CyberCompare

24. September 2021: Angriff auf SRH Klinikverbund ++ FBI hielt Ransomware-Entschlüsselung zurück ++ MS-Exchange-Leak

Cyberangriff auf SRH Klinikverbund

Die SRH Holding, die deutschlandweit mehrere Kliniken und Bildungseinrichtungen betreibt, ist Opfer eines Cyberangriffs geworden. Das hat ein Unternehmenssprecher am Mittwochvormittag bestätigt. Demnach wurde die IT-Infrastruktur am vergangenen Wochenende gezielt mit einer Schadsoftware infiltriert. Noch sei unklar, wer hinter der Attacke stecke und welches Ziel die Unbekannten damit verfolgten, so der Sprecher. Auch wie und an welcher Stelle die Schadsoftware ins System kam, wird noch erforscht.

Als Schutzmaßnahme wurden die IT-Systeme der Einrichtungen heruntergefahren. Die Folge: Die Kommunikation mit dem Unternehmen und seinen Einrichtungen ist stark eingeschränkt. Durch die Arbeit ohne Computersysteme werden die Patientendokumentation an den Kliniken schriftlich erledigt. Dass alle medizinischen Bereiche ihre Arbeit derzeit ohne IT-Unterstützung ausführen müssten, beeinträchtige zwar momentan die Arbeitseffizienz, nicht aber die Qualität der Leistung an den Patientinnen und Patienten, erklärte der Sprecher.

Laut Angaben der SRH wurden Dateien verschlüsselt. Man gehe derzeit aber davon aus, dass keine Daten gestohlen worden sind. Man ist sich sicher, dass die Systeme wiederherstellbar sind und man wieder schnell in den normalen Betriebsmodus übergehen kann.

Wie es zu dem Angriff gekommen ist und wie groß die Auswirkungen tatsächlich sind, ist noch nicht bekannt.

Die SRH mit Sitz in Heidelberg beschäftigt eigenen Angaben zufolge mehr als 16 000 Mitarbeiter und machte 2019 einen Umsatz in Höhe von 1093 Millionen Euro. Zur Holding gehören 46 Tochterunternehmen im Gesundheits-, Bildungs- und Sozialwesen, darunter in der Region die Stephen-Hawking-Schule (SHS) in Neckargemünd, die SRH Hochschule Heidelberg, das Kurpfalzkrankenhaus in Heidelberg und das Gesundheitszentrum Bad Wimpfen.

Quellen:

https://www.rnz.de/wirtschaft/wirtschaft-regional_artikel,-heidelberg-srh-von-cyberangriff-betroffen-_arid,742720.html

https://www.swr.de/swraktuell/baden-wuerttemberg/karlsruhe/klinikum-karlsbad-opfer-eines-hackerangriff-100.html

Kaseya: FBI hat Ransomware-Entschlüsselung zurückgehalten

Die US-Kriminalpolizei FBI hat es in diesem Sommer wohl geschafft, an einen Schlüssel zu gelangen, mit dem Ransomware-Opfer ihre Dateien wieder entschlüsseln hätten können. Das FBI entschied sich laut einem Bericht der Washington Post jedoch dazu, den Schlüssel für sich zu behalten.

Die Zeitung beruft sich dabei auf namentlich nicht weiter genannte US-Beamte. Demnach habe es das FBI geschafft, Zugriff auf die Server der Ransomware-Bande „Revil“ zu erlangen. Revil wurde u.a. für den Cyberangriff auf Kaseya verantwortlich gemacht. Revil soll zunächst ein Rekordlösegeld von 70 Millionen US-Dollar für einen Generalschlüssel gefordert haben. Letzteren konnte sich das FBI offenbar besorgen.

In Zusammenarbeit mit anderen staatlichen Stellen habe sich das FBI aber dagegen entschieden, die Schlüssel direkt weiterzureichen – um nicht aufzufallen, wie es heißt.

Die Polizeibehörde hat dem Bericht zufolge geplant, mit ihrem Zugang zu dem Netzwerk der Angreifer eine größere eigene Operation durchzuführen, um die Angriffe zu unterbinden. Dazu kam es jedoch nicht mehr, da die Angreifer verschwunden waren, bevor das FBI die Operation ausführen konnte.

Letzten Endes gab das FBI den Schlüssel zum Dekodieren der Daten an Kaseya und deren betroffene Kunden weiter. Laut Angaben der Washington Post aber erst 19 Tage nach dem initialen Angriff.

Quellen:

https://www.washingtonpost.com/national-security/ransomware-fbi-revil-decryption-key/2021/09/21/4a9417d0-f15f-11eb-a452-4da5fe48582d_story.html

https://www.golem.de/news/revil-fbi-hat-ransomware-entschluesselung-zurueckgehalten-2109-159779.html

Exchange-Protokoll leakt Windows-Anmeldedaten ins öffentliche Netz

Ein Problem mit Microsoft-Mail-Programmen erlaubt es Angreifern unter Umständen, Anmeldedaten für Windows-Domänen auszulesen. Nun sind die Details öffentlich.

Microsofts E-Mail-Programme Outlook und Exchange haben eine Funktion, die neuen Nutzern das erste Einrichten ihres E-Mail-Kontos erleichtern soll: Der Anwender gibt zum Beispiel nur seine E-Mail-Adresse ein und das Programm findet dann die Einstellungen des dazugehörigen E-Mail-Servers ganz von alleine. Das läuft, für den Anwender unsichtbar, über ein Protokoll namens Autodiscover.

Dieses Protokoll hat konzeptionelle Fehler, die schon lange bekannt sind und von Angreifern dazu missbraucht werden können, Klartext-Anmeldedaten für E-Mail-Postfächer und sogar die lokale Windows-Domäne abzugreifen.

Sicherheitsforscher der Firma Guardicore dokumentierten nun erfolgreiche Versuche, über Autodiscover solche Anmeldedaten auszuspionieren. Insgesamt konnten sie mehr als 372.000 Anmelde-Versuche für Windows-Domänen auszuspionieren. Daraus resultierten die Anmelde-Daten von 96.671 Windows-Konten. Die Anmelde-Versuche stammten von Outlook und mobilen E-Mail-Programmen von Microsoft und anderen Anbietern, die nach der Neueinrichtung eines E-Mail-Kontos versuchten, sich mit Exchange-Servern von Organisationen zu verbinden. Bei den betroffenen Organisationen handelt es sich laut Gaurdicore um Banken, Transportunternehmen, Lebensmittelhersteller, große börsennotierte Unternehmen im chinesischen Markt sowie um Kraftwerks- und Stromnetzbetreiber in mehreren Ländern.

Guardicore konnte diese Anmeldedaten auslesen, weil sie durch einen Fehler im Design des Protokolls ins öffentliche Netz durchsickern. Die Microsoft-Mail-Programme versuchen es dem Anwender so leicht wie möglich zu machen, sein E-Mail-Konto einzurichten. Deshalb suchen sie über Autodiscover nach einer Konfigurations-URL eines Exchange-Servers in der Windows-Domäne des Anmelders. Gibt dieser eine E-Mail-Adresse ein, geht das Protokoll davon aus, dass die darin enthaltene Domäne auch die Windows-Domäne der Organisation ist.

Dass Outlook und Exchange einfache, HTTP-authentifizierte Klartext-Anmeldedaten an unbekannte Server verschicken, ist ein riesiges Problem. Zwar untersuchten die Forscher nur eine Version (basierend auf Plain Old XML oder POX) von vielen des Autodiscover-Protokolls und es gelang ihnen auch bei weitem nicht in allen möglichen Konfigurationen Daten auszulesen. Der Erfolg ihrer Datenspionage im öffentlichen Netz mit den selbst registrierten Domains sollte allerdings zu denken geben.

Das Problem ist nicht neu: Seit Jahren ist bekannt, dass Autodiscover Probleme macht. Im Jahr 2017 veröffentlichten Sicherheitsforscher von Shape Security eine detaillierte Abhandlung zu ähnlichen Autodiscover-Problemen in mobilen Mail-Programmen. Sie meldeten diese als Sicherheitslücken, die als CVE-2016-9940 und CVE-2017-2414 geführt werden.

Im Zuge der Reaktion vieler Firmen auf die Coronapandemie wird die Neuanmeldung von E-Mail-Konten aufgrund der verstärkten Verlagerung von Arbeitnehmern ins Home Office wohl noch einmal stark zugenommen haben. Das würde wohl bedeutet, dass das Erbeuten solcher Anmeldedaten weitaus lukrativer geworden ist.

Quelle: https://www.heise.de/news/Autodiscover-Exchange-Protokoll-leakt-Windows-Anmeldedaten-ins-oeffentliche-Netz-6199548.html

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.