{"id":280663,"date":"2023-05-12T08:39:30","date_gmt":"2023-05-12T06:39:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280663"},"modified":"2023-10-17T00:15:31","modified_gmt":"2023-10-16T22:15:31","slug":"cyber-vorflle-ludwigsburg-abb-erziehungsdepartment-basel-etc","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/12\/cyber-vorflle-ludwigsburg-abb-erziehungsdepartment-basel-etc\/","title":{"rendered":"Cyber-Vorfälle: Ludwigsburg, ABB, Erziehungsdepartment Basel etc."},"content":{"rendered":"

\"SicherheitDie letzten Tage sind wieder einige Firmen, Kommunen und Einrichtungen Opfer von Hacks bzw. Ransomware-Angriffen geworden. Der Landkreis Ludwigsburg hat eine solchen \"Cybervorfall\" erlitten und auch das Erziehungsdepartment der Stadt Basel leidet unter einem Ransomware-Vorfall, bei dem Daten abgezogen wurden. F\u00fcr diesen Fall liegen mir einige zus\u00e4tzliche Informationen vor. Bei Firmen ist das Schweizer Unternehmen ABB das prominenteste Opfer. Hier ein kurzer (unvollst\u00e4ndiger) Abriss diverser Cybervorf\u00e4lle der letzten Tage.<\/p>\n

<\/p>\n

Landkreis Ludwigsburg offline<\/h2>\n

\"\"Der Landkreis Ludwigsburg (BW) ist Opfer eines Cyberangriffs geworden – ich hatte es bereits gestern auf Twitter<\/a> gesehen, wurde aber auch von zwei Blog-Lesern darauf hingewiesen (danke daf\u00fcr). Der SWR berichtet in diesem Artikel<\/a>, dass die IT des Landkreises durch \"Hacker\" angegriffen wurde. Ein Sprecher des Landkreises sagte gegen\u00fcber dem SWR \"Unsere EDV hat Auff\u00e4lligkeiten festgestellt und daraufhin wurden die Systeme abgeschaltet\".<\/p>\n

Die Verantwortlichen gehen von einem Cyberangriff aus und der Shutdown der IT hat Auswirkungen auf den Betrieb des Landratsamts, welches vorerst geschlossen bleibt. Das bedeutet, dass im Kreishaus und in allen Au\u00dfenstellen u.a. sowohl die KFZ-Zulassung, die F\u00fchrerscheinstelle, der Asylbereich, die Ausl\u00e4nderbeh\u00f6rde und das Jobcenter f\u00fcr den Kundenverkehr geschlossen sind.<\/p>\n

Aktuell analysieren Experten und Expertinnen der Komm.ONE, des Landeskriminalamts sowie der Cybersicherheitsagentur Baden-W\u00fcrttemberg die IT-Infrastruktur, hei\u00dft es auf der Webseite des Landkreises<\/a>. Ludwigsburg<\/a> ist der zweitgr\u00f6\u00dfter Landkreis in Baden-W\u00fcrttemberg und viertgr\u00f6\u00dfter Landkreis in Deutschland \u2013 gemessen an der Einwohnerzahl.<\/p>\n

Erg\u00e4nzung:<\/strong> Einem neuen Bericht<\/a> zufolge \u00f6ffnete ein Mitarbeiter eine E-Mail mit einem Schadprogramm im Anhang. Daraufhin wurde die IT-Infrastruktur im Landkreis Ludwigsburg heruntergefahren. Laut Innenministerium wurden die betroffenen Computer anschlie\u00dfend bereinigt, am IT-System wurde kein Schaden festgestellt.<\/p>\n

Anton Paar OptoTec GmbH<\/h2>\n

Die Anton Paar OptoTec GmbH ist von einem Cyberangriff betroffen, wie ich in diesem Tweet<\/a> gesehen habe.\u00a0 Auf dieser Informationsseite der Firma hei\u00dft es:<\/p>\n

Informationen zum Cybersicherheitsvorfall im April 2023<\/strong><\/p>\n

Im April 2023 war die Anton Paar Gruppe Ziel eines Cyberangriffs. Um unsere Systeme und Daten zu sch\u00fctzen, haben wir die meisten unserer Systeme und Dienste weltweit sofort offline genommen. Wir arbeiten mit h\u00f6chster Priorit\u00e4t daran, unsere IT-Systeme wieder einsatzbereit zu machen. Wir kooperieren uneingeschr\u00e4nkt und unterst\u00fctzen Beh\u00f6rden und Strafverfolgungsbeh\u00f6rden bei ihren Ermittlungen.<\/p>\n

Leider f\u00fchrte der Cyberangriff in einigen F\u00e4llen zur unbefugten Offenlegung personenbezogener Daten. Alle Gesch\u00e4ftspartnerinnen und -partner oder betroffenen Personen wurden oder werden \u2013 sobald dies vern\u00fcnftigerweise m\u00f6glich ist \u2013 von uns aktiv und direkt informiert.<\/p>\n

Der Angriff war ein Ransomware-Angriff, der \u00fcber Phishing-E-Mails initiiert wurde, die am 6. April 2023 eingegangen waren. \u00dcber viele Tage stahlen die Angreifer eine kleine zuf\u00e4llige Auswahl (weniger als 1.3 %) von Dateien aus unserem Dateisystem und scannten unser internes Netzwerk auf Schwachstellen. Schlie\u00dflich verschl\u00fcsselten die Angreifer am 19. April 2023 etwa 10 % unserer internen PCs und Server.<\/p>\n

Wir haben unsere Systeme als Vorsichtsma\u00dfnahme sofort offline geschaltet, als wir den Angriff bemerkten. Wir haben bereits viele gesch\u00e4ftskritische Systeme wiederhergestellt und arbeiten mit h\u00f6chster Priorit\u00e4t daran, den Rest wieder betriebsbereit zu machen.<\/p><\/blockquote>\n

Die Anton Paar OptoTec GmbH ist ein Unternehmen mit Sitz in Seelze, die im Bereich optische Messtechnik t\u00e4tig ist.<\/p>\n

Germany Trade & Invest (GTAI)<\/h2>\n

Die Germany Trade and Invest<\/a> \u2013 Gesellschaft f\u00fcr Au\u00dfenwirtschaft und Standortmarketing mbH ist eine bundeseigene Marketing-Agentur f\u00fcr den Standort Deutschland. Seit dem 1. Januar 2009 ist sie Nachfolger der Bundesagentur f\u00fcr Au\u00dfenwirtschaft. \u00dcber Twitter<\/a> bin ich auf einen Cybervorfall aufmerksam geworden. Auf deren Webseite<\/a> hei\u00dft es:<\/p>\n

GTAI nur eingeschr\u00e4nkt erreichbar<\/strong><\/p>\n

10.05.2023<\/p>\n

Aufgrund eines Hackerangriffs ist Germany Trade & Invest (GTAI) momentan nur eingeschr\u00e4nkt erreichbar. Wir bedauern diesen Umstand und arbeiten daran, unsere Systeme schnellstm\u00f6glich wieder in Betrieb zu nehmen.<\/p>\n

Zurzeit k\u00f6nnen wir keine E-Mails empfangen oder versenden. Unsere Festnetzanschl\u00fcsse sind nicht erreichbar.<\/p>\n

Bitte beachten Sie, dass uns derzeit auch Nachrichten aus den Kontaktformularen der Webseite nicht erreichen.<\/p>\n

Unsere Mitarbeitenden sind \u00fcber ihre dienstlichen Mobiltelefone erreichbar.<\/p>\n

Es ist noch nicht absehbar, wann sich die Lage normalisiert.<\/p>\n

Wir bitten um Verst\u00e4ndnis.<\/p><\/blockquote>\n

Ziemlich magere Informationen – aber zwischen den Zeilen lese ich einen Cybervorfall – gut m\u00f6glich, dass es eine Infektion mit Ransomware ist – heraus.<\/p>\n

Ransomware bei ABB<\/h2>\n

Der Schweizer Konzern ABB, f\u00fchrend im Bereich Automatisierung und Bau von Elektrotechnik-Anlagen ist Opfer einer Ransomware-Infektion der Black-Basta-Gang geworden, wie ich auf Twitter<\/a> gesehen habe. Die Kollegen von Bleeping Computer schreiben hier<\/a>, dass das Unternehmen mit Sitz in Z\u00fcrich am 7. Mai 2023 Opfer einer Ransomware-Attacke der Black Basta-Gang geworden sei.<\/p>\n

Das Unternehmen verweigerte gegen\u00fcber Bleeping Computer zwar jegliche Stellungnahmen und schreibt hier<\/a> \u00fcber eine Absicherung gegen Cyberangriffe. Aber BleepingComputer hat von mehreren Mitarbeitern erfahren, dass der Ransomware-Angriff das Windows Active Directory des Unternehmens betroffen hat und Hunderte von Ger\u00e4ten in Mitleidenschaft gezogen worden seien. Als Reaktion auf den Angriff hat ABB die VPN-Verbindungen zu seinen Kunden gekappt, um die Ausbreitung der Ransomware auf andere Netzwerke zu verhindern.<\/p>\n

Erziehungsdepartement Basel-Stadt<\/h2>\n

Blog-Leser Gero hatte in einem Kommentar im Diskussionsbereich darauf hingewiesen, dass Hacker im Januar 2023 erbeutete sensible Daten von Sch\u00fclern und Lehrern ins Darknet stellen. Es sind wohl Hunderte von Personen in Basel betroffen. Gero hatte auf den Artikel hier<\/a> verwiesen.\u00a0Ein zweiter Blog-Leser hat mich per Mail auf diesen Hack des Erziehungsdepartment Basel hingewiesen.<\/p>\n

Dem Beitrag hier<\/a> entnehme ich, dass der Angriff bereits Ende Januar 2023 publik wurde. Mutma\u00dflich \u00fcber eine Phishing-Mail konnte das System eduBS, ein Netzwerk, das den Basler Lehrpersonen und Sch\u00fclerinnen und Sch\u00fclern zur Verf\u00fcgung steht und vom kantonalen Datennetz isoliert ist, angegriffen werden. Die Hacker haben dann gesch\u00e4ftliche Daten eines Angestellten abgezogen und die Stadt erpresst. In dieser Meldung hie\u00df es noch, dass nur wenige Daten abgeflossen seien.<\/p>\n

Nun berichtet der SRF<\/a> von 1,2 Terabyte an Daten, die die Hacker aus dem Basler Erziehungsdepartement (EDI) abgezogen haben. Das geht wohl aus einer Meldung des EDI<\/a> vom 10. Mai 2023 hervor, wo best\u00e4tigt wird, dass der Hack Ende Januar 2023 erfolgt sei. Die Daten finden sich nun im Darknet – dazu hei\u00dft es \"Dazu z\u00e4hlen pers\u00f6nliche Informationen \u00fcber Sch\u00fclerinnen und Sch\u00fcler, Lehrberichte, Zeugnisnoten, m\u00f6glicherweise auch Abkl\u00e4rungsberichte \u00fcber einzelne Personen\".<\/p>\n

In einer FAQ<\/a> hei\u00dft es, dass die Daten Anfang 2023 abgeflossen seien. Meine Quelle berichtet, dass die Angreifer \"um die Weihnachtsferien \/ Anfang 2023\" in den p\u00e4dagogischen Teil des \"Netzwerks\" des Erziehungsdepartements des Kantons Basel-Stadt (entspricht Kultusministerium eines Bundeslandes) eindringen konnten.<\/p>\n

Mit etwas Recherche l\u00e4sst sich herausfinden, dass es ein vom Kanton selbst gehostetes System ist, bei dem die Lehrer per VPN auf dieses System zugreifen. Dabei werden wohl auch private Ger\u00e4te zum Einsatz kommen. Es reicht, wenn ein Teilnehmer auf eine Phishing-Mail hereinf\u00e4llt und so die Zugangsdaten abgezogen werden k\u00f6nnen. Der Angreifer erh\u00e4lt dann Zugriff auf die Dienste und kann ab da auf Dateiserver zugreifen und sich m\u00f6glicherweise lateral im (Windows-) Netzwerk bewegen. Wie der Angriff genau erfolgte, ob weitere Schwachstellen ausgenutzt wurden etc. wird m\u00f6glicherweise nie \u00f6ffentlich werden – und mein Bauchgef\u00fchl sagt mir auch, dass die IT nicht genau wei\u00df, welche Dateien abgezogen wurden. Der Fall zeigt, wie komplex und anf\u00e4llig solche Systeme im Grunde sind.<\/p>\n

20 Jahre alte Schwachstelle in Schulministerium<\/h2>\n

Die letzten Wochen wurde ja eine Panne beim Download von Abituraufgaben in Nordrhein-Westfalen bekannt (siehe auch den heise-Artikel<\/a>). In Folge wurde dann eine Schwachstelle \u00f6ffentlich<\/a>, \u00fcber die Tausende von Datens\u00e4tzen, die Lehrer angelegt hatten, zugreifbar waren.<\/p>\n

Das Schulministerium lie\u00df darauf hin alle IT-Prozesse der zum Gesch\u00e4ftsbereich des Schulministeriums geh\u00f6renden \"Qualit\u00e4ts- und Unterst\u00fctzungsagentur \u2013 Landesinstitut f\u00fcr Schule NRW\" (QUA-LiS NRW) durch IT-Expertenteams \u00fcberpr\u00fcfen. Lilith Wittmann hat in einer Serie von Tweets<\/a> darauf reagiert und schreibt, dass einige Sicherheitsl\u00fccken gefunden wurden.<\/p>\n

In einem Nachtragsartikel von Golem<\/a> r\u00e4umt ein IT-Experte des Ministeriums ein, dass eine der Schwachstellen, die zum Leck f\u00fchrten, mit Sicherheit bereits 2015 bestand – m\u00f6glicherweise reicht das Problem bis zum Jahr 2002 zur\u00fcck – also 20 Jahre.<\/p>\n

MSI-Hack und die Intel Keys<\/h2>\n

Im April 2023 hatte ich im Blog-Beitrag Cyberangriff auf MSI (April 2023)<\/a> \u00fcber einen Hack des in Taiwan angesiedelte Hersteller MSI (Micro-Star International) berichtet. Eine Ransomware-Gang mit dem Namen Money Message infiltrierte laut eigener Aussage einige Systeme von MSI. Die Gruppe drohte damit, erbeutete Dateien kommende Woche im Internet zu ver\u00f6ffentlichen, wenn kein L\u00f6segeld von MSI bezahlt wird.<\/p>\n

Nun sind wohl private Intel BootGuard-Schl\u00fcssel im aufgetaucht. Diese Keys von Lenovo\/LCFC von September 2022 sind immer noch f\u00fcr zahlreiche Ger\u00e4te (Lenovo, Supermicro, Intel etc.) in der Praxis relevant, wie jemand auf Twitter<\/a> und in diesem GitHub-Beitrag<\/a> schreibt. Auf DarkReading gibt es diesen Beitrag<\/a> mit einigen Informationen zum Thema.<\/p>\n

Millionen Patientendaten in US gestohlen<\/h2>\n

Im Blog-Beitrag Nachlese zu Sicherheitsl\u00fccken und Patches (6. Feb. 2023<\/a> vom Februar 2023 hatte ich \u00fcber eine Schwachstelle in der GoAnywhere-File-Transfer-Software berichtet. Die Clop-Ransomware-Gruppe behauptet, mit GoAnywhere-Zero-Day in 130 Unternehmen eingedrungen zu sein (siehe Cyber-News: Ransomware-Angriffe und mehr (10. Feb. 2023)<\/a>).<\/p>\n

Techchrunch berichtet hier<\/a> von einem Massenhack von Gesundheitsdaten in den USA. NationBenefits, ein in Florida ans\u00e4ssiges Technologieunternehmen, das seinen mehr als 20 Millionen Mitgliedern in den USA Zusatzleistungen anbietet, best\u00e4tigte im April einen Ransomware-Angriff. Die Angreifer hatten eine Schwachstelle in der GoAnywhere-Datei\u00fcbertragungssoftware von Fortra ausgenutzt (siehe meine obigen Ausf\u00fchrungen) und waren in die Systeme eingedrungen.<\/p>\n

Die Hacker konnten dann die Mitgliederdaten abziehen. Eine Auflistung<\/a> auf dem Portal f\u00fcr Datenschutzverletzungen des US-Gesundheitsministeriums best\u00e4tigt nun, dass bei dem Vorfall Daten von mehr als drei Millionen NationBenefits-Mitgliedern gestohlen wurden, was den Vorfall zur drittgr\u00f6\u00dften Datenschutzverletzung im Gesundheitsbereich des Jahr 2023 macht, wie Techchrunch schreibt.<\/p>\n

Decryptor f\u00fcr verschl\u00fcsselte Daten<\/h2>\n

Es gibt ein weiteres Tool zur Wiederherstellung von teilverschl\u00fcsselten Dateien nach Ransomware-Angriffen. Das automatisierte Tool \"White Phoenix\" zur Wiederherstellung von Daten aus teilweise verschl\u00fcsselten Dateien, die von Ransomware betroffen sind, ist auf GitHub<\/a> verf\u00fcgbar. Ein Artikel dazu findet sich auf Darkreading<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die letzten Tage sind wieder einige Firmen, Kommunen und Einrichtungen Opfer von Hacks bzw. Ransomware-Angriffen geworden. Der Landkreis Ludwigsburg hat eine solchen \"Cybervorfall\" erlitten und auch das Erziehungsdepartment der Stadt Basel leidet unter einem Ransomware-Vorfall, bei dem Daten abgezogen wurden. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-280663","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280663","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280663"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280663\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280663"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280663"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280663"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}