Cyber-News: Ransomware-Angriffe und mehr (10. Feb. 2023)

Sicherheit (Pexels, allgemeine Nutzung)Die Woche endet erneut mit der Information, dass einige Organisationen wohl Opfer von Cyberangriffen geworden sind. So darf sich die Frankfurter Wisag den Orden anheften, binnen eines Jahres wegen eines zweiten Cyberangriffs offline gehen zu müssen. Die US-Stadt Oakland ist Opfer eines Ransomware-Angriffs geworden, genau wie die California Medical Group. Wie ist es um die IT-Sicherheit an Unis und Hochschulen bestellt, und was gab es sonst an Cybervorfällen?


Anzeige

Wisag nimmt Server offline

Am 4. Februar 2022 berichtet ich im Blog-Beitrag Cyberangriffe auf Häfen in Deutschland, Belgien und Niederlande, dass die Wisag Opfer eines Cyberangriffs wurde. Die Wisag ist einer der größten deutschen Flughafen- und Gebäudedienstleister. Nun lese ich, dass das Unternehmen erneut seine IT-Systeme wegen eines Cyberangriffs vom Internet trennen musste.

Immerhin scheint das Unternehmen "gelernt" zu haben  – die Stellungnahme, dass "zum aktuellen Zeitpunkt nicht ersichtlich ist, dass Kunden- oder interne Daten abgeflossen sind", kam, nachdem "Unregelmäßigkeiten auf den Servern entdeckt wurden" ziemlich schnell. Details hat die FAZ in diesem Artikel und schreibt, dass seitdem die Internetseite des Unternehmens nicht mehr verfügbar sei, auch per E-Mail seien die Mitarbeiter nicht zu erreichen. Ich habe gerade die Webseite aufgerufen – dort ist im Pressebereich kein Hinweis auf einen Cybervorfall zu finden. Beim Versuch, einzelnen Funktionen abzurufen, kommt aber eine Vorschaltseite, auf dass der Nutzer ein Bild auswerten muss, weil die Seite unter "Beschuss" stehe. Das soll Bots abhalten – sieht nach einem DDoS-Angriff aus.

Oakland ist Ransomware-Opfer

Die Stadt Oakland bestätigte Berichte, wonach ihre Netzwerke von Ransomware betroffen waren, nachdem im Internet Gerüchte aufgetaucht waren, wonach mehrere Behörden am Donnerstag Probleme mit ihren Systemen hatten.

The Record hat diesen Artikel mit weiteren Details veröffentlicht – und bei Bleeping Computer gibt es diesen Artikel zum Vorfall.

Ransomware-Opfer California Medical Group

Mehrere medizinische Gruppen im Heritage Provider Network in Kalifornien sind Opfer eines Ransomware-Angriffs geworden. Betroffenen sind die medizinischen Einrichtungen Regal Medical Group, die Lakeside Medical Organization, die ADOC Medical Group und Greater Covina Medical.

Obigem Tweet zufolge ist es den Cyberkriminellen gelungen, sensible Patientendaten von 3,3 Millionen Patienten zu erbeuten. Das geht wohl aus einer Meldung an die Behörden hervor. Bleeping Computer hat in diesem Artikel mehr Details zusammen getragen.

Reddit Opfer eines Phishing-Angriffs

Die Webseite reddit.com, täglich von Millionen Lesern besucht, wurde Opfer eines erfolgreichen Phishing-Angriffs (siehe diesen Tweet). Ich bin über diesen Artikel auf Spiegel Online daran erinnert worden. Laut der Erklärung von reddit.com wurde man am 5. Februar 2023 auf eine ausgeklügelte Phishing-Kampagne aufmerksam, die auf Reddit-Mitarbeiter abzielte. Der Angreifer verschickte plausibel klingende Aufforderungen, die die Mitarbeiter auf eine Website verwiesen, die das Verhalten unseres Intranet-Gateways nachahmte, um Anmeldedaten und Second-Factor-Tokens zu stehlen.

Ein Mitarbeiter fiel wohl auf den Phishing-Versuch herein – so dass der Angreifer sich Zugang zu einigen internen Dokumenten, Code und einigen internen Geschäftssystemen verschaffen konnte. Es gibt laut reddit.com keine Anzeichen für einen Angriff auf die primären Produktionssysteme oder Nutzerdaten. Der Lapsus des Mitarbeiters wurde schnell intern gemeldet und reddit.com konnte wohl größeren Schaden abwenden.


Anzeige

Kann man natürlich mit modernen Sicherheitstools und KI frühzeitig erkennen, meint die Sicherheitsindustrie. In diesem Zusammenhang bin ich auf einen netten Video-Clip gestoßen (kannte den schon), der das Dilemma der Systeme in einem kleinen Sketch auf den Punkt bringt. Einfach hier klicken, um das Video auf Twitter abzuspielen. DarkReading meint, dass der Vorfall die Grenzen von MFA und die Stärken von Sicherheitsschulungen aufzeige.

Dazu passt auch wunderbar eine Meldung von SonicWall, dass die Web-Inhaltsfilterung ihres Produkte unter Windows 11 22H2 nicht funktioniert. Die Nutzer können auch "gesperrte" URLs abrufen. Die Kollegen von Bleeping Computer haben das in diesem Artikel aufgegriffen.

Lieferantenportal von Toyota gehackt

Ein White Hat Hacker konnte mit einigen simplen Tricks das Lieferantenportal von Toyota übernehmen. Der Zugriff auf das Konto des Systemadministrators erfolgte über eine versehentlich eingeführte Hintertür als Teil einer Benutzer-Impersonation "Act As"-Funktion. Jeder Benutzer konnte sich anmelden, wenn er nur seine E-Mail-Adresse kannte, wodurch die verschiedenen Anmeldeverfahren des Unternehmens vollständig umgangen wurden. Der Hacker erreichte Lese- und Schreibzugriff auf das globale Benutzerverzeichnis mit über 14.000 Benutzern. Die Vorgehensweise ist im Blog des Hackers beschrieben, ein deutschsprachiger Beitrag findet sich hier. (via)

Sicherheitsvorfall bei Albert Ziegler GmbH

Blog-Leser Heiko A. hat mich per Mail darauf hingewiesen, dass die Albert Ziegler GmbH, gehört zum chinesischen CIMC-Konzern und ist ein Aufbauhersteller für Feuerwehrfahrzeuge, Opfer eines Sicherheitsvorfalls geworden sei (danke dafür). Auf der Webseite findet sich folgende Erklärung vom 10. Februar 2023:

ZIEGLER momentan nur eingeschränkt erreichbar

Am Donnerstag, den 09.02. wurde ZIEGLER Opfer eines Cyberangriffs. Der Angriff wurde gegen 08:00 Uhr morgens erkannt.

Daraufhin wurden umgehend alle relevanten Systeme abgeschaltet. Das führt dazu, dass sämtliche Systeme standortübergreifend derzeit offline sind, sodass wir aktuell in unserer Arbeitsfähigkeit sowie Erreichbarkeit per Mail stark eingeschränkt sind. Das Telefonnetz ist nicht betroffen, weshalb wir weiterhin telefonisch erreichbar sind.

Gemeinsam mit externen Beratern und Dienstleistern arbeiten wir mit Hochdruck daran, schnellstmöglich wieder handlungsfähig zu werden und nur geringe Rückstände entstehen zu lassen. Derzeit befinden wir uns allerdings noch in der Evaluierungsphase und können nicht sagen, welche und wie viele Daten genau betroffen sind.

Diese Arbeiten werden wir über das Wochenende fortführen. Bitte haben Sie deshalb Verständnis dafür, dass wir angesichts des aktuellen Kenntnisstandes keine weiteren Aussagen über das Ausmaß und die Auswirkungen der Attacke treffen können.

Das Unternehmen bittet um Verständnis dafür, dass aus Sicherheitsgründen die IT-Systeme noch weitere Tage vom Netzwerk abgeschnitten sein werden und die Mitarbeiter derzeit keine E-Mails empfangen können.

IT-Sicherheit an Unis und Hochschulen

Zahlreiche Sicherheitsvorfälle an deutschen Unis und Hochschulen führten in der Vergangenheit zur Offenlegung von Daten. Wie ist es eigentlich um die IT-Sicherheit dort bestellt?

RiffReporter hat die IT-Sicherheit getestet und das Ganze in diesem Beitrag aufbereitet. Private Daten wie Noten und Atteste sind frei zugänglich, wie die Webseite aufdeckt. Die geplante Recherche bei mehr als 400 deutschen Hochschulen lief nach den ersten 73 Tests völlig aus dem Ruder. Die Leute fanden so viele Lücken und Datenlecks, dass man aufhören musste. Jede fünfte Hochschule wies eine Sicherheitslücke auf. Teilweise waren die Schwachstellen nach den Hinweisen auf die Sicherheitslücken Wochen später noch nicht geschlossen. In anderen Fällen wurde Code von früheren Hacks gefunden – ein Desaster.

Weitere Meldungen

Und hier noch einige Links auf weitere Meldungen zu Sicherheitsvorfällen, die mir die Tage unter die Augen gekommen sind.

  • Sicherheitsforscher haben verschleierten (obfuscated) bösartigen Code in PyPI-Python-Paketen entdeckt. The Hacker News hat die Details in diesem Beitrag veröffentlicht.
  • Sicherheitsforscher der EFF entdeckten kürzlich eine neue Version der Bandook-Malware. Diese benutzte einen Mechanismus zum Herunterladen zusätzlicher DLLs, die auf die noch nicht registrierte Domain unclesow[.]com verweisen. Eset weist in diesem Tweet auf die Entdeckung hin. Die Details sind in diesem Artikel nachlesbar.
  • Die Aktivisten der "Letzte Generation" stellten eine Liste mit persönlichen Daten von Mitgliedern der Gruppen für interne Zwecke online. Die persönlichen Daten waren aber frei abrufbar. Nun interessieren sich Datenschützer für den Fall, wie heise in diesem Artikel berichtet.
  • Cyble Research und Intelligence Labs haben beobachtet, dass Hacker seit Januar 2023 mehrere US-Telekommunikationsunternehmen ins Visier genommen haben. Dabei wurden Daten von mehr als 74 Millionen US-Telekommunikationskunden geleakt, wie man in diesem Blog-Beitrag nachlesen kann.
  • Sicherheitsforscher von Cyble haben zudem im Artikel ESXi Args Ransomware Outbreak Affects Over 1,000 Servers den Angriff der Args Ransomware auf ESXi-Server offen gelegt. Ich hatte im Blog-Beitrag Cyberangriffe auf Server: Das VMware ESXi-Debakel; "Recovery-Script" für ESXiArgs Ransomware-Opfer berichtet. Opfer konnten bisher die Systeme mit einem Script retten. Die Ransomware-Gruppe hat aber nachgelegt und verschlüsselt in einer neuen Version die Systeme so, dass diese nicht restauriert werden können. Details haben die Kollegen von Bleeping Computer in diesem Artikel veröffentlicht.
  • Cyble Research & Intelligence Labs (CRIL) stieß kürzlich auf ein Linux-Sample, das Ransomware-Aktivitäten durchführte. Bei der Analyse des Beispiels wurde festgestellt, dass es sich um eine Linux-Variante von Royal Ransomware handelt, die auf ESXi-Server abzielt. Details lassen sich in diesem Artikel nachlesen.
  • Kürzlich wurde eine Schwachstelle in GoAnywhere öffentlich – ich hatte das im Beitrag Nachlese zu Sicherheitslücken und Patches (6. Feb. 2023) angesprochen. Der Hersteller hat inzwischen ein Software-Update mit einem Fix herausgebracht. Die Clop-Ransomware-Gruppe behauptet, mit GoAnywhere-Zero-Day in 130 Unternehmen eingedrungen zu sein, wie Bleeping Computer hier schreibt.
  • Der in Kalifornien ansässige Hersteller von Netzwerkhardware "A10 Networks" hat sich auf die Herstellung von Software- und Hardware-Application Delivery Controllern (ADC), Identitätsmanagement-Lösungen und Bandbreitenmanagement-Appliances spezialisiert und bietet darüber hinaus Firewall- und DDoS-Bedrohungsanalysen und -abwehrdienste an. Dieser Hersteller hat gegenüber BleepingComputer bestätigt, dass die Play-Ransomware-Gang sich kurzzeitig Zugang zu seiner IT-Infrastruktur verschafft und Daten kompromittiert hat.
  • Die Verbraucherzentralen warnen vor einer Betrugsmasche, bei der Personen sich als Verbraucherschutzanwälte ausgeben und Opfer betrügen wollen. Heise hat hier die Details veröffentlicht.

Immerhin lese ich hier, dass die USA und Großbritannien sieben TrickBot-Mitglieder, allesamt russische Staatsangehörige, sanktionieren. Und der niederländischen Polizei ist es gelungen, die Nachrichten des verschlüsselten Telefonanbieters "Exclu" über Monate hinweg mit zu lesen. Jetzt rollt eine Verhaftungswelle unter Kriminellen.

Und heise berichtete hier, das Angreifer über Nvidia GeForce Experience Daten manipulieren könnten. Aber Nvidia-Nutzer haben noch ein anderes Problem: Die Grafikkarten leiden unter Leistungseinbußen, wenn Discord läuft. Es gibt aber einen Fix.

Wieso fällt mit plötzlich "The mouse policy never sleeps" von Jethro Tull dazu ein? Und das Allerletzte: Rechtsanwalt Michael Seidlitz weist in diesem Tweet darauf hin, dass die Steuer-ID zur allumfassenden Personenkennziffer wird – und damit vermutlich verfassungswidrig ist. Zudem hat Netzpolitik das Interview von EU-Kommissarin Johansson im Spiegel zur von der EU geplanten Chatkontrolle unter die Lupe genommen. Die Dame verbreitet Unwahrheiten am laufenden Band. Immerhin soll 2023 der Gratis Einblick in die Schufa-Daten kommen – habe ich vor Wochen hier gelesen. Allen ein schönes, ruhiges und von Cybervorfällen freies Wochenende.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.