Schwedisches Rechenzentrum des finnischen Cloud-Anbieter Tietoevry per Akira-Ransomware lahm gelegt

Kleiner Nachtrag vom Wochenende in Sachen "geht in die Cloud, dann haben wir es mit Angriffen leichter und können auf breiter Basis Firmen erden". Der Hoster und Cloud-Anbieter Tietoevry aus Finnland ist am Samstag Opfer einer Ransomware-Infektion geworden, bei der Kundensysteme verschlüsselt wurden. Das hat Auswirkungen bis nach Schweden, wo verschiedene Firmen nicht mehr arbeitsfähig sind, weil die Cloud-Dienste nicht mehr verfügbar sind. Die Akira-Ransomware-Gruppe scheint hinter dem Angriff zu stehen.

Wenn ein IT-Dienstleistungs- oder Cloud-Anbieter per Cyberangriff lahm gelegt wird, trifft das viele Kunden. Der Angriff auf die Südwestfalen IT (siehe Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen) oder geiger BDT (siehe Convotis: ASP-Probleme mit GeigerCloud/GeigerASP; DATEV-Steuerberater betroffen) sowie GvW Graf von Westphalen (siehe GvW Graf von Westphalen Opfer eines Cyberangriffs geworden (Dez. 2023)) in 2023 zeigen, welche Wellen solche Angriffe auf die IT-Infrastruktur von Kunden werfen.

Ransomware-Angriff auf Tietoevry

Tietoevry ist ein 1999 gegründetes IT-Dienstleistungsunternehmen mit Aktivitäten in IT- und Product Engineering Services. Mit fast 24.000 Mitarbeitern in nahezu 90 Ländern ist Tietoevry einer der größten IT-Serviceprovider in Europa. Beheimated ist tietoevry ist in Helsinki, Finnland. Der Umsatz wurde 2015 mit 1,523 Milliarden Euro angegeben. Aktuell heißt es, dass der Umsatz für 2023 3,1 Milliarden US-Dollar beträgt.

Angriff am 19. Januar 2024

In einer Meldung vom 20. Januar 2024 hieß es, dass eines der Rechenzentren von Tietoevry in Schweden teilweise von einem Ransomware-Angriff betroffen sei. Der Vorfall beeinträchtigt die Dienstleistungen für einige Kunden von Tietoevry in Schweden. Das Unternehmen habe aber sofort Maßnahmen ergriffen, um die Situation zu untersuchen, zu entschärfen und zu beheben.

Mehr Details am 21. Januar 2024

In einem Update vom 21. Januar 2024 heißt es, dass ein Rechenzentren von Tietoevry in Schweden in der Nacht vom 19. auf den 20. Januar 2024 durch einen Ransomware-Angriff getroffen wurde. Es heißt zwar immer, dass nur Teile des Rechenzentrums betroffen sein. Tietoevry hat die betroffene Plattform sofort isoliert, und der Ransomware-Angriff hat sich nicht auf andere Teile der Infrastruktur des Unternehmens ausgewirkt, gibt der Hersteller an.

Der Vorfall beeinträchtigt aber Kunden in Schweden, die Cloud-Leistungen in diesem Rechenzentrum in den betroffenen Bereichen gebucht haben. Tietoevry  schreibt zwar, dass die Wiederherstellung insgesamt fortgeschritten ist, aber die Dienste für die betroffenen Kunden weiterhin beeinträchtigt sind.

Tietoevry habe die höchsten Maßnahmen ergriffen, um die Situation zu untersuchen, zu entschärfen und zu beheben. Ein großes Expertenteam arbeitet rund um die Uhr an mehreren Stellen parallel daran. Die direkt betroffenen Kunden wurden über den Vorfall benachrichtigt.

Akira-Ransomware-Gang verantwortlich

Die Kollegen von Bleeping Computer haben den Vorfall bereits am Sonntag aufbereitet. Ich bin gestern über nachfolgenden Tweet auf das Thema gestoßen  – die Details wurden in diesem Beitrag aufbereitet.

Verantwortlich für den Angriff ist laut Bleeping Computer die Ransomware-Gruppe Akira. Laut Bleeping Computer ist dieses Rechenzentrum für den Enterprise-Managed-Cloud-Hosting-Service des Unternehmens zuständig. Demnach sind alle Kunden, die dort solche Cloud-Hosting-Dienst genutzt haben betroffen. In der Pressemitteilung des finnischen Unternehmens findet sich aber nichts dazu.

Laut Bleeping Computer wurden die Virtualisierungs- und Verwaltungsserver des Unternehmens, die zum Hosten der Websites oder Anwendungen für eine Vielzahl von Unternehmen in Schweden verwendet werden, durch den Ransomware-Angriff verschlüsselt. Betroffen war beispielsweise die  Website von Filmstaden, Schwedens größte Kinokette.

Bleeping Computer hat die Fleißaufgabe übernommen, die Liste der weiteren Betroffenen zu füllen. Vom Angriff betroffen waren, auch der Discounter Rusta, der Anbieter von Baustoffen Moelven und der landwirtschaftliche Zulieferer Grangnården. Letzter war gezwungen, seine Geschäfte zu schließen, schreiben die Kollegen.

Der Anbieter Tietoevry verwaltet auch das Gehaltsabrechnungs- und HR-System Primula, welches der Regierung, Universitäten und Hochschulen in Schweden verwendet wird. Zu den betroffenen Universitäten und Hochschulen des Landes gehören laut Bleeping Computer das Karolinska Institutet, die SLU, die Universität West, die Universität Stockholm, die Lunds Universitet und die Universität Malmö.

Weiterhin trifft der Ausfall von Primula zahlreiche Regierungsbehörden und Gemeinden in Schweden. Genannt werden das Statens servicecenter, die Gemeinde Vellinge, die Gemeinde Bjuv und der Kreis Uppsala. Für Uppsala sei der Ausfall von größerer Bedeutung, da er sich auch auf das System zur Erfassung von Gesundheitsdaten in der Region auswirkt.

Erinnert an Südwestfalen IT

Erinnerte mich sofort stark an den Ransomware-Angriff auf die Südwestfalen IT, die über Hundert Kommunen betraf, weil die IT nicht mehr verfügbar war. Hab dann im Blog nach Akira gesucht, da diese Ransomware-Gruppe erst seit 2023 aktiv ist. Prompt wurde ich im Blog im Beitrag Südwestfalen IT: Wiederanlauf nach Cyberangriff dauert länger; Betreiber werden Versäumnisse vorgeworfen fündig, da Akira für den Angriff auf den kommunalen IT-Dienstleister als verantwortlich bezeichnet wurde.

Ein Gutes hat dieser Vorfall: Bei Beobachtern in Deutschland stellt sich bei solchen Vorfällen oft das Gefühl ein "die in kommunaler Nähe angesiedelten Dienstleister können es nicht" (ging mir auch so). Und es gibt oft den Spruch, wenn ich über Cybervorfälle und Probleme in Deutschland berichtet, "komisch, in anderen Ländern funktioniert das doch auch" – wobei Skandinavien und die baltischen Staaten als leuchtende Vorbilder genannt werden. Nun haben wir die Probe aufs Exempel, dass die genau so von Ransomware-Angriffen (Akira) betroffen sind.

Und wenn wir einen Schuss ins Blaue tätigen, im Blog-Beitrag Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024) hatte ich über die "dreckigen Drei" (Citrix, Fortinet und Ivanti) berichtet, deren Produkte immer für Remote Code Execution (RCE) Angriffe gut sind. Und da fällt mir das Stichwort Ivanti ein – hatte ich doch heute den Beitrag Tausende Geräte per Ivanti VPN-Schwachstellen angegriffen – mind. 19 in Deutschland im Blog, der auf Angriffe über Ivanti VPN hinweist. Für Schweden werden mir vier betroffene Instanzen ausgewiesen – ist aber nur Spekulation, dass das der Einfallsvektor gewesen sein könnte.

Die Kollegen von Bleeping Computer zitieren dagegen eine Warnung des finnischen National Cyber Security Center (NCSC), die zwölf Cyberangriffe von Akira auf finnische Organisationen in 2023 auflistet. Dort werden schwach gesicherte (oder ungepatchte) Cisco-VPN-Implementierungen als Einfallstore genannt.

Ähnliche Artikel:
Cyberangriff auf Südwestfalen IT (SIT): Chaos bei betroffenen Kommunen
Südwestfalen IT (SIT) will bald erste Fachverfahren nach Angriff wieder freischalten
Convotis (Geiger BDT) bestätigt Cyberangriff, Infrastruktur über Citrix Netscaler ADC kompromittiert?
Convotis: ASP-Probleme mit GeigerCloud/GeigerASP; DATEV-Steuerberater betroffen
Neues vom Cybervorfall bei Convotis (GeigerCloud/GeigerASP), Desaster für Steuerberater?
GvW Graf von Westphalen Opfer eines Cyberangriffs geworden (Dez. 2023)