{"id":282886,"date":"2023-06-21T10:53:43","date_gmt":"2023-06-21T08:53:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282886"},"modified":"2023-06-21T11:34:52","modified_gmt":"2023-06-21T09:34:52","slug":"sicherheits-news-big-krankenkasse-hlben-rhein-pfalz-kreis-moveit-21-juni-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/21\/sicherheits-news-big-krankenkasse-hlben-rhein-pfalz-kreis-moveit-21-juni-2023\/","title":{"rendered":"Sicherheits-News: BIG-Krankenkasse, Hülben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023)"},"content":{"rendered":"

\"SicherheitDie BIG-Innungskrankenkasse in Dortmund wurde Ende M\u00e4rz 2023 Opfer eines \"Cyberangriffs\". Nun hat die Black Basta Ransomware-Gruppe \u00f6ffentlich gemacht, dass BIG ihr Opfer war. Die Gemeinde H\u00fclben (Region Neckar-Alb) ist ebenfalls Opfer eines Cyberangriffs. Und der Rhein-Pfalz-Kreis (Ludwigshafen) ist auch acht Monate nach einem Cyberangriff nicht voll arbeitsf\u00e4hig. VMware best\u00e4tigt, dass eine Schwachstelle in freier Wildbahn ausgenutzt wird. Beim MOVEit Transfer-Desaster greift Progress-Software einen Sicherheitsforscher an, der die Sicherheitsl\u00fccke \u00f6ffentlich gemacht hat. Und es gibt inzwischen eine US-Sammelklage gegen Progress wegen der Schwachstelle. Nachfolgend eine Zusammenfassung von Cyber-Nachrichten der letzten Stunden. <\/p>\n

<\/p>\n

BIG-Krankenkasse Opfer von Black Basta<\/h2>\n

\"\"Am 28. M\u00e4rz 2023 wurde die BIG Innungskrankenkasse in Dortmund Opfer eines Cyberangriffs. Ich hatte am 31. M\u00e4rz 2023 berichtet, nachdem es Tagelang hie\u00df, es l\u00e4ge eine technische St\u00f6rung vor (siehe BIG-Krankenkasse wurde am 28. M\u00e4rz 2023 Opfer eines Cyberangriffes<\/a>). Seinerzeit wurde versichert, dass man alles tue, um die Dienste wiederherzustellen und man in einer \"ersten Analyse keinen Datenabfluss erkennen konnte\". <\/p>\n

Am 26. April 2023 wurde die Krankenkasse von ihrem IT-Dienstleister Bitmark dar\u00fcber informiert, dass dieser gehackt worden sei. Der Bitmark-Hack hatte ja einige Kreise gezogen \u2013 warum fasst einen Monat verging, bis die BIG-Krankenkasse mit der Information herausr\u00fcckt, dass die Bitmark als IT-Dienstleister verwenden, entzieht sich meiner Kenntnis. <\/p>\n

\"Black <\/p>\n

Zum 21. Juni 2023 liegt mir \u00fcber Twitter der Hinweis vor, dass die Black Basta Ransomware-Gruppe die BIG Innungskrankenkasse als Opfer f\u00fchrt, von dem man wohl Daten abgezogen hat (ich habe die Informationen in obigem Beitrag nachgetragen) \u2013 so viel zu \"keinen Datenabfluss erkannt\". Welche Daten abgezogen wurden, entzieht sich aber meiner Kenntnis. <\/p>\n

Cyberangriff auf Gemeinde H\u00fclben <\/h2>\n

H\u00fclben<\/a> ist eine Gemeinde etwa 14 km \u00f6stlich von Reutlingen in Baden-W\u00fcrttemberg. Sie geh\u00f6rt zur Region Neckar-Alb und zur Randzone der europ\u00e4ischen Metropolregion Stuttgart. Auf den Seiten der Gemeinde findet sich noch nichts, aber gem\u00e4\u00df nachfolgendem Tweet<\/a> ist die IT der Verwaltung wegen eines Cyberangriffs heruntergefahren.<\/p>\n

\"Cyberangriff<\/a><\/p>\n

In der S\u00fcdwest Presse beschreibt dieser Artikel<\/a>, dass es Mittwoch, den 14. Juni 2023, erstmals zu technischen Problemen kam. Hinzugezogene IT-Experten d\u00fcrften wohl einen Cyberangriff auf die IT-Systeme festgestellt haben. Jedenfalls sind die IT-Systeme der Verwaltung heruntergefahren, weder die Computer noch die Telefonanlage der Verwaltung k\u00f6nnen seither genutzt werden. <\/p>\n

Folgen des Cyberangriffs auf Rhein-Pfalz-Kreis<\/h2>\n

Im Oktober 2022 hatte ich im Beitrag Cyberangriffe: Kreisverwaltung des Rhein-Pfalz-Kreises; 75 Schulen in Oberbayern; DPA<\/a> berichtet, dass die Kreisverwaltung des Rhein-Pfalz-Kreises wegen eines mutma\u00dflichen Hackerangriffs zur Zeit nicht erreichbar sei. Telefone und Computer wurden im Ludwigshafener Kreishaus durch eine Verschl\u00fcsselung per Ransomware lahmgelegt. <\/p>\n

Im Beitrag Vice Society ver\u00f6ffentlicht Daten des Rheinland-Pfalz-Kreises<\/a> hatte ich dann berichtet, dass die Ransomware-Gruppe Vice Society erbeutete Daten des Kreises \u00f6ffentlich gemacht hat. Auch drei Monate nach diesem Vorfall befand sich die IT der Verwaltung noch im Krisenmodus, wie ich im Blog-Beitrag Das IT-Desaster 2023 in deutschen Beh\u00f6rden an 3 F\u00e4llen gespiegelt<\/a> berichtete. <\/p>\n

<\/a><\/p>\n

Sicherheits-Experte Jens Lange weist in obigem Tweet<\/a> darauf hin, dass die Verwaltung acht Monate nach diesem Angriff immer noch nicht ans Netz des Landes angeschlossen sei. Zudem sind viele Fachanwendungen noch immer nicht installiert. Ein Desaster \u2013 der Kreis hat jetzt eine Vereinbarung mit dem BSI abgeschlossen, um die IT-Grundschutz Basis-Absicherung in der Kommunalverwaltung umzusetzen. Ich hatte im Beitrag BSI ver\u00f6ffentlicht neue Version des IT-Grundschutz-Kompendiums<\/a> auf die betreffenden BSI-Dokumente hingewiesen.<\/p>\n

Neues zu MOVEit Progress-Desaster<\/h2>\n

Noch zwei Fundsplitter zum Desaster um die MOVEit Managed File Transfer (MFT)-Software von Progress Software. MOVEit ist h\u00e4ufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Gesch\u00e4ftspartnern per Internet auszutauschen. Die Software f\u00e4llt seit Jahren durch (SQL-Injection) Schwachstellen auf \u2013 und Sicherheitsforscher halten den Einsatz dieser L\u00f6sung f\u00fcr \"fahrl\u00e4ssig\". Ende Mai 2023 wurde die MOVEit-Schwachstelle CVE-2023-34362 bekannt (siehe Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a>), wobei sich herausstellte, dass diese Sicherheitsl\u00fccke gezielt durch die Lace Tempest\/Clop-Ransomware-Gang (mutma\u00dflich bereits seit 2021) ausgenutzt wurde (siehe Lace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a>).<\/p>\n

\"Progress<\/a><\/p>\n

Inzwischen sind in kurzer Folge drei Schwachstellen in MOVEit Transfer gepatcht worden und eine Reihe Firmen sind Opfer dieser Schwachstelle (siehe auch Links am Artikelende). Sicherheitsanalyst Brett Calow weist in obigem Tweet<\/a> auf eine besondere Volte hin. Ein Sicherheitsforscher hatte in einem Tweet auf eine neue (bisher unbekannte) Sicherheitsl\u00fccke in MOVEit hingewiesen, ohne sich an den Prozess der verantwortungsvollen Offenlegung zu halten. Die Sicherheitsl\u00fccke (CVE-2023-35708) betrifft sowohl MOVEit Cloud als auch MOVEit Transfer. Progress Software wirft dem Sicherheitsforscher nun vor, dass diese Ver\u00f6ffentlichung \"unsere Kunden einem erh\u00f6hten Risiko aussetzt\". Man habe keine Chance gehabt, einen Patch zu entwickeln, sondern der Anbieter musste seine MOVEit Cloud-Plattform deaktivieren. <\/p>\n

Ist doof gelaufen, aber mal zum Mitschreiben: Das Statement kam, nachdem fr\u00fchere MOVEit-Schwachstellen Monate lang durch Angreifer ausgenutzt wurden, um Daten bei zahlreichen Beh\u00f6rden und Unternehmen abzuziehen. Man sollte davon ausgehen, dass alle MOVEit-Produkte im Fokus von Angreifern waren, die Sicherheitsl\u00fccken suchen. CRN hat mehr Details zum Vorfall in diesem Artikel<\/a> beschrieben. Letztendlich kann man die Software \u2013 zumindest in meinen Augen \u2013 im Firmenumfeld nur noch verbannen \u2013 der Einsatz ist auf Grund obiger Entwicklung grob fahrl\u00e4ssig. <\/p>\n

<\/a><\/p>\n

In den USA beginnt derweil die juristische Aufarbeitung des Desasters. Brett Callow weist in obigem Tweet<\/a> auf einen Beitrag von Bloomberg Law hin. Dort wird (leider hinter einer Paywall) berichtet, dass in den USA jetzt eine Sammelklage gegen den Hersteller Progress Software Inc. auf den Weg gebracht wurde. Der Vorwurf in der Klage: Progress Software Corp. hat im Zusammenhang mit einer Datenpanne beim Cloud-Hosting- und Dateitransferdienst MOVEit, den das Unternehmen Beh\u00f6rden und Privatunternehmen anbietet, seine Pflicht zum Schutz sensibler Daten verletzt. \u00dcber \u00f6ffentlich gewordene Schwachstellen haben Cyberkriminelle ja Daten von Dutzenden von Organisationen und Regierungsbeh\u00f6rden in den USA und Europa abgezogen. Zu den Opfern geh\u00f6ren unter anderem Shell PLC und British Airways, aber auch Banken, Fertigungsunternehmen und Universit\u00e4ten.<\/p>\n

Datenleck nach Hack der Universit\u00e4t Manchester<\/h2>\n

Die britische Universit\u00e4t Manchester ist von einem Hack betroffen, bei dem wohl gro\u00dfe Datenmengen abgezogen werden konnten. Ich hatte im Blog-Beitrag Hackerangriffe: Hochschule Kaiserslautern; University of Manchester (9. Juni 2023)<\/a> \u00fcber diesen Vorfall berichtet. Die Universit\u00e4t Manchester warnte damals noch in einer Meldung<\/a> ihre Mitarbeiter und Studenten, dass sie Opfer eines Cyberangriffs geworden ist, bei dem wahrscheinlich Daten aus dem Netzwerk der Universit\u00e4t gestohlen wurden.<\/p>\n

Nun dreht sich das Ganze eine Runde weiter, wie Bleeping Computer in diesem Artikel<\/a> berichtet. Die Angreifer behaupten, 7 Gigabyte Daten von den Servern der Universit\u00e4t abgezogen zu haben. Dazu wurde von den Hackern eine E-Mail, die Bleeping Computer vorliegt, an Studenten der Universit\u00e4t zugeschickt. Dort hei\u00dft es:<\/p>\n

\n

Wir m\u00f6chten alle Studenten, Dozenten, Verwaltungsangestellten und Mitarbeiter dar\u00fcber informieren, dass wir am 6. Juni 2023 erfolgreich das Netzwerk manchester.ac.uk gehackt haben. Wir haben 7 TB an Daten gestohlen, darunter vertrauliche pers\u00f6nliche Informationen von Studenten und Mitarbeitern, Forschungsdaten, medizinische Daten, Polizeiberichte, Ergebnisse von Drogentests, Datenbanken, HR-Dokumente, Finanzdokumente und vieles mehr. und mehr.<\/p>\n<\/blockquote>\n

Mit diesen Mails soll wohl Druck aufgebaut werden, dass die Universit\u00e4t L\u00f6segeld zahlt. Egal wie der Fall ausgeht, f\u00fcr die Betroffenen wird es \"ekelig\" \u2013 und f\u00fcr die Universit\u00e4t ist es der GAU \u2013 in Gro\u00dfbritannien werden ja nennenswerte Studiengeb\u00fchren an deren Hochschulen f\u00e4llig. <\/p>\n

Personaldienstleister TREMONIA <\/h2>\n

Tremonia<\/a> ist ein Personaldienstleister in Deutschland, der Arbeitskr\u00e4fte vermittelt.  Diesem Tweet<\/a> zufolge ist der Anbieter Opfer eines Ransomware-Angriffs durch Black Basta geworden (die Gruppe hat den Namen \u00f6ffentlich gemacht). Auf den Webseiten des Unternehmens habe ich noch nichts dazu gefunden. <\/p>\n

VMware warnt vor vRealize-Schwachstelle<\/h2>\n

Und abschlie\u00dfend noch eine kurze Information. VMware hat ein \u00e4lteres Security Advisory<\/a> dergestalt aktualisiert, dass die Schwachstelle CVE-2023-2088 in freier Wildbahn ausgenutzt wird. Die Kollegen von Bleeping Computer haben Details in diesem Beitrag<\/a> aufbereitet.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a>
Lace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a>
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?<\/a>
Das MOVEit-Desaster: Proof of Concept; Clop-Gang ver\u00f6ffentlicht Opferdaten<\/a>
Cyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorf\u00e4lle (19. Juni 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die BIG-Innungskrankenkasse in Dortmund wurde Ende M\u00e4rz 2023 Opfer eines \"Cyberangriffs\". Nun hat die Black Basta Ransomware-Gruppe \u00f6ffentlich gemacht, dass BIG ihr Opfer war. Die Gemeinde H\u00fclben (Region Neckar-Alb) ist ebenfalls Opfer eines Cyberangriffs. Und der Rhein-Pfalz-Kreis (Ludwigshafen) ist auch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-282886","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282886","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282886"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282886\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282886"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282886"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282886"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}