Hacker erbeuten und veröffentlichen Sicherheitsinfos von schwedischem Sicherheitsanbieter Gunnebo

[English]Hackern ist es gelungen, in das IT-Netzwerk der schwedischen Sicherheitsfirma Gunnebo Groups einzudringen und Daten zu erbeuten. Diese Daten wurden jetzt wohl in Untergrundforen veröffentlicht.


Anzeige

Die Gunnebo Group ist ein schwedisches Unternehmen aus Gothenburg, das sich auf Sicherheitsprodukte, -dienstleistungen und -lösungen vor allem in den Bereichen Bargeldmanagement, Zugangskontrolle, sichere Lagerung und integrierte Sicherheit spezialisiert hat. Zu den Kunden des multinationalen Unternehmens, das weltweit physische Sicherheit für eine Vielzahl von Kunden bietet, gehören Banken, Regierungsbehörden, Flughäfen, Kasinos, Juweliergeschäfte, Steuerbehörden und sogar Kernkraftwerke. Die Gunnebo-Gruppe ist in 25 Ländern mit rund 4.400 Mitarbeitern (Stand: Januar 2019) und einem ausgewiesenen weltweiten Umsatz von 4.900 Millionen SEK im Jahr 2017 tätig.

KRITIS-Netzwerk
(Quelle: Pexels Markus Spiske CC0 Lizenz)

Brian Krebs schreibt auf Krebs on Security, dass er die Gunnebo Group im März 2020 alarmierte, dass Hacker in deren IT-Netzwerk eingedrungen seien. Der Zugang zum Netzwerk wurde durch die Hacker an eine kriminelle Gruppe verkauft, die auf die Verbreitung von Ransomware spezialisiert ist. Der in Milwaukee, Wisconsin, ansässige Cyber-Nachrichtendienstes Hold Security war auf die Finanztransaktion der Cyber-Kriminellen gestoßen und informierte Krebs. Konkret beinhaltete diese Transaktion Anmeldedaten für ein RDP-Konto (Remote Desktop Protocol), das offenbar von einem Mitarbeiter der Gunnebo-Gruppe für einen Fernzugriff auf das interne Netzwerk des Unternehmens eingerichtet worden war.

Am 25. August 2020 meldete die Gunnebo Group, dass ein Ransomware-Angriff auf das interne Netzwerk stattgefunden habe. Die Server seien sofort heruntergefahren worden, um den Angriff zu isolieren. Aufgrund des schnellen Eingriffs wurden die betrieblichen Auswirkungen, laut Unternehmen, minimal und der Betrieb konnte schnell wieder aufgenommen werden. Krebs schreibt, dass die wohl von einer erfolgreichen Abwehr des Angriffs ausgingen. Denn die Verbreitung der Ransomware im IT-Netzwerk wurde verhindert.

Doch die Tage stellte sich heraus, dass diese Annahme falsch war. Die Eindringlinge hatten es über die Ransomware geschafft, Zehntausende sensibler Dokumente von den Servern abzuziehen. Die Ransomware-Gruppe beginnt jetzt damit, die gestohlen Dokumente zu veröffentlichen. Darunter befinden sich Pläne von Tresoren und Überwachungssystemen von Kundenbanken. Die schwedische Nachrichtenagentur Dagens Nyheter bestätigte, dass Hacker kürzlich mindestens 38.000 aus Gunnebos Netzwerk gestohlene Dokumente online veröffentlicht haben.

Linus Larsson, der Journalist, der die Story veröffentlicht hat, sagt, das gehackte Material sei in der zweiten Septemberhälfte auf einen öffentlichen Server hochgeladen worden, und es sei nicht bekannt, wie viele Personen darauf Zugriff gehabt haben könnten. Larsson zitiert den CEO von Gunnebo, Stefan Syrén, der sagte, das Unternehmen habe nie in Betracht gezogen, das Lösegeld zu zahlen, das die Angreifer als Gegenleistung für die Nichtveröffentlichung seiner internen Dokumente verlangten. Darüber hinaus schien Syrén die Schwere der Enthüllung herunterzuspielen.

Ich verstehe, dass Sie Zeichnungen als sensibel ansehen können, aber wir betrachten sie nicht automatisch als sensibel. Wenn es zum Beispiel um Kameras in einer öffentlichen Umgebung geht, ist die Hälfte des Problems, dass sie sichtbar sein sollten, daher ist eine Zeichnung mit Kameraplatzierungen an sich nicht sehr empfindlich.

Es bleibt unklar, ob die gestohlenen RDP-Ausweise bei diesem Vorfall eine Rolle gespielt haben. Aber das Passwort für das RDP-Konto von Gunnebo – “password01” – deutet darauf hin, dass die Sicherheit der IT-Systeme von Gunnebo auch in anderen Bereichen mangelhaft gewesen sein könnte. Nachdem Krebs eine Kontaktanfrage von Gunnebo auf Twitter gepostet hatte, meldete sich Rasmus Jansson, ein Kundenbetreuer bei Gunnebo. Jansson war für den Schutz von Client-Systemen vor Angriffen oder Unterbrechungen durch elektromagnetische Impulse (EMP) zuständig.


Anzeige

Jansson sagte Krebs, er habe die gestohlenen Berechtigungsnachweise an die IT-Spezialisten des Unternehmens weitergegeben. Aber er wusste nicht, welche Maßnahmen das Unternehmen daraufhin ergriffen habe. Jansson teilte Krebs in einem Telefonat mit, dass er das Unternehmen im August verlassen habe. Korrespondiert mit dem Zeitpunkt, als Gunnebo den Ransomware-Angriff bekannt gab. Jansson weigerte sich, zu den Einzelheiten des Ransomware-Angriffs Stellung zu nehmen.

Ähnliche Artikel:
IT-Sicherheit: DsiN-Praxisreport 2020 Mittelstand
Sicherheit: Microsoft Digital Defense Report, Exploit-Autor-Fingerabdruck
Sicherheit: Ransomware bei ThyssenKrupp, Schwachstellen bei Louis Vuitton, Airbnb und mehr
Französische IT-Firma Sopra Steria von Ryuk-Ransomware befallen, Zerologon ausgenutzt?
Ransomware-Angriff auf Anwaltskammer BEA-Webseite?
Kreuzfahrtanbieter Carnival bestätigt Ransomware-Angriff mit Datenabfluss
Software AG Opfer der Cl0p-Ransomware, Daten wurden veröffentlicht
Ransomware legt französische Reederei CMA CGM S.A. lahm
Cyber-Angriff mit Ransomware auf US-Klinikbetreiber UHS
Uniklinikum Düsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge
Ransomware-Angriff auf Argentiniens Einwanderungsbehörde, deutsche Passdaten im Netz
Ransomware-Infektionen mit Datenlecks: Stoppt den Wahnsinn


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.