Akira: Ransomware-Angriff durch geratenes Passwort

Akira: Ransomware-Angriff durch geratenes Passwort in Südwestfalen

Der Ransomware-Angriff durch die Hackergruppe Akira auf die Südwestfalen-IT (SIT) wurde offenbar durch ein schwaches Passwort, das Fehlen der Mehrfaktor-Authentifizierung und eine schlecht gewartete VPN-Appliance ermöglicht. Diese Schlussfolgerung stammt aus dem Bericht eines IT-Forensikunternehmens, den der kommunale IT-Verbund nun veröffentlicht hat.

Die Angreifer begannen anscheinend bereits am 18. Oktober damit, Zugangsdaten auszuprobieren, und erbeuteten bald darauf die VPN-Kennung eines Mitarbeiters der SIT. Mit diesem Zugang, der nicht durch Mehr-Faktor-Authentifizierung (MFA) geschützt war, bewegten sich die Kriminellen von niederländischen und US-amerikanischen IP-Adressen aus weiter. Sie erkundeten das SIT-Netzwerk und starteten am 29. Oktober die Verschlüsselung der Systeme.

Sicherheitslücke in Cisco-Appliance nicht behoben

Die Ransomware-Bande Akira nutzte eine Sicherheitslücke in einer Cisco-ASA, einer „Adaptive Security Appliance“, die als Firewall und VPN-Endpunkt fungiert. Der Fehler mit der CVE-ID CVE-2023-20269 und einer CVSS-Punktzahl von immerhin 9,1 (Einstufung „kritisch“) war bereits seit September des vergangenen Jahres bekannt, blieb jedoch im SIT-Netzwerk offenbar unbeachtet. Dass Cisco selbst von einer deutlich geringeren Gefahr ausging (CVSS 5,0, „mittel“), trug sicherlich nicht zur Lösung der Situation bei.

Dennoch bleibt ein bitterer Nachgeschmack, denn bereits im August hatte der Hersteller vor Ransomware-Angriffen auf schlecht geschützte ASA-Appliances gewarnt. Warum diese Warnung von den SIT-Netzwerkadministratoren nicht beachtet wurde, blieb unklar.

Nachdem sie einmal im Netz waren, durchforsteten die digitalen Eindringlinge die SIT-Infrastruktur weitgehend unbehelligt von den Verteidigungsmaßnahmen der Netzwerkadministratoren. Scan-Aktivitäten wurden zwar durch eine Symantec-Software erkannt, jedoch offenbar weder unterbunden noch an die Administratoren gemeldet. Der eigentliche Verschlüsselungsangriff fand zwischen dem Vormittag des 29. Oktober und dem Folgetag statt: Insgesamt infizierten die vermutlich russischsprachigen Kriminellen über 960 Systeme.

SIT-Vertreter zeigten sich dennoch stolz auf ihr Team, das in der Krise schnell reagiert hat. Auch die Tatsache, dass Backups zur Verfügung standen – die Cyberkriminellen konnten diese aufgrund fehlender gültiger Veeam-Zugangsdaten nicht verschlüsseln – trug zur erfolgreichen Wiederherstellung bei. Zu keinem Zeitpunkt gab es Kontakt zu den Erpressern – eine Lösegeldzahlung schloss der SIT-Sprecher kategorisch aus. Es gab auch keinen Hinweis auf einen Datenabfluss, daher lässt die SIT den Erpressungsversuch ins Leere laufen. Derzeit taucht die Südwestfalen-IT auf den Darknet-Seiten der Akira-Bande weder in der Kategorie „Leaks“ noch in der News-Kategorie auf, in der die Erpresser über erfolgreiche Angriffe informieren.

Es liegt noch viel Arbeit vor den Westfalen. Verbandsvorsteher Melcher betont in einer Pressemitteilung, dass der Ransomware-Angriff „beträchtliche Auswirkungen sowohl auf uns als auch unsere Kunden und die Bürgerinnen und Bürger“ hatte. Die Beseitigung dieser Auswirkungen hat nach wie vor höchste Priorität für die Südwestfalen. Wann alle Fachverfahren und IT-Komponenten wiederhergestellt sein werden, konnte ein Sprecher jedoch nicht vorhersagen. Der Wiederanlauf erfolgt in mehreren Phasen – aufgrund der Komplexität des SIT-Netzwerks ist eine genaue Prognose unmöglich. Zumindest sollen die wichtigsten Fachverfahren – wie die KFZ-Zulassung oder Ausweis-Beantragung – bis Ende des ersten Quartals wieder in den Normalbetrieb überführt werden.

Der Verband kann derzeit noch keine Angaben zu den finanziellen Auswirkungen des Angriffs machen. Diese hängen stark vom Umfang der Wiederaufbauarbeiten ab und können daher derzeit noch nicht beziffert werden, erklärte der SIT-Sprecher.

Nach dem Wiederaufbau der digitalen Infrastruktur in den Verbandskommunen steht für die SIT die kritische Auseinandersetzung mit den Ursachen des Angriffs an. Warum wichtige Updates offensichtlich nicht eingespielt wurden und warum trotz anderslautender Warnungen des Herstellers keine Mehr-Faktor-Authentifizierung für das VPN der

Facebook
LinkedIn
Twitter
XING
Email

Jüngste Beiträge

Kategorien
Schlagwörter
Nach oben scrollen
Die neuesten Cybernews

Melde dich zu unserem Newsletter an!

Sei deinen Angreifern immer einen Schritt voraus mit den aktuellen Cybersecurity News!

Privatsphäre-Einstellungen

Entscheiden Sie, welche Cookies Sie zulassen möchten. Sie können diese Einstellungen jederzeit ändern. Dies kann jedoch dazu führen, dass einige Funktionen nicht mehr zur Verfügung stehen. Informationen zum Löschen der Cookies finden Sie in der Hilfe Ihres Browsers. ERFAHREN SIE MEHR ÜBER DIE VON UNS VERWENDETEN COOKIES.

Mit dem Schieberegler können Sie verschiedene Arten von Cookies aktivieren oder deaktivieren:

  • alles blockieren
  • Wesentliches
  • Funktionalität
  • Analytik
  • Werbung

Diese Website wird

Diese Website wird nicht

  • Remember which cookies group you accepted
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Merken Sie sich Ihre Login-Daten
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Speichern & Schließen