Britischer Zaunbauer für Militäranlagen Opfer der LockBit-Ransomware; Einstieg über Windows 7-PC

Sicherheit (Pexels, allgemeine Nutzung)Kurioser Sicherheitsvorfall in Großbritannien: Ein Hersteller von Hochsicherheitszäunen für militärische Anlagen wurde Opfer der LockBit-Ransomware. Der Hersteller geht zwar davon aus, dass keine sensiblen militärischen Informationen aus seinem Netzwerk abgeflossen sind – sondern nur andere Daten. Aber der Fall wirft Fragen auf – zumal das Eindringen der Ransomware-Gang über einen Windows 7-PC, der in der Produktion genutzt wurde, erfolgte.


Anzeige

The Register hat den Fall in diesem Artikel aufgegriffen. Das in Wolverhampton ansässige Unternehmen Zaun wurde kürzlich Opfer der LockBit-Ransomware. So weit so normal, kommt ständig in den besten Firmen vor. Zaun Ltd. ist aber nach eigenen Angaben "Zaunbauer", der auch Zäune für Hochsicherheitsanlagen baut.

Auf der Unternehmensseite heißt es, dass das Angebot an Sicherheitszäunen und -toren von Zaun sich für eine Vielzahl von Anwendungen eignet. Aufgezählt werden Militärstützpunkte, Gefängnisse, Geldautomaten, psychiatrischen Einrichtungen und mehr. Mir war nicht klar, das Geldautomaten und therapeutische Einrichtungen solche Hochsicherheitszäune benötigen. Die Zaunsysteme können mit einer Vielzahl von Sicherheitszusätzen (Kameras, Bewegungssensoren etc.) entworfen und hergestellt werden.

So weit, so gut. Nun kam es aber wohl zu einem Angriff auf das Netzwerk des Unternehmens durch die LockBit Ransomware-Gruppe. Laut Unternehmen gelang es der Ransomware-Gruppe vermutlich 10 GByte an Daten aus dem IT-Netzwerk der Firma abzuziehen. Und es stellte sich heraus, dass der Angriff wohl über einen in der Produktion verwendeten Windows 7-PC erfolgte, dessen Support bereits seit längerem endete.

"Wir glauben nicht, dass irgendwelche geheimen Dokumente auf dem System gespeichert waren oder kompromittiert wurden", wird das Unternehmen von The Register zitiert. Aber der Fall sorgt trotzdem für Besorgnis, weil Zaun Ltd. für Behörden und das Militär arbeitet und für diese Sicherheitszäune installiert. Berichten zufolge besteht das Risiko, dass die Angreifer Daten erlangen konnten, mit denen sie sich Zugang zu einigen der sensibelsten Militär- und Forschungseinrichtungen Großbritanniens verschaffen könnten. Zaun hat inzwischen das National Cyber Security Centre (NCSC) sowie das britische Information Commissioner's Office (ICO) über die Sicherheitsverletzung informiert.


Anzeige


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Britischer Zaunbauer für Militäranlagen Opfer der LockBit-Ransomware; Einstieg über Windows 7-PC

  1. R.S. sagt:

    Ich glaube kaum, das der Windows 7 PC die Ursache ist.
    Ransomware kommt i.d.R. auf andere Wege, wie z.B. E-Mail ins Firmennetz.
    Hätte der PC Windows 10 oder 11 drauf, wäre das zu 99% ebenfalls passiert.
    Der Schuldige ist nicht das Betriebssystem, sondern die Person vor dem Bildschirm!

    Und ob der Windows 7 PC tatsächlich einen alten oder einen aktuellen Patchstand hat, wissen wir nicht.
    Wenn der PC in der Produktion steht, dann war da wohl Windows 7 Embedded drauf und das bekommt noch bis Januar 2024 über das ESU-Programm (oder Bypass-ESU) Sicherheitsupdates.

    • mw sagt:

      Normalerweise ist das tödliche Trio Windows, Office, ActiveDirectory der Ansatzpunkt. Wenn auf einem PC in Produktion, der mutmaßlich etwas steuert, Office drauf ist und der dann auch noch ins AD eingebunden ist, klingt das nach Vorsatz. Sorry, keinerlei Mitleid. Und es hat die Richtigen getroffen: große Klappe aber wohl wenig Ahnung.

    • Erklärbär sagt:

      @R.S.
      Mit E-Mails arbeiten Amateure. So wie du denken die Admins der späteren Opfer. Profis finden veraltete Systeme mit Shodan oder Censys, und die wirklichen Profis mit Nmap usw. Und welchen "aktuellen Patchstand" ein Windows 7-Rechner aufweisen soll, solltest du näher erklären…

      • R.S. sagt:

        Wie schon geschrieben bekommt Windows 7 Embedded, sofern es sich im ESU-Programm befindet, noch bis Januar 2024 Sicherheitsupdates!
        D.H., der aktuelle Patchstand von Windows 7 Embedded mit ESU ist August 2023.
        Und auch nächste Woche gibt es wieder einen Sicherheitspatch von Microsoft.
        Patchunterstützung für Windows 7 ohne ESU endete im Januar 2020, mit ESU im Januar 2023, nur die Embedded-Version (und die Serverversion 2008R2) bekam noch ein 4. ESU-Jahr, also bis Januar 2024.

        • Erklärbär sagt:

          Tatsächlich, die Leiche kann reanimiert werden…
          Nur bezweifle ich, dass der erweiterte Support eingekauft worden war. Ich würde sogar Geld darauf setzen.

  2. 1ST1 sagt:

    "Der Schuldige ist nicht das Betriebssystem, sondern die Person vor dem Bildschirm!"

    Auch nicht wirklich. Ransomware muss erstmail in die Mailbox kommen, muss lokal auf dem PC des Nutzzers gespeichert werden können, muss gestartet werden können.

    Da sind überall technische Maßnahmen möglich, um jeden dieser einzelnen Schritte zu erschweren.

    Und selbst wenn der Win 7 PC das Einfallstor war, man kann den durchaus so betreiben, dass er kein Risiko darstellt, z.B. Betrieb in einem eigenen VLAN mit Firewall davor, "Proxy" für Fileshares davor (z.B. eine regelmäßig aktualisierte Linux-Büchse, die eine Freigabe auf der Kiste per SAMABA client mountet und per SAMBA Server wieder zur Verfügung stellt), usw.

  3. A. Nonym sagt:

    In "https://posts.ransomware.live/" steht der Angriff auf Zaun.co.uk mit dem Datum 13. August.

  4. Norddeutsch sagt:

    Interessant finde ich den britischen Humor im Firmennamen. Dazu sollte man wissen, dass die UKler mit uns seehr viel assoziieren ;-) , dies in zig Bereichen:

    In London nähe London Bridge gab es bis Covid zB den Currywurst-Laden Hermann ze German (beachte Ironie beim typisch Deutschen "th").
    Ebenso ist "ZAUN" als "Hochsicherheits-Militäranbieter" mit somit inidirekter Anlehnung an "Deutsche" Expertise sicher kein Zufall :-)

    • Steter Tropfen sagt:

      Wahrscheinlich war einer der Aiwanger-Brüder an der Gründung beteiligt…
      Das stereotype Bild, das in GB von „dem Deutschen" gepflegt wird, ist jedenfalls immer noch von vorvorgestern.

  5. Pau1 sagt:

    Es gibt nun mal Gewaltverbrecher die weggeschlossen werden müssen und Therapie brauchen. Auch gibt es demente Menschen die unbedingt wieder nach hause wollen…
    Für ein guten Zaun ist der Markt im Psychobereich groß.

    Das man einen W7 PC in der Produktion nutzt ist nicht wirklich ungewöhnlich, da es mitunter sehr sehr teure Hardware gibt, für die es nur Treiber für W7 gibt.
    Wobei W7 ja nu nicht so alt ist.
    Warum man so etwas offen ins Netz stellt ist sicherlich zweifelhaft. Um Updates zu ziehen?

    Es kann auch sein, das da Word und Excel drauf ist, weil Produktions-Parameter geloggt werden müssen.
    Und die Policy besteht, das jeder PC im AD angemeldet sein muss um die Wartung zu vereinfachen…
    Klarer Fall von "selbst schuld".

  6. Chris sagt:

    Der Einstieg kann auch über ein Windows 10 PC erfolgt sein, die Angreifer haben dann beim scannen des Netzwerkes den Win7 Rechner gefunden für den Sie wahrscheinlich sicher funktionierende Exploits in der Hinterhand hatten.

    Daher wird es einfacher gewesen sein einen permanenten Zugriff über den Win7 PC laufen lassen anstatt Gefahr zu laufen vom Win10/11 PC durch Updates blockiert zu werden.

  7. voko sagt:

    "Wir glauben nicht, dass irgendwelche geheimen Dokumente auf dem System gespeichert waren oder kompromittiert wurden"- der ist gut.😁

    • Charlie sagt:

      Das wird schon stimmen.
      Der Aushilfsadmin hat kurz geguckt, Documents ist leer und alle wichtigen Daten liegen nur auf Laufwerk Z:.

      • Fritz sagt:

        Ich denke schon, daß da nur produktionsrelevante Daten (z.B. die Geometrie von Zaunsfeldern nebst Toleranzfeld) und maximal noch der Kundenname / Auftragsnummer /Stückzahl lagen.

        Warum sollte man auch vertrauliche Angaben (z.B. Karten der Liegenschaft eines Militärstützpunktes) dort ablegen, die hat eher der Vertrieb, der die benötigte Menge Zaunsfelder nebst Sonderanfertigungen (Ecken, Abstufungen usw) anbieten muß.

  8. Sven Fischer sagt:

    Na ja, wenn man in der Exploit Database nach Windows 7 sucht, gibt es noch genügend Schwachstellen. Aktuell sind 45 gelistet, Zeitraum 2009 – 2019. Wenn man bedenkt, das MS 2010 offiziell den Support eingestellt hat, aber als Option Windows 7 ESU anbietet.

    Ich kenne auch noch viele, welche Win7 nutzen, aber ohne ESU. Da will ich gar nicht wissen, das da alles herumschwirrt, oder ob man Mitglied in einem Bot Netz ist. Spaß pur.

  9. Mario sagt:

    Immer wieder toll wie viele hier plötzlich zu Sicherheitsexperten mit Kristallkugel werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.