Die Uni Düsseldorf ist Opfer eines schweren Cyberangriffs geworden, bei dem sich die Angreifer Zugang zum E-Mail-System der Einrichtung verschaffen konnten. Auch der Bauteile-Hersteller Wildeboer ist von Cyberangriff betroffen, da geht seit zwei Wochen nichts mehr. Der Trinkwasserverband Stader Land ist ebenfalls Opfer eines Lockbit 3.0 Ransomware-Angriffs geworden. Ähnliches gilt für den Hersteller von Sicherungen, die Kasseler ESKA Erich Schweizer GmbH, die von Rhysida-Ransomware betroffen scheint. Hier ein Rundblick auf die Cyber-News der letzten Tage.
Anzeige
Cyberangriff auf Wildeboer
Das im Landkreis Leer in Weener angesiedelte Unternehmen Wildeboer stellt unter anderem Brand- und Schallschutz-Bauteile für Bürokomplexe und Stadien her. Am 14. Juli 2023 kam es zu einem Cyberangriff auf die IT dieses Unternehmen, wie der NDR hier meldet.
Ein Unternehmenssprecher bestätigte dem NDR in Niedersachsen den Angriff, bei dem Mitte Juli 2023 die IT des Unternehmens lahm gelegt und die Firmen-Daten verschlüsselt wurden. Auf den Systemen wurde eine Datei mit Forderungen der Ransomware-Gruppe gefunden, wobei keine Details genannt wurden. Das Unternehmen informierte die Polizei; die zuständige Zentrale Kriminalinspektion und die Staatsanwaltschaft Osnabrück ermitteln. Seitdem ruht die Produktion, ein Großteil der 350 Mitarbeiter ist seit dem 14. Juli in Kurzarbeit. Auf seiner Webseite vermeldet das Unternehmen derweil "positive" Nachrichten.
Angriff auf die Wildeboer IT Systeme
Liebe Geschäftspartnerinnen, Liebe Geschäftspartner,
im Zuge der Wiederherstellung nach der Cyberattacke vom 14. Juli 2023 freuen wir uns, Ihnen positive Entwicklungen mitteilen zu können.
Aktuell sind wir mit voller Kraft dabei, unser Netzwerk wiederherzustellen. Zug um Zug nehmen wir Server und PC erneut in Betrieb und stellen essenzielle Funktionen wieder her. Aktuell steht unsere Technische Beratung vollständig zu Ihrer Verfügung. Auch unsere Angebotsabteilung ist seit dem 1. August wieder aktiv und erstellt Angebote für Sie.
Das Unternehmen hat die E-Mail-Konten seiner Mitarbeiter erneuert und ist auch unter der allgemeine E-Mail-Adresse info@wildeboer.de ist ab sofort wieder erreichbar. Eine Angebotsbearbeitung sowie technische Beratung ist möglich, der Einkauf ist wieder erreichbar. Auch wurde die Telefonanlage im Zuge der Neuaufsetzung aktualisiert. Weitere Informationen finden Sie in diesem News-Artikel.
Anzeige
ESKA Erich Schweizer GmbH
Die in Kassel angesiedelte ESKA Erich Schweizer GmbH ist Deutschlands führendem Hersteller für Sicherungen aller Art und passiver Bauelemente zum Strom- und Überspannungsschutz.Laut nachfolgendem Tweet ist der Hersteller von Sicherungen von der Rhysida-Ransomware betroffen.
Die Erpresser der Rhysida-Ransomware verlangen 5 Bitcoins Lösegeld (133.030 Euro) und drohen mit der Veröffentlichung von erbeuteten Daten. Im Web oder auf der Herstellerseite habe ich bisher noch keine Meldung zu diesem Cybervorfall gefunden.
Trinkwasserverband Stader-Land
Der Trinkwasserverband Stader-Land ist ein kommunales Unternehmen und versorgt den Landkreis Stade (bis auf die Kernstädte Stade und Buxtehude) mit Trinkwasser. Zudem betreibt der Verband die Abwasserentsorgung der Samtgemeinde Oldendorf und führt die Abwasserabrechnung für viele Gemeinden des Landkreises Stade durch. Laut nachfolgendem Tweet ist der Verband Opfer der Lockit 3.0 Ransomware-Gruppe geworden, die nun droht, Informationen zu veröffentlichen.
Weitere Details liegen bisher nicht vor – eine Meldung des Verbands über den Vorfall habe ich bisher nicht gefunden. Ergänzung: Inzwischen gibt es diesen Artikel der Kreiszeitung Wochenblatt vom 4. August 2023, der den Cyberangriff bestätigt. Aufgefallen ist dies, weil der Verband nun auf seiner Homepage folgende Meldung anzeigt:
Sehr geehrte Kunden,
beim Trinkwasserverband Stader Land hat es einen IT-Security-Vorfall gegeben, welcher technische Störungen nach sich zieht. Leider sind davon auch unsere E-Mail-Systeme betroffen. Sofern Sie hier in Mitleidenschaft gezogen wurden, bedauern wir die damit verbundenen Unannehmlichkeiten sehr.
Die Wasserversorgung war zu keinem Zeitpunkt betroffen und läuft in gewohnt hoher Qualität.
Derzeit arbeiten wir mit Hochdruck an der sicheren Wiederherstellung aller betroffenen IT-Systeme. Dabei werden wir durch externe Experten unterstützt.
Sollte eine Mitteilung von Ihnen ohne Antwort sein, senden Sie es uns bitte erneut an rueckfrage@ext.twv-staderland.de zu oder rufen Sie uns unter 04163 / 818 – 0 an. Wir werden uns dann schnellstmöglich um dessen Erledigung kümmern.
Viele Grüße
Trinkwasserverband Stader Land
Mein Artikel hier resultiert vom 1. August 2023 und basiert darauf, dass die Angreifer den Trinkwasserverband als Opfer gelistet haben. Der erfolgreiche Angriff dürfte also im Juli 2023 oder früher stattgefunden haben. Es sieht wohl so aus, dass da Dateien auf Systemen verschlüsselt wurden. Unter diesem Aspekt hat der Verband verdammt lange gebraucht, um den Vorfall öffentlich zu machen.
Cyberangriff auf Uni Düsseldorf
Ganz frisch rein gekommen (in diesem Artikel RP-Online, Paywall) ist die Meldung über einen Cyberangriff auf die Uni Düsseldorf. Der Angriff fand aber bereits im Mai 2023 statt, wie aus dieser Meldung der Universität vom 14. Juli 2023 hervorgeht. Demnach wurde an der HHU ein einzelnes IT-Arbeitsplatzsystem durch einen Cyberangriff mit einer Schadsoftware kompromittiert. Hierdurch erhielten die Angreifer zunächst unbemerkt Zugriff auf E-Mails aus Postfächern, welche bis zum 25. Mai 2023 auf diesem IT-System eingebunden waren.
Betroffen waren die Postfächer der E-Mail-Adressen des Kanzlers (samt des Postfachs von Martin Goch) und einige weiterer Postfächer. Nach einer forensischen Untersuchung des Systems wurde festgestellt, dass die Angreifer vermutlich alle E-Mails dieser Postfächer heruntergeladen haben. Dies betrifft sämtliche E-Mails, die vor oder am 25.05.2023 an oder von diesen Postfächern verschickt wurden. Inhalte aus E-Mails in diesen Postfächern wurden seit Ende Juni 2023 für Phishing-Angriffe auf Kontakte der Postfächer innerhalb und außerhalb der HHU verwendet. Die Inhalte der vermehrt im Umlauf befindlichen Phishing-Mails enthalten teilweise personenbezogene Daten.
Die Sicherheitslücke im E-Mail-System der Uni wurde unmittelbar nach Bekanntwerden geschlossen. Dies ändert jedoch nichts daran, dass die oben genannten Daten entwendet wurden und Kriminellen bekannt sind. Die Funktionsfähigkeit der weiteren IT-Systeme der HHU war aufgrund dieses Angriffs zu keinem Zeitpunkt beeinträchtigt. Über die Identität der Angreifer liegen keine Informationen vor. Die HHU hat nach Bekanntwerden des Angriffs Anzeige erstattet. In Ergänzung dazu wurde nach Vorgaben aus den Datenschutzgesetzen der Vorgang bei der zuständigen Aufsichtsbehörde für den Datenschutz gemeldet.
Anzeige
Und in allen Fällen war es Microsoft Exchange resp. Windows, oder warum wird es in keinem Fall explizit erwähnt, es scheint so selbstverständlich zu sein…
Na ja, ob Exchange oder Windows ist ja erst einmal egal. Die wichtigere Frage ist ob die Systeme gepatcht und ordentlich eingerichtet waren oder ob es durch einen 0-Day zustande kam. Ich vermute ersteres…
Könnte auch Zimbra sein?
Macht euch doch den Spaß und sendet an jedes der betroffenen Unternehmen eine Mail.
Die darauf folgende Antwort wird mit hoher Wahrscheinlichkeit sehr viele Informationen im Quelltext enthalten.
Gerade Exchange/Outlook sind so dermaßen stümperhafte, unprofessionelle Produkte, daß man bis in das gegnerische Netzwerk hineinspionieren kann (lokale IP, hostname etc.).
Der Microsoft Klassiker:
Damals konnte man die hotmail/outlook Server noch online testen und deren Verschlüsselung darstellen lassen (sie haben mies gepunktet, noch schlimmer als die Freemailer).
Microsofts Lösung: Nicht die ursächlichen Mängel beheben, sondern die Server hinter anderen Servern verstecken.
Würde mich nicht wundern, wenn dieselben Schwächen auch heute noch vorhanden sind.
Herrlich. Weiter so KMUs & Co , Exchange, Windows AD + Azure, alles in die Klaud – weil da gibts gleich den Masterkey – ROFL. Ist und bleibt halt eine Kartoffelnation.
wer sagt das on-prem sicherer ist? Ich erinnere an Hafnium…
Naja, für einen solchen "Hack" mit begrenztem Postfach Zugriff (wenn auch high profile) fallen einem einige eher low tech Ansätze ein. Wenn nicht direkt die Rede von APT ist sollte man wohl von nem portablen VNC Server ausgehen…