Südwestfalen IT Hack: Hackergruppe Akira hatte leichtes Spiel

Table of Contents

Der Ransomware-Angriff auf Südwestfalen-IT (SIT) im Oktober 2023 wurde durch eine Kombination von Sicherheitslücken und Schwächen in der IT-Infrastruktur ermöglicht. Die genaue Methode, wie die Angreifer die VPN-Zugangsdaten von Südwestfalen-IT erlangten, konnte nicht eindeutig festgestellt werden. Es gab Vermutungen, dass ein einfaches Passwort wie “Admin123456” verwendet wurde, allerdings fand sich hierfür kein Beweis im Abschlussbericht der forensischen Untersuchung. Stattdessen wurde vermutet, dass die Angreifer möglicherweise einen Brute-Force-Angriff oder Passwort-Spraying-Techniken anwendeten, um Zugang zu erlangen.

Es wurde festgestellt, dass Südwestfalen-IT massive Probleme mit ungepatchten Cisco-Systemen hatte. Insbesondere wurde auf die Schwachstelle CVE-2023-20269 in Cisco-Produkten hingewiesen, eine Sicherheitslücke, die es einem nicht authentifizierten, entfernten Angreifer ermöglichte, einen Brute-Force-Angriff durchzuführen. Dieses Problem war ab dem 6. September 2023 durch Sicherheitsupdates von Cisco behebbar. Trotz dieser verfügbaren Patches blieben die Systeme von Südwestfalen-IT ungeschützt.

Der Angriff hatte weitreichende Folgen, da er die Dienste in über 70 deutschen Gemeinden beeinträchtigte. Lokale Regierungsdienste wurden durch die Verschlüsselung der Server des kommunalen Dienstleisters erheblich eingeschränkt. Nahezu alle Rathäuser in der betroffenen Region waren von dem Hack betroffen. Die deutschen Polizei- und Cybersicherheitsbehörden untersuchen den Hack und arbeiten daran, die Dienste für die Stadtverwaltungen wiederherzustellen.

Das Vorgehen der Akira Ransomware Gruppe

Im März 2023 wurde eine kritische Sicherheitslücke im Cisco Adaptive Security Appliance (ASA) und Firepower Threat Defense (FTD) Software bekannt, die unter der Bezeichnung CVE-2023-20269 geführt wird. Diese Schwachstelle hat einen mittleren Schweregrad mit einem CVSS-Score von 5,0 und ermöglicht es nicht authentifizierten Angreifern, Brute-Force-Angriffe durchzuführen, um gültige Benutzernamen- und Passwortkombinationen zu identifizieren. Die Angreifer können auch, falls sie über gültige Anmeldeinformationen verfügen, eine clientlose SSL-VPN-Sitzung mit einem unbefugten Benutzer etablieren.

Die Akira-Ransomware-Gruppe nutzt diese Schwachstelle aus, um in Netzwerke einzudringen. Sie hat mehr als 60 Organisationen weltweit kompromittiert. Akira ist finanziell motiviert und zielt hauptsächlich auf kleine bis mittelgroße Unternehmen ab. Die Gruppe verwendet typische Ransomware-Geschäftsmodelle wie Ransomware-as-a-Service und doppelte Erpressung. Sie beschafft sich Anmeldeinformationen durch Brute-Force-Angriffe oder über Initial Access Broker (IABs) im Dark Web. Nachdem sie Zugang zum Netzwerk erhalten hat, überträgt die Gruppe Tools und Malware für Aufklärung, Credential Dumping, Datenexfiltration und seitliche Bewegungen innerhalb des Netzwerks.

Für einen erfolgreichen Angriff müssen bestimmte Bedingungen erfüllt sein, wie das Vorhandensein von Benutzern mit Passwörtern in der lokalen Datenbank oder die Konfiguration von SSL VPN auf mindestens einer Schnittstelle. Cisco hat noch keinen Patch für diese Schwachstelle veröffentlicht, empfiehlt jedoch verschiedene Workarounds, um das Risiko zu mindern, wie die Konfiguration von dynamischen Zugriffsrichtlinien, Einschränkungen der VPN-Fernzugriffe und andere Zugangskontrollen. Die Aktivierung von Protokollierung wird ebenfalls empfohlen.

Diese Sicherheitslücke und die damit verbundenen Angriffe heben die Bedeutung von Multi-Faktor-Authentifizierung (MFA) und regelmäßigen Sicherheitsüberprüfungen hervor, um Netzwerke und Organisationen vor solchen Bedrohungen zu schützen.

Für detailliertere Informationen und spezifische Empfehlungen sollten die offiziellen Mitteilungen von Cisco und Sicherheitsunternehmen konsultiert werden​

Related Posts

Authenfizierungsbeipass: Fortras GoAnywhere MFT jetzt patchen

Der kritische Authentifizierungsbypass in Fortras GoAnywhere Managed File Transfer (MFT) Produkt, bezeichnet als CVE-2024-0204, wurde am 1. Dezember 2023 entdeckt und von den Sicherheitsforschern Mohammed Eldeeb und Islam R Alater gemeldet. Fortra veröffentlichte am 7. Dezember einen Patch für diese Schwachstelle, jedoch wurde die Beratung erst am 22. Januar öffentlich bekannt gemacht​​​​​​.

Read More

Erste Zero Day Lücke 2024 bei Safari Browser entdeckt

Die kürzlich entdeckte Zero-Day-Sicherheitslücke in Apples WebKit, die den Safari-Browser antreibt, wurde als CVE-2024-23222 identifiziert und ist bereits in der Liste der “Known Exploited Vulnerabilities” (KEV) der US Cybersecurity and Infrastructure Security Agency (CISA) aufgeführt​​​​. Dies deutet darauf hin, dass die Schwachstelle aktiv ausgenutzt wird und daher besonders einflussreich sein könnte.

Read More

Das Bigpanzi Botnetz hat schon 170.000 Smart-TVs infiziert

Das aus Brasilien kommende Bigpanzi-Botnetz infiziert Geräte, indem es Android-basierte Smart-TVs und andere Streaming-Hardware über gefälschte Apps und Firmware-Updates befällt. Mittlerweile sollen über 170.000 Geräte von der Infektion betroffen sein. Ein typisches Infektionsszenario beginnt damit, dass Benutzer auf verdächtigen Streaming-Webseiten surfen und dort zum Herunterladen einer schädlichen App für ihren Smart-TV verleitet werden. Nach der Installation dieser App wird das Gerät heimlich kompromittiert und für verschiedene Cyberkriminalitätsaktivitäten missbraucht. Eine Infektion ist alternativ auch über ein bösartiges Android Firmware Update aus unsicheren Quellen oder über illegal erworbene Filme möglich.

Read More