{"id":305612,"date":"2024-10-30T13:37:17","date_gmt":"2024-10-30T12:37:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305612"},"modified":"2024-11-21T16:47:03","modified_gmt":"2024-11-21T15:47:03","slug":"ausfaelle-und-sicherheit-cyberangriff-auf-aep-pharma-grosshandel-cas-crm-systeme-down-sophos-bemaengelt-flavorseal-com","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/10\/30\/ausfaelle-und-sicherheit-cyberangriff-auf-aep-pharma-grosshandel-cas-crm-systeme-down-sophos-bemaengelt-flavorseal-com\/","title":{"rendered":"Ausf\u00e4lle und Sicherheit: Cyberangriff auf AEP (Pharma-Gro\u00dfhandel); CAS (CRM-Systeme) down; Sophos bem\u00e4ngelt flavorseal.com"},"content":{"rendered":"

\"SicherheitIch greife mal in einem Sammelbeitrag einige Sicherheitsvorf\u00e4lle sowie einen Ausfall bei einem Anbieter auf. So hat wohl ein Cyberangriff auf den Pharma-Gro\u00dfh\u00e4ndler AEP stattgefunden. Die Webseiten des Anbieters von CRM-Systemen, CAS, waren down (und sich es teilweise noch – Erg\u00e4nzung: Die sind Opfer eines Cyberangriffs geworden). Ein Leser informierte mich zudem \u00fcber Sophos-Meldungen, die die Seite flavorseal.com<\/em> als sch\u00e4dlich bem\u00e4ngeln, usw.<\/p>\n

<\/p>\n

Sophos bem\u00e4ngelt flavorseal.com<\/h2>\n

Die Webseite flavorseal.com befasst sich mit dem Verpacken von Fleisch (Wurst, etc.) f\u00fcr die Lebensmittelindustrie (siehe folgender Screenshot).<\/p>\n

\"flavorseal.com\"<\/p>\n

Ein Blog-Leser wies mich darauf hin (danke daf\u00fcr), dass die Sicherheitsl\u00f6sungen von Sophos derzeit die Webseite flavorseal.com<\/em> als unsicher bem\u00e4ngeln. Der Grund ist, dass auf der Webseite ein Skript von blacksaltys.com<\/em> im Hintergrund ausgef\u00fchrt wird.<\/p>\n

Beim ersten Aufruf der Webseite flavorseal.com<\/em> wurde ich zum Google Play Store umgeleitet – Erinnerungsm\u00e4\u00dfig wurde dort die TikTop-App zum Download angeboten. Auf VirusTotal<\/a> listen gleich 21 von 96 Virenscannern die Seite als \"Malicious\", Malware oder Phishing-Seite auf.<\/p>\n

\"flavorseal.com<\/a><\/p>\n

So ganz koscher ist der Webauftritt des Unternehmens also nicht. Vermutlich hat jemand denen das Script untergejubelt.<\/p>\n

Cyberangriff auf AEP<\/h2>\n

Die AEP GmbH ist als Gro\u00dfh\u00e4ndler aus Alzenau im Bereich Pharmahandel f\u00fcr Apotheken aktiv. Das Unternehmen informiert auf seiner Webseite<\/a>, dass man am\u00a0 Montag, den 28. Oktober 2024, Opfer eines Cyberangriffs geworden sei. Das Ganze hat Auswirkung auf die Belieferung von Apotheken.<\/p>\n

\"Cyberangriff<\/a><\/p>\n

Den Angreifern ist es wohl gelungen, die IT-Systeme teilweise zu verschl\u00fcsseln. Der Vorfall wurde zwar von den Sicherheitssystemen erkannt und es wurden sofort notwendige Schutzma\u00dfnahmen ergriffen.<\/p>\n

Aber durch die Verschl\u00fcsselung ist der Betrieb wohl eingeschr\u00e4nkt. Es wurden umgehend alle Au\u00dfenverbindungen getrennt und alle betroffenen IT-Systeme heruntergefahren. Das Unternehmen ist aktuell telefonisch nicht und per E-Mail nur sehr eingeschr\u00e4nkt erreichbar. apotheke adhoc berichtet hier<\/a>, dass die Dienstags-Lieferung (29.10.2024) ausf\u00e4llt.<\/p>\n

Aktuell untersucht das Unternehmen mit Unterst\u00fctzung externer Experten das Ausma\u00df des Angriffs. Es wird eine forensische Analyse durchgef\u00fchrt, was genau passiert ist. Daher gibt es wohl noch keine Details, was genau passiert ist, welche Systeme betroffen sind und ob Kundendaten abgezogen wurden. Danke an den Leser f\u00fcr den Hinweis.<\/p>\n

CRM-System-Anbieter CAS offline – Cyberangriff<\/h2>\n

Ein Leser hat mich bereits am gestrigen 29. Oktober 2024 darauf hingewiesen (danke), dass die Firma CAS, ein Anbieter f\u00fcr CRM-Systeme, komplett offline sei.<\/p>\n

\"Webseite<\/a><\/p>\n

Die Webseite, Telefon und E-Mail funktionierten nicht mehr. Mittlerweile konnte ich die Hauptseite des Webauftritts wieder erreichen – und laut Leser geht deren Mail-System auch wieder.\u00a0Telefonie und die Unterwebseiten sind noch offline.<\/p>\n

\"CAS<\/p>\n

Auf Seiten wie den helpdesk unter cas.de komme ich immer noch nicht. Auch das Kundenportal ist wohl nicht erreichbar, wie ich gerade feststelle. Der Blog-Leser merkte an, dass von einem DDoS-Angriff von Seiten des Herstellers die Rede gewesen sei. Das passt aber nicht zu den Ausf\u00e4llen der Unterseiten. M\u00f6glicherweise ist das auch der Grund, warum es noch keine Meldung \u00fcber die Ursache der Probleme gibt. Der Leser schrieb, dass der Hersteller auf Anfragen nicht reagiert. Ich habe mal bei deren Pressestelle nachgefragt, aber noch keine Antwort erhalten. Wei\u00df jemand, was da los ist?<\/p>\n

Erg\u00e4nzung:<\/strong> Der obige Ausfall war ein Cyberangriff – die Presseabteilung von denen hat zwar nicht auf meine Anfrage geantwortet. Auf BlueSky hat ein Leser mich auf auf diesen Tweet<\/a> hingewiesen. Die erst seit Oktober 2024 in Erscheinung getretene Ransomware-Gruppe Sarcoma reklamiert einen Angriff auf CAS Software.<\/p>\n

According to <\/span>ransomware.live<\/a>, sarcoma ransomware group has added CAS Software to its victims.<\/span><\/p><\/blockquote>\n

\"CAS<\/p>\n

Es wurden angeblich 6 GB an Daten abgezogen<\/a>, darunter SQL-Datenbanken und E-Mails aus einem MS Exchange-System.\u00a0Die Gruppe droht am 31.10.2024, dass die erbeuteten Daten in 20 Tagen ver\u00f6ffentlicht werden. Sarcoma reklamiert \u00fcbrigens auch einen Angriff auf die SRS-Stahl GmbH, wie ich gesehen habe. Und dort taucht der Zahlungsanbieter easypay, der Zahlungen per App abwickelt, auf.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen hat mich ein Leser drauf hingewiesen, dass CAS den Cyberangriff in einer Meldung<\/a> zum 4. November 2024 eingestanden hat.<\/p>\n

\n
\n
\n
\n
\n

Betriebsst\u00f6rung der CAS Software AG durch Cyberangriff<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n
\n
\n

Ein krimineller Cyberangriff auf unsere CAS-eigene Betriebsinfrastruktur hat zu partiellen Betriebsst\u00f6rungen gef\u00fchrt. Unsere Sicherheitsmechanismen wurden umgehend aktiviert und es wurden weitreichende Schutzma\u00dfnahmen ergriffen. Zum Angriff z\u00e4hlte auch ein anhaltender Denial-of-Service-Angriff auf unsere Webseite cas.de. Wir konnten diesen Angriff jedoch rasch abwehren und die Webseite steht wieder wie gewohnt zur Verf\u00fcgung.
\n<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n

Zurzeit untersuchen wir den Angriff gemeinsam mit unserem Dienstleister, der auf der APT-Dienstleisterliste des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI) verzeichnet ist, im Detail und orientieren uns bei der Vorgehensweise an den BSI-Richtlinien. Entsprechende Notfallpl\u00e4ne und Sicherheitsma\u00dfnahmen wurden zeitnah aktiviert.<\/p>\n

Unsere Rechenzentren f\u00fcr das zentrale Standardprodukt-Hosting wie z.B. Produkt-Konfiguratoren, SmartWe und CAS Communities waren nicht betroffen. Diese Systeme sind weiterhin ohne St\u00f6rungen in Betrieb, und es gibt keine Anhaltspunkte f\u00fcr unberechtigte Zugriffe.<\/p>\n

Wir m\u00f6chten ausdr\u00fccklich darauf hinweisen, dass keinerlei Anzeichen daf\u00fcr vorliegen, dass Eigenschaften unserer Produkte zur Herbeif\u00fchrung der Betriebsst\u00f6rung beigetragen haben k\u00f6nnten. Ebenso m\u00f6chten wir betonen, dass der Betrieb von CAS-L\u00f6sungen bei Ihnen als Kunden und bei unseren Partnern nicht betroffen sind. Einschr\u00e4nkungen bestehen hier aktuell z.B. bei Nutzung der Onlinehilfe und der Adressdienste.<\/p>\n

Wir sind \u00fcber die bekannten Kommunikationskan\u00e4le wie E-Mail und Telefon erreichbar.<\/p>\n

Wir setzen alles daran, diesen Vorfall vollst\u00e4ndig aufzukl\u00e4ren und unseren Betrieb sowie unsere Services zuverl\u00e4ssig f\u00fcr Sie sicherzustellen. Falls Sie Fragen oder Anliegen haben, stehen wir Ihnen jederzeit gerne zur Verf\u00fcgung.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/blockquote>\n

\n
\n
\n
\n
\n

Erg\u00e4nzung 2:<\/strong> Ein Leser hat mich zum 21.11.2024 darauf hingewiesen, dass das CAS-Datenleck mit 560 GByte als ZIP-Archiv wohl gr\u00f6\u00dfer als angegeben ausgefallen sein muss. Der Fall hat wohl auch die im Beitrag\u00a0United Kiosk AG: Webseite seit Mitte Oktober 2024 gest\u00f6rt<\/a> beschriebenen Probleme ausgel\u00f6st.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

Ausfall beim Hoster OVH<\/h2>\n

Ein weiterer Blog-Leser informierte mich (danke daf\u00fcr), dass Ovh<\/a> (franz\u00f6sischer Cloud-Hoster) am heutigen 30. Oktober 2024 gegen 13:50 ein Netzwerk Problem in ihrem Rechen Zentrum hatten. Dabei waren wohl mehrere Dienste ausgefallen. Der Leser hat es in der Firma durch den Ausfall der Alcatel Rainbow Systeme gemerkt:<\/p>\n

\"Ausfall<\/p>\n

Sonst noch jemand betroffen?<\/p>\n

GMail-Nutzer im Fokus von Cyberkriminellen<\/h2>\n

Es ist ein Thema, was schon einige Wochen \"k\u00f6chelt\": Nutzer des GMail-Diensts von Google stehen im Fokus von Cyberkriminellen. Ziel ist es, mittels K\u00fcnstlicher Intelligenz, \u00fcber Phinging-Mails sowie Telefonanrufe Nutzer zur Preisgabe pers\u00f6nlicher Daten zu verleiten und so GMail-Kontenzug\u00e4nge zu \u00fcbernehmen.<\/p>\n

Sam Mitrovic, ein Microsoft Solutions Consultant, w\u00e4re beinahe Opfer dieser Betrugsmasche geworden und hat das Ganze Anfang September 2024 in seinem Blog im Artikel Gmail Account Takeover: Super Realistic AI Scam Call<\/a> beschrieben. Bei ntv hat man das Thema in diesem Artikel<\/a> aufgegriffen – ein Blog-Leser informierte mich k\u00fcrzlich auf Facbook \u00fcber diese Masche.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich greife mal in einem Sammelbeitrag einige Sicherheitsvorf\u00e4lle sowie einen Ausfall bei einem Anbieter auf. So hat wohl ein Cyberangriff auf den Pharma-Gro\u00dfh\u00e4ndler AEP stattgefunden. Die Webseiten des Anbieters von CRM-Systemen, CAS, waren down (und sich es teilweise noch – … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7862],"tags":[4328,987],"class_list":["post-305612","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-stoerung","tag-sicherheit","tag-storung"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305612","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305612"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305612\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305612"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305612"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305612"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}