{"id":282006,"date":"2023-06-01T08:08:05","date_gmt":"2023-06-01T06:08:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282006"},"modified":"2023-06-06T17:00:23","modified_gmt":"2023-06-06T15:00:23","slug":"sicherheits-ransomware-und-datenschutzvorflle-mai-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/01\/sicherheits-ransomware-und-datenschutzvorflle-mai-2023\/","title":{"rendered":"Sicherheits-, Ransomware- und Datenschutzvorfälle Mai 2023"},"content":{"rendered":"

\"SicherheitDie letzten Tage sind erneut einige Sicherheitsvorf\u00e4lle bekannt worden, bei denen Daten offen gelegt oder Systeme mit Ransomware infiziert wurden. Die Stadtverwaltung von Bad Langensalza ist durch Ransomware IT-m\u00e4\u00dfig au\u00dfer Betrieb. In den USA hat sich eine Ransomware-Gruppe tagelang bei einem Versicherer f\u00fcr Zahngesundheit umgesehen und Daten abgezogen. Der Google Authentificator soll eigentlich abgesichert worden sein, ist es aber nicht. Und beim Hersteller von Hauptplatinen, Gigabyte, gab es einen Vorfall bei der Aktualisierung der Firmware, so dass eine Backdoor installiert werden konnte. Der gesammelte Irrsinn der IT.<\/p>\n

<\/p>\n

Ransomwarevorfall in Bad Langensalza<\/h2>\n

\"\"Ich hatte es bereits vor einigen Tagen mitbekommen<\/a>, die Stadtverwaltung der th\u00fcringischen Stadt Bad Langensalza (Kurstadt in Th\u00fcringen) ist Opfer eines Cyberangriffs geworden. Die Mitteldeutsche Zeitung berichtetet hier<\/a> kurz \u00fcber den Vorfall, bei der die meisten EDV-Systeme nach Aussage der Stadtverwaltung lahmgelegt worden seien.<\/p>\n

\"Ransomwarevorfall<\/a><\/p>\n

Die Zeitung verwies auf die Erkl\u00e4rung der Stadt auf der Webseite, wo sich folgende Informationen finden:<\/p>\n

Sehr geehrte B\u00fcrgerinnen und B\u00fcrger,<\/p>\n

die Stadtverwaltung wurde Opfer eines Cyberangriffs, mit der Folge, dass die meisten EDV Systeme lahmgelegt worden sind. Deshalb ist eine Erreichbarkeit derzeit nur unter erschwerten Bedingungen m\u00f6glich.<\/p>\n

Ebenso ist die Arbeitsf\u00e4higkeit der Verwaltung stark beeintr\u00e4chtigt. Davon ausgenommen sind die Dienste des Einwohnermeldeamtes \/ Standesamtes. Diese werden am 31.05.2023 wieder zur Verf\u00fcgung stehen. Am 01.06.2023 werden das Einwohnermeldeamt und das Standesamt ihre Dienstleistungen bis 18 Uhr anbieten.<\/p>\n

Die telefonische Erreichbarkeit unter der gewohnten Nummer 03603-8590 kann zur Zeit aufgrund von technischen Problemen nicht gew\u00e4hrleistet werden. Diese wird jedoch so schnell wie m\u00f6glich eingerichtet.<\/p>\n

Eingehende Emails k\u00f6nnen derzeit unter der \u00fcblichen E-Mail-Adresse nicht eingesehen und bearbeitet werden. Wir haben eine Ersatzadresse eingerichtet. Diese ist: info(at)stadtlsz.de<\/em>. An diese Adresse gerichtete E-Mails werden aktuell abgerufen und an die zust\u00e4ndigen Mitarbeiter weitergeleitet.<\/p>\n

Wir arbeiten mit Hochdruck daran, dass der volle Service wieder angeboten werden kann. Bis dahin bitten wir Sie um ihr Verst\u00e4ndnis.<\/p><\/blockquote>\n

Dem obigem Tweet nach sind Standesamt, Einwohnermeldeamt und die Telefonzentrale der Stadt wieder funktionsf\u00e4hig. Zudem wurde eine E-Mail-Adresse f\u00fcr den Notbetrieb eingerichtet. Inzwischen ist aber klar, dass der Cyberangriff eine Ransomware-Attacke war, es liegt eine L\u00f6segeldforderung vor, auf die aber nicht eingegangen wird.<\/p>\n

Faules Google Authenticator-Update<\/h2>\n

Um bei einem Verlust des Handys mit der App ein Ersatzger\u00e4t verwenden zu k\u00f6nnen, hat Google in seiner Authenticator-App die M\u00f6glichkeit implementiert, die erforderlichen Passcodes im Google-Konto zu sichern. Im Blog-Beitrag Google Authenticator: Backup der Passcodes im Google-Konto; aber Ende-zu-Ende-Verschl\u00fcsselung kommt erst noch \u2026<\/a> hatte ich berichtet, dass die \u00dcbertragung des betreffenden Passcodes in das Google-Konto ohne Ende-zu-Ende-Verschl\u00fcsselung erfolgt. Nach Kritik von Sicherheitsexperten will Google die Ende-zu-Ende-Verschl\u00fcsselung immerhin nachr\u00fcsten.<\/p>\n

\"Google<\/a><\/p>\n

Google hat die Tage ein Update f\u00fcr seine Google Authenticator-App ver\u00f6ffentlicht, die eigentlich eine Ende-zu-Ende-Verschl\u00fcsselung einf\u00fchren sollte. Inzwischen gibt es aber Berichtet (siehe obiger Tweet<\/a> bzw. hier<\/a> und hier<\/a>), dass die angek\u00fcndigte Ende-zu-Ende-Verschl\u00fcsselung durch dieses Update doch nicht vorhanden ist.<\/p>\n

Datenleck bei US-Zahnarztversicherer<\/h2>\n

MCNA Dental ist einer der gr\u00f6\u00dften staatlich gef\u00f6rderten (Medicaid und CHIP) Anbieter von Zahnbehandlungen und Mundgesundheitsversicherungen in den USA. Beim US-Unternehmen Managed Care of North America (MCNA) Dental gab es einen Ransomware-Vorfall, bei dem die pers\u00f6nlichen Daten von 8,9 Millionen US-B\u00fcrgern, die bei diesem Unternehmen versichert sind, abgezogen wurden.<\/p>\n

\"Managed<\/a><\/p>\n

Gem\u00e4\u00df obigem Tweet<\/a> und diesem Artikel<\/a> von Bleeping Computer wurde der Vorfall durch eine Meldung bei den Beh\u00f6rden \u00f6ffentlich. SPON berichtet in diesem deutschsprachigen Beitrag<\/a>, dass\u00a0 die Angreifer R\u00f6ntgenaufnahmen und pers\u00f6nliche Daten von Betroffenen ver\u00f6ffentlicht haben und eine Millionensumme erpressen wollen.<\/p>\n

Ransomware bei Black Cat Networks<\/h2>\n

Beim Hosting-Anbieter Black Cat Networks gab es einen Ransomware-Angriff, bei dem Systeme verschl\u00fcsselt wurden. Laut nachfolgendem Tweet<\/a> kam es kurzfristig zu einem totalen Systemausfall. Der Abfluss von Daten kann nicht ausgeschlossen werden – Details lassen sich hier nachlesen<\/a>.<\/p>\n

\"Ransomware<\/a><\/p>\n

Gigabyte Motherboards mit Backdoor<\/h2>\n

Andy Greenberg berichtet auf Wired von einem unsch\u00f6nen Vorfall – siehe folgender Tweet<\/a> und dieser Artikel<\/a>. Sicherheitsforscher des auf Firmware spezialisierten Cybersecurity-Unternehmens Eclypsium sind in der Firmware von Motherboards des taiwanesischen Herstellers Gigabyte auf einen versteckten Mechanismus gesto\u00dfen, der die Firmware bei jedem Neustart der Platine zu aktualisieren versucht.<\/p>\n

\"Gigabyte<\/a><\/p>\n

Das Aktualisierungsprogramm l\u00e4uft auf dem Computer und wird aus dem Code der Firmware des Motherboards aufgerufen. Dieses Programm l\u00e4dt dann eine andere Software herunter und f\u00fchrt diese aus. Firmware-Updates sind eigentlich ja nicht schlecht – aber heimlich und ohne Kontrolle des Nutzers schon problematisch. Noch problematischer wird es, dass dieser Update-Vorgang unsicher ist. Die Forscher entdeckten, dass der Update-Vorgang unsicher implementiert ist. Dadurch lie\u00dfe sich der Mechanismus m\u00f6glicherweise kapern und zur Installation von Malware anstelle des von Gigabyte vorgesehenen Programms verwenden. Der gesamte Ansatz der Firmware-Aktualisierung durch Gigabyte \"stinkt gewaltig\", Nutzer haben quasi keine M\u00f6glichkeit, das zu entdecken oder zu entfernen. Es d\u00fcrften Millionen Benutzer betroffen sein – Details lassen sich im verlinkten Artikel nachlesen.<\/p>\n

Volt Typhoon zielt auf kritische US-Infrastruktur<\/h2>\n

Die Sicherheitsexperten von Microsoft sind k\u00fcrzlich auf einen Angriff der Volt Typhoon genannte Gruppe gesto\u00dfen. Hinter dem Angriff steckt ein staatlich gef\u00f6rderter Akteur mit Sitz in China, der sich normalerweise auf Spionage und Informationsbeschaffung konzentriert. Die Gruppe versucht Zugriff auf Anmeldeinformationen zu erhalten und fokussiert sich auf die Erkennung von kompromittierten Netzwerksystemen, die in kritischen Infrastrukturorganisationen in den Vereinigten Staaten betrieben werden.<\/p>\n

Die Gruppe Volt Typhoon ist seit Mitte 2021 aktiv und hat Organisationen mit kritischer Infrastruktur in Guam und anderen Teilen der Vereinigten Staaten ins Visier genommen. In der aktuellen Kampagne sind Organisationen aus den Bereichen Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung betroffen. Das beobachtete Verhalten deutet darauf hin, dass der Bedrohungsakteur beabsichtigt, Spionage zu betreiben und so lange wie m\u00f6glich unentdeckt zu bleiben.<\/p>\n

Volt Typhoon verschafft sich zun\u00e4chst \u00fcber Fortinet FortiGuard-Ger\u00e4te mit Internetanschluss Zugang zu den betreffenden Systemen. Bei der Analyse durch Microsoft stellte sich heraus, dass der Bedrohungsakteur versucht, alle vom Fortinet-Ger\u00e4t gew\u00e4hrten Privilegien zu nutzen. Dann extrahiert der Angreifer die vom Ger\u00e4t verwendeten Anmeldedaten f\u00fcr ein Active Directory-Konto. Mit diesen Anmeldedaten versucht sich der Angreifer bei anderen Ger\u00e4ten im Netzwerk zu authentifizieren.<\/p>\n

Bei erfolgreicher Kompromittierung des Zielsystems versuchen die Angreifer sich im System umzusehen und einzunisten. Dabei wird selten Malware gesetzt, um um Informationen \u00fcber das System zu finden, weitere Ger\u00e4te im Netzwerk zu entdecken und Daten zu exfiltrieren. Volt Typhoon leitet dabei seinen gesamten Netzwerkverkehr \u00fcber kompromittierte SOHO-Netzwerk-Edge-Ger\u00e4te (einschlie\u00dflich Router) an seine Server weiter. Microsoft hat herausgefunden, dass viele der Ger\u00e4te, darunter solche von ASUS, Cisco, D-Link, NETGEAR und Zyxel, dem Besitzer erlauben, HTTP- oder SSH-Verwaltungsschnittstellen ins Internet zu stellen. Besitzer solcher Netzwerk-Ger\u00e4te sollten sicherstellen, dass die Verwaltungsschnittstellen nicht aus dem Internet erreichbar sind, um ihre Angriffsfl\u00e4che zu verringern. Indem die Volt Typhoon-Gruppe diese Ger\u00e4te als Proxyserver einsetzt, erh\u00f6hen die Angreifer die M\u00f6glichkeiten, dass diese Operationen unerkannt bleiben.<\/p>\n

Microsoft konnte seinen Kunden zwar entsprechende Erkennungsma\u00dfnahmen f\u00fcr die Schutzsoftware zukommen lassen.\u00a0 Es besteht aber die Sorge, dass viele weitere Kunden unbemerkt kompromittiert werden. Microsoft hat sich dazu entschlossen, diese Volt Typhoon-Aktivit\u00e4ten im Beitrag Volt Typhoon targets US critical infrastructure with living-off-the-land techniques<\/a> \u00f6ffentlich zu machen.<\/p>\n

Check Point-Security schreibt, dass diese aus China kommenden Angriffe nichts neues seien. Chinesische APT-(Advanced Persistence Threat)-Gruppen, wie Volt Typhoon, sind bekannt f\u00fcr ihre ausgekl\u00fcgelten Spionage-Kampagnen. Sie wollen meist strategische Informationen sammeln, St\u00f6rungen verursachen, oder sich in einem System festsetzen, um f\u00fcr k\u00fcnftige Operationen bereit zu sein.<\/p>\n

Check Point hat \u00fcber die letzten Monate mehrere \u00e4hnliche Attacken gegen Ausw\u00e4rtige \u00c4mter und Botschaften von europ\u00e4ischen Staaten beobachtet, die auf einen staatlich gest\u00fctzten, chinesischen Akteur zur\u00fcckgef\u00fchrt werden konnten, den man Camaro Dragon nennt. Der Akteur weist \u00c4hnlichkeiten zu einem bereits bekannten chinesischen Akteur namens Mustang Panda auf. Check Point stie\u00df bei der Analyse auf eine gef\u00e4hrliche Sicherheitsl\u00fccke in den verbreiteten TP-Link Routern, \u00fcber die die Hintert\u00fcr namens Horse Shell implementiert wird (siehe B\u00f6sartige Firmware \"Horse Shell\" als Backdoor f\u00fcr TP-Link-Router enttarnt<\/a>). Die Backdoor kann genutzt werden kann, um st\u00e4ndigen Zugang zum Router und damit zum Netzwerk zu erhalten. Die Angreifer k\u00f6nnen so eine Hacker-IT-Infrastuktur f\u00fcr ihre Angriffe aufbauen.<\/p>\n

Check Point empfiehlt, Software Updates nicht auf die lange Bank zu schieben, Patches gegen Sicherheitsl\u00fccken sofort einzuspielen, keine Standard-Anmeldedaten zu verwenden und eine konsolidierte Sicherheitsarchitektur zu implementieren, um Pr\u00e4vention gegen alle Bedrohungsarten betreiben zu k\u00f6nnen. Das Check Point-Fazit: Die USA sind nicht das einzige Ziel chinesischer Cyber-Spionage-Attacken. Es wurden auch Kampagnen gegen EU-Mitglieder entdeckt, und sogar gegen die russische R\u00fcstungsindustrie und gegen asiatische Staaten in S\u00fcd-Ost-Asien wurden Angriffe gefahren.<\/p>\n

Weitere Meldungen<\/h2>\n

Microsoft hat einen neue Schwachstelle in macOS entdeckt<\/a>, der man den Namen Migraine (Migr\u00e4ne) verpasst hat. Die Schwachstelle k\u00f6nnte es einem Angreifer mit Root-Zugriff erm\u00f6glichen, den Systemintegrit\u00e4tsschutz (SIP) in macOS automatisch zu umgehen und beliebige Operationen auf einem Ger\u00e4t durchzuf\u00fchren. SIP ist eine Sicherheitstechnologie in macOS, die einen Root-Benutzer daran hindert, Operationen durchzuf\u00fchren, die die Systemintegrit\u00e4t gef\u00e4hrden k\u00f6nnten. Die Microsoft Sicherheitsforscher haben diese Erkenntnisse mit Apple durch Coordinated Vulnerability Disclosure (CVD) \u00fcber Microsoft Security Vulnerability Research (MSVR) geteilt. Ein Fix f\u00fcr diese Schwachstelle, die nun als CVE-2023-32369 identifiziert ist, wurde in die von Apple am 18. Mai 2023 ver\u00f6ffentlichten Sicherheitsupdates aufgenommen.<\/p>\n

Haufe berichtet hier<\/a> \u00fcber ein Urteil 33 O 376\/22<\/a> vom 23. M\u00e4rz 2023 des Landgericht (LG) K\u00f6ln, welches einer Klage der Verbraucherzentrale Nordrhein-Westfalen stattgegeben hat.\u00a0 Die Deutsche Telekom darf dem Urteil nach vor\u00fcbergehend keine personenbezogenen Daten von Nutzern ohne deren ausdr\u00fccklicher Zustimmung an Google-Server in den USA \u00fcbertragen. In der Begr\u00fcndung hei\u00dft es, dass ein angemessenes Datenschutzniveau in den USA nicht gew\u00e4hrleistet sei, solange es keine Nachfolgeregelung f\u00fcr das Datenschutzabkommen Privacy Shield oder entsprechende Standardvertragsklauseln gebe. \u00dcber dieses Thema hatte ich ja h\u00e4ufiger im Blog berichtet – und das Nachfolgeabkommen d\u00fcrfte wohl auch scheitern (siehe Entschlie\u00dfung des EU-Parlaments zum US-EU Framework (Mai 2023)<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":"

Die letzten Tage sind erneut einige Sicherheitsvorf\u00e4lle bekannt worden, bei denen Daten offen gelegt oder Systeme mit Ransomware infiziert wurden. Die Stadtverwaltung von Bad Langensalza ist durch Ransomware IT-m\u00e4\u00dfig au\u00dfer Betrieb. In den USA hat sich eine Ransomware-Gruppe tagelang bei … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282006","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282006","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282006"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282006\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}