Sicherheit: TikTok-Leak, Ransomware-Infektionen, Beschlagnahmen und mehr

[English]Aktuell ist im Bereich Cybersicherheit schwer was los. Es gibt ein TikTok-Leak des Quellcodes, und US-Behörden haben die Webseite WT1SHOP beschlagnahmt, die gestohlene Nutzerdaten (ID-Nummern, Kreditkartendaten etc.) verkauft. Die  Schokoladenfabrikant Läderach (Schweiz), die InterContinental Hotels-Gruppe sowie die steirische Bezirkshauptstadt Feldbach (Österreich) sind von Ransomware betroffen. Das gleiche gilt für einen US-Schulbezirk in Los Angeles. Hier ein Überblick über den "täglichen Wahnsinn" in Sachen Cyber-Sicherheit.

Ransomware-Vorfälle der Woche

Eigentlich kann man davon ausgehen, dass täglich irgendwo neue Ransomware-Infektionen auftreten. Hier eine Übersicht an Fällen, die mir die letzten Tage unter die Augen gekommen sind

Ransomware-Angriff auf InterContinental Hotels Gruppe (IHG)

Die Kollegen von Bleeping Computer weisen in folgendem Tweet auf die erfolgreiche Ransomware-Infektion des Buchungssystems der InterContinental Hotels Group (IHG) hin. Die InterContinental Hotels Group PLC (IHG) ist ein britisches multinationales Unternehmen, das derzeit 6.028 Hotels in mehr als 100 Ländern betreibt. Zu den Marken gehören Hotelketten wie InterContinental, Regent, Six Senses, Crowne Plaza, Holiday Inn und viele andere.

In einer Mitteilung an die London Stock Exchange schreibt das Unternehmen, dass Teile der technischen Systeme des Unternehmens Gegenstand unbefugter Aktivitäten waren. Die Buchungskanäle und andere Anwendungen von IHG sind seien erheblich gestört, und dies dauere an. Bleeping Computer vermutet auf Basis dieser Angaben und weiterer Indizien in diesem Artikel eine Ransomware-Infektion.

Ergänzung: Mehr Details zum Hack gibt es im Artikel Datenlöschung beim IHG-Hack aus Rache, sagt ein vietnamesisches Paar.

Bezirkshauptstadt Feldbach (Österreich) betroffen

Die steirische Bezirkshauptstadt Feldbach (Österreich) ist ebenfalls von Cyberangriff betroffen, wie nachfolgender Tweet vermeldet. Der Standard vermeldet hier, dass bei dem Angriff 10 Terabyte Daten verschlüsselt wurden. Der Stadt liegt eine Lösegeldforderung der Ransomware-Gruppe vor.

Der Angriff fand am Wochenende statt (in den USA war langes Wochenende, Labor Day), hat dann auch Institutionen außerhalb der USA betroffen. Die ersten Anzeichen für Probleme gab es bereits am Wochenende, Montag war der Ransomware-Angriff klar. Lösegeld will die Stadt keines zahlen, ob Daten der Bürger abgeflossen sind, seht noch nicht fest.

Schokoladenfabrikant Läderach betroffen

Gemäß nachfolgendem Tweet wurde der Schokoladenfabrikant Läderach in der Schweiz von einer Ransomware-Attacke betroffen. Laut diesem Beitrag wurde am Morgen des 5. September eine Infektion festgestellt, die die Produktion, Logistik und Administration des Chocolatiers beeinträchtigt.

Der Vertrieb und die Bestellseiten funktionieren wohl noch und der Betrieb scheint auch wieder anzulaufen.

Los Angeles Unified School District betroffen

Es ist ein Angriff, der im Moment ziemliche Wellen in den USA schlägt. Der zweitgrößte Schulbezirk in den USA, der Los Angeles Unified School District ist von einem Ransomware-Angriff betroffen und wurde faktisch lahm gelegt. Die IT stellte am Wochenende ungewöhnliche Aktivitäten in seinen IT-Systemen fest, die nach einer ersten Überprüfung als externer Cyberangriff bestätigt wurden, heißt es in einer Mitteilung. Trotz dieser erheblichen Störung der Infrastruktur wurden die Schulen am Dienstag, den 6. September wie geplant geöffnet. Laut diesem Tweet hat das Weiße Haus das Bildungsministerium, das FBI und die CISA als Reaktion auf den Vorfall eingeschaltet. Könnte gut sein, dass man da irgendwann noch hört, dass Täter dingfest gemacht wurden.

Kosten des HSE-Angriffs: 52 Millionen Euro

2021 gab es einen erfolgreichen Angriff auf das irische Gesundheitssystem HSE (Health Service Executive), und die waren Wochen nicht einsatzfähig. Nun wurde bekannt, dass die Folgekosten dieses Angriffs sich wohl auf mindestens 52 Millionen Euro belaufen.

Sicherheitsexperte Brett Callow weist in obigem Tweet auf diesen Artikel mit Details der Irish Times hin.

FBI und DOJ beschlagnahmen WT1SHOP

Das FBI und das DOJ haben bekannt gegeben, dass sie vier Domains von WT1SHOP beschlagnahmt haben. Es handelt sich um einen Marktplatz für personenbezogenen Daten (PII), auf dem mehr als 5,85 Millionen Datensätze gehandelt wurden.

Obiger Tweet verlinkt auf diese Mitteilung des US-Justizministeriums, wo sich Details nachlesen lassen. In der Strafanzeige heißt es, dass Nicolai Colesnicov, 36 Jahre alt, aus der Republik Moldau, WT1SHOP betrieben hat. Der Online-Markt hat es Verkäufern ermöglicht, gestohlene Anmeldedaten und andere personenbezogene Daten zu verkaufen. Darunter befanden sich etwa 25.000 gescannte Führerscheine/Pässe, 1,7 Millionen Anmeldedaten für verschiedene Online-Shops, 108.000 Bankkonten und 21.800 Kreditkarten.

Das TikTok-Leak: Daten und Quellcode

Dann gab es noch den Fall, dass der Quellcode und Nutzerdaten der chinesischen Video-Plattform TikTok durch ein Leck öffentlich wurde. Die Kollegen schreiben in nachfolgendem Tweet und diesem Artikel, dass der Betreiber Bytedance abstreitet, dass es einen Sicherheitsvorfall gegeben habe.

Letzten Freitag erstellte eine Hackergruppe mit dem Namen "AgainstTheWest" einen Eintrag in einem Hacking-Forum. Dort behaupteten sie, sowohl bei TikTok als auch bei WeChat eingebrochen zu sein. Es wurden Screenshots einer angeblichen Datenbank von Bytedance geteilt, die angeblich in einer Alibaba-Cloud-Instanz abgegriffen wurde. Die Datenbank enthielt Daten über TikTok- und WeChat-Nutzer. TikTok dementiert dies aber gegenüber Bleeping Computer.

Sicherheitsforscher Bob Diachenko schreibt in obigem Tweet, dass die Repros echte Daten enthalten. Die Daten stammen wahrscheinlich eher von Hangzhou Julun Network Technology Co., Ltd als von TikTok. Aber das Ganze wirft natürlich Fragen auf.

Mirai Botnet zielt auf D-Link-Geräte

Nachfolgender Tweet von The Hacker News verlinkt auf diesen Artikel und weist darauf hin, dass MooBot, eine neue Variante des Mirai Botnet entdeckt wurde. Diese Variante greift ungepatchte D-Link-Geräte an, um sie in sein Denial-of-Service-Botnetz aufzunehmen.

Und zum Abschluss: Laut diesem Tweet wurde die Datenbank mit allen Bürgern Indonesiens (105 Millionen) von einem Angreifer im Dark-Net eingestellt. IT-Sicherheit ist zur Zeit löchrig, wie ein Schweizer Käse.