![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ende November 2023 wurde bekannt, dass der Ingenieur-Dienstleister Inros Lackner SE Opfer eines Ransomware-Angriffs wurde. Dauerte zwar einige Zeit, bis dies best\u00e4tigt wurde – aber es ist klar, dass es ein Ransomware-Angriff war. F\u00fcr mich stellte sich die Frage, wie die Angreifer in das IT-Netzwerk des Ingenieur-Dienstleisters eindringen konnten. Der Verdacht, dass eine Citrix-Schwachstelle (Citrix Bleed) eine Rolle spielte, verdichtet sich.<\/p>\n
<\/p>\n
Zum 27. November 2023 hatte ich im Blog-Beitrag Inros Lackner SE: Gab es einen Cyberangriff bei der Firma? Ja!<\/a> erw\u00e4hnt, dass mir Informationen vorliegen, dass die Firma Opfer eines Cyberangriffs geworden sei. Die Belegschaft wurde nach meinen damaligen Informationen nach Hause geschickt, w\u00e4hrend alle Rechner in der Firma bleiben m\u00fcssen. Weiterhin hie\u00df es, dass auch Dateien auf Arbeitspl\u00e4tzen verschl\u00fcsselt worden seien. Ich bekam diesen Sachverhalt aus zwei unabh\u00e4ngigen Quellen best\u00e4tigt.<\/p>\n Sp\u00e4ter informierte ein Leser mich dar\u00fcber, dass Inros Lackner SE den Cyberangriff auf der Unternehmenswebseite best\u00e4tigt hat. Diese Information findet sich nun (Mitte Dezember 2023) immer noch auf der Firmenseite – sprich: Die Firma ist sechs Wochen sp\u00e4ter immer noch nicht \u00fcber den Cyberangriff hinweg.<\/p>\n Der Vorfall zeigt, welch gravierende Folgen ein Cyberangriff f\u00fcr die Unternehmen haben kann. Im Beitrag S\u00fcdwestfalen IT: Wiederanlauf nach Cyberangriff dauert l\u00e4nger; Betreiber werden Vers\u00e4umnisse vorgeworfen<\/a> hatte ich ja die letzten Wochen \u00fcber einen \u00e4hnliche Vorfall bei einem kommunalen IT-Dienstleister berichtet, die ebenfalls seit Ende November 2023 durch einen Cyberangriff der Ransomware-Gruppe Akira ausgeknockt sind.<\/p>\n Und mir ist die Tage der obige Tweet<\/a>, der auf diesen Artikel verweist, unter die Augen gekommen. Der Beitrag thematisiert die Insolvenz eines Textilunternehmens – genannt wird die Erfo Bekleidungswerk GmbH & Co. KG<\/em>, ein Hersteller im Bereich Kleider und Blusen. Hier war das Unternehmen nach Corona wieder auf einem guten Weg, aber ein Cyberangriff war wohl der letzte Sto\u00df f\u00fcr das Aus.<\/p>\n Die spannende Frage ist bei den ganzen Cybervorf\u00e4llen, wie die Angreifer in den Systeme gekommen sind.<\/p>\n Beim Klinikum Esslingen hatte ich im Beitrag \"Cyber-Angriff\" auf Klinikum Esslingen \u2013 Citrix-Bleed ausgenutzt?<\/a> darauf hingewiesen, dass deren IT-Netzwerke \u00fcber eine Schwachstelle im Citrix Netscaler ADC kompromittiert wurden. Als Folge gab es dann eine Warnung des LKA Baden-W\u00fcrttemberg an Gesundheitseinrichtungen (LKA BW: Warnung an Krankenh\u00e4user und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen<\/a>). Dort wurde darauf hingewiesen, dass in Esslingen die Citrix Bleed genannte Schwachstelle ausgenutzt worden war. \u00dcber Citrix Bleed hatte ich hier im Blog berichtet (siehe Links am Artikelende).\u00a0Von einer Quelle wei\u00df ich, dass diese einen IT-Mitarbeiter der Klinik im August 2023 auf einen ungepatchten Citrix Netscaler ADC hingewiesen hatte.<\/p>\n Und bei Cyberangriff auf geiger BTT (siehe Convotis (Geiger BDT) best\u00e4tigt Cyberangriff, Infrastruktur \u00fcber Citrix Netscaler ADC kompromittiert?<\/a>) liegen mir starke Hinweise vor, dass ebenfalls ungepatchte Citrix Netscaler ADC den Angriff erm\u00f6glichten.<\/p>\n Kommen wir zu Inros Lackner SE zur\u00fcck. Im Web habe ich bei Recherchen die Information gefunden, dass deren IT-Personal mit Citrix arbeiten muss (z.B. Stellenausschreibungen f\u00fcr IT-Leitungsaufgaben). Auf shodan.io habe ich zwar zur Firma aktuell nichts gefunden (liegt aber an meinen begrenzten Ressourcen\/Kenntnissen im Umgang mit shodan.io).<\/p>\n Von einer weiteren Quelle wei\u00df ich aber, dass diese vor den Cyberangriffen das deutsche Internet auf Citrix-Instanzen gescannt hat. Dabei wurde auch eine ungepatchte Citrix-Instanz gefunden. Meinen Informationen nach wurde die\u00a0IT von Inros Lackner SE damals \u00fcber \"Probleme in Verbindung mit ungepatchten Citrix-Systemen\" informiert.<\/p>\n Erg\u00e4nzung:<\/strong> Mit den richtigen Suchbegriffen sto\u00dfe ich auf ein Citrix Gateway, welches zum 22. November 2023 wohl letztmalig aktualisiert wurde. Und nun wird es interessant: Mein Beitrag\u00a0Citrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus<\/a> datiert vom 15. November 2023 – Citrix hat die Sicherheitswarnung CTX579459<\/a> (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967) zum 10. November 2023 herausgegeben. Mein Erstbeitrag zum Cyberangriff datiert vom 27. November 2023.<\/p>\n Das l\u00e4sst nun durchaus diverse Gedankenspiele zu – beispielsweise, dass die Angreifer vor oder zwischen dem 10. und dem 22. November 2023 die Schwachstelle genutzt haben, um Zugangsdaten (Credentials) per Citrix Bleed vom Citrix-Gateway abzuziehen. Danach stand der Zugriff auf das IT-Netzwerk der Firma offen. Ist zwar nur eine Spekulation meinerseits, anhand einiger weniger Informationen, die mir vorliegen.<\/p>\n Genau in diese Richtung scheinen aber die bei Inros Lackner SE t\u00e4tigen IT-Forensik-Spezialisten zu ermitteln. Ich habe Informationen, das genau bez\u00fcglich der Meldung \u00fcber eine angreifbare Citrix-Instanz samt den damals ermittelten Testergebnissen geforscht wird. Mal schauen, ob diese Information irgendwann best\u00e4tigt und das Einfallstor bekannt wird.<\/p>\n \u00c4hnliche Artikel:<\/strong> Ende November 2023 wurde bekannt, dass der Ingenieur-Dienstleister Inros Lackner SE Opfer eines Ransomware-Angriffs wurde. Dauerte zwar einige Zeit, bis dies best\u00e4tigt wurde – aber es ist klar, dass es ein Ransomware-Angriff war. F\u00fcr mich stellte sich die Frage, wie … Weiterlesen Inros Lackner SE<\/a> ist nach eigener Aussage eines der f\u00fchrenden Generalplanungsunternehmen in Deutschland. Mehr als 700 Mitarbeitende realisieren anspruchsvolle Architektur- und Ingenieurl\u00f6sungen weltweit (von Geb\u00e4udeplanung bis hin zu Hafenprojekten). Die wickeln um die 950 Projekte per Jahr ab und sind auch international t\u00e4tig.<\/p>\n
![\"Inros](\"https:\/\/i.postimg.cc\/ZRvwjNKN\/image.png\" "\\"Inros")
<\/p>\nR\u00fcckblick auf den Cyberangriff<\/h2>\n
![\"Inros](\"https:\/\/i.postimg.cc\/PxL5GTwc\/image.png\" "\\"Inros")
\nInros Lackner SE Cybervorfall<\/p>\nGravierende Folgen in anderen F\u00e4llen<\/h3>\n
![\"Insolvenz](\"https:\/\/i.postimg.cc\/htQfXq9z\/image.png\")
<\/p>\nCitrix-Schwachstelle bei Inros Lackner SE?<\/h2>\n
\u00c4hnliche F\u00e4lle mit Citrix<\/h3>\n
Was wei\u00df ich zu Inros Lackner SE?<\/h3>\n
\nInros Lackner SE: Gab es einen Cyberangriff bei der Firma? Ja!<\/a>
\nConvotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a>
\nNeues vom Cybervorfall bei Convotis (GeigerCloud\/GeigerASP), Desaster f\u00fcr Steuerberater?<\/a>
\nnetgo Opfer eines Cyberangriffs? (6. Nov. 2023)<\/a>
\nSolvenius GmbH Webseite nicht erreichbar \u2013 hat jemand Informationen, was los ist?<\/a>
\nCyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>
\nS\u00fcdwestfalen IT: Wiederanlauf nach Cyberangriff dauert l\u00e4nger; Betreiber werden Vers\u00e4umnisse vorgeworfen<\/a>
\nConvotis (Geiger BDT) best\u00e4tigt Cyberangriff, Infrastruktur \u00fcber Citrix Netscaler ADC kompromittiert?<\/a>
\n\"Cyber-Angriff\" auf Klinikum Esslingen \u2013 Citrix-Bleed ausgenutzt?<\/a>
\nLKA BW: Warnung an Krankenh\u00e4user und Rehabilitationseinrichtungen vor CITRIX-Schwachstellen<\/a>
\nCitrix Bleed: Schwachstelle CVE-2023-4966 verr\u00e4t Sitzungs-Tokens in NetScaler ADC und Gateway, PoC verf\u00fcgbar<\/a>
\nCitrix Bleed: Lockbit-Gruppe nutzt Schwachstelle CVE-2023-4966 aus<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"