{"id":291270,"date":"2024-02-02T08:11:11","date_gmt":"2024-02-02T07:11:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291270"},"modified":"2024-03-18T14:44:40","modified_gmt":"2024-03-18T13:44:40","slug":"cyberangriffe-landratsamt-kelkheim-caritas-klinik-dominikus-in-berlin-datenfunde-im-darknet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/02\/cyberangriffe-landratsamt-kelkheim-caritas-klinik-dominikus-in-berlin-datenfunde-im-darknet\/","title":{"rendered":"Cyberangriffe: Landratsamt Kelheim; Caritas-Klinik Dominikus in Berlin; Datenfunde im Darknet"},"content":{"rendered":"

\"SicherheitEs ist Freitag und ich habe von gestern Abend sowie der Nacht noch einige Meldungen zu Cyberangriffen nachzuholen.\u00a0 Das Landratsamt Kelheim ist wegen eines Cyberangriffs offline, genau wie die Caritas-Klinik Dominikus in Berlin. Inzwischen k\u00f6nnen \"Kunden\" der Unfallkasse Th\u00fcringen Daten von Cybervorf\u00e4llen im Darknet abrufen. Und HPE soll erneut gehackt worden sein – jemand bietet jedenfalls Daten im Darknet an. Bei Mastodon gibt es eine Schwachstelle, die eine Konten\u00fcbernahme erm\u00f6glicht. Der t\u00e4gliche Wahnsinn – und ich habe mal eine Prise zusammen gestellt – und noch einige Erg\u00e4nzungen angef\u00fcgt.<\/p>\n

<\/p>\n

Cyberangriff auf das Landratsamt Kelheim<\/h2>\n

\"\"Blog-Leser Christian hat mich gestern Abend noch per Mail kontaktiert und berichtete, dass er der der \u00f6rtlichen Lokalpresse entnommen<\/a> habe, dass das Landratsamt Kelheim von einem Cyberangriff getroffen wurde (danke daf\u00fcr). Kelheim<\/a> ist ein St\u00e4dtchen und ein Landkreis in der N\u00e4he von Regensburg (mir durch ein Chemiewerk meines fr\u00fcheren Arbeitgebers ein Begriff). Das Landratsamt teilt mit<\/a>, dass es Aufgrund eines Cyberangriffs seine Internetverbindung aus Sicherheitsgr\u00fcnden getrennt habe. Aktuell l\u00e4uft die Untersuchung auf potentielle Sch\u00e4den.<\/p>\n

Aktuell konnten gestern im Landratsamt Kelheim keine Kfz-Zulassungen, Telefonate, Emails oder Online-Antr\u00e4ge entgegengenommen werden. Laut neuester Meldung konnten – nach erfolgreichen Ma\u00dfnahmen – das kommunale Beh\u00f6rdennetz im Landkreis Kelheim um 16:00 Uhr wieder in Betrieb genommen werden. Die Gemeinden k\u00f6nnen ab sofort wieder das Internet nutzen und sind auch wieder per Email erreichbar.<\/p>\n

Das Landratsamt will seine lokalen IT-Strukturen \u00fcber das Wochenende weiter pr\u00fcfen und voraussichtlich am Montag Nachmittag wieder telefonisch erreichbar sein. Der Donau-Kurier hat noch ein paar Informationen in diesem Artikel<\/a> ver\u00f6ffentlicht (danke an @danist<\/a>).<\/p>\n

Caritas-Klinik Dominikus in Berlin<\/h2>\n

Auf die Caritas-Klinik Dominikus in Berlin hat es ebenfalls einen Cyberangriff gegeben. kma-Online berichtet in diesem Beitrag<\/a> \u00fcber diesen Fall. Der Angriff auf die IT-Systeme wurde am 31. Januar 2024 festgestellt, der Umfang des Schadens ist wohl noch unbekannt. Laut dieser Mitteilung<\/a> der Cariatas Berlin wurden von der IT<\/abbr>-Abteilung gemeinsam mit Experten einer externen Sicherheitsfirma unverz\u00fcglich umfangreiche Ma\u00dfnahmen einleitet, um die Ausbreitung des Angriffs zu stoppen und die Situation umf\u00e4nglich zu analysieren. Die Gesch\u00e4ftsf\u00fchrung hat einen Krisenstab eingerichtet und Anzeige bei der Kriminalpolizei erstattet.<\/p>\n

Die Patientenversorgung und -Sicherheit war und ist zu jedem Zeitpunkt gew\u00e4hrleistet, schreibt die Klinik. Trotz technischer Einschr\u00e4nkungen l\u00e4uft der Klinikbetrieb weiter. Aufnahmen und Operationen finden weiterhin statt. Die Rettungsstelle des Dominikus ist aber von der Notfallversorgung abgemeldet, die Leitstellen und Nachbarh\u00e4user sind dar\u00fcber informiert.<\/p>\n

Das Dominikus-Krankenhaus versorgt nach eigenen Angaben seit 1920 als Allgemeinkrankenhaus Menschen im Norden Berlins. Heutzutage verf\u00fcgt die Klinik nach Angaben der Sprecherin \u00fcber rund 250 Betten. heise hat hier<\/a> noch einige Informationen dazu ver\u00f6ffentlicht.<\/p>\n

Erg\u00e4nzung: Ich f\u00fcge es hier mal ein – bei den Unikliniken Mainz gibt es wohl einen gravierenden Netzwerkausfall – scheint aber kein Cyberangriff zu sein. Patrick hat mich auf diesen Bericht<\/a> des SWR hingewiesen (danke).<\/p><\/blockquote>\n

Klinikum Mittelfranken zahlt nicht<\/h2>\n

Die Tage hatte ich im Blog-Beitrag Cyberangriff auf Bezirkskliniken Mittelfranken, Daten abgezogen, IT seit 27.1.2024 offline<\/a> \u00fcber einen Cyberangriff auf den Klinikverbund berichtet. Ein Ransomware-Befall hat die Bezirkskliniken Ansbach getroffen und es wurden Daten verschl\u00fcsselt. Bei heise gibt es nun diesen Artikel<\/a>, in dem es hei\u00dft, dass die Klinik keine Verhandlung mit der Ransomware-Gruppe aufnimmt und die Systeme aus Backups neu aufsetzt.<\/p>\n

Unfallkasse Th\u00fcringen: Daten im Darknet<\/h2>\n

Im Dezember 2023 hatte ich im Beitrag Unfallkasse Th\u00fcringen erneut Opfer eines Cyberangriffs (18. Dez. 2023)<\/a> sowie im Beitrag Unfallkasse Th\u00fcringen (UKT) Opfer der RA Group, 45 Gbyte Daten abgezogen<\/a> berichtet, dass die Unfallkasse Th\u00fcringen (UKT) Opfer eines Cyberangriffs geworden sei. Damals wurde von der UTK nicht ausgeschlossen, dass Daten abgeflossen sein k\u00f6nnten. Mir mir lag die Information vor, dass die RA Group mit der Ver\u00f6ffentlichung von 45 GByte an erbeuteten Daten bis zum Ablauf des Monats droht.<\/p>\n

<\/p>\n

Obigem Tweet entnehme ich, dass die Daten nun im Darknet angeboten werden. Die Redaktion von Golem berichtet in diesem Artikel<\/a>, dass Ermittler nun Versichertendaten im Darknet aufsp\u00fcren konnten. Der MDR hat wohl Details<\/a>, es werden 4.000 Unternehmen angeschrieben, nachdem der Forensische Dienst des Landeskriminalamtes festgestellt habe, dass sensible Daten wie Anschriften und Bankverbindungen von Versicherten abgeflossen sind.<\/p>\n

Auch der Klinik-Verbund Capital Health hat wohl einen Cybervorfall gehabt (ich habe es nicht im Blog thematisiert) und die abgeflossenen Daten finden sich laut diesem Tweet<\/a> im Darknet.<\/p><\/blockquote>\n

Hack bei Hewlett Packard Enterprise (HPE)<\/h2>\n

Nachfolgendem Tweet<\/a> entnehme ich, dass es wohl einen Hack bei Hewlett Packard Enterprise (HPE) gegeben haben k\u00f6nnte. Ein Bedrohungsakteur, der unter dem Pseudonym \"IntelBroker\" auftritt, bietet Daten in einem Untergrundforum an. Er behauptet, dass die exfiltrierten Daten CI\/CD-Zugang, Systemprotokolle, Konfigurationsdateien, Zugangstoken, HPE StoreOnce-Dateien (Seriennummern, Garantie usw.) und Zugangspassw\u00f6rter enthalten.<\/p>\n

\"Daten<\/a><\/p>\n

Das Ganze ist noch nicht \u00fcberpr\u00fcft und k\u00f6nnte auch ein Fake sein. W\u00e4re der zweite Hack binnen kurzer Zeit. \u00dcber einen Angriff auf HPE hatte ich im Blog-Beitrag Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a> berichtet. Nach Microsoft ist auch die Firma HPE das Opfer der russischen Hackergruppe Midnight Blizzard geworden. Das ging aus einer Mitteilung des Unternehmens an die US-B\u00f6rsenaufsicht SEC (SECURITIES AND EXCHANGE COMMISSION) hervor. Wie auch bei Microsoft hatten die Angreifer wohl Zugriff auf das E-Mail-System des Unternehmens (bei Microsoft war es Microsoft 365). Die Angreifer konnten sich dann seit Monaten bei HPE in diesem System umsehen.<\/p>\n

Mastodon-Schwachstelle – patchen<\/h2>\n

In der Software f\u00fcr Mastodon-Instanzen gibt es wohl in \u00e4lteren Versionen eine Schwachstelle, die eine \u00dcbernahme von Mastodon-Konten erm\u00f6glicht. Betreiber von Mastodon-Instanzen m\u00fcssen die Software aktualisieren. Die Kollegen von heise haben Details im Beitrag\u00a0Mastodon: Diebstahl beliebiger Identit\u00e4ten im f\u00f6derierten Kurznachrichtendienst<\/a> ver\u00f6ffentlicht.<\/p>\n

US-Beh\u00f6rden m\u00fcssen Ivanti-VPNs abschalten<\/h2>\n

Ich hatte hier im Blog ja h\u00e4ufiger \u00fcber Schwachstellen in Ivanti-Produkten berichtet, zuletzt im Artikel\u00a0Ivanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht<\/a>. Auf Grund der letzten Schwachstellen hat die \u00a0US-Cybersicherheitsbeh\u00f6rde CISA eine Anordnung f\u00fcr US-Beh\u00f6rden herausgegeben, alles Ivanti VPN-Appliances bis zum Samstag au\u00dfer Betrieb zu nehmen. Die Kollegen von Bleeping Computer haben hier<\/a> was dazu ver\u00f6ffentlicht. Einen deutschsprachigen Beitrag gibt es bei heise<\/a>.<\/p>\n

FritzFrog-Botnet zur\u00fcck<\/h2>\n

Noch ein Shorty: Das FritzFrog-Botnet kehrt zur\u00fcck und nutzt Log4Shell<\/em>, speicherresidente Nutzdaten und PwnKit, um ungepatchte Systeme auszunutzen. Zudem gibt es neue Taktiken, um sich zu verstecken und der Entdeckung zu entgehen.<\/p>\n

\"Fritz-Frog<\/a><\/p>\n

The Hacker News hat die Details in diesem Artikel<\/a> aufbereitet – Sicherheitsforscher von Akamai haben das Ganze entdeckt und in diesem Beitrag<\/a> dokumentiert. Das Botnet dient auch als Malware-Schleuder.<\/p>\n

Zyxel VPN mit Schwachstellen<\/h2>\n

In nachfolgendem Tweet weist jemand auf die neueste Sicherheitswarnung f\u00fcr VPN-L\u00f6sungen des Anbieters Zyxel hin. Eine Verkettung von drei Schwachstellen erlaubt es nicht authentifizierten Angreifern, beliebige Befehle mit Root-Rechten auf der Zyxel VPN Firewall auszuf\u00fchren. Die Details sind im Beitrag hier<\/a> nachzulesen.<\/p>\n

\"Zyxel<\/p>\n

DDoS auf WebUntis von BW<\/h2>\n

Das Land Baden-W\u00fcrttemberg (BW) betreibt ein Schulverwaltungssystem mit Namen WebUntis. Patrick hat mich darauf hingewiesen, dass Schulverwaltungssystem WebUntis<\/a> wohl seit Dienstag (30.1.2024) permanent mit DDoS-angegriffen wird. Man komme zwar auf die Seite, aber bei einer Suche nach einer Schule l\u00e4uft man auf einen HTTP Error 529.<\/p>\n

Stundenpl\u00e4ne, Messanger und \u00e4hnliches stehen w\u00e4hrend der DDoS-Angriffe in allen staatlichen und st\u00e4dtischen Schulen in ganz Baden-W\u00fcrttemberg nicht zur Verf\u00fcgung. Ich habe gerade mal geschaut, aktuell komme ich auf die Anmeldeseiten f\u00fcr die gew\u00fcnschten Schulen.<\/p>\n

Sportdaten in der Schweiz geklaut<\/h2>\n

Philipp von inside-it.ch<\/em> hat mich gerade per E-Mail kontaktiert. Die haben von der Redaktion einen Datenklau bei DataSport aufgedeckt. Die Firma Datasport ist in der Schweiz die Nummer 1 im Breitensport und bei Events wie Engadin Skimarathon, Stadtl\u00e4ufe, Mountainbike-Anl\u00e4sse etc. involviert. Die sind dann f\u00fcr Online-Anmeldung, Zeitmessung, Ranglisten und weitere Datenverarbeitungen und Services zust\u00e4ndig.<\/p>\n

Ein Nutzer mit dem Alias PieWithNothing<\/span> <\/em>gibt an, 1,3 Millionen Datens\u00e4tze von DataSport erbeutet zu haben und bietet das Datenpaket an. Im Datenpaket sollen auch Datens\u00e4tze von rund 150.000 Sportlerinnen und Sportlern aus Deutschland enthalten sein. Der Hack ereignete sich am 22. Januar 2024. Philipp hat mehr Details im Beitrag hier<\/a> ver\u00f6ffentlicht. Die Stellungnahme der Firma ist hier<\/a> zu finden.<\/p>\n

Cybersecurity bei Ausw\u00e4rtigen Dienst der EU<\/h2>\n

Es geht das Ger\u00fccht, dass sich ein Angeh\u00f6riger eines ausl\u00e4ndischen Geheimdiensts letztens tot gelacht habe. Der hatte sich mit dem\u00a0Ausw\u00e4rtigen Dienst der EU (EAD) zu befassen und deren Kommunikation zu \u00fcberwachen. Schien kniffelig, die sind sicher gut abgesichert?<\/p>\n

\"Cybersecurity<\/p>\n

Der Europ\u00e4ische Rechnungshof hat letztens Pr\u00fcfer ausgeschickt, um den EAD zu begutachten. Dabei sind den Pr\u00fcfern die Kinnladen runter gefallen – denn die Mitarbeiter zeigten sich an der falschen Stelle kreativ. Die Internetkommunikation zum Austausch vertraulicher Dokumente ist wohl f\u00fcr die Anforderungen zu tr\u00e4ge. Also benutzen die Mitarbeiter diese Systeme nicht und verschicken die Informationen \u00fcber eigene L\u00f6sungen. Der Spiegel ist an den Pr\u00fcfbericht gelangt und hat die Ergebnisse in diesem Beitrag<\/a> zusammen gefasst.<\/p>\n","protected":false},"excerpt":{"rendered":"

Es ist Freitag und ich habe von gestern Abend sowie der Nacht noch einige Meldungen zu Cyberangriffen nachzuholen.\u00a0 Das Landratsamt Kelheim ist wegen eines Cyberangriffs offline, genau wie die Caritas-Klinik Dominikus in Berlin. Inzwischen k\u00f6nnen \"Kunden\" der Unfallkasse Th\u00fcringen Daten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291270","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291270","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291270"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291270\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291270"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291270"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291270"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}