[English]Die am Genfer-See gelegene Gemeinde Montreux, bekannt für ihr mildes Mikroklima und das Montreux Jazz Festival im Juli, ist am gestrigen Sonntag wohl Opfer eines erfolgreichen Cyber-Angriffs geworden. Zur Zeit sind noch nicht viele Details bekannt, die Webseite der Gemeinde ist nicht erreichbar – hier einige Informationen, was bereits bekannt ist.
Anzeige
Wie die Sicherheitsvereinigung Riviera (ASR), der zehn Gemeinden in der Region angehören, am Sonntagabend mitteilte, ist die IT der Schweizer Gemeinde Montreux im Kanton Waad wohl bereits am Sonntag-Morgen Opfer des erfolgreichen Cyber-Angriffs geworden. Laut Berichten diverse Medien hier, hier, hier und hier wurde ein Krisenstab einberufen und eine Strafanzeige gestellt.
Wie es ausschaut, handelt es sich um einen Ransomware-Angriff, bei dem die Daten der IT-Systeme der Gemeinde verschlüsselt wurden. Ob Daten abgezogen wurden und später im Darknet angeboten werden, ist aktuell noch unklar. Aus Sicherheitsgründen habe die Gemeinde Montreux erste technische Sofortmassnahmen ergriffen und das Computersystem der Verwaltung von jenem des Kantons Waadt abgekoppelt. Die Verwaltung habe aktuell weder Wifi noch Internetzugang. Die Seite watson.ch zitiert eine Sprecherin der Gemeinde mit "Wir haben kein WLAN und kein Internet mehr. Wir sind ein wenig von der Welt abgeschnitten."
Der Verband (ASR) will laut diesem Medium über die weitere Entwicklung fortlaufend informieren – dies auf der Website und den Social-Media-Kanälen der Gemeinde. Ich habe mal versucht die betreffende Webseite unter securite-riviera.ch aufzurufen, und bin mit nachfolgender Fehlerseite begrüßt worden.
Webseite der Gemeinde Montreux nach Ransomwareangriff (11.10.2021)
Aktuell kann der Webserver wohl keine Verbindung mit dem SQL-Server aufnehmen, entweder, weil dieser, entweder durch die Abkopplung der IT vom Netz oder durch den Ransomware-Angriff möglicherweise verschlüsselt wurde, nicht mehr erreichbar ist. Was mich dann aber doch arg verwundert hat, ist die Signatur in der Fußzeile der Webseite. Diese weist auf .NET Core 3.1.18 X64 v4.0.0.0, Microsoft.AspNetCore.Hosting version 3.1.18 hin, wobei das Ganze unter Microsoft Windows 10 Build 10.0.14393 läuft. Das ist entweder Windows 10 Version 1607 oder Windows Server 2016. Keine Ahnung, ob die eine LTSC-Variante einsetzen – aber man scheint da auf dem falschen Fuß erwischt worden zu sein. Finde ich dann schon irgendwie seltsam, dass man eine Windows-Maschine als Webserver für den Verband der Gemeinden verwendet – aber es wird Gründe für geben. Welche Architektur die IT dieses Verbunds nutzt, weiß ich nicht.
Vor einigen Monaten hatte ich im Beitrag Schweizer Ort Rolle: Daten der Bürger nach Ransomware-Angriff im Darknet aufgetaucht darüber berichtet, dass die Schweizer Kleinstadt Rolle am Genfer See Opfer eines solchen Angriffs wurde. Seinerzeit landeten die Daten vieler Bürger im Darknet.
2015
"Finde ich dann schon irgendwie seltsam, dass man eine Windows-Maschine als Webserver für den Verband der Gemeinden verwendet"
WIESO?
1. ist Apache auch nicht das Gelbe vom Ei -> siehe 2.4.49 und 2.4.50 und https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-260764-1032.pdf?__blob=publicationFile&v=4
2. sind ASP.NET, .NET/.NET Core und Blazor ordentliche Sachen und sehr mächtig
3. meldet der Windows Server 2016 sich als Microsoft Windows [Version 10.0.14393]
und 4. selbst wenn es sogar 'nur' ein Windows 10 wäre, wäre dies auch nicht verwerflich…
5. kann dies auch mit Linux oder macOS passieren -> NICHTS ist 100%ig sicher!
So ist es. Man muss eben seine Systemumgebung richtig designen, dann kann einem selbst ein öffentlich zugänglicher IIS gehackt werden, ohne dass gleich das interne Netz kompromittiert werden kann. Für sowas hat man eine eigene DMZ-Domain, und das ganze Gebilde ist nett durch Firewalls vom Rest getrennt und innerhalb auch schick segmentiert.
Es scheint inzwischen wieder alles paletti zu sein.
https://www.montreux.ch/accueil/willkommen