Der kommunale IT-Sicherheitsdienstleister Südwestfalen-IT hat weitere Details zu dem Hackerangriff vom 29. Oktober veröffentlicht. Einer forensischen Untersuchung zufolge wurde das Unternehmen über die VPN-Lösung gehackt, über die Kunden Zugang zu Servern von Südwestfalen-IT erhalten. Allerdings deckten die Sicherheitsforscher dabei auch mehrere Sicherheitslücken auf.
Unter anderem steckte in der softwarebasierten VPN-Lösung zum Zeitpunkt der Attacke eine Zero-Day-Lücke. Darüber hinaus war der Zugang nicht über eine Multifaktor-Authentifizierung gesichert. Die Forensik-Experten vermuten, dass das Kennwort per Brute Force geknackt wurde – wie die Zugangsdaten abgegriffen wurden, ließ sich einer Pressemitteilung zufolge nicht abschließend aufklären.
Darüber hinaus sollen die Angreifer mehrere nicht näher genannte Sicherheitslücken genutzt haben, um ihre Rechte auf die eines Domain-Administrators zu erhöhen. Betroffen war die Domäne „intra.lan“, die „entrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet“. Andere Domänen seien nicht betroffen gewesen.
Erneut betonte das Unternehmen, dass eine schnelle Reaktion der eigenen IT-Mitarbeiter eine weitere Ausbreitung der Ransomware verhindert habe. Es sei nicht nur er Angriff erfolgreich gestoppt, sondern auch das Ausmaß des Schadens begrenzt worden. „Es kam mit hoher Wahrscheinlichkeit zu keinem Abfluss von Daten, auch die Back-Ups waren nicht betroffen“, teilte Südwestfalen-IT mit.
„Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren.“ Sagte Verbandsvorsteher Theo Melcher. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen Netzwerkbereichen und Domänen weiter zu verstärken. Zugleich kann der forensische Bericht anderen helfen, aus dem Vorfall bei der Südwestfalen-IT zu lernen. Die Transparenz, die wir durch die Veröffentlichung des Berichts herstellen, nutzt allen.“
Die Aufarbeitung des Angriffs soll nun ein neuer Geschäftsführer übernehmen, der zum 1. Februar seine Arbeit aufnimmt. Darüber hinaus kündigte das Unternehmen an, die ersten wesentlichen Fachverfahren, die derzeit in einem Basisbetrieb angeboten werden, bis zum Ende des ersten Quartals in den Normalbetrieb zu überführen. Außerdem sollen weitere priorisierte Verfahren bis Ende März zumindest in den Basisbetrieb gehen.
Hinter der Attacke steckt offenbar die Ransomware-Gruppe Akira. Die betroffenen Kommunen im Großraum Südwestfalen können bestimmte IT-basierte Leistungen weiterhin nur eingeschränkt oder gar nicht anbieten. Schon im September hatte Cisco vor einer Schwachstelle in seinen VPN-Lösungen gewarnt, die Akira ins Visier genommen hatte. Zu dem Zeitpunkt konnte Cisco zwar keinen Patch zur Verfügung stellen, aber Abhilfemaßnahmen anbieten, um Angriffe abzuwehren. Unter anderem empfahl Cisco die Einrichtung einer Anmeldung in zwei Schritten.
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.