Search

[Textaris(txt*bot)]

[...] Ransomware (von englisch ransom für ,,Lösegeld"), auch Erpressungstrojaner, Erpressungssoftware, Kryptotrojaner oder Verschlüsselungstrojaner, sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Dabei werden private Daten auf dem fremden Computer verschlüsselt oder der Zugriff auf sie verhindert, um für die Entschlüsselung oder Freigabe ein Lösegeld zu fordern.

Die Bezeichnung setzt sich zusammen aus ransom, dem englischen Wort für Lösegeld, und ware, entsprechend dem für verschiedene Arten von Computerprogrammen üblichen Benennungsschema (Software, Malware etc.). Im zweiten Quartal 2012 gab es laut Kindsight Security etwa 123.000 neue Varianten. ...


...

Aus: "Ransomware" (7. Juli 2021)
Quelle: https://de.wikipedia.org/wiki/Ransomware

[Textaris(txt*bot)]

[...] In den vergangenen sechs Jahren ist es in mehr als 100 Fällen bei Behörden, Kommunalverwaltungen und anderen staatlichen sowie öffentlichen Stellen zu erfolgreichen Verschlüsselungen von IT-Systemen gekommen. Das geht aus einer Umfrage von BR und "Zeit Online" unter den Innenministerien der Länder und des Bundes hervor. Die Gesamtzahl könnte deutlich höher liegen, denn mehrere Länder wie Nordrhein-Westfalen, Berlin und Hessen machten keine konkreten Angaben. ...

...  Von Erpressungsversuchen betroffen waren unter anderem die Landtage von Sachsen-Anhalt und Mecklenburg-Vorpommern, Schulen, Polizeidienststellen, Landesministerien, Universitäten und Krankenhäuser. Dem Bundesinnenministerium ist außerdem ein Fall innerhalb der Bundesverwaltung bekannt geworden, bei dem es zu einer Verschlüsselung eines Servers gekommen ist. Immer wieder trifft es zudem Kommunalverwaltungen: Großstädte wie Frankfurt am Main, Städte wie Neustadt am Rübenberge in Niedersachsen oder auch kleine Gemeinden wie eben Kammeltal.

Auch die kommunalen Spitzenverbände haben keinen systematischen Überblick über die Zahl der Vorfälle. Der Deutsche Städte- und Gemeindebund sieht ein wachsendes Problem und fordert eine bessere Zusammenarbeit von Kommunen und Landesbehörden. "Es stellt sich die Frage, wie schnellstmöglich die notwendige Unterstützung zur Prävention von Ransomware-Angriffen in jede Kommune kommt", heißt es auf Anfrage von BR und "Zeit Online".

... Zu kritischen Infrastrukturen zählen unter anderem Wasserwerke, große Krankenhäuser und die Lebensmittelindustrie. Sie müssen Hacker-Angriffe an den Bund melden. Kommunen und Landesverwaltungen müssen das bislang nicht. Grünen-Politiker Konstantin von Notz fordert deshalb eine Meldepflicht für Ransomware-Vorfälle: Informationen müssten gebündelt werden und ein Warnsystem implementiert werden. "All das gibt es so nicht. Und deswegen stehen wir so schlecht da", sagt von Notz im Interview mit BR und "Zeit Online".

...  Tatsächlich sind die Angreifer mit ihren Erpressungsversuchen in manchen Fällen erfolgreich. Das bedeutet: Steuergelder fließen an Cyberkriminelle. So soll das Staatstheater Stuttgart im Jahr 2019 15.000 Euro bezahlt haben, wie lokale Medien berichteten. IT-Sicherheitsexperten und Strafverfolgungsbehörden raten davon ab, Hacker zu bezahlen, doch oft genug besteht die Alternative darin, die Daten zu verlieren.

Einen Überblick über erfolgreiche Erpressungen gibt es nicht. Mehrere Bundesländer, darunter Bayern, Nordrhein-Westfalen und Berlin, lassen in ihren Antworten offen, ob und wie viele Kommunen oder Behörden Lösegeld bezahlt haben. Das Bundesinnenministerium teilt auf Anfrage mit, Lösegeldzahlungen öffentlicher Stellen seien nicht bekannt.

In Kammeltal hat man dem Erpressungsversuch nicht nachgegeben, auf Anraten der örtlichen Polizei. Jetzt habe man die IT-Sicherheit der kleinen Gemeinde verbessert.

Aus: "Hacker verschlüsseln Daten Mehr als 100 Behörden erpresst" (29.06.2021)
Quelle: https://www.tagesschau.de/investigativ/br-recherche/ransomware-103.html

[Textaris(txt*bot)]

[...] Um nach dem Ransomware-Angriff schneller wieder arbeitsfähig zu werden, hat der Landkreis Anhalt-Bitterfeld um Hilfe durch die Bundeswehr gebeten. Dabei geht es um die Unterstützung bei der Forensik und dem Wiederaufbau der technischen Infrastruktur. Jeder der 900 Computer der Mitarbeiter müsse den Sicherheitsvorkehrungen entsprechen, sagte ein Sprecher des Landkreises am Dienstag. Mit den IT-Mitarbeitern der Kreisverwaltung sei das zeitnah nicht zu stemmen. "Da wir das ja schnell wollen, haben wir diesen Hilfsantrag gestellt."

Am Montag hatte der Landkreis mitgeteilt, dass ein Hilfeersuchen an die Bundeswehr gestellt wurde. Eine Rückmeldung seitens der Bundeswehr gab es zunächst nicht. Der Sprecher rechnet aber mit einer Antwort innerhalb weniger Tage.

Am 6. Juli 2021 wurde bekannt, dass mehrere Server des Landkreises bei einem Angriff mit Ransomware infiziert wurden, bei dem Daten verschlüsselt wurden. Die Quelle der Infektion war zunächst unklar. Nach einer Geldzahlung sollten die Daten wieder freigegeben werden, der Landkreis lehnte jedoch eine Lösegeldzahlung ab. Als Folge darauf wurden wohl Behördendaten im Internet veröffentlicht. Der Angriff auf die Kreisverwaltung und der damit verbundene Ausfall von Dienstleistungen war so gravierend, dass der Katastrophenfall ausgerufen wurde.

Seit vergangener Woche ist der Landkreis dank der Notinfrastruktur wieder eingeschränkt arbeitsfähig und per E-Mail erreichbar. Einige Dienstleistungen können - zum Teil extern - wieder erbracht werden. Das betrifft den Angaben zufolge etwa die Bereiche Vormundschaft, Betreuungsbehörde, Wohngeld, Eingliederungshilfe, Hilfe zur Pflege, Blindenhilfe, BaföG und Vergaben. Eine Kfz-Zulassung ist nach wie vor nicht möglich.

Um in derartigen Fällen sowie weiteren Katastrophenfällen in Bezug auf IT-Infrastruktur und kritische Infrastruktur schnell helfen zu können, fordert die unabhängige Organisation AG Kritis die Errichtung eines sogenannten Cyber-Hilfswerks (CHW). Dieses soll, ähnlich wie das THW dies bei physischer Infrastruktur übernimmt, in außergewöhnlichen Fällen dabei helfen, digitale Infrastruktur schnell wieder verfügbar zu machen.

Aus: "Anhalt-Bitterfeld bittet Bundeswehr um Hilfe beim IT-Aufbau" Sebastian Grüner/ dpa (27. Juli 2021)
Quelle: https://www.golem.de/news/nach-ransomware-angriff-anhalt-bitterfeld-bittet-bundeswehr-um-hilfe-beim-it-aufbau-2107-158454.html

[Textaris(txt*bot)]

[...] In den europäischen und afrikanischen IT-Systemen von Toyota Financial Service (TFS) ist es zu einem IT-Sicherheitsvorfall gekommen. Das hat das Unternehmen Medienberichten zufolge nun bestätigt. Die Erpresser der Medusa-Bande fordern 8 Millionen US-Dollar Lösegeld.

Auf ihrer Leaking-Website im Darknet läuft ein Countdown. Der Anzeige zufolge hat TFS noch circa acht Tage Zeit, zu reagieren. Wer 8 Millionen US-Dollar zahlt, kann die Daten herunterladen. Zahlt TFS diesen Betrag, geben die Verbrecher an, die Daten zu löschen. Für die Summe von 10.000 US-Dollar lässt sich die Frist um einen Tag verlängern. Läuft der Countdown ab, wollen sie die Daten veröffentlichen.

Ob die Erpresser wirklich Daten kopiert haben, wurde bislang von offizieller Stelle nicht bestätigt. Um das zu beweisen, haben sie eine Stichprobe der Daten bestehend aus unter anderem Finanzreports, Rechnungen und Nutzer-IDs veröffentlicht. Darunter sollen auch Personaldaten wie E-Mails und gehashte Passwörter sein. In einer Textdatei zeigen sie alle Daten auf, die sie eigenen Angaben zufolge im Zuge der Attacke kopiert haben. Ob dabei auch Daten verschlüsselt wurden, ist bislang nicht bekannt.

Wie die Angreifer in die IT-Systeme eindringen konnten, ist noch unklar. Ein Sicherheitsforscher spekuliert auf X, dass die Angreifer an der kritischen Lücke CitrixBleed (CVE-023-4966) in Netscaler ADC und Gateway angesetzt haben könnten. Ihm zufolge hat das deutsche TFS-Büro einen seit August 2023 nicht aktualisierten und somit verwundbaren Citrix Gateway Endpoint am öffentlichen Netz hängen.

Diese Lücken haben schon mehrere Ransomware-Banden ausgenutzt, um sich Zugriff auf IT-Systeme von Unternehmen zu verschaffen.

https://www.heise.de/news/CitrixBleed-Ransomware-Banden-attackieren-Citrix-NetScaler-9350201.html

(des)

Aus: "Ransomwarebande Medusa attackiert Toyota und fordert 8 Millionen US-Dollar" Dennis Schirrmacher (17.11.2023)
Quelle: https://www.heise.de/news/Ransomwarebande-Medusa-attackiert-Toyota-und-fordert-8-Millionen-US-Dollar-9531735.html

[Textaris(txt*bot)]

[...] Nach einem Ransomware-Angriff auf die schottische Gesundheitsbehörde "NHS Dumfries and Galloway" haben die Cyberkriminellen erste Daten veröffentlicht.

Wieder einmal gibt es einen ernst zu nehmenden Cybersicherheitsvorfall im Gesundheitssystem des Vereinigten Königreichs. Diesmal in Schottland beim National Health Service (NHS) Dumfries and Galloway, wie bereits Mitte März bekannt wurde. Jetzt sind erste Daten öffentlich. Zu diesen gehören unter anderem vertrauliche Informationen wie psychologische Gutachten aus den Patientenakten. Die Betroffenen werden derzeit über den Vorfall informiert.

Hinter dem Ransomware-Vorfall steckt vermutlich die relativ junge Gruppierung "INC Ransom". Die Bande veröffentlichte am 26. März einen Eintrag auf ihrer Leaksite mit der Drohung, "bald" drei Terabyte an gestohlenen Daten zu veröffentlichen.

Es seien lediglich Daten von einer "kleinen Anzahl an Patienten" veröffentlicht worden, schreibt das NHS Dumfries and Galloway. Potenzielle Betroffene sind neben Erpressung auch maßgeschneiderten Phishing-Attacken ausgesetzt. Es könne allerdings nicht ausgeschlossen werden, dass künftig weitere Daten "durchsickern".

Für alle, die im NHS Dumfries and Galloway registriert sind, haben die Verantwortlichen eine Informationsseite samt FAQ eingerichtet. Auf die Frage, ob die Patientendaten sicher sind, heißt es darin beispielsweise, dass der NHS "immer noch über die Originaldateien verfügt, die nicht geändert oder gelöscht wurden. Einige Informationen wurden kopiert und sind durchgesickert." Die Frage, ob Daten verloren gegangen sind, wird verneint: "Den Angreifern ist es gelungen, Daten aus unseren Systemen zu kopieren – aber die Originaldateien sind immer noch sicher und wurden nicht gelöscht oder verändert".

Die Versorgung sei zudem weiterhin gesichert. Behandlungstermine und ähnliches finden demnach weiterhin statt. Laut eigenen Angaben arbeitet die Gesundheitsbehörde weiterhin mit der schottischen Polizei, dem National Cyber Security Centre und der schottischen Regierung und anderen Behörden zusammen.

Aus: "Nach Cyberangriff auf schottische Gesundheitsbehörde erste Daten veröffentlicht" Marie-Claire Koch (31.03.2024)
Quelle: https://www.heise.de/news/Nach-Cyberangriff-auf-schottische-Gesundheitsbehoerde-erste-Daten-veroeffentlicht-9671652.html

[Textaris(txt*bot)]

[...] Bei einer Analyse eines Ransomware-Vorfalls haben IT-Forscher von Sophos ein neues Verhalten entdeckt. Die Ransomware Qilin hat nach dem Befall im Netzwerk Zugangsdaten aus dem Google-Chrome-Webbrowser auf den Endpunkten exfiltriert, um damit auf weitere Systeme und Dienste Zugriff zu erlangen.

Wie die IT-Sicherheitsforscher von Sophos in ihrer Analyse schreiben, haben sich die Angreifer bei dem untersuchten Vorfall aus dem Juli dieses Jahres mit VPN-Zugangsdaten unbefugt Zutritt zum Netzwerk verschafft. Hier war eine fehlende Mehr-Faktor-Authentifizierung am initialen Einbruch schuld, erörtern die IT-Forensiker. Zwischen dem initialen Einbruch in die Organisation und der weiteren Bewegung im Netzwerk vergingen demnach 18 Tage. Möglicherweise sei der Einbruch auch von einem IAB (Initial Access Broker), also einer kriminellen Gruppe mit dem Spezialgebiet des Einbrechens in Netze und dem Verkauf des Zugangs an andere bösartige Akteure, vorgenommen worden.

Mit kompromittierten Zugangsdaten gelang es den Angreifern nach den 18 Tagen, auf einen Domaincontroller (DC) im Active Directory (AD) zuzugreifen. Dort manipulierten sie die Standard-Gruppenrichtlinie, um ein Log-on-basiertes Gruppenrichtlinienobjekt einzuführen. Das eine war ein Powershell-Skript namens IPScanner.ps1, das in einen temporären Ordner der SYSVOL-Freigabe auf dem DC abgelegt wurde. Die Datei enthielt ein Skript mit 19 Zeilen, das Zugangsdaten aus dem Chrome-Webbrowser sammelt.

Das zweite Objekt war eine Batch-Datei mit dem Namen logon.bat und enthielt Befehle, das erste Skript auszuführen. Die Kombination mündete in der Sammlung der Zugangsdaten aus den Chrome-Webbrowsern der AD-Endpoints. Jede Maschine im Netz hat diese Skripte bei der Anmeldung ausgeführt. Die IPScanner.ps1 legt dabei eine SQLite-Datenbank mit dem Namen LD und eine Textdatei mit dem Titel temp.log an. Diese Dateien wurden auf eine neu erstellte SYSVOL-Freigabe auf den DC kopiert, die den Hostnamen des Geräts widerspiegelte, auf dem die Skripte liefen.

Die Gruppenrichtlinie blieb drei Tage aktiv, wodurch sie zum Ausführen der Malware auf vielen Maschinen führte – jedes Mal, wenn sich eine Nutzerin oder ein Nutzer angemeldet hat. Nachdem die Zugangsdaten gestohlen und von den bösartigen Akteuren exfiltriert wurden, haben sie die Dateien gelöscht und die Ereignisprotokolle sowohl für den DC als auch für die Endpunkte bereinigt. Nach dem Löschen der Beweise haben sie dann Dateien verschlüsselt und eine Erpressernotiz hinterlassen. Für die Ransomware hat die kriminelle Qilin-Gruppierung erneut Gruppenrichtlinien eingesetzt, um eine Datei namens run.bat zu verteilen und auszuführen.

Den Passwort-Manager in Chrome zu nutzen, führte dazu, dass die kriminellen Drahtzieher an weitere Zugangsdaten zu Diensten gelangen konnten. Die Nutzung eines Passwort-Managers wie Bitwarden, der sich in Unternehmen zentral verwalten und ohne Datenablage in der Cloud nutzen lässt, scheint eine empfehlenswerte Maßnahme zu sein. Zudem hilft der Einsatz von Passkeys, dass Cyberkriminelle keine nutzbaren Zugangsdaten erbeuten können.

(dmk)

Aus: "Ransomware Qilin klaut Log-in-Daten aus Google Chrome" Dirk Knop (28.08.2024)
Quelle: https://www.heise.de/news/Ransomware-Qilin-steihlt-Zugangsdaten-aus-Google-Chrome-9850059.html

[Textaris(txt*bot)]

[...] Ein Server des Online-Campus der Verwaltungs-Berufsgenossenschaft (VBG) wurde bei einer Ransomware-Attacke angegriffen, informiert die Unfallversicherung. In der Folge gelang Unbekannten der Zugriff auf die Systeme. Der Online-Campus ist ein digitaler Service für Seminarteilnehmer in den Bereichen Arbeitssicherheit und Gesundheitsschutz. Ein Datenabfluss könne bisher nicht ausgeschlossen werden. Die Aufsichtsbehörden, das Bundesamt für soziale Sicherung und auch die Bundesbeauftragte für Datenschutz und Informationssicherheit, Prof. Louisa-Specht Riemenschneider, wurden laut eines Informationsschreibens an die Betroffenen unverzüglich informiert.

Nach Bekanntwerden des Angriffs hat die VBG die betroffenen Server nach eigenen Angaben heruntergefahren und vom Netz getrennt. Die Arbeitsfähigkeit sei nicht eingeschränkt, Daten zu Versicherungsfällen nicht betroffen.

Möglicherweise wurden laut VBG Vorname und Nachname, die E-Mail-Adresse, Telefonnummer, Name des Arbeitgebers und Anschrift der Seminarteilnehmer geleakt. Die VBG hat Personen informiert, deren E-Mail-Adresse im System gespeichert waren – laut einer Sprecherin könnten rund 200.000 E-Mail-Adressen entwendet worden sein.

Es besteht – wie bei ähnlichen Vorfällen auch – ein erhöhtes Phishing-Risiko. Die VBG empfiehlt den Betroffenen, vorsichtig mit E-Mails umzugehen und unbekannte Absender kritisch zu betrachten. Zudem sollten Nutzerkonten, bei denen die betroffene E-Mail-Adresse verwendet wird, aufmerksam beobachtet und gegebenenfalls die Zugangsdaten geändert werden.

Immer wieder tauchen neben den altbekannten auch neue Ransomware-Gruppierungen auf. Die bisher unbekannte Gruppierung "Valencia Ransomware" listet inzwischen mehrere Unternehmen auf ihrer Leaksite – darunter eine die kalifornische Stadt Pleasanton, einen spanischen Moderiesen, einen indischen Papierhersteller und zwei Pharmaunternehmen. Das berichtete unter anderem "The Register".

Pharmaunternehmen sind ein beliebtes Ziel für Cyberkriminelle. Erst kürzlich berichtete unter anderem Bloomberg, dass das US-Unternehmen Cencora eine Rekordsumme in Höhe von insgesamt 75 Millionen US-Dollar in Bitcoin an die Gruppierung "Dark Angels" gezahlt hatte. Der größte IT-Dienstleister für das US-Gesundheitswesen, Change Healthcare, hatte nach einem Cyberangriff bereits mehrfach Lösegeld an die Ransomware-Gruppe AlphV gezahlt.

Ein weiterer Fall in den USA betrifft die Wasseraufbereitungsanlage von Arkansas City, wie die Stadt berichtet. Die Behörden seien nach dem Cyberangriff auf die Anlage umgehend informiert worden, woraufhin die Stadt Vorsichtsmaßnahmen ergriff, um die Sicherheit des Betriebs zu gewährleisten. Trotz des Vorfalls können sich die Bewohner laut Angaben der Stadt sicher sein, dass die Wasserversorgung sicher und ohne Unterbrechungen bleibt. Vorsichtshalber sei die Wasseraufbereitungsanlage auf einen manuellen Betrieb umgestellt worden. Die Stadt habe die volle Kontrolle. Cybersicherheitsexperten und Behörden arbeiten daran, die Anlage wieder in den normalen Betrieb zurückzuführen.

(mack)

Aus: "Ransomware: Unfallversicherung, Pharmafirmen in den USA und andere betroffen" Marie-Claire Koch (25.09.2024)
Quelle: https://www.heise.de/news/Ransomware-Unfallversicherung-Pharmafirmen-in-den-USA-und-andere-betroffen-9863136.html

https://www.arkcity.org/environmental-services/page/city-arkansas-city-faces-cybersecurity-incident

https://www.heise.de/news/Ransomware-US-Gesundheitsplattform-soll-nach-AlphV-Betrug-doppelt-zahlen-9678433.html

https://www.bloomberg.com/news/articles/2024-09-18/gang-got-75-million-for-cencora-hack-in-largest-known-ransom

https://www.theregister.com/2024/09/19/valencia_ransomware_california_city/

...