![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Das Landratsamt Neuburg-Schrobenhausen wurde durch Malware lahm gelegt – nix neues – aber deren PR-Abteilung hat eine sprachliche Perle rausgehauen. Den Ransomware-Angriff auf die Verbraucherzentrale Hessen reklamiert ALPHV \/ BlackCat, was die Erkenntnisse bringt, dass Cybergangs nach deren Zerschlagung binnen kurzer Zeit wieder aktiv sind. Das Leak von 77.000 Facebook-Kontendaten f\u00fchrt dazu, dass Kontensperren von Facebook- und Instagram-Konten getriggert werden.<\/p>\n
<\/p>\n
Nun lese ich in obigem Tweet<\/a> sowie dem zugeh\u00f6rigen Hack Read-Artikel hier<\/a>, sowie diesem Beitrag<\/a>, dass wohl seit kurzem Konten bei Facebook und Instagram suspendiert werden.<\/p>\n Der Hintergrund: Meta hat Oculus, das Unternehmen hinter den Virtual-Reality-Headsets namens Quest, im Jahr 2014 gekauft. Allerdings haben die Meta-Leute diese Plattform nicht im Griff. Vietnamesische Hacker nutzen Sicherheitsl\u00fccken im Oculus-System aus, und erstellen neue Oculus-Meta-Konten. Im Anschluss suchen sie Social-Media-Konten ahnungsloser Opfer auf Instagram und Facebook, und verkn\u00fcpfen deren Konten mit dem neu angelegten Oculus-Konto. Vorkommnisse wie das oben angesprochene Datenleck bei Facebook sp\u00fclen den Cyberkriminellen die ben\u00f6tigten Kontendaten vor die F\u00fc\u00dfe.<\/p>\n Das f\u00fchrt dazu, dass Meta diese Aktivit\u00e4t als unbefugten Zugriff registriert und das Konto sperrt. Das f\u00fchrt in Summe jetzt wohl zur Sperrung Tausender Konten bei Facebook und Instagram. Auf reddit.com gibt es diesen Post<\/a> mit Erl\u00e4uterungen sowie wohl einige Nutzermeldungen \u00fcber gesperrte Konten dazu.<\/p>\n Solche Manipulationen sowie die Meta-AI, die Posts als \"Versto\u00df gegen die Gemeinschaftsstandards\" markieren oder l\u00f6schen und mit Account-Sperren versehen, w\u00e4hrend Bots problemlos ihren Spam verbreiten k\u00f6nnen, wachsen sich zu einem Problem aus, wie ich immer wieder in den letzten Wochen bei meinem Konto feststellen konnte.\u00a0 Mittelfristig sehe ich die Zukunft daher bei f\u00f6rderierten sozialen Netzwerken wie Mastodon oder BlueSky.<\/p>\n Hier im Blog berichtet ich ja immer mal wieder \u00fcber Aktionen der Strafverfolger, die die Infrastruktur von Cybergangs beschlagnahmt haben und die Hoffnung besteht, dass deren Aktivit\u00e4ten damit beendet sind. Nun zeichnet sich ein Trend ab, dass die Cybergangs, die oft als Ransomware-as-a-service mit Partnern \/ Affiliates organisiert sind, nach einer Aktion der Strafverfolger sehr schnell wieder zur\u00fcck sind. Hier einige Infosplitter zu diesem Themenkomplex.<\/p>\n Die Woche hatte ich im Blog-Beitrag Ransomware-Angriff auf Verbraucherzentrale Hessen (22. Feb. 2024)<\/a> berichtet, dass die Verbraucherzentrale Hessen Opfer eines Cyberangriffs geworden sei. Der Angriff auf die IT-Struktur der Verbraucherzentrale Hessen wurde wohl am fr\u00fchen Donnerstag Morgen, den 22. Februar 2024, bemerkt. Es hei\u00dft so sch\u00f6n: \"Noch nicht erkennbar sei, so die Verbrauchersch\u00fctzer,\u00a0 ob bzw. welche Daten bei diesem Ransomware-Angriff abgeflossen sind.\"<\/p>\n Den letztgenannten Punkt kann ich aufkl\u00e4ren: Die Ransomware-Gruppe ALPHV listet die Verbraucherzentrale Hessen seit dem 27. Februar 2024 als Opfer auf. Ich gehe davon aus, dass die Ransomware-Gruppe ALPHV (Black Cat) wohl Daten erbeutet hat und durch Drohung einer Ver\u00f6ffentlichung Druck aufbauen will.<\/p>\n Bei ALPHV\/BlackCat handelt es sich um eine Ransomware-Gruppe, die seit Ende 2021 als Ransomware-as-a-service aktiv ist. Die Gruppe hat ihre Schadsoftware in Rust geschrieben, und ist dadurch in der Lage, sowohl Systeme mit Windows als auch mit Linux anzugreifen. Hier im Blog gibt es einige Beitr\u00e4ge zu den Aktivit\u00e4ten der Ransomware-Gruppe (habe ich Artikelende von obigem Beitrag verlinkt).<\/p>\n Im Dezember 2023 fand eine Zerschlagungsoperation des FBI gegen die Gruppe statt (siehe FBI\/Strafverfolger legen ALPHV\/Blackcat-Ransomware-Gruppe lahm (Dez. 2023)<\/a>). Das scheint dann aber nicht lange vorgehalten zu haben.<\/p>\n Die Kollegen von Bleeping Computer greifen in diesem Artikel<\/a> die Warnung von FBI und CISA auf, dass US-Krankenh\u00e4user mit gezielten Ransomware-Angriffen der BlackCat-Affiliates rechnen m\u00fcssen. Kann man auch f\u00fcr unsere hiesigen Klinken fortschreiben.<\/p>\n Erg\u00e4nzung:<\/strong> Zum 5. M\u00e4rz 2024 habe ich auf Mastodon die Meldung<\/a> gelesen, dass die Strafverfolger auch die neue Seite der Gruppe ALPHV \/ Blackcat beschlagnahmt haben.<\/p>\n Erg\u00e4nzung 2: <\/strong>Es gibt den Hinweis, dass die Verantwortlichen ihre Affiliates betrogen und sich zur\u00fcckgezogen haben. Artikel finden sich bei Reuters<\/a> und bei heise<\/a>.<\/p>\n Vor wenigen Tagen haben internationale Strafverfolger die Zerschlagung der Infrastruktur der LockBit-Ransomware-Gruppe bekannt gegeben. Auf einigen Webseiten der Gruppe wurde die obige Beschlagnahme-Meldung angezeigt. Im Beitrag Operation Cronos: FBI & Co. beschlagnahmen Infrastruktur der Lockbit-Ransomware-Gang<\/a> hatte ich \u00fcber die Beschlagnahmung der LockBit-Infrastruktur durch Strafverfolger (u.a. britische National Crime Agency (NCA) und FBI ) berichtet und einige Details genannt.<\/p>\n Allerdings hielt das nicht lange, wenige Tage sp\u00e4ter hatte LockBit seine Server neu aufgesetzt. Ich hatte die Tage im Blog-Beitrag LockBit Ransomware-Gruppe zur\u00fcck? Und neue Erkenntnisse<\/a> dr\u00fcber berichtet. Es bestand aber die Hoffnung, dass die Reputation der Gruppe gelitten hat und die Aktivit\u00e4ten zur\u00fcckgehen.<\/p>\n Scheint aber nicht der Fall zu sein, denn in obigem Tweet<\/a> berichtet ZScaler ThreatLabz, dass sie neue Lockbit-Ransomware-Angriffe beobachtet haben, nachdem die Strafverfolgungsbeh\u00f6rden in der vergangenen Woche die Ransomware zerschlagen hatten.<\/p>\n Im Blog-Beitrag Kritische Schwachstelle in ConnectWise-Remote-Software ScreenConnect (Feb. 2024)<\/a> hatte ich die Tage berichtet, dass es in der Remote Desktop-Software\u00a0 ScreenConnect des Anbieters ConnectWisewurde eine kritische Schwachstelle (CVSS 3.1 10.0) gab, die sofort geschlossen werden sollte. Ein erster Exploit f\u00fcr diese Schwachstelle ist bereits verf\u00fcgbar.<\/p>\n Im Blog-Beitrag ConnectWise ScreenConnect-Server durch LockBit angegriffen<\/a> hatte ich erw\u00e4hnt, dass LockBit diese Schwachstelle praktisch ausgenutzt hat. Die Kollegen von Bleeping Computer berichten in diesem Artikel<\/a>, dass die Ransomware-Gruppen Black Basta und Bl00dy ebenfalls ScreenConnect f\u00fcr Angriffe benutzen.<\/p>\n Heute fr\u00fch ist mir dann noch eine besondere Sprachperle im Zusammenhang mit einem Cyberangriff auf das Landratsamt Neuburg-Schrobenhausen untergekommen. HonkHase weist in einem Post auf BlueSky auf den Vorfall hin, den eine Volont\u00e4rin beim Donau Kurier aufbereitet<\/a> hat.<\/p>\n Zitat aus dem Anrei\u00dfertext des Donau-Kurier-Artikels: Eine besonders hartn\u00e4ckige Malware, also ein Programm, das in das System des Computers eindringt, um dort Sch\u00e4den oder St\u00f6rungen zu verursachen, hat am Dienstag das Landratsamt Neuburg-Schrobenhausen lahmgelegt.<\/em><\/p>\n Auf den Webseiten des Landratsamts habe ich noch nichts gefunden. Zu den d\u00fcrren Fakten: Die haben eine Cybervorfall, auf Grund dessen die IT herunter gefahren wurde. Internetbasierte Dienste und E-Mails von und nach drau\u00dfen sind damit nicht mehr m\u00f6glich. Einige Stellen wie unter anderem die F\u00fchrerscheinstelle konnten nicht mehr arbeiten, da sie Zugriff auf das bayerische Beh\u00f6rdennetz ben\u00f6tigen. Ob die Malware \"besonders hartn\u00e4ckig war\", wei\u00df ich nicht – scheint mir das Wesen von Malware zu sein.<\/p>\n Wann gelangen wir mal zu dem Punkt, wo in einer solchen Meldung n\u00fcchtern die Fakten genannt werden? Zum Beispiel \"Ransomware\", Eindringen durch …. und so weiter. Diese Bullshit-Bingo-Meldungen \u00fcber Eindringlinge mit besonders krimineller Energie, die alle Sicherheitsma\u00dfnahmen \u00fcberwinden konnten, kann ich nicht mehr h\u00f6ren.<\/p>\n Meinen Informationen nach hat es einen Cyberangriff auf AEE Europe gegeben, bei dem Systeme kompromittiert wurden. Auf den Webseiten des Unternehmens konnte ich bisher nichts zu einem solchen Vorfall finden. Ich habe inzwischen eine Anfrage per Mail an das Unternehmen gestellt, bisher aber keine Antwort erhalten.<\/p>\n Advanced Engineering Europe (AAE) ist eine Engineering & Construction-Management-Organisation mit Niederlassungen in \u00d6sterreich, Deutschland, Ost- und Westeuropa, das Projekte in Europa konzipiert und betreut. Die Schwerpunkte liegen bei Energiesparl\u00f6sungen (Solar, Windkraft), elektrischen Verteilstationen bis zu Halbleiterfertigung, Fabrikationsanlagen und R+E-Labors.<\/p>\n","protected":false},"excerpt":{"rendered":" Das Landratsamt Neuburg-Schrobenhausen wurde durch Malware lahm gelegt – nix neues – aber deren PR-Abteilung hat eine sprachliche Perle rausgehauen. Den Ransomware-Angriff auf die Verbraucherzentrale Hessen reklamiert ALPHV \/ BlackCat, was die Erkenntnisse bringt, dass Cybergangs nach deren Zerschlagung binnen … Weiterlesen Im Blog-Beitrag Nachlese Datenlecks und Hacks der Woche (23. Feb. 2024)<\/a> hatte ich \u00fcber eine Information von Surfshark \u00fcber ein neues\u00a0 Facebook Marketplace-Datenleck berichtetet. In einem Datensatz mit 200.000 Eintr\u00e4gen finden sich die Daten von ca. 77.000 E-Mail-Adressen von Facebook Marketplace-Kunden. 97 % der E-Mail-Adressen wurden zusammen mit den entsprechenden Namen, 86 % zusammen mit Telefonnummern und 39 % mit Passwort-Hashes geleakt, so die Analyse von Surfshark zum Facebook-Marktplatz-Datenleck.<\/p>\n
![\"Facebook-Kontensperren](\"https:\/\/i.postimg.cc\/Jnw3XzKL\/image.png\" "\\"Facebook-Kontensperren")
<\/a><\/p>\nCybergangs nach Zerschlagung zur\u00fcck<\/h2>\n
Angriff durch ALPHV auf Verbraucherzentrale Hessen<\/h3>\n
Aber ALPHV\/BlackCat war doch zerschlagen?<\/h3>\n
![](\"https:\/\/i.postimg.cc\/LXsXHnJT\/image.png\")
<\/a><\/p>\n![\"ALPHV](\"https:\/\/i.postimg.cc\/gcgMbvsn\/image.png\")
<\/p>\nLockBit f\u00e4hrt neue Angriffe<\/h3>\n
Lockbit<\/a> ist eine russischsprachige Gruppe, welche Ransomware-as-a-Service (RaaS) betreibt. Bei diesem-Modell wird die Ransomware und die Infrastruktur anderen Cyberkriminellen, den sogenannten Affiliates, zur Verf\u00fcgung gestellt, die dann die Angriffe durchf\u00fchren. Die Gruppe wird f\u00fcr zahlreiche Cybervorf\u00e4lle verantwortlich gemacht.<\/p>\n
![\"Lockbit](\"https:\/\/i.postimg.cc\/T3Shc5rP\/image.png\" "\\"Lockbit")
<\/p>\n![](\"https:\/\/i.postimg.cc\/Y2z5NMC6\/image.png\")
<\/a><\/p>\nScreenConnect-Schwachstelle ausgenutzt<\/h3>\n
Landratsamt Neuburg-Schrobenhausen down<\/h2>\n
![](\"https:\/\/i.postimg.cc\/5yp2Yr08\/image.png\")
<\/p>\nCyberangriff auf AEE Europe?<\/h2>\n