ComputerBase Menü
Aktuelles

News Südwestfalen IT: Deutsche Verwaltungen durch Ransomware-Angriff gestört

Artikel-Update: Gestern hat die Südwestfalen-IT in einer Mitteilung über die bisherigen Erkenntnisse im Zusammenhang mit dem Cyberangriff aufgeklärt. Verantwortlich war demnach die Ransomware-Gruppe Akira. Der Erstzugriff auf die Systeme des Dienstleisters sei über eine Zero-Day-Schwachstelle in einer von der SIT verwendeten VPN-Lösung gelungen. Danach konnten sich die Angreifer wohl Administrationsberechtigungen für eine Windows-Domäne zur Verwaltung der zentralen Systeme und wichtigen Fachverfahren für sämtliche Kunden der Südwestfalen-IT verschaffen.

Daten seien nach bisherigen Erkenntnissen nicht abgeflossen, das Darkweb werde kontinuierlich auf eine mögliche Datenveröffentlichung hin überwacht. Auch Backups seien nicht betroffen, heißt es. Die von den Angreifern ausgenutzten Sicherheitslücken seien geschlossen worden. Erste wesentliche Fachverfahren wolle man in Abstimmung mit den Kreisen und Kommunen bis Ende des ersten Quartals 2024 wieder in den Normalbetrieb überführen.

Ab dem 1. Februar soll Mirco Pinske als neuer Geschäftsführer der Südwestfalen-IT das Ruder übernehmen. Zu seinen vordringlichsten Aufgaben gehöre es dann, den gesamten Vorfall umfassend aufarbeiten und entsprechende Konsequenzen abzuleiten und umzusetzen. Langfristig seien wesentliche Änderungen an der Systemarchitektur des Unternehmens geplant, um das System robuster zu gestalten und derartige Vorfälle künftig bestmöglich auszuschließen.
 
  • Gefällt mir
Reaktionen: Volvo480
Das erinnert mich an den Hackerangriff auf Rheinmetall.
 
yxman schrieb:
https://blog.fefe.de/?ts=9b4d72e1
Zum Vergrößern anklicken....
war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
Zum Vergrößern anklicken....
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Zum Vergrößern anklicken....

Schon lustig irgendwie :D Hat mich auf jeden Fall gut unterhalten.
 
  • Gefällt mir
Reaktionen: Interlink
"Die Südwestfalen IT behauptet, sie stehe mit dem LKA, dem BSI sowie externen Sicherheitsdienstleistern in Kontakt"

Externe Sicherheitsdienstleister?
Wer ... China, Russland, Sleepy Joe, Huthis, Milei oder vielleicht NK Kim?

Bezeichnend für deutsche Luschi-Politik & Verwaltung.
Statt mal vernünftig Personal einzustellen und investieren.
 
Zuletzt bearbeitet von einem Moderator:
"Das Darkweb werde überwacht"

Aha... Ja, klar!
 
  • Gefällt mir
Reaktionen: nazgul77
Nikon71 schrieb:
Externe Sicherheitsdienstleister?
Wer ... China, Russland, Sleepy Joe, Huthis, Milei oder vielleicht NK Kim?
Zum Vergrößern anklicken....
Damit ist die Firma gemeint, die Incident Response gemacht hat. Den Namen der Firma findest du im bei Fefe verlinkten Abschlussbericht.
 
@coffee4free @Jan
Ist das beabsichtigt, dass mit jedem Artikelupdate auch das Datum des Artikels aktualisiert wird? Fällt mir seit einiger Zeit schon auf, bei allen Artikeln mit Update. Man verliert irgendwie den Bezug zu den Geschehnissen...

1706286329439.png
 
  • Gefällt mir
Reaktionen: Letscho, kotStuLLe, rarp und 2 andere
@Thaxll'ssillyia
Das mag daran liegen, dass Fefe im Gegensatz zu Journalisten vom Fach ist und dazu den Abschlussbericht vorliegen hatte. Er kann also zwischen Pressemitteilung und Bericht abgleichen. Der Bericht wird nur auf Anfrage verteilt. Der Durchschnittsjournalist wird nur die Pressemitteilung gelesen haben, ohne den Bericht zu kennen bzw. einordnen zu können. Dass es eine 0day-Schwachstelle gewesen wäre steht im Abschlussbericht und ist dort falsch dargestellt.
 
  • Gefällt mir
Reaktionen: Interlink, yxman und Thaxll'ssillyia
Das MatZe schrieb:
Am 13.12. wurde in der "Siegener Zeitung" (Die Lokalpresse hier) auch ein Artikel veröffentlicht.
Wo ich dann laß, dass dort Passwörter wie "admin123456" verwendet wurden, wurde mir schlecht.
Zum Vergrößern anklicken....
Wobei das wohl die Aussagen eines ehemaligen Mitarbeiters aus einer Zeit als er noch da gearbeitet hat waren, der jetzt selber in der Branche tätig ist. Sollte man im Hinterkopf behalten. Es ist zwar nicht auszuschließen, dass die seit der Zeit nichts geändert haben, aber alte Infos von einem potentiellen Konkurrenten haben einen gewissen Geschmack.

Es ist aber immer erstaunlich in wie vielen Firmen nach solchen pressewirksamen Vorfällen auf einmal Geld für Sicherheit vorhanden ist...
 
Spike S. schrieb:
@coffee4free @Jan
Ist das beabsichtigt, dass mit jedem Artikelupdate auch das Datum des Artikels aktualisiert wird? Fällt mir seit einiger Zeit schon auf, bei allen Artikeln mit Update. Man verliert irgendwie den Bezug zu den Geschehnissen...
Zum Vergrößern anklicken....
Ist mir letztens auch aufgefallen und finde ich persönlich extrem intransparent und verwirrend.
 
Das Erstveröffentlichungsdatum steht immer unterhalb des Artikels. Gaaaaanz unten, noch unter dem Autor. 😊
@Spike S. @Jamalz
 
  • Gefällt mir
Reaktionen: Jamalz, Cool Master, vanni727 und eine weitere Person
Ich fand den bei fefe gelinkten Abschlussbericht super interessant. Spannend das mal im Detail zu lesen.
 
  • Gefällt mir
Reaktionen: chatbot
Das MatZe schrieb:
Wo ich dann laß, dass dort Passwörter wie "admin123456" verwendet wurden, wurde mir schlecht.
Zum Vergrößern anklicken....
Ja, das kann Nachtreten oder doofes Gerede sein. Aber ich habe den Abschlussbericht auch eben gelesen und finde, einige Fragen lassen sich in dieser Richtung schon stellen (rein spekulativ).

Der Angriffsvektor war eine ungepatchte Lücke in der Cisco ASA Software (CVE-2023-20269). Die ASA Version zum Zeitpunkt des Hacks war 9.12(3)7. Laut Cisco Release Notes für Serle 9.12 wurde die Version veröffentlicht am 25.11.2019. D.h. die VPN-Sicherheit hing von 4 Jahre alte Software ab?
Die Cisco ASA läuft auf einer Cisco Hardware und 9.12(x) war das letztmögliche Release für einige dieser Geräte. Ist da vielleicht Ende 2019 der Softwaresupport für ein Gerät ausgelaufen aber es wurde danach kein neues angeschafft? Wurden seitdem überhaupt irgendwelche Security-Patches eingespielt?

Das Domain-Adminpasswort für das Active Directory stand seit 2014 in einer Gruppenrichtlinie, mit beliebigem Nutzerkonto auslesbar und laut Bericht "in entschlüsselbarer Textform", passenden AES Key gibt es von Microsoft. Wurde etwa in 9 Jahren nicht ein einziges mal die Sicherheit des zentralen Adminkontos an veränderte Zeiten angepasst?

Die Lücke selbst ermöglichte (vereinfacht gesagt) von außen das VPN ohne jegliche Limits gegen Benutzer/Passwort-Kombinationen zu testen. Bei Erfolg winkt eine SSL-Verbindung. Wurden hier etwa nur einfache Kennwörter verwendet, die in gängigen Knack-Wortlisten stehen? Und woher hatten die Angreifer danach direkt Zugang zu einigen AD-Konten? Wurden für VPN und AD identische Namen/Passwörter verwendet (oder SSO wie Fefe vermutet)?

Laut Bericht hat die interne Symantec Sicherheitslösung einen Netzwerkscan und eine Ransomware detektiert. Gab es da keine Benachrichtigung des Personals?

Es wurden über Wochen haufenweise VPN-Verbindungen z.B. aus den USA aufgebaut. Gab es keine geografische Eingrenzung der Verbindungen? Ist USA nötig, wenn man Dienstleister für Westfalen ist? Oder hätte nicht mindestens eine Benachrichtigung des Personals erfolgen sollen?

Leider sind die Antworten nicht Bestandteil des Abschlussberichts ;-) Die Maßnahmenempfehlungen sind zwar trivial aber trotzdem sinnvoll. Leider wird die niemand verstehen, wenn bisher schon elementare Regeln nicht verstanden wurden. Da bin ich ausnahmsweise mal mit Fefe einig.
Ergänzung ()

Renegade334 schrieb:
Es ist aber immer erstaunlich in wie vielen Firmen nach solchen pressewirksamen Vorfällen auf einmal Geld für Sicherheit vorhanden ist...
Zum Vergrößern anklicken....
Stimmt, vorher wär viel sinnvoller aber wir kennen das alle. Prävention will keiner bezahlen.

Und bevor jetzt Geld für Soft- und Hardware ausgegeben wird, muss Kompetenz ins Haus - was schon erheblich am Budget saugt. Die aufgeschlauten Leute sagen dem GF dann wiederum Sachen, die er nicht hören und schon gar nicht bezahlen will ;-)
Ergänzung ()

Xes schrieb:
Ich fand den bei fefe gelinkten Abschlussbericht super interessant. Spannend das mal im Detail zu lesen.
Zum Vergrößern anklicken....
Vor allem im Vergleich zur Pressemitteilung - die Aussenwirknug muss ja stimmen!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: emulbetsup, Renegade334, bad_sign und eine weitere Person
Puh.
"Erste wesentliche Fachverfahren wolle man in Abstimmung mit den Kreisen und Kommunen bis Ende des ersten Quartals 2024 wieder in den Normalbetrieb überführen."

Ende März die ersten wesentlichen Fachverfahren (außer Pass, Führerschein und so)?
5 Monate ist eine verdammt lange Zeit. Und dann auch nur für die ersten Verfahren.
 
chatbot schrieb:
Das Domain-Adminpasswort für das Active Directory stand seit 2014 in einer Gruppenrichtlinie, mit beliebigem Nutzerkonto auslesbar und laut Bericht "in entschlüsselbarer Textform", passenden AES Key gibt es von Microsoft. Wurde etwa in 9 Jahren nicht ein einziges mal die Sicherheit des zentralen Adminkontos an veränderte Zeiten angepasst?
Zum Vergrößern anklicken....
Da wird wohl einiges schief gelaufen sein.
Kennwörter in Gruppenrichtlinien sind prinzipbedingt unsicher. Da wurde schon vor Jahren (Jahrzehnten?) gewarnt das nicht zu nutzen, auch wenn es dabei eher um WLAN mit PSK ging, was man halt eh nicht nutzen sollte.

Interessanter finde ich die Frage: Was wurde da per GPO verteilt? Das hört sich nach einem Dienst oder Task an. Wozu sollte so etwas weitreichende Domänenrechte benötigen? Zugriff auf ein Netzlaufwerk könnte ich mir vorstellen, oder eine Delegation auf ein bestimmtes Attribut im AD, aber auch dafür gibt es andere Möglichkeiten. Domänenadmin an so einer Stelle zu nutzen kann eigentlich nur Faulheit/Ignoranz sein, weil man die genau benötigten Rechte nicht herausfinden möchte.

Andererseits ist es im Nachhinein immer einfach die Arbeit von anderen zu zerpflücken und nachzutreten. Interessant wäre jetzt, welche Maßnahmen ergriffen werden. Das BSI stellt z.B. auch einen Haufen an Einstellungen fertig bereit, die einige unsichere Standards abschalten und Lücken schließen, die gerade in einer alten Umgebung als Altlasten garantiert vorhanden sind. Wie wäre z.B. zertifikatbasierte Anmeldung für alle privilegierten Accounts mit Smartcard/Token? Es muss auch nicht jeder Datenbankadmin oder Netzwerkadmin einen Domänenadministrator bekommen. Und auch wenn fefe z.B. von MFA nicht viel hält, halte ich das für Serveradministration und VPN als Zusatz nicht für verkehrt. Rein für VPN hilft das nur begrenzt, da ein Angreifer über infizierte Rechner im Netz wäre, aber wenn es auch für administrativen Zugriff auf Server genutzt wird, schränkt das einen auf Systeme ein, die gerade aktiv administriert werden. Auch eine regelmäßige/automatisierte Prüfung aller relevanten Sicherheitseinstellungen bzw. allgemein von Änderungen ist kein Allheilmittel, aber eine weitere Chance Auffälligkeiten zu finden. Klar kann es sein, dass jemand die Überwachung umgeht (vor allem wenn er bereits mit den höchsten Rechten einsteigt), aber ohne Überwachung ist das nicht einmal nötig.
Im Prinzip muss man eh immer von Angriffen ausgehen. Irgendeine Software hat immer eine Lücke. Wenn man die Angreifer lange genug ausbremsen kann, damit nur begrenzt Systeme betroffen sind und der Angriff bemerkt wird (großes wenn/falls) ist das schon viel wert. Mir fällt da noch ein Haufen an Härtungen ein und dabei komme ich nicht einmal aus dem Security Bereich. Wer weiß was ein Spezialist da alles finden könnte? Aber Fachkräfte sind halt teuer...da muss sich halt die eilergende Wollmilchsau mit EG8 mit allen Bereichen beschäftigen.
 
  • Gefällt mir
Reaktionen: emulbetsup
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz