{"id":271179,"date":"2022-08-03T13:15:43","date_gmt":"2022-08-03T11:15:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271179"},"modified":"2023-04-26T12:39:06","modified_gmt":"2023-04-26T10:39:06","slug":"sicherheit-cyberangriffe-semikron-mbda-peter-berghaus-gmbh-spanisches-ministerium","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/03\/sicherheit-cyberangriffe-semikron-mbda-peter-berghaus-gmbh-spanisches-ministerium\/","title":{"rendered":"Sicherheit & Cyberangriffe: Semikron, MBDA, Peter Berghaus GmbH, spanisches Ministerium"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die letzten Stunden hat es mal wieder mit Cyberangriffen auf Firmen und Beh\u00f6rden gerappelt. Semikron, ein deutscher Hersteller von Leistungshalbleiterkomponenten ist Opfer eines Ransomware-Angriffs geworden. Auch der Hersteller von Verkehrstechnik und Signalanlagen, die Peter Berghaus GmbH, ist m\u00f6glicherweise Opfer eines Cyberangriffs geworden (im Namen der Firma werden Betrugsmails verschickt). Weiterhin ist das spanische Wissenschaftsministerium Opfer eines Cyberangriffs geworden und der europ\u00e4ische Raketenhersteller MBDA ebenfalls. Hier eine Zusammenfassung diverser Sicherheitsvorf\u00e4lle.<\/p>\n

<\/p>\n

Ransomware bei Semikron<\/h2>\n

Der in N\u00fcrnberg beheimatete Hersteller von Leistungshalbleiterkomponenten, ist am Montag, den 1. August 2022, Opfer eines Ransomware-Angriffs geworden. Nachfolgender Tweet<\/a> weist auf den Vorfall hin, den der Hersteller in dieser Meldung so beschreibt.<\/p>\n

\"Ransomware<\/a><\/p>\n

Die SEMIKRON Gruppe ist Opfer eines Cyber-Angriffs einer professionellen Hackergruppe geworden. Im Rahmen dieses Angriffs haben die T\u00e4ter behauptet, Daten aus unserem System entwendet zu haben. Ob dies der Fall ist und welche Daten dies genau sind, wird gerade untersucht. Die f\u00fcr die Konzernzentrale zust\u00e4ndigen Beh\u00f6rden sind informiert. Sobald genauere Informationen \u00fcber einen etwaigen Datenabfluss vorliegen, werden die betroffenen Kunden und Vertragspartner informiert.<\/p>\n

Der Angriff hat auch zu einer teilweisen Verschl\u00fcsselung unserer IT-Systeme und Dateien gef\u00fchrt. Das gesamte Netzwerk wird derzeit forensisch untersucht und bereinigt.<\/p>\n

Wir haben unverz\u00fcglich alle erforderlichen Ma\u00dfnahmen eingeleitet, um m\u00f6gliche Sch\u00e4den zu begrenzen. Mit Unterst\u00fctzung externer Cybersicherheits- und Forensik-Experten f\u00fchren wir eine Untersuchung des Vorfalls durch. Gleichzeitig arbeiten wir daran die Arbeitsf\u00e4higkeit wiederherzustellen, um die St\u00f6rungen f\u00fcr unsere Mitarbeiter, Kunden und Vertragspartner zu minimieren und die Sicherheit unserer IT-Systeme bestm\u00f6glich zu gew\u00e4hrleisten. Zudem werden wir von den zust\u00e4ndigen Beh\u00f6rden bei den Ermittlungen und der Koordination der weiteren Ma\u00dfnahmen unterst\u00fctzt.<\/p><\/blockquote>\n

Die Kollegen von Bleeping Computer haben eruiert<\/a>, dass das Unternehmen Opfer der LV-Ransomware wurde. Laut einer vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) herausgegebenen Warnung (die wohl Bleeping Computer vorliegt) erpressen die Betreiber der Ransomware das Unternehmen und drohen mit der Ver\u00f6ffentlichung der angeblich gestohlenen Daten. Das Unternehmen kann oder will derzeit nichts dazu sagen, ob und welche Daten entwendet wurden. Die Kollegen von Bleeping Computer gaben an, ein Dokument mit einer L\u00f6segeldforderung von einem der verschl\u00fcsselten Semikron-Systeme eingesehen zu haben. Dem Dokument zufolge handelt es sich um einen LV-Ransomware-Angriff handelte und die Gruppe behauptet, Dokumente im Umfang von 2 TB abgezogen zu haben.<\/p>\n

Semikron besch\u00e4ftigt weltweit \u00fcber 3.000 Mitarbeiter in 24 Niederlassungen und 8 Produktionsst\u00e4tten in Deutschland, Brasilien, China, Frankreich, Indien, Italien, der Slowakei und den USA und erwirtschaftet im Jahr 2020 einen Umsatz von rund 461 Millionen Euro.<\/p><\/blockquote>\n

Cyberangriff auf die Peter Berghaus GmbH?<\/h2>\n

Auch der Hersteller von Verkehrstechnik und Signalanlagen, die Peter Berghaus GmbH in K\u00fcrten, ist m\u00f6glicherweise Opfer eines Cyberangriffs geworden. Auf Twitter ist mir eine Reihe von Tweets<\/a> unter die Augen gekommen, die einen Missbrauch nahelegen.<\/p>\n

\"Warnung<\/a><\/p>\n

Es wird im Namen der Peter Berghaus GmbH eine Mail an diverse Empf\u00e4nger (k\u00f6nnte ein Presseverteiler sein) verschickt, die im Anhang eine ZIP-Datei mit einer fingierten \u00dcberweisungsbest\u00e4tigung enth\u00e4lt. Dort d\u00fcrfte sich ein Schadprogramm im Archiv befinden. Die verschickten Mails bedeuten erst einmal nicht, dass die Peter Berghaus GmbH involviert ist, denn der Absender k\u00f6nnte ja gef\u00e4lscht sein.<\/p>\n

<\/p>\n

Deren Webseite berghaus-verkehrstechnik[.]de (z.Z. schlecht erreichbar) zeigt aber obigen Hinweis, dass betr\u00fcgerische E-Mails im Namen der Firma verschickt werden. Man m\u00f6ge die Anh\u00e4nge keinesfalls \u00f6ffnen, sondern l\u00f6schen. Der Hinweis \"Wir werden das Problem umgehend beheben\" deutet aber darauf hin, dass deren E-Mail-System, zumindest bei einem Benutzerkonto, kompromittiert sein k\u00f6nnte – also ein Cyberangriff stattgefunden hat.<\/p>\n

Ransomware-Angriff auf spanisches Ministerium<\/h2>\n

Das spanische Ministerium f\u00fcr Wissenschaft und Innovation musste einen erfolgreichen Ransomware-Angriff auf seine IT-Systeme einr\u00e4umen, wie man nachfolgendem Tweet<\/a> entnehmen kann. Auf dieser Webseite<\/a> des Ministeriums hei\u00dft es, dass der der Spanische Nationale Forschungsrat (CSIC), eine vom Ministerium f\u00fcr Wissenschaft und Innovation abh\u00e4ngige Organisation, Opfer einer Ransomware-artigen Cyberattacke wurde.<\/p>\n

\"Ransomware-Angriff<\/a><\/p>\n

Pikant an der Mitteilung vom 2. August ist meiner Meinung nach, dass der Angriff am 16. und 17. Juli 2022 stattfand und bereits am 18. Juli entdeckt wurde. Das vom Cybersecurity Operations Centre (COCS) und dem National Cryptologic Centre (CCN) erstellte Protokoll wurde sofort aktiviert. Aber die Meldung erfolgte erst gut 2 Wochen sp\u00e4ter.<\/p>\n

Die Ma\u00dfnahmen zur Kontrolle und Behebung des Angriffs bestanden darin, den Zugang zum Netz in mehreren Zentren zu unterbrechen und das strenge internationale Protokoll zu befolgen, das zur Bew\u00e4ltigung des Vorfalls und zur Verhinderung der Ausbreitung des Angriffs auf nicht direkt betroffene Zentren erforderlich ist. Bisher ist etwas mehr als ein Viertel der Zentren des CSIC an das Netz angeschlossen, und in den n\u00e4chsten Tagen wird das gesamte Netz der Zentren wiederhergestellt.<\/p>\n

Dieser Angriff sei vergleichbar mit den Angriffen auf andere Forschungszentren wie das Max-Planck-Institut oder die US-amerikanische National Aeronautics and Space Administration (NASA). In Ermangelung eines abschlie\u00dfenden Untersuchungsberichts gehen Experten davon aus, dass der Ursprung des Cyberangriffs in Russland liegt, und weisen darauf hin, dass bisher kein Verlust oder keine Entf\u00fchrung sensibler oder vertraulicher Daten festgestellt wurde.<\/p>\n

MBDA best\u00e4tigt Datendiebstahl<\/h2>\n

Der EU-Raketenhersteller MBDA best\u00e4tigt eine Erpressung durch Cyber-Kriminelle nach einem Datendiebstahl, bestreitet aber einen Sicherheitsvorfall durch einen Hack. Die Kollegen von Bleeping Computer haben auf Twitter<\/a> und hier<\/a> einige Informationen dazu offen gelegt.<\/p>\n

\"MBDA<\/a><\/p>\n

In dieser Mitteilung<\/a> weist der Hersteller den angeblichen Hack der IT zur\u00fcck und hat bei der Polizei eine Anzeige wegen eines Erpressungsversuchs erstattet. Das Unternehmen schreibt, dass MBDA Opfer eines Erpressungsversuchs durch eine kriminelle Gruppe geworden sei, die f\u00e4lschlicherweise behauptet, die Informationsnetzwerke des Unternehmens gehackt zu haben. Nachdem sich das Unternehmen geweigert hat, dieser Erpressungsdrohung nachzugeben und ein L\u00f6segeld zu zahlen, hat die kriminelle Gruppe die Informationen im Internet verbreitet und gegen Bezahlung zug\u00e4nglich gemacht.<\/p>\n

Die Untersuchung durch die italienischen Beh\u00f6rden l\u00e4uft. Die Herkunft der ver\u00f6ffentlichten Daten ist bereits gekl\u00e4rt: Sie stammen von einer externen Festplatte. Es sei zudem best\u00e4tigt, dass die gesicherten Netze des Unternehmens nicht gehackt worden sind. Die internen \u00dcberpr\u00fcfungsprozesse des Unternehmens haben bisher ergeben, dass es sich bei den online zur Verf\u00fcgung gestellten Daten weder um Verschlusssachen noch um sensible Daten handelt.<\/p>\n

Manjusaka als Erg\u00e4nzung zu Cobalt Strike<\/h2>\n

Cobalt Strike<\/a> ist ein Framework mit flexiblen Funktionen, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren, Abwehrma\u00dfnahmen zu testen und die eigene Computersicherheit zu erh\u00f6hen. Es wird aber auch h\u00e4ufig von echten Angreifern wie APT-Gruppen oder Ransomware-Gangs verwendet.<\/p>\n

\"Manjusaka<\/a><\/p>\n

Obiger Tweet<\/a> weist auf diesen Artikel<\/a> von Talos hin, deren Sicherheitsforscher k\u00fcrzlich ein neues Angriffs-Framework namens \"Manjusaka\" entdeckt haben. Das wird von chinesischen Gruppen in freier Wildbahn parallel zu Cobalt Strike oder als Ersatz eingesetzt, und soll das Potenzial haben, sich in der Bedrohungslandschaft durchzusetzen. Dieses Framework wird als Nachahmung des Cobalt Strike Frameworks beworben. Die Implantate f\u00fcr die neue Malware-Familie sind in der Sprache Rust f\u00fcr Windows und Linux geschrieben.<\/p>\n

Eine voll funktionsf\u00e4hige Version des Command and Control (C2)-Servers, geschrieben in GoLang, mit einer Benutzeroberfl\u00e4che in vereinfachtem Chinesisch, ist frei verf\u00fcgbar. Es kann verwendet werden, um problemlos neue Implantate mit benutzerdefinierten Konfigurationen zu generieren. Dies erh\u00f6ht die Wahrscheinlichkeit, dass dieses Framework von b\u00f6swilligen Akteuren in gr\u00f6\u00dferem Umfang eingesetzt wird.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die letzten Stunden hat es mal wieder mit Cyberangriffen auf Firmen und Beh\u00f6rden gerappelt. Semikron, ein deutscher Hersteller von Leistungshalbleiterkomponenten ist Opfer eines Ransomware-Angriffs geworden. Auch der Hersteller von Verkehrstechnik und Signalanlagen, die Peter Berghaus GmbH, ist m\u00f6glicherweise Opfer eines … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-271179","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271179","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271179"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271179\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271179"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271179"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271179"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}