Das Rathaus der bayrischen Stadt Dingolfing ist wegen einer "Infektion" vorrübergehend geschlossen. Nein, kein COVID-19 Hotspot unter den Mitarbeitern, sondern Cyber-Kriminellen ist es gelungen, eine Ransomware in deren IT-System einzuschleusen. Da sich die Ransomware im Netzwerk ausbreitet, wurde die IT komplett vom Netz genommen – die Beeinträchtigungen werden noch die Woche andauern.
Anzeige
Auf der Webseite der Stadt Dingolfing findet sich nur ein sehr kurzer Hinweis, dass es am Wochenende im Rathaus zu einem EDV-Sicherheitsvorfall gekommen sei, der verschiedene Bereiche der Stadt Dingolfing betrifft.
Um weiteren Schaden zu vermeiden wurde das System vom Netz genommen. Dann folgt der übliche Seromon, dass man in enger Zusammenarbeit mit der Strafverfolgung die Ursache ermittele. Mehr Licht bringt nachfolgender Tweet ins Bild, der auf diesen Artikel des BR verlinkt.
Der Bürgermeister Bürgermeister Armin Grassinger (Unabhängige Wählergemeinschaft Dingolfing UWG) von Dingolfing bestätigt dem BR auf Nachfrage, dass man sich in der IT der Stadt einen Trojaner eingefangen habe. Und dann wird es "fachmännisch", denn der Bürgermeister wusste, dass dieser Trojaner am Freitagabend (18.3.2022) damit begonnen habe, die Daten auf allen Festplatten der Stadt mit rund 20.000 Einwohnern zu verschlüsseln. Davon betroffen seien auch Sicherungen der Daten außerhalb des Rathauses auf unterschiedlichen Speichermedien, heißt es beim BR.
Wenn auch externe Sicherungen betroffen sind, bedeutet dies, dass der Trojaner bereits einige Zeit verschlüsselt – oder das Sicherungskonzept ungeeignet war. Hier hüllen sich die Betroffenen aber in Schweigen – vielleicht weiß ein Leser mehr. Jedenfalls hat die Verwaltung aktuell keinen Zugriff auf die eigenen Daten. Nach diesem Hackerangriff auf die EDV der niederbayerischen Stadt Dingolfing muss das Rathaus bis einschließlich Freitag (25.3.2022) geschlossen bleiben.
Möglicherweise ist diese Annahme recht optimistisch, denn Cyberangriffe auf andere Kommunen wie auf Anhalt-Bitterfeld führten dazu, dass der Notstand ausgerufen werden musste (siehe Notstand nach Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld). Die Kommune war Wochen nach dem Angriff IT-mäßig noch nicht arbeitsfähig.
Dingolfing ist die Kreisstadt des Landkreises Dingolfing-Landau im Regierungsbezirk Niederbayern und besitzt ca. 20.000 Einwohner. Die Stadt besteht aus 22 Gemeindeteilen.
Ähnliche Artikel:
Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld
Notstand nach Ransomware bei Landkreisverwaltung von Anhalt-Bitterfeld
Österreich: IT der Stadt Weiz mit Ransomware infiziert?
Stadtverwaltung von Thessaloniki Opfer von Ransomware
TU-Darmstadt Opfer der Ragnarok Ransomware
Stadt in Florida zahlt nach Ransomware-Befall – und dann?
Kisters AG Opfer eines Ransomware-Angriffs (10./11. Nov. 2021)
Schweizer Gemeinde Montreux Opfer eines Cyberangriffs
Schweizer Ort Rolle: Daten der Bürger nach Ransomware-Angriff im Darknet aufgetaucht
Klinikum Wolfenbüttel Opfer eines Ransomware-Angriffs (Juli 2021)
Anzeige
2015
Ich sehe hier oftmals genau das Problem, das sich oftmals hier in Schweigen gehüllt wird.
Ich würde mir wünschen, das es eine zentrale Stelle / Möglichkeit gibt, solche Angriffsdetails nach Abschluss der forensischen Maßnahmen (anonymisiert) veröffentlicht werden.
Welche Ransomware war es? Wie war die Funktionsweiße? Welche Schnittstellen, CVE wurden ausgenutzt? Welche Maßnahmen können dagegen unternommen werden?
Es ist klar, das jetzt hier im akuten Fall keine Zeit für solch Informationsweitergabe gibt, jedoch wäre hier im Nachgang eine technische Analyse des ganzen sicherlich für viele weitere Firmen interessant, um die eigenen Systeme auf diese Schwachstelle(n) zu prüfen.
Wenn wir ehrlich sind, jeden kann es treffen – egal wie viel unternommen wird, die Systeme abzusichern. Allerdings denke ich, das sowas auch zum härten der Systeme genutzt werden kann.
Das wird leider ein frommer Wunsch bleiben. In ganz wenigen Fällen wird offen gelegt, was wirklich war und welche Versäumnisse es gab. Dann stelle ich es i.d.R., wenn ich es mitbekomme und "Fleisch" vorhanden ist, auch als Beitrag in den Blog ein.
Gelegentlich muss ich hier sogar einen Kampf führen, wenn mir Informationen aus anonymen Quellen oder von Lesern zugespielt werden und dann der Betroffene sofort schweres Geschütz auffahren will, dass überhaupt etwas publiziert wird.
Und gefühlt bei jedem zweiten Artikel zu "uneleganten Themen" kommt dann eine "Richtigstellung der zuständigen Öffentlichkeitsarbeit", dass ich das doch falsch sähe und bitte den Text korrigieren möge. Wenn was substantielles dabei ist, füge ich das als Ergänzung bei.
So sieht es leider aus. Und Hinweise zu Angriffswegen diverser Ransomware, zum Härten etc. gibt es hier im Blog ja durchaus. Müsste man lesen, bewerten, ggf. für seine Bedürfnisse aufbereiten und dann handeln.
Wenn ich vom BSI oder Sicherheitsanbietern dann mal was zu "Abwehrmaßnahmen" hier einstelle, fühlen sich Besucher veranlasst, zu kritteln, dass das aber arg wenig sei.
Blogge ich hier über Schwachstellen, heißt es uniso "haben wir doch alle längst geschlossen" …
Berichte ich über DLL-Hijacking oder andere potentielle Schwachstellen, kommt mit Sicherheit der Kommentar "aber das funktioniert nur, wenn der Angreifer bereits …" – keinen Plan, mal über den Schüsselrand zu schauen.
Mein Eindruck: Möglichst wenig selbst recherchieren und denken kommt bei manchen IT-Leuten nicht mehr vor. Sieh es nicht als Fundamentalkritik an deinem Kommentar – es sind so Gedanken, die mir spontan durch den Kopf gingen. Natürlich wäre es verlockend, so ein Repository mit Fällen, Ursachen und Gegenmaßnahmen zu haben. Aber was hilft es, wenn man vor lauter Bäumen den Wald nicht mehr sieht oder der Baum Nr. 4711 neu hinzukommt …
Hab vor 28 Jahren meinen Job als Ingenieur im Management einer großen Chemie-Firma aufgegeben. Wenn es da große Unfälle (Seveso, Bhopal, aber auch Basel oder bei deutschen Chemie-Unternehmen) gab, hieß es, die wenigen verfügbaren Informationen recherchieren und bewerten, ob man betroffen sein könnte. Was damals (Internet gab es noch keines) zählte: Dass überhaupt eine Information da war – und die Risikobewertung für das eigene Geschäft. Ich gebe aber zu, dass es heute alles viel komplexer und durch die gewachsenen IT-Strukturen mit Monokulturen schwieriger geworden ist.
Was hilft, wäre die IT-Netzwerke sauber zu segmentieren, die IT-Landschaft zu dokumentieren, das IT-Patchmanagement stringent durchzuziehen, eine IT-Sicherheitstrategie mit Notfallplänen vorzuhalten und ggf. SIEM-Systeme zur Erkennung einzusetzen. Ist jetzt etwas aus der Lameng – aber ich muss ja glücklicherweise nicht den Job von euch IT-Leuten und Administratoren da draußen machen ;-).
"Was hilft, wäre die IT-Netzwerke sauber zu segmentieren, die IT-Landschaft zu dokumentieren, das IT-Patchmanagement stringent durchzuziehen, eine IT-Sicherheitstrategie mit Notfallplänen vorzuhalten und ggf. SIEM-Systeme zur Erkennung einzusetzen. Ist jetzt etwas aus der Lameng – aber ich muss ja glücklicherweise nicht den Job von euch IT-Leuten und Administratoren da draußen machen ;-)."
Von der Aussage her 1A getroffen, aber warum will ich jetzt unbedingt die Domain "Born-Leaks.de" registrieren??! hmmm … :-)
Vorschlag zur Güte: Versuche es mit frankys-leaks.com – dann hättest Du eine Lebensaufgabe ;-)
Ich werde es so oder so nicht mehr so lang machen (können) – wer weiß, ob es mich in 2,3 Jahren noch gibt. Ich werde eindeutig so langsam zu alt für den Scheiß. Und mit nun fast 53 Berufsjährchen habe ich ja ein bissgen was vorgelegt … irgendwann müssen die Youngster ran.
Kein Thema :) Ich sehe das nicht als Kritik.
Ich bin hier auch nicht tiefer in das Thema eingegangen, was ich ggf. hätte tun sollen.
Es ist klar, das die Berichterstattung hier extrem erschwert wird, keiner will hier den schwarzen Peter haben, es kommt ja in einem gewissen Maße einer Offenbarung gleich, weiterführende Informationen in diesem Fall selbst zu veröffentlichen – geschweige denn, wenn Dritte hier Informationen veröffentlichen. Lieber schiebt man per Pressebericht die Schuld auf andere ;)
Jeder weiß alles, manches sogar besser… das lässt sich nicht leugnen. Dies sieht man ja oftmals unter den Kommentaren in den Beiträgen der einschlägigen Blogs und Seiten. Am besten wäre für viele ein selbstlaufendes Script zum Download, welches entsprechend auf den Systemen 5 Sekunden läuft, alles behebt und das Thema damit erledigt ist.
Für mich erweckt es auch oft den Eindruck, dass das eigene Auseinandersetzen mit der Thematik oftmals auf der Strecke bleibt.
Mein Hauptgedanke hinter dieser Idee war vielmehr, eben durch sowas genau das zu erreichen, sich selbst mit der Thematik auseinanderzusetzen, eben über den Tellerrand zu schauen. Ich spreche hier einfach mal nur für mich, das ich solche Informationen immer sehr interessant finde, wenn es um die Nachbearbeitung eines solchen Falls geht.
Ich gebe dir recht, die Argumentation bezüglich "den Wald vor lauter Bäumen nicht mehr sehen" ist ja auch richtig. Die Informationsflut wäre schon immens. Ich verfolg einfach weiter deinen Blog – mach einfach weiter so :)
P.S.: Frank Z? FrankysWeb? ;)
Ich hatte es auch nicht als Kritik aufgefasst – und vor einigen Jahren hatte ich mir die Berichterstattung über Sicherheitsthemen auch einfacher vorgestellt. Ich bekomme als Blogger – der irgendwo zwischen "Windows/MS-Anbeter-Seiten" und hard-core Sicherheitsseiten segelt, schon sehr viel mit (auch dank der Leserschaft – manches halt anonym).
Aber gelegentlich bleibt mir hier im Tagesgeschäft – sozusagen hinter den Kulissen – die Spucke weg, was mich so an Ansinnen erreicht ;-). Bestenfalls spielt man auf Nachfragen "toter Mann" … manchmal muss ich aber jonglieren, um einen Tipp-Geber undercover zu halten und das Ganze so formulieren, dass ich möglichst juristisch nicht angreifbar werde oder niemanden gefährde.
Tüpfelchen auf dem i sind dann, wenn ich mal leichte Kritik an einem Anbieter wegen ihrer Informationspolitik übe, so Kommentare der Art "warum sollte Anbieter xyz dir antworten – manche Leute nehmen sich zu wichtig" – gut, ist i.d.R. die Facebook-Bewohnerschaft – aber wenn da vermeintliche IT-Spezialisten hinter einem FB-Profil stehen, komme ich schon ans Nachdenken, wie diese Welt sich gerade so dreht ;-)
Betr. "Gelegentlich muss ich hier sogar einen Kampf führen, wenn mir Informationen aus anonymen Quellen oder von Lesern zugespielt werden und dann der Betroffene sofort schweres Geschütz auffahren will, dass überhaupt etwas publiziert wird.":
Danke, dass Sie trotz der Mühen und Anfrechtungen, dennoch berichten.
"Natürlich wäre es verlockend, so ein Repository mit Fällen, Ursachen und Gegenmaßnahmen zu haben."
Siehe https://cve.mitre.org/, https://cwe.mitre.org/, https://capec.mitre.org/, https://attack.mitre.org/, …
JFTR: CVE und CWE nennen dummerweise fast nie die konkreten (Vor)Fälle, sondern geben typischerweise (aber auch nicht immer) nur Verweise auf Webseiten der Entdecker oder betroffenen Hersteller/Produkte.
PS: bei ATT&K sowie CAPEC kann jeder direkt mitmachen; bei CVE ist's schwieriger, da "Gangs(ter)" wie M$FT und Mozilla (und VIELE mehr) CVEs für ihre eigenen Verbrechen vergeben dürfen (und MITRE das dann nicht mehr macht) … aber das HÄUFIGST unterlassen!
@J.H.
Stell doch Anfragen zu allen dir bekannten Vorfällen bei den betroffenen Stellen und zusätzlich bei den zuständigen Ministerien und berufe dich auf das Informationsfreiheitsgesetz :)
In Windows 10 gibt es eine Funktion "Ordnerüberwachung", die gegen Ransomware schützen soll.
War diese Funktion abgeschaltet oder funktioniert diese Funktion generell nicht?
Da bezüglich fehlender Informationen des Angriffsvektors und der Ransomware elementare Daten fehlen, lässt sich hier sicherlich nur mutmaßen.
Es ist jedoch so, das vertrauenswürdige Apps hier zugriff besitzen. Ich würde jetzt nicht die Hand ins Feuer legen, aber teilweiße existieren ja "offiziell" signierte Ransomware. Ob dies auch das Allheilmittel gegen Ransomware ist, kann ich nicht sagen, bzw. kann es mir nicht vorstellen.
Habe mich auch zu wenig tiefer mit dieser Funktion auseinandergesetzt.
Des weiteren werden doch Teile des Defenders deaktiviert, sollte sich eine Dritthersteller-Securitylösung wie z.B. ESET, BitDefender, Kaspersky, etc im Einsatz befinden(?)
Zitat: "Davon betroffen seien auch Sicherungen der Daten außerhalb des Rathauses auf unterschiedlichen Speichermedien, heißt es beim BR." Das läßt aufhorchen. Ist mit unterschiedlichen Medien denn auch wirklich ein Medienbruch gemeint, also z. B. von Disk zu Tape. Oder nur unterschiedliche online Medien. Ich bin gerade dabei ein Storage System zu beschaffen und alle wollen mir online Backup auf Sekundär-Disk-Speicher oder gar Cloud Speicher einreden. Möglichst noch mit gleichem Betriebssystem auf Primär- und Sekundär(backup)speicher. Tape wäre nicht mehr modern. LTO-8 mag durchaus ein Zuverlässigkeitsproblem haben, zugegeben. Aber nur ein Backupmedium, das offline ist, ist wirklich sicher vor Ransomware. Klar gibt es auch offline Disk-Speicher (z. B. Silent Bricks) aber das ist preislich die Oberklasse. Und immutable bedeuted auch nur ein Flag in der Software. Dirty Pipe hat erst wieder gezeigt, dass immutable eben nicht immutable ist. Was empfehlen die Fachleute hier im Blog so?
Mir ging auch "Cloud-Speicher" mit ständigem Zugriff im Kopf herum. Da ich aber nichts darüber weiß, können wir das hier nicht weiter thematisieren.
Unser Dienstleister empfiehlt nun auch, dass wir unsere Bandsicherung auf eine Sicherung auf Festplatten umstellen sollen. Bin mir da ehrlich gesagt noch etwas unschlüssig. Cloud-Sicherung kommt aber ganz bestimmt nicht in Frage…
LG
Robert
Uns wurde auch schon Cloud Backup "empfohlen". Mir ist klar warum, da ist die Marge deutlich besser ;) Preislich war es für uns aufgrund unserer Datenmenge (ca. 40 TB) einfach zu teuer. Da ist ein Band mit einer kleinen Libary (40 Slots), drei Laufwerken, Lizenz für Backup Software und bestehendes Backup Konzept noch ausreichend.
Zudem fühlt es sich für mich persönlich nach einem "besseren" Schutz an, wenn man Bänder offline in einen Tresor in einem anderen Brandabschnitt legt.
Zumindest für Angriffen mit M$ Excel/Word VBA sind die Code öffentlich bekannt. Jeder kann sie harnlos nachbauen und sein System testen.
Quellen sind neben dem kostenpflichtigen "Virustotal.com"das kostenlose "abuse.ch"
Wir haben vor kurzem einen Cybervault für unsere zweite Datadomain angeschafft. Soll in den nächsten Tagen/Wochen aufgebaut werden. Das Tape werde ich als Notnagel solang weiter betreiben wie möglich. Auch LTO9 und LTO10 werde ich mitnehmen. Das ist für mich einfach eine Gewissensfrage. Dann kann ich ruhiger schlafen. :-) …und ich bin 32… Aber fragt die Dienstleister doch gerne mal nach deren ganz ehrlicher Meinung. „Was würdest du tun, wenn du für Daten von einem Mittelständischen Unternehmen mit 1000 Mitarbeitern verantwortlich wärst?". Ich glaube die hätten auch noch alle ein Tapeloader im Keller. ;-)