{"id":252485,"date":"2021-04-26T10:55:49","date_gmt":"2021-04-26T08:55:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252485"},"modified":"2023-10-05T18:23:39","modified_gmt":"2023-10-05T16:23:39","slug":"ransomware-angriffe-tegut-madsack-und-mehr-26-4-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/26\/ransomware-angriffe-tegut-madsack-und-mehr-26-4-2021\/","title":{"rendered":"Ransomware-Angriffe: Tegut, Madsack und mehr … (26.4.2021)"},"content":{"rendered":"

Aktuell schlagen wieder die Meldungen \u00fcber einen Ransomware-Befall bei verschiedenen Unternehmen auf. Vorige Woche war es noch eine Gruppe, die einen Apple-Zulieferer kapern konnte und jetzt von Apple L\u00f6segeld verlangt, um erbeutete Dokument nicht zu ver\u00f6ffentlichen. Dann hat es wohl die Verlagsgruppe Madsack getroffen und mir liegt eine Info vor, dass die Cyber-Kriminellen Opfer im Bereich Finanzen\/Cyber-Versicherung ins Visier nehmen, um deren Kundenlisten zu stehen und dann diese anzugreifen. Mir wurde dann ein deutscher Name genannt, der m\u00f6glicherweise unter den Opfern ist. Aktuell k\u00e4mpft zudem der Lebensmittelh\u00e4ndler Tegut in Fulda mit einem Ransomware-Befall. Und angreifbare Exchange-Server mutieren inzwischen zu Krypto-Minern. Ach, eine Schwachstelle bei einem privaten Coronatest-Zentrum, bei dem sensible Daten einsehbar waren, hat es auch gegeben. Zum Wochenstart daher ein kleiner Sammelbeitrag von Meldungen, die frisch reingekommen, oder die letzten Tage liegen geblieben sind. Und auch einige Gedanken zum Thema Datensicherheit bei privaten Coronavirus-Teststellen. <\/p>\n

<\/p>\n

Netfilim bei Verlagsgruppe Madsack<\/h2>\n

\"\"Vorige Woche berichtete t-online<\/a> \u00fcber den Verdacht eines Ransomware-Angriffs auf die Madsack Mediengruppe (Neue Press). Der Redaktion ist wohl eine interne E-Mail vom vom Gutenberg-Rechenzentrum zugegangen, in der von einer Gro\u00dfst\u00f6rung berichtet wurde. Die Madsack Mediengruppe geh\u00f6rt zu den Kunden dieses Rechenzentrums. Im t-online-Bericht hei\u00dft es, dass es einen Trojaner-Angriff gegeben habe, der \"alle Standorte\" und den \"gesamten Konzern der Madsack Mediengruppe\" betreffe. <\/p>\n

Zitiert wird: \"Dies \u00e4u\u00dfert sich zum Beispiel so, dass Dateien von der Endpoint Protection erkannt werden, die zus\u00e4tzlich mit der Endung .NEFILIM versehen sind. Diese Dateien sind infiziert und verschl\u00fcsselt.\" Hei\u00dft mit anderen Worten, dass die Netfilim-Ransomware-Gruppe zugeschlagen hat. Details k\u00f6nnt ihr bei Bedarf im verlinkten t-online-Beitrag oder in diesem heise-Beitrag<\/a> nachlesen.<\/p>\n

Ransomware bei Tegut in Fulda<\/h2>\n

Von Gerrit O. kam heute fr\u00fch eine E-Mail, die auf einen Ransomware-Angriff bei Tegut in Fulda hin wies (danke daf\u00fcr). Das Ganze war dann auf folgenden Tweet<\/a> verlinkt.<\/p>\n

\"Ransomware<\/a><\/p>\n

Das Unternehmen Tegut hat zum 25. April 2021 best\u00e4tigt, dass es Ziel eines Cyberangriffs war und zur IT-St\u00f6rung folgende Stellungnahme ver\u00f6ffentlicht.<\/p>\n

\n

IT-St\u00f6rung – tegut… Ziel eines Cyberangriffs<\/h3>\n

Unbekannte haben einen sogenannten Cyberangriff auf das IT-Netzwerk des Unternehmens ver\u00fcbt. S\u00e4mtliche IT-Netzwerksysteme der Zentrale sind daraufhin gem\u00e4\u00df Notfallplan heruntergefahren und vom Netz genommen worden. Hiervon betroffen sind unter anderem die Warenwirtschaftsprogramme, die in der Logistik die Disposition steuern. Dadurch kann es vereinzelt zu Engp\u00e4ssen bei der Warenverf\u00fcgbarkeit kommen. <\/p>\n

Ansonsten gibt es f\u00fcr die Kunden aktuell keine Beeintr\u00e4chtigungen. Der tegut… Krisenstab hat die Sicherheitsbeh\u00f6rden informiert und arbeitet mit IT-Experten aktuell mit Hochdruck daran, den Normalbetrieb wieder herzustellen. Durch diese Ma\u00dfnahme wurden auch der e-Mail-Server vom Netz genommen, daher k\u00f6nnen aktuell keine schriftlichen Anfragen per e-Mail an das Unternehmen gestellt werden. <\/p>\n

Matthias Pusch
Leiter Unternehmenskommunikation<\/p>\n<\/blockquote>\n

Die Kunden von Tegut sollen durch dieses Ereignis aber wohl nicht beeintr\u00e4chtigt werden – die Tegut-L\u00e4den laufen also weiter und bleiben arbeitsf\u00e4hig. <\/p>\n

Ransomware bei Fonds Finanz GmbH?<\/h2>\n<\/p>\n

Von einem ausl\u00e4ndischen Sicherheitsforscher ist mir eine Information zugegangen, dass Ransomware-Gangs auf Unternehmen zielen, die eine Cyber-Versicherung haben. Das geht aus einem Artikel von The Record<\/a> hervor, in dem ein unbekannter Cyber-Krimineller ein Gespr\u00e4ch mit Recorded Future-Experte und Threat Intelligence Analyst Dmitry Smilyanets gef\u00fchrt hat. Die Aussage war, dass Firmen mit einer Cyber-Versicherung die lukrativsten Opfer seien. Aber es geht noch mehr: Man versucht vor allem zuerst die Versicherer zu hacken – um an deren Kundenstamm zu kommen. Ist das erfolgreich gewesen, versucht man von dort aus gezielt die Kundenliste abzuarbeiten. Und nachdem man die Liste durchgegangen ist, trifft man dann den Versicherer selbst.<\/p>\n

\"Fonds<\/p>\n

Dann hat mir der Sicherheits-Experte noch den obigen Screenshot des Maklerportals Fonds Finanz<\/a> geschickt –  die Fonds Finanz ist der gr\u00f6\u00dfte Allfinanz-Maklerpool Deutschlands. <\/p>\n

\"Fonds<\/p>\n

Obiger Facebook-Eintrag, den ich bei einer Recherche gefunden habe, gibt an, dass die GmbH Opfer eines REvil Ransomware-Angriffs ist. Das l\u00e4sst schon mal Spekulationen zu den n\u00e4chsten Opfern aufkommen.<\/p>\n

REvil hat auch Apple am Wickel<\/h2>\n

Vor einer Woche wurde bekannt, dass die REvil-Gang den taiwanesischen Auftragsfertiger Quanta Computer<\/a> erfolgreich mit Ransomware infiziert hat. Dabei konnten auch eine Menge Dokumente vor dem Verschl\u00fcsseln abgezogen werden. Nachdem es mit der Erpressung von Quanta Computer wohl nicht so geklappt hat, ging die REvil-Gang dazu \u00fcber, Apple zu erpressen. Man hatte beim Auftragsfertiger n\u00e4mlich Dokumente f\u00fcr kommende Apple Ger\u00e4te erbeutet. Details lassen sich in diesem Artikel<\/a> von Catalin Cimpanu  auf The Record nachlesen. Ein deutschsprachiger Artikel findet sich bei Golem<\/a>. <\/p>\n

Exchange-Server als Botnet f\u00fcr Krypto-Miner<\/h2>\n

Eigentlich habe ich das Thema verwundbare Exchange Server hier im Blog ja rauf und runter gebetet. Daher sollten die Nutzer der Exchange-Server, die von Admins aus der Blog-Leserschaft betreut werden, keinem Risiko mehr ausgesetzt werden. Ich kippe daher die Nachricht der Kollegen von Bleeping Computer \u00fcber Exchange-Server, die als Botnet f\u00fcr Krypto-Miner fungieren, nur als Tweet<\/a> hier ein. Details k\u00f6nnt ihr in diesem Artikel<\/a> nachlesen.<\/p>\n

\"Exchange-Server<\/a><\/p>\n

Goldrausch und das t\u00e4gliche Coronatest-Datenleck<\/h2>\n

K\u00fcrzlich hat heise im Artikel Erneut Sicherheitsl\u00fccke bei Corona-Schnelltests<\/a> auf ein weiteres Sicherheitsleck bei einem Coronavirus-Schnelltester hingewiesen. Betroffen war eine fehlerhafte Software des Betreibers Innofabrik aus Ha\u00dfloch (Rheinland-Pfalz). Ich hatte einen Fall ja im Beitrag Corona-Tests: Datenleck legt pers\u00f6nliche Daten und Ergebnisse offen<\/a> angesprochen und gedacht \"wird nicht der letzte sein\". <\/p>\n

Von Patty sind mir zum Wochenende einige Gedanken diesbez\u00fcglich zugegangen, die das obige st\u00fctzen. Bundesb\u00fcrger haben ja einen Anspruch auf Testung mittels PoC-Antigen-Test<\/a>, die durch den Bund finanziert werden. Die Gelder werden an die von den Kreisen\/kreisfreien St\u00e4dten ausgew\u00e4hlten und beauftragten Testzentren weitergereicht. Wo Geld ist, sammeln sich die Leute, die das abgreifen m\u00f6chten und die schnelle Mark wittern. Diese Testzentren m\u00fcssen zwar festgelegte Mindeststandards einhalten<\/a>, aber wie bei den FFP2-Masken-K\u00e4ufen k\u00f6nnen wir uns in Anbetracht der schnell wachsenden Anzahl derartiger Testzentren nur auf guten Glauben im Hinblick auf die Einhaltung dieser Standards verlassen.<\/p>\n

Patty schreibt, dass der \"Antrag auf Beauftragung als Leistungserbringer nach \u00a7 6 Absatz 1 Nr. 2 Coronavirus-Testverordnung \u2013TestV\" (z.B. hier<\/a>) erschreckend schnell ausgef\u00fcllt und abgesendet werden kann. Seit geraumer Zeit sei daher zu beobachten, dass eine nicht geringe Anzahl an (privaten) Teststellen f\u00fcr kostenlose Corona-Schnelltests in sehr vielen deutschen St\u00e4dten wie Pilze aus dem Boden sprie\u00dfen und Internetpr\u00e4senzen einrichten. \u00dcber diese besteht dann die M\u00f6glichkeit, online einen f\u00fcr den B\u00fcrger kostenlosen Test-Termin zu vereinbaren.<\/p>\n

Zur Online-Terminvereinbarung werden z.B. Dienste wie appointlet, Tobit etc. eingesetzt. Das Problem bei der ganzen Geschichte ist, dass mehr oder weniger sensible Daten bei der Online-Terminvereinbarung eingegeben werden m\u00fcssen. Beim Test vor Ort sind dann die Personalien mithilfe des Personalausweisen aufzunehmen und zu speichern. So begr\u00fc\u00dfenswert dieser Service ist – es ist alles einfach und unkompliziert online zu buchen – bleibt nicht nur bei Patty ein ungutes Gef\u00fchl zur\u00fcck. <\/p>\n

Derartige Internetpr\u00e4senzen dieser Anbieter werden quasi \u00fcber Nacht \"zusammengebastelt\" und ich denke, dass dort manche auch das \"gro\u00dfe Gesch\u00e4ft\" mit den B\u00fcrgertestungen wittern. Da stellen sich Fragen wie: Wer kontrolliert die Mindeststandards der Testzentren? Wer garantiert die Seriosit\u00e4t, auch im Umgang mit meinen Daten? Wer kontrolliert ein fehlendes oder unvollst\u00e4ndiges Impressum, unvollst\u00e4ndige Datenschutzerkl\u00e4rungen ohne Hinweise auf Cookie-Richtlinie und eingesetzte Apps\/Dienste und fehlendes Opt-In? Was passiert mit meinen Daten, die vor Ort mithilfe des Personalausweises aufgenommen wurden? <\/p>\n

Da sind momentan viele Fragen ohne Antworten und es deutet sich eine gewaltige Schieflage an. Wenn ich dann von Dumpfbacken vernehme, dass der Datenschutz der Bek\u00e4mpfung der COVID-19-Pandemie und vor allem den Apps entgegen stehe (Zitat auf Facebook in einer Gruppe \"Datenschutz und tote Rentner\"), fehlt mir jegliches Verst\u00e4ndnis. Wie seht ihr das so?<\/p>\n","protected":false},"excerpt":{"rendered":"

Aktuell schlagen wieder die Meldungen \u00fcber einen Ransomware-Befall bei verschiedenen Unternehmen auf. Vorige Woche war es noch eine Gruppe, die einen Apple-Zulieferer kapern konnte und jetzt von Apple L\u00f6segeld verlangt, um erbeutete Dokument nicht zu ver\u00f6ffentlichen. Dann hat es wohl … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-252485","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252485","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252485"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252485\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252485"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252485"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252485"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}