CyberCompare

20. August 2021: 100M gestohlene T-Mobile Datensätze ++ Cyber-Angriff auf Accenture ++ Schweizer Kliniken angegriffen

Über 100 Millionen gestohlene Datensätze bei T-Mobile

Die amerikanische Telekom-Tochter T-Mobile ist Opfer eines Cyberangriffs geworden. Das bestätigte T-Mobile am vergangenen Dienstag. Die Angreifer hätten sich Zugang zu „einigen Daten verschafft“. Man wisse allerdings nicht, ob persönliche Kundendaten betroffen seien.

Laut Medienberichten habe der Angreifer 100 Datensätze von T-Mobile erbeutet. Unter den Daten sollen auch persönliche Kundeninformationen wie Namen, Telefonnummern, Adressen sowie die US-Sozialversicherungsnummern und Führerschein-Daten.

In einem Forum soll der Cyber-Kriminelle 6 Bitcoin, etwa 270.000 Dollar, für eine Teilmenge der Daten, die 30 Millionen Sozialversicherungsnummern und Führerschein-Daten enthält, verlangen. Gegenüber der Online-Plattform Motherboard sagte der Verkäufer, dass er den Rest der Daten im Moment privat verkauft.

„Ich denke, sie haben es bereits herausgefunden, weil wir den Zugang zu den Backdoored-Servern verloren haben“, so der Angreifer, der sich dabei auf die mögliche Reaktion von T-Mobile auf den Einbruch bezog.

In einem Statement an Motherboard erklärte T-Mobile, dass sie bereits von dem Verkauf der potenziell erbeuteten Daten wissen.

T-Mobile US will aber erst weiter prüfen, auf welche Daten zugegriffen wurde. Dies werde einige Zeit in Anspruch nehmen. Erst danach werde man auch sagen können, wie viele Kunden-Accounts betroffen seien.

Quellen:

https://www.vice.com/en/article/akg8wg/tmobile-investigating-customer-data-breach-100-million

https://www.spiegel.de/netzwelt/t-mobile-telekom-tochter-in-den-usa-bestaetigt-cyberangriff-a-d56552c6-e105-46f7-aab8-69f52eb49bce

Cyberangriff auf Accenture: Angreifer drohen mit weiteren Leaks

Die Unternehmensberatung Accenture hat erst vor wenigen Tagen vor Cyberangriffen auf Großkonzerne gewarnt, nun ist sie selbst Opfer einer Cyber-Attacke geworden.

Eine Hackergruppe hat am Mittwochabend Tausende Dokumente des IT-Dienstleisters veröffentlicht und wenige Stunden später den Leak weiterer Daten angekündigt.

Der Cyber-Angriff auf Accenture soll auf der Leak-Site angekündigt worden sein: „Für diese Menschen gibt es keine Privatsphäre und keine Sicherheit mehr. Ich hoffe wirklich, dass ihre Dienste besser sind als das, was ich als Insider gesehen habe“, heißt es in einem Kommentar auf dem Blog der Angreifer im Darknet. Dort sollen die Cyber-Kriminellen fast 2400 Dateien veröffentlicht haben. Darunter interne Präsentationen und Arbeitspapiere von Accenture. Dabei soll es sich überwiegend um wenig brisantes Marketingmaterial handeln. Der Schaden für das IT-Beratungsunternehmen dürfte sich bislang also auf die eigene Reputation beschränken. Um den Druck zu erhöhen, haben die Hacker in der Nacht von Mittwoch auf Donnerstag angekündigt, weitere Daten zu veröffentlichen.

Die Angreifer sollen die Accenture-Daten mithilfe der Erpressersoftware Lockbit 2.0 erbeutet haben.

Hinter Lockbit steht nach Einschätzung von IT-Sicherheitsexperten eine professionelle Hackergruppe im russischsprachigen Raum. Sie sei seit September 2019 aktiv und habe seitdem weltweit Tausende Organisationen beeinträchtigt, heißt es in einer Untersuchung der Firma Emsisoft.

Die Cyber-Kriminellen operieren dabei mit „Ransomware as a Service“: Sie programmieren die Verschlüsselungssoftware und stellen Infrastruktur für die Kommunikation mit betroffenen Organisationen sowie die Bezahlung der Lösegelder. Für die Cyber-Attacke selbst engagieren sie Partner, die nach Angaben von Emsisoft 70 bis 80 Prozent des Lösegeldes erhalten.

LockBit-Angriffe seien dafür bekannt, dass sie Windows-Domains mit Hilfe von Active Directory-Gruppenrichtlinien verschlüsseln könnten. „Sobald eine Domain infiziert ist, werden von der Malware neue Gruppenrichtlinien erstellt und an die mit dem Netzwerk verbundenen Geräte gesendet. Hier deaktivieren die Richtlinien den Virenschutz und implementieren die Malware.“

Accenture hat am Mittwochabend bestätigt, dass das Unternehmen „eine Unregelmäßigkeit“ entdeckt und die entsprechenden Server umgehend isoliert habe. Die betroffenen Systeme seien mithilfe eines Back-ups wiederhergestellt worden. „Es gab keine Auswirkungen auf den Betrieb von Accenture oder auf die Systeme unserer Kunden“, teilte eine Sprecherin mit. Die Accenture-Aktie gab nach dem Angriff leicht nach.

Quellen:

https://www.handelsblatt.com/technik/it-internet/lockbit-ransomware-cyberangriff-auf-accenture-hacker-veroeffentlichen-daten-von-it-berater-und-kuendigen-weitere-leaks-an/27511932.html?ticket=ST-8598735-ovv4tgKw40RNdSRERgGH-ap1

https://www.datensicherheit.de/accenture-lockbit-ransomware-angriff

Nach Cyber-Angriff auf Kliniken in der Schweiz: Patienten nach Hause geschickt

Die Pallas Klinikgruppe, die in der Schweiz 20 Standorte betreibt, wurden am Donnerstag Opfer einer Cyberattacke. Betroffen waren gleich mehrere Standorte, darunter Solothurn, Olten und Grenchen.

Die Systeme seien verschlüsselt worden, weshalb Teile der IT nicht mehr zugänglich waren. Um sensible Daten zu schützen, habe man sofort alle IT-Systeme heruntergefahren.

Als Folge hatten die Kliniken keinen Zugriff mehr auf Patientendaten und musste einige Patienten am Donnerstag und Freitag wieder nach Hause schicken. Die elektronische Patientenakte sei von dem Angriff aber nicht betroffen gewesen, versichert die Klinik. Auch geplante Operationen konnten jederzeit durchgeführt werden. „Der Betrieb war sichergestellt“, erklärt Sprecherin Dliah Kremer.

Inzwischen seien die Patientendaten größtenteils wieder zugänglich. Die Kommunikationskanäle sind seit dem Cyber-Angriff aber immer noch stark eingeschränkt. Alle Anfragen laufen über eine Hauptnummer.

„Wir sind daran alles wieder hochzufahren. Das braucht aber Zeit“

– Daliah Kremer, Sprecherin der Pallas Kliniken.

Wer die Klinikgruppe angegriffen hat und ob es eine Lösegeldforderung gibt, ist nicht bekannt. Pallas hat lediglich bekannt gegeben in Kontakt mit Behörden und Sicherheitsexperten zu stehen.

Quelle:

https://www.grenchnertagblatt.ch/solothurn/kanton-solothurn/it-systeme-pallas-kliniken-mussten-nach-cyber-angriff-einige-patienten-heimschicken-ld.2174369

https://www.medinside.ch/de/post/cyber-angriff-auf-privatklinikgruppe

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.