Sicherheits-News: BIG-Krankenkasse, Hülben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023)

Sicherheit (Pexels, allgemeine Nutzung)Die BIG-Innungskrankenkasse in Dortmund wurde Ende März 2023 Opfer eines "Cyberangriffs". Nun hat die Black Basta Ransomware-Gruppe öffentlich gemacht, dass BIG ihr Opfer war. Die Gemeinde Hülben (Region Neckar-Alb) ist ebenfalls Opfer eines Cyberangriffs. Und der Rhein-Pfalz-Kreis (Ludwigshafen) ist auch acht Monate nach einem Cyberangriff nicht voll arbeitsfähig. VMware bestätigt, dass eine Schwachstelle in freier Wildbahn ausgenutzt wird. Beim MOVEit Transfer-Desaster greift Progress-Software einen Sicherheitsforscher an, der die Sicherheitslücke öffentlich gemacht hat. Und es gibt inzwischen eine US-Sammelklage gegen Progress wegen der Schwachstelle. Nachfolgend eine Zusammenfassung von Cyber-Nachrichten der letzten Stunden.


Anzeige

BIG-Krankenkasse Opfer von Black Basta

Am 28. März 2023 wurde die BIG Innungskrankenkasse in Dortmund Opfer eines Cyberangriffs. Ich hatte am 31. März 2023 berichtet, nachdem es Tagelang hieß, es läge eine technische Störung vor (siehe BIG-Krankenkasse wurde am 28. März 2023 Opfer eines Cyberangriffes). Seinerzeit wurde versichert, dass man alles tue, um die Dienste wiederherzustellen und man in einer "ersten Analyse keinen Datenabfluss erkennen konnte".

Am 26. April 2023 wurde die Krankenkasse von ihrem IT-Dienstleister Bitmark darüber informiert, dass dieser gehackt worden sei. Der Bitmark-Hack hatte ja einige Kreise gezogen – warum fasst einen Monat verging, bis die BIG-Krankenkasse mit der Information herausrückt, dass die Bitmark als IT-Dienstleister verwenden, entzieht sich meiner Kenntnis.

Black Basta Angriff auf BIG-Krankenkasse

Zum 21. Juni 2023 liegt mir über Twitter der Hinweis vor, dass die Black Basta Ransomware-Gruppe die BIG Innungskrankenkasse als Opfer führt, von dem man wohl Daten abgezogen hat (ich habe die Informationen in obigem Beitrag nachgetragen) – so viel zu "keinen Datenabfluss erkannt". Welche Daten abgezogen wurden, entzieht sich aber meiner Kenntnis.

Cyberangriff auf Gemeinde Hülben

Hülben ist eine Gemeinde etwa 14 km östlich von Reutlingen in Baden-Württemberg. Sie gehört zur Region Neckar-Alb und zur Randzone der europäischen Metropolregion Stuttgart. Auf den Seiten der Gemeinde findet sich noch nichts, aber gemäß nachfolgendem Tweet ist die IT der Verwaltung wegen eines Cyberangriffs heruntergefahren.

Cyberangriff auf Gemeinde Hülben

In der Südwest Presse beschreibt dieser Artikel, dass es Mittwoch, den 14. Juni 2023, erstmals zu technischen Problemen kam. Hinzugezogene IT-Experten dürften wohl einen Cyberangriff auf die IT-Systeme festgestellt haben. Jedenfalls sind die IT-Systeme der Verwaltung heruntergefahren, weder die Computer noch die Telefonanlage der Verwaltung können seither genutzt werden.

Folgen des Cyberangriffs auf Rhein-Pfalz-Kreis

Im Oktober 2022 hatte ich im Beitrag Cyberangriffe: Kreisverwaltung des Rhein-Pfalz-Kreises; 75 Schulen in Oberbayern; DPA berichtet, dass die Kreisverwaltung des Rhein-Pfalz-Kreises wegen eines mutmaßlichen Hackerangriffs zur Zeit nicht erreichbar sei. Telefone und Computer wurden im Ludwigshafener Kreishaus durch eine Verschlüsselung per Ransomware lahmgelegt.


Anzeige

Im Beitrag Vice Society veröffentlicht Daten des Rheinland-Pfalz-Kreises hatte ich dann berichtet, dass die Ransomware-Gruppe Vice Society erbeutete Daten des Kreises öffentlich gemacht hat. Auch drei Monate nach diesem Vorfall befand sich die IT der Verwaltung noch im Krisenmodus, wie ich im Blog-Beitrag Das IT-Desaster 2023 in deutschen Behörden an 3 Fällen gespiegelt berichtete.

Sicherheits-Experte Jens Lange weist in obigem Tweet darauf hin, dass die Verwaltung acht Monate nach diesem Angriff immer noch nicht ans Netz des Landes angeschlossen sei. Zudem sind viele Fachanwendungen noch immer nicht installiert. Ein Desaster – der Kreis hat jetzt eine Vereinbarung mit dem BSI abgeschlossen, um die IT-Grundschutz Basis-Absicherung in der Kommunalverwaltung umzusetzen. Ich hatte im Beitrag BSI veröffentlicht neue Version des IT-Grundschutz-Kompendiums auf die betreffenden BSI-Dokumente hingewiesen.

Neues zu MOVEit Progress-Desaster

Noch zwei Fundsplitter zum Desaster um die MOVEit Managed File Transfer (MFT)-Software von Progress Software. MOVEit ist häufig in Firmen im Einsatz, um Dateien zwischen Kunden oder Geschäftspartnern per Internet auszutauschen. Die Software fällt seit Jahren durch (SQL-Injection) Schwachstellen auf – und Sicherheitsforscher halten den Einsatz dieser Lösung für "fahrlässig". Ende Mai 2023 wurde die MOVEit-Schwachstelle CVE-2023-34362 bekannt (siehe Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle), wobei sich herausstellte, dass diese Sicherheitslücke gezielt durch die Lace Tempest/Clop-Ransomware-Gang (mutmaßlich bereits seit 2021) ausgenutzt wurde (siehe Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362).

Progress Software attackiert Sicherheitsforscher

Inzwischen sind in kurzer Folge drei Schwachstellen in MOVEit Transfer gepatcht worden und eine Reihe Firmen sind Opfer dieser Schwachstelle (siehe auch Links am Artikelende). Sicherheitsanalyst Brett Calow weist in obigem Tweet auf eine besondere Volte hin. Ein Sicherheitsforscher hatte in einem Tweet auf eine neue (bisher unbekannte) Sicherheitslücke in MOVEit hingewiesen, ohne sich an den Prozess der verantwortungsvollen Offenlegung zu halten. Die Sicherheitslücke (CVE-2023-35708) betrifft sowohl MOVEit Cloud als auch MOVEit Transfer. Progress Software wirft dem Sicherheitsforscher nun vor, dass diese Veröffentlichung "unsere Kunden einem erhöhten Risiko aussetzt". Man habe keine Chance gehabt, einen Patch zu entwickeln, sondern der Anbieter musste seine MOVEit Cloud-Plattform deaktivieren.

Ist doof gelaufen, aber mal zum Mitschreiben: Das Statement kam, nachdem frühere MOVEit-Schwachstellen Monate lang durch Angreifer ausgenutzt wurden, um Daten bei zahlreichen Behörden und Unternehmen abzuziehen. Man sollte davon ausgehen, dass alle MOVEit-Produkte im Fokus von Angreifern waren, die Sicherheitslücken suchen. CRN hat mehr Details zum Vorfall in diesem Artikel beschrieben. Letztendlich kann man die Software – zumindest in meinen Augen – im Firmenumfeld nur noch verbannen – der Einsatz ist auf Grund obiger Entwicklung grob fahrlässig.

In den USA beginnt derweil die juristische Aufarbeitung des Desasters. Brett Callow weist in obigem Tweet auf einen Beitrag von Bloomberg Law hin. Dort wird (leider hinter einer Paywall) berichtet, dass in den USA jetzt eine Sammelklage gegen den Hersteller Progress Software Inc. auf den Weg gebracht wurde. Der Vorwurf in der Klage: Progress Software Corp. hat im Zusammenhang mit einer Datenpanne beim Cloud-Hosting- und Dateitransferdienst MOVEit, den das Unternehmen Behörden und Privatunternehmen anbietet, seine Pflicht zum Schutz sensibler Daten verletzt. Über öffentlich gewordene Schwachstellen haben Cyberkriminelle ja Daten von Dutzenden von Organisationen und Regierungsbehörden in den USA und Europa abgezogen. Zu den Opfern gehören unter anderem Shell PLC und British Airways, aber auch Banken, Fertigungsunternehmen und Universitäten.

Datenleck nach Hack der Universität Manchester

Die britische Universität Manchester ist von einem Hack betroffen, bei dem wohl große Datenmengen abgezogen werden konnten. Ich hatte im Blog-Beitrag Hackerangriffe: Hochschule Kaiserslautern; University of Manchester (9. Juni 2023) über diesen Vorfall berichtet. Die Universität Manchester warnte damals noch in einer Meldung ihre Mitarbeiter und Studenten, dass sie Opfer eines Cyberangriffs geworden ist, bei dem wahrscheinlich Daten aus dem Netzwerk der Universität gestohlen wurden.

Nun dreht sich das Ganze eine Runde weiter, wie Bleeping Computer in diesem Artikel berichtet. Die Angreifer behaupten, 7 Gigabyte Daten von den Servern der Universität abgezogen zu haben. Dazu wurde von den Hackern eine E-Mail, die Bleeping Computer vorliegt, an Studenten der Universität zugeschickt. Dort heißt es:

Wir möchten alle Studenten, Dozenten, Verwaltungsangestellten und Mitarbeiter darüber informieren, dass wir am 6. Juni 2023 erfolgreich das Netzwerk manchester.ac.uk gehackt haben. Wir haben 7 TB an Daten gestohlen, darunter vertrauliche persönliche Informationen von Studenten und Mitarbeitern, Forschungsdaten, medizinische Daten, Polizeiberichte, Ergebnisse von Drogentests, Datenbanken, HR-Dokumente, Finanzdokumente und vieles mehr. und mehr.

Mit diesen Mails soll wohl Druck aufgebaut werden, dass die Universität Lösegeld zahlt. Egal wie der Fall ausgeht, für die Betroffenen wird es "ekelig" – und für die Universität ist es der GAU – in Großbritannien werden ja nennenswerte Studiengebühren an deren Hochschulen fällig.

Personaldienstleister TREMONIA

Tremonia ist ein Personaldienstleister in Deutschland, der Arbeitskräfte vermittelt.  Diesem Tweet zufolge ist der Anbieter Opfer eines Ransomware-Angriffs durch Black Basta geworden (die Gruppe hat den Namen öffentlich gemacht). Auf den Webseiten des Unternehmens habe ich noch nichts dazu gefunden.

VMware warnt vor vRealize-Schwachstelle

Und abschließend noch eine kurze Information. VMware hat ein älteres Security Advisory dergestalt aktualisiert, dass die Schwachstelle CVE-2023-2088 in freier Wildbahn ausgenutzt wird. Die Kollegen von Bleeping Computer haben Details in diesem Beitrag aufbereitet.

Ähnliche Artikel:
Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle
Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?
Das MOVEit-Desaster: Proof of Concept; Clop-Gang veröffentlicht Opferdaten
Cyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorfälle (19. Juni 2023)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Sicherheits-News: BIG-Krankenkasse, Hülben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023)

  1. Manuela Berger sagt:

    Zitat:
    …und man in einer "ersten Analyse keinen Datenabfluss erkennen konnte".
    Zitat Ende

    Guten Morgen

    Es ist immer wieder die gleiche Leier…
    Zunächst lügen die betroffenen Stellen, dann, wenn es herauskommt, wird sich entschuldigt oder gleich als "Einzelfall" dargestellt.
    Solche Vorfälle sind eine einzigste Katastrophe! Aber Hauptsache, digitalisieren bis zum geht nicht mehr….

    Unfassbar, wie kriminell fahrlässig mit dem Thema Digitalisierung umgegangen wird in Deutschland…

    • Ralph D. Kärner sagt:

      Du schaust an die falsche Stelle. Es ist unfassbar, wie kriminell fahrlässig viele "IT-Fachleute" ganz offensichtlich ihre Arbeit machen. Server, Programme, Betriebssysteme von IoT Geräten…. alles auf einem gefährlich veralteten Stand. Dazu eine Desaster Recovery Strategie, die ein Recovery zum Desaster macht. Logfiles und Ereignisprotokolle werden maximal dann gelesen, wenn eine Maschine ein auffälliges Verhalten zeigt. Dann ist es aber meistens schon zu spät. Schuld sind dann aber immer die anderen, niemals die Verantwortlichen.

      • Manuela Berger sagt:

        Hallo Ralph

        Ja, das mit Sicherheit auch.
        Es ist bei mir ein ganz ungutes Gefühl. Ich begreife nicht, wie sowohl die "IT-Fachkräfte" als auch die von mir angesprochenen Personengruppen derat so manche Realität auszugrenzen scheinen…

      • R.S. sagt:

        Wenn es nur das wäre.
        Hinzu kommt, das meist mit den Defaulteinstellungen der Protokollierung gearbeitet wird.
        Das reicht evtl. für Privatrechner, aber bei Servern muß man weitere Protokollstufen aktivieren, damit diverse Objektzugriffe etc. überhaupt protokolliert werden.

  2. Daniel sagt:

    Wie war das noch gleich in der Meldung über Herrn Lauterbachs Pläne zu Patientendaten und EPA "supersichere Verschlüsselung" ja klar nur halt blöd wenn es auf den eigenen System Sicherheitslücken groß wie Scheunentore gibt.

    Wie oft muss sowas eigentlich in genau der selben Art und Weise bevor mal einer wach wird? Ich frag besser nicht mit welchen Betriebssystemen und Anwendungssoftwaren da gearbeitet wird, vermutlich irgend was aus Redmond mit Cloud.

    • Manuela Berger sagt:

      Guten Tag Daniel

      Ja, so siehts mutmaßlich aus…danke für deine Meinung, die ich teile.

      Nur, braucht man mittlerweile gar nicht mehr Redmond zu "strapazieren", was der EU vorschwebt ist grenzenlos dämlich und gefährlich, für jeden einzelnen Bundesbürger-….
      In einem anderen Artikel habe ich heute gestöbert und mir wurde wieder einmal ganz schlecht:

      Wenn ich lese, wie hinterhältig und raffiniert und werbeaktiv dies von den Akteuren beschrieben wird, dann wird mir ganz schlecht.

      Beispiel:

      Zitat:
      Die Grundlage für die digitale Bereitstellung von Daten und deren Austausch bildet die elektronische Gesundheitsakte (eGA). Mit ihr haben Patienten erstmals die Möglichkeit, selbst umfassend über ihre medizinischen Daten zu verfügen…..
      Zitat Ende

      Anstatt es so zu beschreiben, wie es in Wahrheit ist ( Meine Meinung):

      "…Die Grundlage für die digitale Bereitstellung von Daten und deren Austausch bildet die elektronische Gesundheitsakte (eGA). Mit ihr haben Pharmakonzerne, Staaten und wirtschafliche Alkteure erstmals die Möglichkeit, sich umfassend über die medizinischen Daten von Bürgern zu verfügen."

      Meine Meinung Ende.

      Es wird immer und generell, eine Sache so ausgedrückt, dass die Bürger es nicht merken sollen, was wirklich vorsichgeht.
      Man dreht einfach ganz raffiniert die Worte so, dass nur die angeblichen und mutmaßlichen Vorteile für den Bürger dargestellt werden. Was ein böses, rhetorisches Spiel, von jenen Akteuren.

      Aber superfrech und bürgerverdummend, sind Aussagen wie:
      Zitat:
      Doch Patientendaten sind sensibel, es droht die Gefahr des Missbrauchs. Deswegen sind die Anforderungen an den Datenschutz bei Cloud-Computing hoch. Krankenversicherungen sind verpflichtet, strenge Richtlinien in Bezug auf die Informationssicherheit einzuhalten. Das kann nur durch eine offene, skalierbare und sichere Technologie gelingen.
      Zitat Ende

      Es gibt diese -sichere Technologie- NICHT! Es wird sie auch nie geben. Es wird immer kriminelle Kräfte geben, die ebenso , wenn nicht sogar besser geschult und gebildet sind in Digitalkriminalität, als die vermeintlich "guten" Akteure.

      Ach, es ist eine schreckliche Zeit, voller Lügen, Täuschungen….
      Meine Daten gehören MIR!

      • Daniel sagt:

        Du hast vollkommen Recht. Die Möglichkeit haben Patienten doch jetzt schon wenn sie es möchten. Der Hausarzt oder Facharzt kann Befunde auch für sie ausdrucken.

    • Patrick sagt:

      Fefe schreibt gestern in seinem Blog: "Lauterbach hat eine geniale Idee!" (https://blog.fefe.de/?ts=9a6f039b)
      Da kann man doch nur hinzufügen: Ihre Daten sind sicher!

  3. Hans sagt:

    "BIG Innungskrankenkasse: Welche Daten abgezogen wurden, entzieht sich aber meiner Kenntnis."
    In der Leak-Vorschau von Black Basta befinden sich die üblichen Dokumente einer Krankenkasse: Krankmeldungen, Fallkostenrechnungen, Pflegebescheinigungen,…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.