{"id":292156,"date":"2024-02-13T13:03:44","date_gmt":"2024-02-13T12:03:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292156"},"modified":"2024-08-23T22:04:54","modified_gmt":"2024-08-23T20:04:54","slug":"cyberangriffe-kreyenhop-kluge-kliniken-schwachstellen-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/13\/cyberangriffe-kreyenhop-kluge-kliniken-schwachstellen-und-mehr\/","title":{"rendered":"Cyberangriffe: Kreyenhop & Kluge, Kliniken, Schwachstellen und mehr"},"content":{"rendered":"

\"SicherheitHeute noch ein kleiner Sammelbeitrag zu Themen der Cybersicherheit. Es gibt einen freien Rhysida Ransomware-Decryptor f\u00fcr Windows, um verschl\u00fcsselte Dateien wiederherzustellen. Der Defender mit kann mit einem Komma ausgetrickst werden, so dass Angriffe nicht mehr erkannt werden. Dann sind einige Cyberangriffe mit Ransomware zu vermelden. Das Krankenhaus Lindenbrunn in Coppenbr\u00fcgge (Niedersachsen) wurde Opfer eines Cyberangriffs. In Rum\u00e4nien sind 21 Kliniken durch Ransomware lahm gelegt – hingen alle am gleichen Klinik-Informationssystem. In einer Kommune kann nicht mehr gestorben werden, weil Sterbeurkunden nicht mehr ausgestellt werden konnten. Und so weiter.<\/p>\n

<\/p>\n

Sicherheitsl\u00fccken und -meldungen<\/h2>\n

\"\"In diversen Produkten gibt es Schwachstellen, die durch Malware, oder aber auch durch Sicherheitsforscher, ausgenutzt werden k\u00f6nnen. Bei einem Ransomware-Decryptor durchaus hilfreich. Hier ein kurzer \u00dcberblick.<\/p>\n

Rhysida Decryptor verf\u00fcgbar<\/h3>\n

Zuerst die hoffentlich gute Nachrichte f\u00fcr Opfer der Rhysida Ransomware, denen Dateien verschl\u00fcsselt wurden. Sicherheitsforscher sind auf eine Schwachstelle gesto\u00dfen und konnten einen Rhysida Ransomware-Decryptor f\u00fcr Windows entwickeln, mit denen sich die Dateien ggf. wiederherstellen lassen. Ich verweise an dieser Stelle auf den Beitrag<\/a> von Bleeping Computer, die das Ganze aufgegriffen haben. Das Entschl\u00fcsselungstool f\u00fcr Windows steht auf der KISA-Website<\/a> (koreanisch) zur Verf\u00fcgung. Ein technisches Dokument<\/a> auf Englisch enth\u00e4lt Details.<\/p>\n

Defender mit einem Komma ausgetrickst<\/h3>\n

Die Erkennung von Malware durch den Microsoft Defender l\u00e4sst sich in Windows durch ein einfaches Komma aushebeln, wie ein Sicherheitsforscher herausgefunden hat. Die Kollegen von heise haben die Details in diesem Beitrag<\/a> aufbereitet.<\/p>\n

Boot-Loader-Schwachstelle in Linux<\/h3>\n

Beim in Linux verwendeten Boot-Loader shim, der f\u00fcr Secure Boot auf Windows-kompatibler Hardware ben\u00f6tigt wird, gibt es eine Schwachstelle, die viele Linux-Distributionen betraf. heise hat vor einigen Tagen diesen Artikel<\/a> zum Thema ver\u00f6ffentlicht – die g\u00e4ngigen Distributionen d\u00fcrften inzwischen einen Patch ver\u00f6ffentlicht haben. Danke an den Leser f\u00fcr den Hinweis im Diskussionsbereich.<\/p>\n

OpenVPN und Bitdefender<\/h3>\n

Gibt noch eine \u00e4ltere Meldung von Januar 2024 im OpenVPN-Forum, die ich hier mal verlinke<\/a>. Ein Nutzer bekommt in OpenVPN eine Fehlermeldung, dass der OpenThreadToken-Zugriff verweigert wird. Ein Nutzer weist darauf hin, dass es am Bitdefender-Virenschutz liegt. Er musste die Option Advanced Threat Defense <\/em>deaktivieren.<\/p>\n

RustDesk-Server down, Virenfunde gemeldet<\/h3>\n

Ich hatte seit Anfang Februar 2024 ja das Thema AnyDesk-Hack hier im Blog auf- und nachbereitet. Einige Leser merkten an, dass sie auf RustDesk ausweichen w\u00fcrde. Seit Ende Januar 2024 sind aber bei RustDesk immer wieder Ausf\u00e4lle bzw. \u00dcberlastungen durch DDoS-Angriffe festzustellen<\/a>. Auf GitHub gibt es diese Meldung<\/a> (RUSTDESK IS DOWN: DDOS on Rustdesk Public Servers => Non-Selfhosted Rustdesk does NOT work currently) vom 31.1.2024\u00a0 dazu.<\/p>\n

\"RustDesk:<\/p>\n

Es kommt die Meldung, dass die Verbindung \u00fcber den Rendevous-Server fehlgeschlagen sei. Das Ganze scheint sich aktuell aber entspannt zu haben. Mir sind aber die letzten 2 Wochen Meldungen untergekommen, dass Virenscanner bei RustDesk-Bin\u00e4rdateien angeschlagen und Schadsoftware gemeldet haben. Also hier achtsam bleiben, es kann sich um Fehlalarme handeln, aber es k\u00f6nnen auch echte Funde dabei sein.<\/p>\n

Web.de: Viele Anmeldeversuche<\/h3>\n

Beim Freemail-Anbieter Web.de f\u00e4llt bei einer erfolgreichen Anmeldung auf, dass viele hundert vergebliche Anmeldeversuche stattgefunden h\u00e4tten. Ist mir auch bereits aufgefallen. Da scheinen Angriffe stattzufinden, wo durch Brute-Force die Zugangsdaten geknackt werden sollen. Ist sogar der Bild bereits aufgefallen<\/a> (danke an den Leser f\u00fcr den Hinweis). Ein Schutz gegen solche Angriffe w\u00e4re es, die Mehrfaktor-Authentifizierung (MFA) einzuschalten. Erg\u00e4nzung: heise hat diesen Artikel<\/a> mit einigen Informationen dazu ver\u00f6ffentlicht.<\/p>\n

QNAP-Advisory und Updates<\/h3>\n

Der kurze Hinweis eines Lesers auf neue Sicherheitsupdates von QNAP<\/a> d\u00fcmpelt seit Anfang Februar bei mir im Postfach (danke f\u00fcr den Hinweis). Es sind diverse Advisories aktualisiert worden, die diverse CVEs betreffen und die Schwachstellen fixen:<\/p>\n

CVE-2023-32967, CVE-2023-39297, CVE-2023-39302, CVE-2023-39303, CVE-2023-41273, CVE-2023-41274, CVE-2023-41275, CVE-2023-41276, CVE-2023-41277, CVE-2023-41278, CVE-2023-41279, CVE-2023-41280, CVE-2023-41281, CVE-2023-41282, CVE-2023-41283, CVE-2023-41292, CVE-2023-45025, CVE-2023-45026, CVE-2023-45027, CVE-2023-45028, CVE-2023-45035, CVE-2023-45036, CVE-2023-45037, CVE-2023-47561, CVE-2023-47562, CVE-2023-47564, CVE-2023-47566, CVE-2023-47567, CVE-2023-47568, CVE-2023-48795 und CVE-2023-50359<\/p><\/blockquote>\n

Der Leser schrieb: Einige der L\u00fccken werden wohl erst mit der Firmware QTS 5.1.5.2645 build 20240116 and later behoben, welche noch sehr neu ist.
\nAuch wird die neue Firmware als \"Staged Rollout\" verteilt. Man muss sich im Moment selber aktiv bem\u00fchen die Firmware von <\/em>dieser Seite<\/em> zu erhalten.
\nEs ist ehr ungew\u00f6hlich, dass ein Security-Advisory von QNAP so zeitnah nach dem Release einer Firmware erscheint. K\u00f6nnte ein Hinweis sein, dass das Ganze nicht ganz so harmlos ist.<\/em><\/p>\n

Cyberangriffe und Ransomware-F\u00e4lle<\/h2>\n

Die letzten Tage fanden einige Ransomware-Infektionen und Cyberangriffe statt. Einige F\u00e4lle hatte ich separat thematisiert – nachfolgend fasse ich weitere F\u00e4lle zusammen. Es rappelt gewaltig, und Reaktionen der Verantwortlichen lassen sich als \"hilflos bis grotesk\" einstufen.<\/p>\n

BlackCat-Ransomware-Gruppe zielt auf Infrastruktur in Europa<\/h3>\n

Die Ransomware-Gruppe BlackCat versucht nun, kritische Infrastrukturen in Europa \u00fcber SerCide zu st\u00f6ren. Sercide ist ein Unternehmen f\u00fcr spezialisierte Dienstleistungen f\u00fcr kleine und mittlere Unternehmen in der Energieverteilung. Deren System wird in 600 Gemeinden in Spanien mit 190 Vertriebsunternehmen eingesetzt.<\/p>\n

\"<\/a><\/p>\n

Ransomware bei Kreyenhop & Kluge<\/h3>\n

Kreyenhop & Kluge ist Opfer der Hunters International Ransomware-Gang geworden. Das geht aus nachfolgendem Tweet<\/a> hervor, in dem mich HackManac \u00fcber den Vorfall informiert hat. Die Hunters International Ransomware-Gruppe gibt an, 438,9 GB an Daten, insgesamt 1.241.127 Dateien, bei der Infektion abgezogen zu haben. Als Frist zur Zahlung eines L\u00f6segeld wurde der 13. Februar 2024 festgelegt.<\/p>\n

<\/a><\/p>\n

Gestern war die Unternehmenswebseite f\u00fcr mich nicht zu erreichen. Kreyenhop & Kluge ist eine Import-\/Export-Firma bzw. ein Handelsunternehmen, welches seit 90 Jahren (drei Generationen) besteht. Von Oyten, vor den Toren Bremens, importiert das Unternehmen exotische Lebensmittel aus Asien und dem Orient, um Profi- und Hobbyk\u00f6che in Deutschland und Europa zu beliefern. Das Sortiment umfasst ca. 3.500 Artikel aus dem Food- und Non-Food-Bereich.<\/p>\n

Angriff auf Caravan and Motorhome Club (CAMC)<\/h3>\n

The Register berichtet im Beitrag Europe's largest caravan club admits wide array of personal data potentially accessed<\/a>, dass Europas gr\u00f6\u00dfter Caravan- und Wohnmobilclub (CAMC) mit \u00fcber 1 Million Mitglieder Opfer eines Cyberangriffs wurde. Bisher konnten Experten immer noch nicht\u00a0 herausfinden, ob die Daten der Mitglieder gestohlen wurden. \"Das Cybersicherheitsteam, das die forensische Untersuchung durchf\u00fchrt, kann nicht best\u00e4tigen, dass auf Mitgliedsdaten zugegriffen wurde, diese gestohlen wurden oder auf unautorisierte Weise verwendet werden\", sagte Nick Lomas, Generaldirektor der CAMC.<\/p>\n

Angriff auf Stadtgemeinde Korneuburg<\/h3>\n

Auf die Stadtgemeinde Korneuburg in Nieder\u00f6sterreich gab es einen Cyberangriff, bei dem die Systeme, einschlie\u00dflich der Backup-Systeme, durch\u00a0 Ransomware verschl\u00fcsselt wurden. heise hat in diesem Artikel<\/a> berichtet und auch erw\u00e4hnt, dass dort keine Sterbeurkunden mehr ausgestellt werden k\u00f6nnen.<\/p>\n

Krankenhaus Lindenbrunn lahm gelegt<\/h3>\n

Das Krankenhaus Lindenbrunn in Coppenbr\u00fcgge (Niedersachsen) wurde Opfer eines Cyberangriffs, wie KMA-Online in diesem Beitrag<\/a> berichtete (via Tweet<\/a>). Die Klinik, die zum Gesundheits- und Pflegeeinrichtungen Lindenbrunn e. V. (GPL) geh\u00f6rt, stellte laut eigenen Angaben am Abend des 9. Februar 2024 den Cyberangriff fest. Umfang und Ausma\u00df des Angriffs ist nicht bekannt – es d\u00fcrfte aber Ransomware sein, weil Forderungen zur Wiederherstellung des Systems eingegangen seien.<\/p>\n

Rum\u00e4nien: Ransomware zwingt 18 Kliniken in die Knie<\/h3>\n

In Rum\u00e4nien hat es einen Angriff mit Ransomware gegeben, der als Folge 18 Kliniken in einen Offline-Betrieb gezwungen hat. Die Kollegen von Bleeping Computer haben den Vorfall in diesem Beitrag<\/a> aufgegriffen und Details verraten.<\/p>\n

Erg\u00e4nzung:<\/strong> Laut diesem Tweet<\/a> bzw. diesem Artikel<\/a> mussten min. 21 Krankenh\u00e4user vom Netz genommen werden, nachdem ein <\/span>Ransomware<\/span>-Angriff ihr Gesundheitsmanagement-System lahmgelegt hatte.<\/span><\/p>\n

Offener Brief wegen EHDS<\/h3>\n

Die EU will die medizinischen Daten von Millionen B\u00fcrgern im European Health Data Space (EHDS) zusammenf\u00fchren. F\u00fcr diesen Europ\u00e4ischen Gesundheitsdatenraum laufen gerade die finalen Verhandlungen. Netzpolitik hat in diesem Artikel<\/a> einen offenen Brief thematisiert (siehe folgender Tweet), in dem B\u00fcrgerrechtsorganisationen warnen. Die Patienten brauchen mehr Kontrolle \u00fcber ihre Gesundheitsdaten und ein umfassendes Widerspruchsrecht.<\/p>\n

\"Offener<\/a><\/p>\n

Bochum fehlen gelbe S\u00e4cke wegen Cyberangriff<\/h3>\n

Welche praktischen Konsequenzen ein Cyberangriff neben lahm gelegten Verwaltungen haben kann, zeigt nachfolgender Tweet. In der Stadt Bochum gibt es keine gelben S\u00e4cke f\u00fcr Plastikabfall mehr, weil Hersteller die 900.000 bestellten Exemplare wegen eines Cyberangriffs nicht liefern k\u00f6nnen. Die WAZ berichtet hier<\/a>.<\/p>\n

\"Cyberangriff<\/a><\/p>\n

Weitere Meldungen<\/h2>\n

Hier noch einige ganz kurze Meldungen aus dem Bereich Cybersicherheit. Manche echt skurril, andere tragisch und zeigen das Dilemma, in dem Beh\u00f6rden und Firmen stecken.<\/p>\n