{"id":290782,"date":"2024-01-22T12:29:11","date_gmt":"2024-01-22T11:29:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=290782"},"modified":"2024-01-24T11:32:59","modified_gmt":"2024-01-24T10:32:59","slug":"schwedisches-rechenzentrum-des-finnischen-cloud-anbieter-tietoevry-per-akira-ransomware-lahm-gelegt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/22\/schwedisches-rechenzentrum-des-finnischen-cloud-anbieter-tietoevry-per-akira-ransomware-lahm-gelegt\/","title":{"rendered":"Schwedisches Rechenzentrum des finnischen Cloud-Anbieter Tietoevry per Akira-Ransomware lahm gelegt"},"content":{"rendered":"

\"SicherheitKleiner Nachtrag vom Wochenende in Sachen \"geht in die Cloud, dann haben wir es mit Angriffen leichter und k\u00f6nnen auf breiter Basis Firmen erden\". Der Hoster und Cloud-Anbieter Tietoevry aus Finnland ist am Samstag Opfer einer Ransomware-Infektion geworden, bei der Kundensysteme verschl\u00fcsselt wurden. Das hat Auswirkungen bis nach Schweden, wo verschiedene Firmen nicht mehr arbeitsf\u00e4hig sind, weil die Cloud-Dienste nicht mehr verf\u00fcgbar sind. Die Akira-Ransomware-Gruppe scheint hinter dem Angriff zu stehen.<\/p>\n

<\/p>\n

\"\"Wenn ein IT-Dienstleistungs- oder Cloud-Anbieter per Cyberangriff lahm gelegt wird, trifft das viele Kunden. Der Angriff auf die S\u00fcdwestfalen IT (siehe Cyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>) oder geiger BDT (siehe Convotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a>) sowie GvW Graf von Westphalen (siehe GvW Graf von Westphalen Opfer eines Cyberangriffs geworden (Dez. 2023)<\/a>) in 2023 zeigen, welche Wellen solche Angriffe auf die IT-Infrastruktur von Kunden werfen.<\/p>\n

Ransomware-Angriff auf Tietoevry<\/h2>\n

Tietoevry<\/a> ist ein 1999 gegr\u00fcndetes IT-Dienstleistungsunternehmen mit Aktivit\u00e4ten in IT- und Product Engineering Services. Mit fast 24.000 Mitarbeitern in nahezu 90 L\u00e4ndern ist Tietoevry<\/a> einer der gr\u00f6\u00dften IT-Serviceprovider in Europa. Beheimated ist tietoevry ist in Helsinki, Finnland. Der Umsatz wurde 2015 mit 1,523 Milliarden Euro angegeben. Aktuell hei\u00dft es, dass der Umsatz f\u00fcr 2023 3,1 Milliarden US-Dollar betr\u00e4gt.<\/p>\n

Angriff am 19. Januar 2024<\/h3>\n

In einer Meldung<\/a> vom 20. Januar 2024 hie\u00df es, dass eines der Rechenzentren von Tietoevry in Schweden teilweise von einem Ransomware-Angriff betroffen sei. Der Vorfall beeintr\u00e4chtigt die Dienstleistungen f\u00fcr einige Kunden von Tietoevry in Schweden. Das Unternehmen habe aber sofort Ma\u00dfnahmen ergriffen, um die Situation zu untersuchen, zu entsch\u00e4rfen und zu beheben.<\/p>\n

Mehr Details am 21. Januar 2024<\/h3>\n

In einem Update<\/a> vom 21. Januar 2024 hei\u00dft es, dass ein Rechenzentren von Tietoevry in Schweden in der Nacht vom 19. auf den 20. Januar 2024 durch einen Ransomware-Angriff getroffen wurde. Es hei\u00dft zwar immer, dass nur Teile des Rechenzentrums betroffen sein. Tietoevry hat die betroffene Plattform sofort isoliert, und der Ransomware-Angriff hat sich nicht auf andere Teile der Infrastruktur des Unternehmens ausgewirkt, gibt der Hersteller an.<\/p>\n

Der Vorfall beeintr\u00e4chtigt aber Kunden in Schweden, die Cloud-Leistungen in diesem Rechenzentrum in den betroffenen Bereichen gebucht haben. Tietoevry\u00a0 schreibt zwar, dass die Wiederherstellung insgesamt fortgeschritten ist, aber die Dienste f\u00fcr die betroffenen Kunden weiterhin beeintr\u00e4chtigt sind.<\/p>\n

Tietoevry habe die h\u00f6chsten Ma\u00dfnahmen ergriffen, um die Situation zu untersuchen, zu entsch\u00e4rfen und zu beheben. Ein gro\u00dfes Expertenteam arbeitet rund um die Uhr an mehreren Stellen parallel daran. Die direkt betroffenen Kunden wurden \u00fcber den Vorfall benachrichtigt.<\/p>\n

Akira-Ransomware-Gang verantwortlich<\/h2>\n

Die Kollegen von Bleeping Computer haben den Vorfall bereits am Sonntag aufbereitet. Ich bin gestern \u00fcber nachfolgenden Tweet auf das Thema gesto\u00dfen\u00a0 – die Details wurden in diesem Beitrag<\/a> aufbereitet.<\/p>\n

\"Ransomware-Angriff<\/a><\/p>\n

Verantwortlich f\u00fcr den Angriff ist laut Bleeping Computer die Ransomware-Gruppe Akira. Laut Bleeping Computer ist dieses Rechenzentrum f\u00fcr den Enterprise-Managed-Cloud-Hosting-Service des Unternehmens zust\u00e4ndig. Demnach sind alle Kunden, die dort solche Cloud-Hosting-Dienst genutzt haben betroffen. In der Pressemitteilung<\/a> des finnischen Unternehmens findet sich aber nichts dazu.<\/p>\n

Laut Bleeping Computer wurden die Virtualisierungs- und Verwaltungsserver des Unternehmens, die zum Hosten der Websites oder Anwendungen f\u00fcr eine Vielzahl von Unternehmen in Schweden verwendet werden, durch den Ransomware-Angriff verschl\u00fcsselt. Betroffen war beispielsweise die\u00a0 Website von Filmstaden, Schwedens gr\u00f6\u00dfte Kinokette.<\/p>\n

Bleeping Computer hat die Flei\u00dfaufgabe \u00fcbernommen, die Liste der weiteren Betroffenen zu f\u00fcllen. Vom Angriff betroffen waren, auch der Discounter Rusta, der Anbieter von Baustoffen Moelven und der landwirtschaftliche Zulieferer Grangn\u00e5rden. Letzter war gezwungen, seine Gesch\u00e4fte zu schlie\u00dfen, schreiben die Kollegen.<\/p>\n

Der Anbieter Tietoevry verwaltet auch das Gehaltsabrechnungs- und HR-System Primula, welches der Regierung, Universit\u00e4ten und Hochschulen in Schweden verwendet wird. Zu den betroffenen Universit\u00e4ten und Hochschulen des Landes geh\u00f6ren laut Bleeping Computer das Karolinska Institutet, die SLU, die Universit\u00e4t West, die Universit\u00e4t Stockholm, die Lunds Universitet und die Universit\u00e4t Malm\u00f6.<\/p>\n

Weiterhin trifft der Ausfall von Primula zahlreiche Regierungsbeh\u00f6rden und Gemeinden in Schweden. Genannt werden das Statens servicecenter, die Gemeinde Vellinge, die Gemeinde Bjuv und der Kreis Uppsala. F\u00fcr Uppsala sei der Ausfall von gr\u00f6\u00dferer Bedeutung, da er sich auch auf das System zur Erfassung von Gesundheitsdaten in der Region auswirkt.<\/p>\n

Erinnert an S\u00fcdwestfalen IT<\/h2>\n

Erinnerte mich sofort stark an den Ransomware-Angriff auf die S\u00fcdwestfalen IT, die \u00fcber Hundert Kommunen betraf, weil die IT nicht mehr verf\u00fcgbar war. Hab dann im Blog nach Akira gesucht, da diese Ransomware-Gruppe erst seit 2023 aktiv ist. Prompt wurde ich im Blog im Beitrag S\u00fcdwestfalen IT: Wiederanlauf nach Cyberangriff dauert l\u00e4nger; Betreiber werden Vers\u00e4umnisse vorgeworfen<\/a> f\u00fcndig, da Akira f\u00fcr den Angriff auf den kommunalen IT-Dienstleister als verantwortlich bezeichnet wurde.<\/p>\n

Ein Gutes hat dieser Vorfall: Bei Beobachtern in Deutschland stellt sich bei solchen Vorf\u00e4llen oft das Gef\u00fchl ein \"die in kommunaler N\u00e4he angesiedelten Dienstleister k\u00f6nnen es nicht\" (ging mir auch so). Und es gibt oft den Spruch, wenn ich \u00fcber Cybervorf\u00e4lle und Probleme in Deutschland berichtet, \"komisch, in anderen L\u00e4ndern funktioniert das doch auch\" – wobei Skandinavien und die baltischen Staaten als leuchtende Vorbilder genannt werden. Nun haben wir die Probe aufs Exempel, dass die genau so von Ransomware-Angriffen (Akira) betroffen sind.<\/p>\n

Und wenn wir einen Schuss ins Blaue t\u00e4tigen, im Blog-Beitrag Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)<\/a> hatte ich \u00fcber die \"dreckigen Drei\" (Citrix, Fortinet und Ivanti) berichtet, deren Produkte immer f\u00fcr Remote Code Execution (RCE) Angriffe gut sind. Und da f\u00e4llt mir das Stichwort Ivanti ein – hatte ich doch heute den Beitrag Tausende Ger\u00e4te per Ivanti VPN-Schwachstellen angegriffen \u2013 mind. 19 in Deutschland<\/a> im Blog, der auf Angriffe \u00fcber Ivanti VPN hinweist. F\u00fcr Schweden werden mir vier betroffene Instanzen ausgewiesen – ist aber nur Spekulation, dass das der Einfallsvektor gewesen sein k\u00f6nnte.<\/p>\n

Die Kollegen von Bleeping Computer zitieren dagegen eine Warnung<\/a> des finnischen National Cyber Security Center (NCSC), die zw\u00f6lf Cyberangriffe von Akira auf finnische Organisationen in 2023 auflistet. Dort werden schwach gesicherte (oder ungepatchte) Cisco-VPN-Implementierungen als Einfallstore genannt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nCyberangriff auf S\u00fcdwestfalen IT (SIT): Chaos bei betroffenen Kommunen<\/a>
\nS\u00fcdwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten<\/a>
\nConvotis (Geiger BDT) best\u00e4tigt Cyberangriff, Infrastruktur \u00fcber Citrix Netscaler ADC kompromittiert?<\/a>
\nConvotis: ASP-Probleme mit GeigerCloud\/GeigerASP; DATEV-Steuerberater betroffen<\/a>
\nNeues vom Cybervorfall bei Convotis (GeigerCloud\/GeigerASP), Desaster f\u00fcr Steuerberater?<\/a>
\nGvW Graf von Westphalen Opfer eines Cyberangriffs geworden (Dez. 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Kleiner Nachtrag vom Wochenende in Sachen \"geht in die Cloud, dann haben wir es mit Angriffen leichter und k\u00f6nnen auf breiter Basis Firmen erden\". Der Hoster und Cloud-Anbieter Tietoevry aus Finnland ist am Samstag Opfer einer Ransomware-Infektion geworden, bei der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-290782","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290782","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=290782"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/290782\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=290782"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=290782"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=290782"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}