Kreuzfahrtanbieter Carnival bestätigt Ransomware-Angriff mit Datenabfluss

[English]Die Reederei Carnival, Anbieter von Kreuzfahrten (Costa, AIDA etc.), hat jetzt einen Angriff mit Ransomware bestätigt. Dabei wurde auch zugegeben, dass bei diesem Angriff Daten von Mitarbeitern und wohl auch Kunden der Kreuzfahrtlinie gestohlen wurden.


Anzeige

Die Carnival Corporation ist der größte Kreuzfahrtveranstalter der Welt mit über 150.000 Mitarbeitern und 13 Millionen Gästen jährlich. Die Kreuzfahrtlinie operiert unter den Marken Carnival Cruise Line, Costa, P&O Australia, P&O Cruises, Princess Cruises, Holland American Line, AIDA, Cunard und deren Luxuskreuzfahrtgesellschaft Seabourn.

Ransomware-Angriff im August 2020

Ich hatte bereits im August diesen Jahres im Blog-Beitrag Sicherheit: Hacks und Ransomware, die neue Bedrohung über diesen Ransomware-Angriff auf die Carnival Corporation berichtet. Die Carnival Corporation hatte diesen erfolgreichen Angriff auf die eigene IT den Behörden gemeldet. "Am 15. August 2020 entdeckten die Carnival Corporation und Carnival plc (zusammen das "Unternehmen") einen Ransomware-Angriff, der auf einen Teil der Informationstechnologie-Systeme einer Marke zugriff und diese verschlüsselte. Der unbefugte Zugriff beinhaltete auch das Herunterladen einiger unserer Datendateien", teilte das Unternehmen mit.

In meinem Blog-Beitrag hatte ich noch folgende Informationen gegeben: Nach Angaben des Cybersicherheitsdienstleisters Bad Packets nutzt Carnival anfällige Gateway-Geräte, die es einem Angreifer ermöglichen, Zugang zu einem Unternehmensnetzwerk zu erlangen. Es geht möglicherweise um die Schwachstelle CVE-2019-19781 im Citrix ADC (NetScaler). Für die Geräte liegt seit Dezember 2019 eine Warnung und ein Firmware-Update vor – und es sind Exploits bekannt (siehe Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781). Die andere Schwachstelle, CVE-2020-2021, besteht in den Firewalls von Palo Alto Networks und ermöglicht es nicht authentifizierten netzwerkbasierten Angreifern, die Authentifizierung zu umgehen. Diese Schwachstelle wurde Ende Juni 2020 gepatcht (siehe CVE-2020-2021 (in Palo Alto Networks-Geräten) patchen).

Datendiebstahl bestätigt

Nun wurde ich über nachfolgenden Tweet auf einen weiteren Artikel von Bleeping Computer aufmerksam. Die Carnival Corporation bestätigt nun, dass persönliche Daten beim Ransomware-Angriff abgeflossen seien.

Ransomware Carnival Corporation

In einer Mitteilung an die US-Börsenaufsicht (SEC) bestätigte die Carnival Corporation, dass sich die unbekannten Cyber-Kriminellen während des Ransomware-Angriffs Zugang zu persönlichen Daten von Kunden und Mitarbeitern verschaffen konnten. Die Entdeckung wurde während einer Untersuchung gemacht. Diese Untersuchung wurde von einer großen Cybersicherheitsfirma geleitet. Diese war nach dem Vorfall vom 15. August vom Karneval beauftragt worden. Das Unternehmen informierte auch die Datenaufsichtsbehörden und die zuständigen Strafverfolgungsbehörden.

"Während die Untersuchung noch andauert, gibt es erste Anzeichen dafür, dass sich der unbefugte Dritte Zugang zu bestimmten persönlichen Daten einiger Gäste, Mitarbeiter und Besatzungen für einige unserer Operationen verschafft hat", schreibt Carnival in der SEC-Mitteilung. "Derzeit gibt es keine Anzeichen für einen Missbrauch dieser Informationen. Obwohl wir zum gegenwärtigen Zeitpunkt nicht glauben, dass diese Informationen in Zukunft missbraucht werden oder dass dieser Vorfall einen wesentlichen negativen Einfluss auf unser Geschäft, unseren Betrieb oder unsere finanziellen Ergebnisse haben wird, können wir keine Zusicherungen geben, und darüber hinaus könnten wir zukünftigen Angriffen oder Vorfällen ausgesetzt sein, die solch einen wesentlichen negativen Einfluss haben könnten."

Der letzte Absatz ist natürlich eine Nebelkerze – die wissen nicht genau, ob und welche Daten abgeflossen sind. Bisher ist der Firma zwar noch kein Datenleck bekannt. Aber wenn die Hintermänner des Ransomware-Angriffs die Dateien abziehen konnten, werden die die Informationen zu nutzen wissen. Bleeping Computer gibt an, dass die Carnival Corporation im August 2020 auf Rückfrage mitteilte, über die erste 8K-Meldung hinaus keine weiteren Mitteilungen zu planen, man untersuche ja noch. Scheint dann doch, dass man gravierende Verdachtsmomente auf Datenklau gefunden hat und nun reagiert.


Anzeige

Ähnliche Artikel:
Sicherheit: Hacks und Ransomware, die neue Bedrohung
Ransomware-Infektionen mit Datenlecks: Stoppt den Wahnsinn
Empfehlungen des US-Finanzministeriums zu Ransomware-Forderungen
Software AG Opfer der Cl0p-Ransomware, Daten wurden veröffentlicht
Ransomware legt französische Reederei CMA CGM S.A. lahm
Cyber-Angriff mit Ransomware auf US-Klinikbetreiber UHS
Sicherheit: Ransomware bei ThyssenKrupp, Schwachstellen bei Louis Vuitton, Airbnb und mehr
Ransomware-Angriff auf Argentiniens Einwanderungsbehörde, deutsche Passdaten im Netz
Conti Ransomware-Gang will VW-Gruppe gehackt haben
Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Ransomware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Kreuzfahrtanbieter Carnival bestätigt Ransomware-Angriff mit Datenabfluss

    • Günter Born sagt:

      Hm, was steht denn im 4. Link unter 'Ähnliche Artikel'? Beim aktuellen Bleeping Computer-Artikel kann ich es nicht sagen – aber so mancher Bleeping Computer-Beitrag geht entweder auf einen meiner englischsprachigen Blog-Beiträge oder auf einen Tipp von mir, den ich auf Twitter per PM an Lawrence Abrams schicke, zurück ;-)

  1. Dat Bundesferkel sagt:

    Ich frage mich ja mal, wann die TUI (Mein Schiff blaaaah) an der Reihe ist (oder waren die schon?). Deren IT ist noch wesentlich anfälliger…

  2. Ralf Lindemann sagt:

    Vor ein paar Tagen lief die Meldung durch die Medien, dass beim Kreuzfahrtkonzern Carnival im Sommer das Geschäft quasi zum Erliegen gekommen sei. Demnach seien im dritten Quartal die Erlöse verglichen mit dem Vorjahreswert um 99,5 Prozent von 6,5 Milliarden auf 31 Millionen Dollar eingebrochen. Der Reisekonzern befindet sich in einer existenzgefährdenden Krise. Vor diesem Hintergrund kann man die jetzt publik gewordene Sicherheitsanfälligkeit auch so lesen: Die Corona-Pandemie gefährdet die IT-Sicherheit, weil in Unternehmen, die von der Corona-Pandamie stark getroffen sind, aktuell möglicherweise die finanziellen Mittel (ggf. auch Mitarbeiter) fehlen, die eigenen IT-Systeme sach- und fachgerecht zu warten. Das könnte auch erklären, warum eigentlich verfügbare Sicherheitsupdates nicht – oder nicht vollständig – eingepflegt wurden.

  3. Dekre sagt:

    Ich sage mal so – Seit dem es das sogenannte "Homeoffice" gibt, sollte sich doch keiner wundern. Der Ransomwarebefall und der gesamte Virusbefall hat seit dem erheblich zugenommen.

    Die deutschen Intelligenzbolzen (Politiker- und sonstige) kümmern sich um alles und beklagen alles und haben von nichts Ahnung. Hauptsache es ist schön bunt.

    Ich könnte diesen Kommentar auch unter allen anderen Meldungen von Günter zum Virenbefall schreiben.

    • Dat Bundesferkel sagt:

      Einerseits regt der Kommentar auf, denn Home Office kann durchaus was Gutes sein. Andererseits triffst Du den Nagel genau auf den Kopf: Firmen geben unsichere Geräte heraus (wenn überhaupt!) für das Home Office und die Anwender der Generation "Ich hab' doch nix zu verbergen, mein Gast-W-LAN ist für jeden da und WhatsApp ist saugeil" sind tatsächlich ein unkalkulierbares Risiko für jedes Unternehmen, welches Potentiell mit jedem einzelnen AN ansteigt…

      • Dekre sagt:

        Danke!
        Günter hat mal zu "Homeoffice" oder so eingestellt. Ich habe es aber nicht auf die Schnelle gefunden.

        Das Problem ist doch das mit den E-mails etc. Ein Schädling kommt ja nicht so daher:
        # Das Ganze hat auch was mit dem Kommunikationsverhalten zu tuen.
        # Auch mit den "Kack"-Smartphone und diese unnützen "Apps". Ich weiß bis heute nicht, was eine "App" ist. Das konnte mir bisher noch keiner sinnhaft (!) erläutern. Das was ich weiß ist, dass eine "App" eine Bedrohung ist und nicht so einfach vom EDV-System entfernt werden kann.

        Ich kann Geschichten mit der BfA-Prüfdienst-Abteilung/RB-Stelle frisch zum Besten geben, da stäuben sich alle Nackenhaare (Thema "Home-Office").

        Ich gehe mal streng davon aus, dass die EDV-Angriffe gerade mit der Hausarbeit ("Home-Office") streng mit den Infektionszahlen mit COVID-19 parallel zunehmen.

        Das was jetzt allen kommt ist doch unsinniger Beifang und nie mehr, wie in diesen Tagen, kann man so gut Daten abgreifen und der Geschädigte bekommt es nicht mal mit (!).

        • 1ST1 sagt:

          "App" ist die Abkürzung für Applikation, auf Deutsch übersetzt "Anwendung". Also nichts anderes als ein Programm. Schon auf dem ATARI ST gab es ab TOS 2.0x Programme, die die Dateiendung "APP" hatten. Und da gab es zu den "*.PRG" eigentlich keinen Unterschied, außer dass man sicher sein konnte, dass das "*.APP" kein Konsolenprogramm sondern ein "sauberes" GEM-Programm war. Frühen Computersystemenen, die nicht zu den damals herrschenden Standards (MS-DOS, CP/M) kompatibel waren, lagen daher oft auch "Applikations-Verzeichnisse" bei, oder waren wenigstens erhältlich, wo man erfuhr, was es alles so an Anwendungen gab und wo man die her bekommt. So neu ist das Thema also nicht. Aus dem Smartphone-/ oder Windows App-Store installiert man also "nur" Programme (Applikationen, Anwendungen, Spiele"), das ganze ist also nur alter Wein in neuen Schläuchen. Und die lassen sich normalerweise auch unter Android oder iOS ganz leicht wieder deinstallieren. Man muss sich mit dem Kram halt mal nur beschäftigen. Das Problem ist halt, die Bedienoberflächen von Windows, MacOS, iOS, Android usw. sind heute zu "intuitiv", zu "selbsterklärend", so dass die Hersteller keine Bedienungsanleitung mehr mitliefern. Die Leute, die dann zu ……… sind, das zu bedienen, oder nicht experimentierfreudig genug sind, um es selber raus zu bekommen, die fallen dann hinten runter und machen sich aus Angst vor einer "App" in die Hose.

          • Günter Born sagt:

            Zu: Und die lassen sich normalerweise auch unter Android oder iOS ganz leicht wieder deinstallieren.

            Hängt davon ab, mit welcher Berechtigung die Apps unter Android und iOS installiert sind. Ohne rooten oder Jailbreak geht bei System-Apps in beiden Betriebssystemen nichts – da ist nichts mit leicht deinstallieren.

          • 1ST1 sagt:

            "System-Apps" lassen sich nirgends schmerzfrei eintfernen. Schonmal versucht, Explorer.exe in Windows zu deinstallieren, nur weil man "Total Commander" besser findet?

          • Günter Born sagt:

            Schlechtes Beispiel mit dem Explorer. Ich schrieb von Android und iOS, wo ich als Benutzer z.B. Google Hangout oder ähnliche Apps, die ich nicht brauche, oder die inzwischen 'tot sind' deinstallieren möchte. Geht standardmäßig nicht.

        • Dekre sagt:

          Da habe ich ja was losgetreten, also mit den "App-Dingern".

          Das ist auf "richtigen" PC eine Seuche und bei Mobilgeräte ebenso. Die "App" ist ein totaler Irrsinn und alles, was kein richtiges PC-Programm ist und man nicht weiß wie es eigentlich funktioniert, wird mit "App" getarnt. Nach dem netten Definitionsversuch von @1St1 mit einer 1:1 Übersetzung ist wohl auch Virus, Ransomware und Consorten danach eine "App". Da frage ich mich gerade ob ein 250g Hammer auch eine "App" ist. Es gibt ja schon sinnige Apps zur Körperertüchtigung – da kann man sich Gewichte auf ein Smartding runterladen :) ; gibt es wirklich.

          Jeder Depp entwickelt eine "App", eigentlich haut er diese sinnlos zusammen und beglückt damit die Besitzer von einen Folterinstrument. Das Smartding mit seinen Apps hat die Herrschaft über den Besitzer übernommen und der stolze Besitzer bekommt es nicht mit.

          Das mit App-Thema-Schwenk indirekt von mir entfernt sich bisschen vom eigentlichen Thema. Ich bekenne mich schuldig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.