Der kommunale IT-Sicherheitsdienstleister Südwestfalen-IT hat weitere Details zu dem Hackerangriff vom 29. Oktober veröffentlicht. Einer forensischen Untersuchung zufolge wurde das Unternehmen über die VPN-Lösung gehackt, über die Kunden Zugang zu Servern von Südwestfalen-IT erhalten. Allerdings deckten die Sicherheitsforscher dabei auch mehrere Sicherheitslücken auf.
Unter anderem steckte in der softwarebasierten VPN-Lösung zum Zeitpunkt der Attacke eine Zero-Day-Lücke. Darüber hinaus war der Zugang nicht über eine Multifaktor-Authentifizierung gesichert. Die Forensik-Experten vermuten, dass das Kennwort per Brute Force geknackt wurde – wie die Zugangsdaten abgegriffen wurden, ließ sich einer Pressemitteilung zufolge nicht abschließend aufklären.
Darüber hinaus sollen die Angreifer mehrere nicht näher genannte Sicherheitslücken genutzt haben, um ihre Rechte auf die eines Domain-Administrators zu erhöhen. Betroffen war die Domäne „intra.lan“, die „entrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet“. Andere Domänen seien nicht betroffen gewesen.
Erneut betonte das Unternehmen, dass eine schnelle Reaktion der eigenen IT-Mitarbeiter eine weitere Ausbreitung der Ransomware verhindert habe. Es sei nicht nur er Angriff erfolgreich gestoppt, sondern auch das Ausmaß des Schadens begrenzt worden. „Es kam mit hoher Wahrscheinlichkeit zu keinem Abfluss von Daten, auch die Back-Ups waren nicht betroffen“, teilte Südwestfalen-IT mit.
„Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren.“ Sagte Verbandsvorsteher Theo Melcher. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen Netzwerkbereichen und Domänen weiter zu verstärken. Zugleich kann der forensische Bericht anderen helfen, aus dem Vorfall bei der Südwestfalen-IT zu lernen. Die Transparenz, die wir durch die Veröffentlichung des Berichts herstellen, nutzt allen.“
Die Aufarbeitung des Angriffs soll nun ein neuer Geschäftsführer übernehmen, der zum 1. Februar seine Arbeit aufnimmt. Darüber hinaus kündigte das Unternehmen an, die ersten wesentlichen Fachverfahren, die derzeit in einem Basisbetrieb angeboten werden, bis zum Ende des ersten Quartals in den Normalbetrieb zu überführen. Außerdem sollen weitere priorisierte Verfahren bis Ende März zumindest in den Basisbetrieb gehen.
Hinter der Attacke steckt offenbar die Ransomware-Gruppe Akira. Die betroffenen Kommunen im Großraum Südwestfalen können bestimmte IT-basierte Leistungen weiterhin nur eingeschränkt oder gar nicht anbieten. Schon im September hatte Cisco vor einer Schwachstelle in seinen VPN-Lösungen gewarnt, die Akira ins Visier genommen hatte. Zu dem Zeitpunkt konnte Cisco zwar keinen Patch zur Verfügung stellen, aber Abhilfemaßnahmen anbieten, um Angriffe abzuwehren. Unter anderem empfahl Cisco die Einrichtung einer Anmeldung in zwei Schritten.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…