Ransomware-Angriffe: Tegut, Madsack und mehr … (26.4.2021)

Aktuell schlagen wieder die Meldungen über einen Ransomware-Befall bei verschiedenen Unternehmen auf. Vorige Woche war es noch eine Gruppe, die einen Apple-Zulieferer kapern konnte und jetzt von Apple Lösegeld verlangt, um erbeutete Dokument nicht zu veröffentlichen. Dann hat es wohl die Verlagsgruppe Madsack getroffen und mir liegt eine Info vor, dass die Cyber-Kriminellen Opfer im Bereich Finanzen/Cyber-Versicherung ins Visier nehmen, um deren Kundenlisten zu stehen und dann diese anzugreifen. Mir wurde dann ein deutscher Name genannt, der möglicherweise unter den Opfern ist. Aktuell kämpft zudem der Lebensmittelhändler Tegut in Fulda mit einem Ransomware-Befall. Und angreifbare Exchange-Server mutieren inzwischen zu Krypto-Minern. Ach, eine Schwachstelle bei einem privaten Coronatest-Zentrum, bei dem sensible Daten einsehbar waren, hat es auch gegeben. Zum Wochenstart daher ein kleiner Sammelbeitrag von Meldungen, die frisch reingekommen, oder die letzten Tage liegen geblieben sind. Und auch einige Gedanken zum Thema Datensicherheit bei privaten Coronavirus-Teststellen.


Anzeige

Netfilim bei Verlagsgruppe Madsack

Vorige Woche berichtete t-online über den Verdacht eines Ransomware-Angriffs auf die Madsack Mediengruppe (Neue Press). Der Redaktion ist wohl eine interne E-Mail vom vom Gutenberg-Rechenzentrum zugegangen, in der von einer Großstörung berichtet wurde. Die Madsack Mediengruppe gehört zu den Kunden dieses Rechenzentrums. Im t-online-Bericht heißt es, dass es einen Trojaner-Angriff gegeben habe, der "alle Standorte" und den "gesamten Konzern der Madsack Mediengruppe" betreffe.

Zitiert wird: "Dies äußert sich zum Beispiel so, dass Dateien von der Endpoint Protection erkannt werden, die zusätzlich mit der Endung .NEFILIM versehen sind. Diese Dateien sind infiziert und verschlüsselt." Heißt mit anderen Worten, dass die Netfilim-Ransomware-Gruppe zugeschlagen hat. Details könnt ihr bei Bedarf im verlinkten t-online-Beitrag oder in diesem heise-Beitrag nachlesen.

Ransomware bei Tegut in Fulda

Von Gerrit O. kam heute früh eine E-Mail, die auf einen Ransomware-Angriff bei Tegut in Fulda hin wies (danke dafür). Das Ganze war dann auf folgenden Tweet verlinkt.

Ransomware bei Tegut in Fulda

Das Unternehmen Tegut hat zum 25. April 2021 bestätigt, dass es Ziel eines Cyberangriffs war und zur IT-Störung folgende Stellungnahme veröffentlicht.

IT-Störung – tegut… Ziel eines Cyberangriffs

Unbekannte haben einen sogenannten Cyberangriff auf das IT-Netzwerk des Unternehmens verübt. Sämtliche IT-Netzwerksysteme der Zentrale sind daraufhin gemäß Notfallplan heruntergefahren und vom Netz genommen worden. Hiervon betroffen sind unter anderem die Warenwirtschaftsprogramme, die in der Logistik die Disposition steuern. Dadurch kann es vereinzelt zu Engpässen bei der Warenverfügbarkeit kommen.

Ansonsten gibt es für die Kunden aktuell keine Beeinträchtigungen. Der tegut… Krisenstab hat die Sicherheitsbehörden informiert und arbeitet mit IT-Experten aktuell mit Hochdruck daran, den Normalbetrieb wieder herzustellen. Durch diese Maßnahme wurden auch der e-Mail-Server vom Netz genommen, daher können aktuell keine schriftlichen Anfragen per e-Mail an das Unternehmen gestellt werden.

Matthias Pusch
Leiter Unternehmenskommunikation

Die Kunden von Tegut sollen durch dieses Ereignis aber wohl nicht beeinträchtigt werden – die Tegut-Läden laufen also weiter und bleiben arbeitsfähig.

Ransomware bei Fonds Finanz GmbH?

Von einem ausländischen Sicherheitsforscher ist mir eine Information zugegangen, dass Ransomware-Gangs auf Unternehmen zielen, die eine Cyber-Versicherung haben. Das geht aus einem Artikel von The Record hervor, in dem ein unbekannter Cyber-Krimineller ein Gespräch mit Recorded Future-Experte und Threat Intelligence Analyst Dmitry Smilyanets geführt hat. Die Aussage war, dass Firmen mit einer Cyber-Versicherung die lukrativsten Opfer seien. Aber es geht noch mehr: Man versucht vor allem zuerst die Versicherer zu hacken – um an deren Kundenstamm zu kommen. Ist das erfolgreich gewesen, versucht man von dort aus gezielt die Kundenliste abzuarbeiten. Und nachdem man die Liste durchgegangen ist, trifft man dann den Versicherer selbst.


Anzeige

Fonds Finanz

Dann hat mir der Sicherheits-Experte noch den obigen Screenshot des Maklerportals Fonds Finanz geschickt –  die Fonds Finanz ist der größte Allfinanz-Maklerpool Deutschlands.

Fonds Finanz gehackt

Obiger Facebook-Eintrag, den ich bei einer Recherche gefunden habe, gibt an, dass die GmbH Opfer eines REvil Ransomware-Angriffs ist. Das lässt schon mal Spekulationen zu den nächsten Opfern aufkommen.

REvil hat auch Apple am Wickel

Vor einer Woche wurde bekannt, dass die REvil-Gang den taiwanesischen Auftragsfertiger Quanta Computer erfolgreich mit Ransomware infiziert hat. Dabei konnten auch eine Menge Dokumente vor dem Verschlüsseln abgezogen werden. Nachdem es mit der Erpressung von Quanta Computer wohl nicht so geklappt hat, ging die REvil-Gang dazu über, Apple zu erpressen. Man hatte beim Auftragsfertiger nämlich Dokumente für kommende Apple Geräte erbeutet. Details lassen sich in diesem Artikel von Catalin Cimpanu  auf The Record nachlesen. Ein deutschsprachiger Artikel findet sich bei Golem.

Exchange-Server als Botnet für Krypto-Miner

Eigentlich habe ich das Thema verwundbare Exchange Server hier im Blog ja rauf und runter gebetet. Daher sollten die Nutzer der Exchange-Server, die von Admins aus der Blog-Leserschaft betreut werden, keinem Risiko mehr ausgesetzt werden. Ich kippe daher die Nachricht der Kollegen von Bleeping Computer über Exchange-Server, die als Botnet für Krypto-Miner fungieren, nur als Tweet hier ein. Details könnt ihr in diesem Artikel nachlesen.

Exchange-Server als Botnet für Krypto-Miner

Goldrausch und das tägliche Coronatest-Datenleck

Kürzlich hat heise im Artikel Erneut Sicherheitslücke bei Corona-Schnelltests auf ein weiteres Sicherheitsleck bei einem Coronavirus-Schnelltester hingewiesen. Betroffen war eine fehlerhafte Software des Betreibers Innofabrik aus Haßloch (Rheinland-Pfalz). Ich hatte einen Fall ja im Beitrag Corona-Tests: Datenleck legt persönliche Daten und Ergebnisse offen angesprochen und gedacht "wird nicht der letzte sein".

Von Patty sind mir zum Wochenende einige Gedanken diesbezüglich zugegangen, die das obige stützen. Bundesbürger haben ja einen Anspruch auf Testung mittels PoC-Antigen-Test, die durch den Bund finanziert werden. Die Gelder werden an die von den Kreisen/kreisfreien Städten ausgewählten und beauftragten Testzentren weitergereicht. Wo Geld ist, sammeln sich die Leute, die das abgreifen möchten und die schnelle Mark wittern. Diese Testzentren müssen zwar festgelegte Mindeststandards einhalten, aber wie bei den FFP2-Masken-Käufen können wir uns in Anbetracht der schnell wachsenden Anzahl derartiger Testzentren nur auf guten Glauben im Hinblick auf die Einhaltung dieser Standards verlassen.

Patty schreibt, dass der "Antrag auf Beauftragung als Leistungserbringer nach § 6 Absatz 1 Nr. 2 Coronavirus-Testverordnung –TestV" (z.B. hier) erschreckend schnell ausgefüllt und abgesendet werden kann. Seit geraumer Zeit sei daher zu beobachten, dass eine nicht geringe Anzahl an (privaten) Teststellen für kostenlose Corona-Schnelltests in sehr vielen deutschen Städten wie Pilze aus dem Boden sprießen und Internetpräsenzen einrichten. Über diese besteht dann die Möglichkeit, online einen für den Bürger kostenlosen Test-Termin zu vereinbaren.

Zur Online-Terminvereinbarung werden z.B. Dienste wie appointlet, Tobit etc. eingesetzt. Das Problem bei der ganzen Geschichte ist, dass mehr oder weniger sensible Daten bei der Online-Terminvereinbarung eingegeben werden müssen. Beim Test vor Ort sind dann die Personalien mithilfe des Personalausweisen aufzunehmen und zu speichern. So begrüßenswert dieser Service ist – es ist alles einfach und unkompliziert online zu buchen – bleibt nicht nur bei Patty ein ungutes Gefühl zurück.

Derartige Internetpräsenzen dieser Anbieter werden quasi über Nacht "zusammengebastelt" und ich denke, dass dort manche auch das "große Geschäft" mit den Bürgertestungen wittern. Da stellen sich Fragen wie: Wer kontrolliert die Mindeststandards der Testzentren? Wer garantiert die Seriosität, auch im Umgang mit meinen Daten? Wer kontrolliert ein fehlendes oder unvollständiges Impressum, unvollständige Datenschutzerklärungen ohne Hinweise auf Cookie-Richtlinie und eingesetzte Apps/Dienste und fehlendes Opt-In? Was passiert mit meinen Daten, die vor Ort mithilfe des Personalausweises aufgenommen wurden?

Da sind momentan viele Fragen ohne Antworten und es deutet sich eine gewaltige Schieflage an. Wenn ich dann von Dumpfbacken vernehme, dass der Datenschutz der Bekämpfung der COVID-19-Pandemie und vor allem den Apps entgegen stehe (Zitat auf Facebook in einer Gruppe "Datenschutz und tote Rentner"), fehlt mir jegliches Verständnis. Wie seht ihr das so?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Ransomware-Angriffe: Tegut, Madsack und mehr … (26.4.2021)

  1. Nooby sagt:

    Hach wenn ich sowas lese, habe ich langsam kein Bock mehr auf IT… Die Einschläge kommen näher und als Admin fixt man sich von einer Lücke zur nächsten :(. Und irgendwann triffst dich doch….

    • Gustav sagt:

      Stimme dir zu… zum glück ist die Rente nicht mehr weit :-)

      • Joe sagt:

        Nicht umsonst ist die Strategie vieler IT Sicherheitsleute: davon ausgehen, dass der/die Hacker schon im Netz ist/sind.
        Also neben dem andauernden patchen: loggen was das Zeug hält.

    • voko sagt:

      Zurück zu Zettel und Bleistift 😁

    • Daniela S sagt:

      Amen :) Tragisch aber wahr…
      Wobei wenn du als Impfilliger dann deine Daten angibst und nicht weisst, was damit geschieht, bist du auch als nicht IT-ler der Lackierte…

      • Günter Born sagt:

        Nehme an, es sollte Impfwilliger heißen … das Problem ist noch viel gravierender, als hier viele ahnen. Die Bürger-ID ist ja gerade verabschiedet worden, eGK und Patientenakte kommt, es soll digitalisiert werden, auf Teufel komm raus – aber IT ist in deutschen Behörden auf Steinzeit-Niveau (FAX gilt als modern).

        Als apokalyptische Reiter postuliere ich, dass künftig nicht mal mehr unsere Bankkonten oder die Rentenzahlungen vor so was sicher sein werden … wartet es ab, wir werden alle sterben – kann jeder Gift drauf nehmen ;-).

        • 1ST1 sagt:

          Och, keine Sorge, die Bundesregierung befindet sich gerade mit Microsoft in Verhandlung, damit MS zusammen mit deutschen Systemhäusern/Hostern für die Regierung eine Micrsoft-Bundescloud (wie auch immer das Ding dann heißen soll) aufbaut, die völlig getrennt von der MS-Cloud sein soll, womit sich dann für Behörden alle Microsoft-Dienste nutzen lassen, ohne dass Daten nach Redmont oder zur NSA abfließen können, das ist heute bei Heise zu lesen. Die Opensourcefraktion ist mal wieder in Aufregung und sieht schon wieder ihre Felle davonschwimmen.

          • Steter Tropfen sagt:

            Tja, da kann sich nicht nur „die Opensourcefraktion" aufregen. Sieht verdammt danach aus, dass nicht mal ernsthaft über eine Alternative zu M$ nachgedacht wurde, sondern am beschränkten Horizont der Entscheider von vornherein feststand, wer den Zuschlag kriegt.

            …ok, vielleicht tue ich denen ja Unrecht und sie haben zuvor eine Münze geworfen: Bild = Microsoft, Zahl = Google und Rand = Apple.
            In Monokulturen breiten sich Schädlinge am effektvollsten aus.

  2. 1ST1 sagt:

    Da wurde die Emotet-Infrastruktur kaputt gemacht, aber es ist wie mit einer Hydra, man hat Emotet die Köpfe abgeschlagen, jetzt sind neue Köpfe mit anderen Namen nachgewachsen und das "Geschäft" geht weiter. Das kriminelle Geschäftsmodell muss ja sehr einträglich sein, dass solche IT-Spezialisten nicht legal ihr Geld verdienen. Aber man muss es auch so sehen, wie soll man sich mit "Emotet-Entwicklung und Betrieb" als Referenz im Lebenslauf auch irgendwo bewerben können?

  3. Peter K. sagt:

    Ich bin seit über 20 Jahren in der IT.
    Man verliert wirklich die Lust auf das ganze Zeug.
    Die Frage die ich mir stelle:
    Kann man ein Netzwerk das einen Internetzugang hat eigentlich überhaupt noch mit gutem Gewissen (sicher) betreiben?
    Gerade in den Microsoft Monokulturen.
    Spaß macht das alles nicht mehr, da man nur noch am Patchen ist und hofft das man wirklich nichts übersehen hat.
    Vielleicht mach ich doch noch meine Currywurstbude auf…

    • 1ST1 sagt:

      Unabhängig von Micrsoft, Linux oder Apple ist die Frage nur durch ein klares "Nein" zu beantworten, jede etwas komplexere Software ist löchrig wie ein schweizer Käse. Es gibt auch kein Patentrezept, mach dies, mach das, und du bist 100% sicher. Man kann den Angreifern nur Steine in den Weg legen, so viele wie möglich.

  4. Ralf S. sagt:

    Die ganze IT-Sache verhält sich leider doch so, wie bei allem, was die Menschheit sich so zusammen entwickelt: Alles ist irgendwie immer Segen und Fluch zugleich… Um es mal wieder mit Herrn Einstein zu sagen: „Der Mensch erfand die Atombombe, doch keine Maus der Welt würde eine Mausefalle konstruieren." Und ähnlich verhält es sich mit der IT. Sie ist da, wird auch nie mehr weggehen und wird vor allen Dingen immer mehr zunehmen. Bei der Atombombe/-energie ist es bis jetzt bis auf verhältnismäßig wenige „Kollateralschäden" (sorry dafür – klingt schon sehr zynisch, ich weiß…) noch (!) ganz gut gegangen. Wir können nur hoffen und eben alles mögliche dafür tun, dass es sich mit der zukünftigen IT ebenso verhält. Daher ist jeder von uns aufgefordert mitzudenken, kritisch zu hinterfragen und sich gut zu überlegen was er/sie so tut in der digitalen Welt – auch, und vor allen Dingen, auf die Zukunft hin betrachtet.

  5. PattyG sagt:

    "Goldrausch und das tägliche Coronatest-Datenleck"
    Das Thema hat Dir doch keine Ruhe gelassen ;-)
    Danke, dass Du das hier so ausführlich geschildert hast.
    Je mehr ich darüber nachdenke, um so unwohler wird mir dabei.

    Heute habe ich mir mal erlaubt, mich in irgendeinem Drive-In nach vorheriger Online-Terminbuchung (per appointlet) testen zu lassen.
    Mein PKW-Nummernschild wurde notiert (vermutlich, damit die mich hinterher auf dem Parkplatz wiederfinden) und der Zettel zusammen mit meinem Personalausweis mit in den Container genommen.
    Nach ca. 15 Minuten hatte ich mein offizielles und amtlich beurkundetes Testergebnis (zum Glück negativ).
    Ich konnte es mir nicht verkneifen, die nette junge Dame, die mir das Testergebnis zum Auto brachte, zu fragen, ob mir hier jemand beantworten könne, in welcher Form meine Personalien gespeichert wurden ("vielleicht ein Foto vom Personalausweis?"), wie lange diese hinterlegt blieben … na ja, halt den ganzen DSGVO-Kram abgefragt.
    Sie konnte es mir natürlich nicht beantworten, wusste aber auch nicht, wen sie fragen könnte. Einen Datenschutzbeauftragten kenne sie nicht und es sei auch sonst niemand da, außer der "Test-Damen".
    Ich hatte natürlich vorher recherchiert.
    Die Firma, welches hier diesen Test-Drive-In betreibt hatte bisher nix, aber auch garnix im entferntesten mit der Pharmabranche oder sonstigen medizinischen Dienstleistungen etc. am Hut.
    Der Datenschutzbeauftragte, der auf der Internetpräsenz genannt wird, sitzt im vorderasiatischen Ausland.
    Die Datenschutzerklärung enthält zwar einige konforme Angaben, ist jedoch unvollständig. Z.B. fehlt völlig der explizite Hinweis auf die Terminbuchungs-"App" appointlet.
    Wenn ich die Tage mal Zeit habe, schreibe ich die mal an und mache von meinem Auskunftsrecht Gebrauch.

    Und jetzt bloß nicht falsch verstehen: Ich begrüße grundsätzlich die Möglichkeit, mich schnell und unkompliziert in einem Testzentrum testen lassen zu können. Das bringt uns in dieser Pandemie (neben vielen anderen Maßnahmen!) einen ganzen Schritt weiter.
    Aber ich kann mich nicht erinnern, eine derartige Situation erlebt zu haben, in der man seine sensiblen, persönlichen Daten an "wildfremde" abgibt und einfach nur hoffen muss, dass diese in guten Händen sind …

    Und natürlich ist dieses Beispiel hier um Himmels Willen kein Pauschalurteil über alle anderen Testzentren in Deutschland! Es soll nur ein wenig sensibilisieren …

    • PattyG sagt:

      Liest hier jetzt wahrscheinlich keiner mehr. Aber der Vollständigkeit halber möchte ich noch aktuelle News hinzufügen, da sich zumindest der Verdacht nach der "schnellen Mark" und der Nicht-Einhaltung von Mindeststandards bestätigt hat. Man musste kein Prophet sein, um zu wissen, dass das alles gar nicht überprüfbar ist. Und vermutlich ist das, was in den Medien kursiert mal wieder nur die berühmte Spitze des Eisbergs. Hier NUR 2 Beispiele für diejenigen, die sich vielleicht doch damit beschäftigen möchten:

      Insbesondere der letzte Satz bereitet mir Bauchschmerzen bezgl. der Einhaltung von Mindeststandards:
      "Von den rund 1.660 Testzentren in Rheinland-Pfalz sind nach Auskunft des Landessozialamts rund 75 Prozent PRIVAT geführt, der Rest ist in kommunaler Trägerschaft."

      https://www.faz.net/aktuell/rhein-main/wegen-des-verdachts-auf-falsche-pcr-tests-wird-gegen-eine-teststelle-in-giessen-ermittelt-17367556.html
      Testergebnis per Whatsapp??? Auch nicht schlecht …

      Nur am Rande:
      Ich hatte ja, wie in meinem Kommentar beschrieben, am 30.04.2021 eine Anfrage beim Datenschutzbeauftragten gestellt und von meinem Auskunftsrecht Gebrauch gemacht. Diese Anfrage habe ich 14 Tage später am 13.05.2021 wiederholt, da ich keine Antwort erhielt. Nun ja, diese ist leider auch noch bis heute ausgeblieben.
      Kannste machen nix, oder?

      • aDude sagt:

        Erinnert mich an die Geschichte des "Wilden Westens" in Amerika, Goldgräberstimmung!
        Viele versuchen ihr Glück, manche mit zweifelhaften Methoden. Sieht man wieder an den Schlagzeilen zu Testzentren in den Medien.
        Bezüglich illegaler Machenschaften…
        Sitzen die Verantwortlichen im Ausland ist das sicherlich ein Vorteil.
        Ist deren "Operationsgebiet" das "digitale Wunderland" Deutschland, so ist das ebenfalls ein Vorteil.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.