Top Thema
Totgecybert? Kollateralschäden von Ransomware
Ein eventuelles erstes Todesopfer eines Cyberangriffs in Deutschland hat die Debatte um Kritische Infrastrukturen und IT-Sicherheit in Krankenhäusern aufgeschreckt. Ein fehlgeleiteter Ransomware-Angriff auf das Uniklinikum Düsseldorf – es sollte eigentlich „nur“ die Universität treffen – hat zum Shutdown des Krankenhausbetriebs geführt. Obwohl die in Russland vermuteten Täter der Gruppe DoppelPaymer nach Mitteilung des Irrtums durch die Polizei umgehend die Schlüssel herausrückten, um das Krankenhaus wieder in Gang zu bringen, laufen nun Ermittlungen wegen des Verdachts der fahrlässigen Tötung einer Patientin, die statt in die nahe Uni-Klinik in ein weiter entferntes Krankenhaus gebracht worden und gestorben war. Ein eventuelles Gerichtverfahren wäre Neuland und ein möglicher Präzedenzfall für den Umgang mit Angriffen auf Kritische Infrastrukturen. Ähnlich wie bei anderen aktuellen Themen – etwa den Mordanklagen gegen Raser – bewegen sich hier nicht nur Ermittlungsbehörden, sondern auch Gerichte auf dünnem Eis. Gleichzeitig dürfte die Auseinandersetzung mit dem und über das Thema entscheidend mitgestaltend daran sein, wie wir als Gesellschaft Verantwortung und Rechenschaft im Internet sehen, leben und verfolgen wollen.
Neuigkeiten
Fuhrpark im Visier – Erpresserangriff auf Fahrdienst der Bundeswehr
Die Fahrdienst-Tochter der Bundeswehr „Bundeswehr Fuhrpark Service“ ist Opfer eines Emotet-Angriffs geworden. Aufgrund besonders sensibler personenbezogener Daten innerhalb des Fahrdienstes des Deutschen Bundestages war zwischenzeitlich das politische Interesse an dem Vorfall sehr groß; inzwischen wurde jedoch klar, dass es sich nicht um einen gezielten Angriff handelt, sondern um ungezielte Erpressung ging.
https://www.behoerden-spiegel.de/2020/08/17/hacker-griffen-fuhrpark-der-bundeswehr-an/
HISOLUTIONS: Warnung: Ransomware-Angriffe als Folge von Shitrix
Monate nach dem Auftauchen der kritischen Sicherheitslücke im Citrix Application Delivery Controller (ADC) und NetScaler Gateway (CVE-2019-19781, auch als “Shitrix“ bekannt) werden nun immer mehr Fälle bekannt, in denen die Lücke sehr früh ausgenutzt, jedoch erst sehr viel später lukrativ verwendet wurde bzw. aktuell wird – siehe Uniklinikum Düsseldorf (Top Thema oben). Hier geht es zum aktuellen Advisory unseres Incident Response Teams:
https://research.hisolutions.com/2020/09/warnung-aktuelle-ransomware-angriffe-als-folge-von-shitrix/
Englisch: https://research.hisolutions.com/2020/09/warning-current-ransomware-attacks-as-a-result-of-shitrix/
Schweigegeld: Organisationen trotz Backups erpressbar
Seit neuestem häufen sich die Fälle, in denen Institutionen die Forderungen von Ransomware-Erpressern zahlen, obwohl sie dank korrekter Backups die Daten wiederherstellen konnten: Die Verbrecher setzen das Mittel der Drohung der Veröffentlichung der vor der Verschlüsselung gestohlenen Daten derart geschickt ein, dass in diesem Fall etwa die University of Utah lieber 457.000 US-Dollar berappte.
https://www.zdnet.com/article/university-of-utah-pays-457000-to-ransomware-gang/
Von wegen diebische Elster: Nutzerdaten aus Elster-Anwenderforum gestohlen
In einem Anwenderforum zur Online-Finanzamt-Software „Mein Elster“ des bayerischen Landesamts für Steuern war eine lückenhafte Forensoftware vBulletin im Einsatz, über die Angreifer Nutzerdaten abgreifen konnten. Das Elster-Onlinefinanzamt selbst war hiervon ausdrücklich nicht betroffen, trotzdem droht in solchen Fällen ein zumindest vorübergehender Vertrauensverlust auch für das Hauptangebot.
Tor zu: Cyberangriff auf DFB
Auch der Deutsche Fußballbund wurde Opfer einer Cyberattacke. Laut Verband war „nur“ die Office-IT betroffen.
https://www.dfb.de/news/detail/dfb-wurde-opfer-eines-cyberangriffs-219159/
Zero Trust verdient: Zerologon erlaubt Vollkompromittierung einer Domain
Forscher der niederländischen Firma Secura haben einen Exploit für die Windows-Sicherheitslücke „Zerologon“ (CVE-2020-1472) veröffentlicht, der es einem Angreifer erlaubt, von einem einzelnen Windows-Client aus die ganze Domäne zu übernehmen. Microsoft hat die mit der maximalen CVSS 10 bewertete Schwachstelle im August-Patch Tuesday geschlossen.
https://www.secura.com/pathtoimg.php?id=2055
ifconfig down under up – Australien rüstet cyber auf
Five-Eyes-Mitglied Australien hat eine neue Cyberstrategie vorgestellt, die in nicht unerheblichem Anteil auch offensive Elemente umfasst. Insgesamt will man über 10 Jahre fast 1,7 Milliarden AUS-Dollar in die Hand nehmen, um die Fähigkeiten im Cyberraum auszubauen. Neben allgemeinen Vorgaben an Kritische Infrastrukturen wird auch diskutiert, wie der Staat in die Notfallbewältigung von Institutionen eingreifen kann, wenn diese hierzu nicht selbst angemessen in der Lage sind.
https://blog.lukaszolejnik.com/analysis-of-interesting-points-in-australian-2020-cybersecurity-strategy/
(mit Links auch zu Analysen der Strategien von USA, Irland, Niederlande, Frankreich und Luxemburg)
Tsetsetsetsetse-Fliege: C5-Tsusätse
Das BSI hat zum Cloud-Security-Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) zwei Zusatzdokumente veröffentlicht, die Testierung und Interpretation erleichtern. Die Kurzübersicht zur Berichterstattung fasst grundlegende Elemente des C5-Prüfungsberichts als Orientierungshilfe für den Prüfer zusammen. Der Auswertungsleitfaden gibt Cloud-Kunden eine Struktur vor, einen C5-Bericht systematisch auszuwerten, um die eigenen Controls für die Nutzung einzurichten und hierdurch das mit der Cloud-Nutzung verbundene Risiko einschätzen und steuern zu können.
Sehr fette Finger – KMPG löscht versehentlich Chats von 145.000 Mitarbeitern
Neue Technologie in etablierte (Sicherheits-)Strukturen und eine vernünftige Governance zu bekommen, ist immer eine Herausforderung. Das musste diesmal KPMG erfahren, wo ein IT-Mitarbeiter offenbar versehentlich Chats von 145.000 Mitarbeitern in der Anwendung Microsoft Teams unwiderruflich gelöscht hat. Es sei jedoch „lediglich die persönliche Chat Historie betroffen“.
https://www.n-tv.de/wirtschaft/Mitarbeiter-loescht-aus-Versehen-KPMG-Chats-article21994942.html
Der Schneider hat die schlechtesten Cyber: Ransomware-Schützer geransomed
Iss Dein eigenes Hundefutter, heißt es. Denn erst dann merkst Du, was es taugt. Die auf Ransomware-Detektion spezialisierte Firma Cygilant wurde Opfer einer Ransomware. Keine weiteren Anmerkungen.
https://techcrunch.com/2020/09/03/cygilant-ransomware/
LESETIPPS
Fail Safe
Wunderschöne Liebeserklärung von Bloggerlegende Felix von Leitner (Fefe) an die Programmiersprache Rust im Speziellen und an sichere Programmiersprachen im Allgemeinen.
Priceless
Der Privacy-Forscher Lukasz Olejnik rechnet vor, was anderen unsere Datenspuren im WWW wert sind.
https://lukaszolejnik.com/rtbdesc
Spannend
Sherrod DeGrippo von Proofpoint erzählt von den neuesten Entwicklungen in der Ransomware-Industrie. „Fallen zwei oder drei Gangs weg, kommen fünf neue."
It’s always DNS – aber sicher!
Das Tunneln von DNS-Anfragen über TLS (DoT) oder HTTPS (DoH) verspricht Sicherheits- und Datenschutzvorteile, die unser Kollege Michael Sehring hier untersucht:
https://research.hisolutions.com/2020/09/securing-dns-traffic-an-introduction-to-dot-doh/
Der nächste HiS-Cybersecurity Digest erscheint Ende Oktober 2020.
Lesen Sie hier auch alle HiS-Cybersecurity Digests der letzten Monate.
Kontaktieren Sie uns gern mit Rückfragen und Anregungen!