Der Ransomware-Angriff auf Südwestfalen-IT (SIT) im Oktober 2023 wurde durch eine Kombination von Sicherheitslücken und Schwächen in der IT-Infrastruktur ermöglicht. Die genaue Methode, wie die Angreifer die VPN-Zugangsdaten von Südwestfalen-IT erlangten, konnte nicht eindeutig festgestellt werden. Es gab Vermutungen, dass ein einfaches Passwort wie „Admin123456“ verwendet wurde, allerdings fand sich hierfür kein Beweis im Abschlussbericht der forensischen Untersuchung. Stattdessen wurde vermutet, dass die Angreifer möglicherweise einen Brute-Force-Angriff oder Passwort-Spraying-Techniken anwendeten, um Zugang zu erlangen.
Es wurde festgestellt, dass Südwestfalen-IT massive Probleme mit ungepatchten Cisco-Systemen hatte. Insbesondere wurde auf die Schwachstelle CVE-2023-20269 in Cisco-Produkten hingewiesen, eine Sicherheitslücke, die es einem nicht authentifizierten, entfernten Angreifer ermöglichte, einen Brute-Force-Angriff durchzuführen. Dieses Problem war ab dem 6. September 2023 durch Sicherheitsupdates von Cisco behebbar. Trotz dieser verfügbaren Patches blieben die Systeme von Südwestfalen-IT ungeschützt.
Der Angriff hatte weitreichende Folgen, da er die Dienste in über 70 deutschen Gemeinden beeinträchtigte. Lokale Regierungsdienste wurden durch die Verschlüsselung der Server des kommunalen Dienstleisters erheblich eingeschränkt. Nahezu alle Rathäuser in der betroffenen Region waren von dem Hack betroffen. Die deutschen Polizei- und Cybersicherheitsbehörden untersuchen den Hack und arbeiten daran, die Dienste für die Stadtverwaltungen wiederherzustellen.
Das Vorgehen der Akira Ransomware Gruppe
Im März 2023 wurde eine kritische Sicherheitslücke im Cisco Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) Software bekannt, die unter der Bezeichnung CVE-2023-20269 geführt wird. Diese Schwachstelle hat einen mittleren Schweregrad mit einem CVSS-Score von 5,0 und ermöglicht es nicht authentifizierten Angreifern, Brute-Force-Angriffe durchzuführen, um gültige Benutzernamen- und Passwortkombinationen zu identifizieren. Die Angreifer können auch, falls sie über gültige Anmeldeinformationen verfügen, eine clientlose SSL-VPN-Sitzung mit einem unbefugten Benutzer etablieren.
Die Akira-Ransomware-Gruppe nutzt diese Schwachstelle aus, um in Netzwerke einzudringen. Sie hat mehr als 60 Organisationen weltweit kompromittiert. Akira ist finanziell motiviert und zielt hauptsächlich auf kleine bis mittelgroße Unternehmen ab. Die Gruppe verwendet typische Ransomware-Geschäftsmodelle wie Ransomware-as-a-Service und doppelte Erpressung. Sie beschafft sich Anmeldeinformationen durch Brute-Force-Angriffe oder über Initial Access Broker (IABs) im Dark Web. Nachdem sie Zugang zum Netzwerk erhalten hat, überträgt die Gruppe Tools und Malware für Aufklärung, Credential Dumping, Datenexfiltration und seitliche Bewegungen innerhalb des Netzwerks.
Für einen erfolgreichen Angriff müssen bestimmte Bedingungen erfüllt sein, wie das Vorhandensein von Benutzern mit Passwörtern in der lokalen Datenbank oder die Konfiguration von SSL VPN auf mindestens einer Schnittstelle. Cisco hat noch keinen Patch für diese Schwachstelle veröffentlicht, empfiehlt jedoch verschiedene Workarounds, um das Risiko zu mindern, wie die Konfiguration von dynamischen Zugriffsrichtlinien, Einschränkungen der VPN-Fernzugriffe und andere Zugangskontrollen. Die Aktivierung von Protokollierung wird ebenfalls empfohlen.
Diese Sicherheitslücke und die damit verbundenen Angriffe heben die Bedeutung von Multi-Faktor-Authentifizierung (MFA) und regelmäßigen Sicherheitsüberprüfungen hervor, um Netzwerke und Organisationen vor solchen Bedrohungen zu schützen.
Für detailliertere Informationen und spezifische Empfehlungen sollten die offiziellen Mitteilungen von Cisco und Sicherheitsunternehmen konsultiert werden
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: