handelsplattformen der deutschsprachigen Underground Economy. Zuletzt waren auf der Plattform mehr als 100.000 Nutzer und über 100 Verkäufer angemeldet. Die Kunden der Plattform dürften sich überwiegend im deutschsprachigen Raum aufhalten.

Für die Bezahlung der illegalen Waren und Dienstleistungen verwendeten die Nutzer die Kryptowährungen Bitcoin (BTC) und Monero (XMR). Im Zeitraum 2018 bis 2024 wurden über „Crimenetwork" Umsätze in Höhe von mindestens 1.000 BTC (derzeit umgerechnet ca. 90 Millionen Euro) und über 20.000 XMR (derzeit umgerechnet ca. 3 Millionen Euro) erzielt. Die Betreiber der Plattform sollen für die Abwicklung der erfolgten Verkäufe Provisionszahlungen in Höhe von ein bis fünf Prozent des Verkaufswertes erhalten haben. Darüber hinaus wurden durch die Verkäufer monatliche Gebühren für z. B. Werbung und ihre Verkaufslizenzen an die Betreiber der Plattform gezahlt.