Es ist irgendwie an mir vorbei gegangen – die Woche wurde ein massiver Ransomware-Angriff auf die Caritas München und Oberbayern bekannt. Die Hintermänner schrecken wohl auch nicht mehr vor Angriffen auf caritative Organisationen zurück und schlagen zu, wo sich Schwachstellen für einen Zugriff finden lassen. Ich bin durch eine Mitteilung des Sicherheitsanbieters SentinelOne auf diesen Fall aufmerksam geworden und stelle die Informationen hier im Blog zur Verfügung.
Anzeige
Die Zeit hat die entsprechende DPA-Meldung in diesem Online-Beitrag den "Hackerangriff" zum 14. September 2022 veröffentlicht. Der Cyberangriff per Ransomware auf die IT-Systeme der Caritas erfolgte wohl am vorangegangenen Wochenende. Details zu der Forderung der Kriminellen nannten weder die Polizei noch die Caritas.
Die Münchner Caritas rechnet mit längerfristigen Einschränkungen bei der EDV, da der Ransomware-Angriff wohl umfangreicher war. Aktuell ist die E-Mail-Kommunikation wohl noch eingestellt und die Caritas greift auf FAX-Geräte zur Kommunikation zurück. Laut DPA sind beim katholischen Sozialverband 350 Dienste und Einrichtungen mit etwa 10.000 Mitarbeitern von dem Angriff betroffen. Caritas Sprecherin Bettina Bäumlisberger wird so zitiert, dass in den Pflegeheimen oder Kindergärten ohnehin vieles noch analog laufe und deswegen die Computerprobleme nicht so gravierend seien. Glück im Unglück?
SentinelOne bestätigt, dass mehrere Server und Rechner der Organisation mit rund 10 000 Beschäftigten von diesem Vorfall betroffen sind. Der Vorstandsvorsitzende Herrmann Sollfrank räumte ein, "dass es konkrete Hinweise gebe, dass es den Cyberkriminellen gelungen sei trotz aller Schutzvorkehrungen Daten aus den Systemen abzugreifen". Welche Daten bei dem Angriff genau gestohlen wurden und wie sicherheitskritisch diese sind, ist allerdings noch unklar. Zeitnah nach Bekanntwerden der Attacke seien die Server der Caritas "eingefroren" (wohl heruntergefahren) worden, damit keine weiteren Daten exfiltriert werden.
Keine Rücksicht auf Verluste bei Ransomware-Attacken
SentinelOne schreibt dazu, dass kriminelle Ransomware-Banden wieder einmal mehr als nur eine digitale Infrastruktur und Unternehmensdaten angegriffen hätten. Die Cyberkriminellen hätten eine Lebensweise angegriffen, ein Wertesystem, das dazu aufruft, Mitbürgern zu helfen, die dringend auf soziale Unterstützung angewiesen sind. Die Bedrohungsakteure hätten in diesem Fall ihre Gleichgültigkeit gegenüber der Art der Organisationen, die sie angreifen, eindrücklich unter Beweis gestellt. Die einzige Voraussetzung für einen Angriff stellt die Anfälligkeit eines Systems dar.
Anzeige
Jeder größere Ransomware-Angriff zielt darauf ab, die Fähigkeit zur Kommunikation und Zusammenarbeit zu beeinträchtigen. Die akuten Auswirkungen eines Angriffs beschäftigen eine Organisation vielleicht nur ein oder zwei Wochen, aber der tatsächliche Schaden wirkt Monate, wenn nicht Jahre lang nach, so die Sicherheitsspezialisten von SentinellOne.
Verlorene Einnahmen, beschädigtes Image und entgangene Chancen seien schwerer zu ersetzen als ein System zu patchen oder die Cyberabwehr auf moderne und automatisierte Ansätze umzustellen. Veraltete Software und Systeme können auch die Grundfeste einer großen Institution schädigen. Deshalb sollte bei allen Organisationen ein klarer Fokus auf den Ausbau der Cybersicherheit gesetzt werden. Die große Herausforderung dabei ist die Priorisierung der begrenzten Ressourcen unter Beachtung oft konkurrierender Ziele und Ansprüche innerhalb einer Organisation. Fortschrittliche Ransomware-Gruppen machen sich hierbei den Umstand zunutze, dass der Cybersicherheit nicht immer die notwendige Priorität eingeräumt wird.
Ähnliche Artikel:
Cyberangriff auf Rotes Kreuz, Daten von 515.000 gefährdeten Personen gestohlen
Cyberangriff auf Rotes Kreuz über Zoho-Schwachstelle, wahrscheinlich durch staatliche Akteure
Cyberangriff auf Rotes Kreuz war gezielt
Rotes Kreuz übermittelt Daten von Blutspendern an Facebook
Datenpanne bei BRK-Blutspendedienst in Bayern in 2020 bestätigt
Klinikum Wolfenbüttel Opfer eines Ransomware-Angriffs (Juli 2021)
Klinikum Fürth wegen Trojaner offline
Ransomware-Befall in DRK-Einrichtungen: Einfallstor bekannt
Ransomware legt DRK-Krankenhäuser in Rheinland-Pfalz/Saarland lahm
Ransomware-Befall in Uniklinik Düsseldorf nicht für Todesfall verantwortlich
Anzeige
Wenn man das sieht ist merkt man doch, dass eben nicht alles digitalisiert werden muss nach dem dem Motto "digital first, security second". Auch das Microsoft-Ökosystem hat sicher auch Einiges zur Angreifbarkeit beigetragen. Denn wenn Patches eher mehr Probleme erzeugen als Sicherheitslücken zu schließen läuft etwas schief. Da werden halt leider auch Patchinstallationen herausgezögert bis sicher ist, dass man danach auch z.B. noch drucken kann.
Der Großteil der Ransomwareangriffe hat ja bis jetzt Windows, Office und Exchange getroffen.
Ohne Digitalisierung geht es (auch) hier nicht. Aktuell sind keine Details bekannt, wie die Ransomware bei Caritas reinkam. Wir können nur annehmen, dass mangelnde Sicherheitsschulung Auslöser ist.
"die Caritas greift auf FAX-Geräte zur Kommunikation zurück"- gut, dass es noch das gute, alte Fax gibt. ;-)
Am 10.9. ist es aufgefallen.
Betroffen sind München und Freising.
Reparatur soll 4 Wochen dauern.
100 Server befallen.
www[.]tz[.]de/muenchen/stadt/muenchen-freising-caritas-cyber-angriff-loesegeld-daten-chaos-mkr-91787819.html
Der Hinweis auf die Medikamente ist auch interessant.
Man stelle sich mal vor, diese Daten wären nicht verschlüsselt worden, sondern der Hacker hätte gezielt falsche Medikamente oder falsche Dosierungen eingetragen. So könnte man verdeckte Morde begehen.
War der "Überwachter Ordnerzugriff" gegen Ransomware in Windows nicht aktiviert?
Sind emails mit HTML-Ansicht, Nachladen, Anhängen erlaubt?
Werden bei Anhängen auch enthaltene Scripte ausgeführt?
Wenn jemand Zugriff auf 100 Server hat, dann wird doch wohl irgendwo protokolliert, von wo aus der Zugriff erfolgt und anonyme Zugriffe via TOR sollten generell abgelehnt werden.
Warum sind Änderungen an Servern von nur einer einzigen Person und ohne Smartcard möglich?
4-Augen-Prinzip?
Systemrelevante Änderungen digital signieren?
Warum dauert die Reparatur 4 Wochen?
Haben die keine offline Backups?
Wie wäre es mit Linux und Elf-Signaturchecks, damit unbekannte Programme nicht ausgeführt werden können oder unter Windows Applocker, SRP?
Wie wäre es mit Trennung der Programme mit Firejail oder VMs, damit es Angreifer etwas schwerer haben?
Wie wäre es mit einem gehärteten openSUSE als Alternative zu Windows?
Warum gibt es nicht endlich mal ein sicheres Standardbetriebssystem von der EU oder zumindest von Deutschland?
nur ein paar verzeinzelte Anmerkungen, ohne auf alle Punkte einzugehen…da gäb's aber noch mehr.
TOR zu blockieren ist relativ schwierig, etliche Server kommen und gehen, die Blocklisten funktionieren eher bei den "Stammservern", aber nicht die kleinen privaten, die Mal eben hochgezogen werden und dann wieder verschwinden.
Offline Backups schützen dich nur bedingt, wie sehr vertraust du deinen Backups und woher weißt du dass die nicht auch schon infiziert sind? Wenn du deinen Backups nicht trauen kannst…und das ist sehr aufwändig, ist oft besser die Infrastruktur gleich neu aufzubauen.
"Sind emails mit HTML-Ansicht, Nachladen, Anhängen erlaubt?
Werden bei Anhängen auch enthaltene Scripte ausgeführt?"
Zumindest weiß ich, dass das RK gerne HTML-Mails verschickt. Skripte, um eine Mail "dynamischer" zu gestalten, sind mir nicht aufgefallen. Alle Mails zwar bunt als still.
"Wie wäre es mit einem gehärteten openSUSE als Alternative zu Windows?"
Auf Serverebene sicher machbar. Danach dürfte Schluss sein. In einer geschlossenen Umgebung kann sicher auch mit LO gearbeitet werden. Bestimmt würden dann viele Mitarbeiter etliche kleine Hilfen (durch Darstellungen, …) vermissen, die sie von Word her kennen.
Kriminelle verschonen auch die Caritas nicht. Man könnte die Gleichgültigkeit gegenüber einer Hilfsorganisation kaum unverhohlener zum Ausdruck bringen.
Es zählen tatsächlich nur Schwachstellen etwas. Die Menschen dahinter sind den Angreifern völlig egal. Es ist trostlos.
Warum sollten die Angreifer mehr Interesse am Wohlergehen solcher Orgas haben, als die jeweiligen Vorstände, die sich primär die Taschen vollmachen?
Verabschieden Sie sich doch bitte von der naiven Vorstellung, (solche) NGOs wären 'die Guten'. Das mag auf viele (meist unbezahlte) "Volunteers" zutreffen, aber nicht auf die Orgas an sich und die Hauptamtlichen.
Moin zusammen,
ein befreundeter Admin arbeitet in einem Caritas zugehörigen Unternehmen, hier mal ein paar Infos, welche auf viele weitere Unternehmen in diesem Umfeld zutreffen:
1. Massive personelle Unterbesetzung ( 1 Admin auf 200-300 Mitarbeiter und 15-25 Standorte)
2. kaum finazielle Mittel (kein MDM, sehr alte Technik 10 Jahre+, schlechte Backupstruktur, teilweise noch sehr alte Windows Server/Clients im Einsatz )
3. Mitarbeiter mit schlechten bis nicht exisitenten IT Kenntnissen, Hauptsache billig in den Lohnkosten, keine Schulungen der MA
4. Vorgaben aus der Chefetage mit "IT Wissen", welches auf dem Stand von 2000 oder früher ist
Laut seiner Aussage wird nur der IST Zustand verwaltet, und selbst dies nur auf dem untertesten Level. Es ist nur eine Frage wann es knallt, nicht ob.
Ich fürchte das ist nicht nur bei der Caritas so. Auch viele Unternehmen werden wohl nach der Methode "läuft doch" im IT-Bereich geführt. Investitionen werden nur getätigt wenn etwas defekt ist. Irgendwo laufen sicher noch Windows 2000 Server.
Gibt es eigentlich zu diesem Vorfall eine Erkenntnis wie die „Angreifer" in die Systeme gekommen sind? Was sind denn die „Lessens learned"?