CyberCompare

2. Juli 2021: Cyber-Angriff auf Modekette ++ 11 Ransomware-Opfer in Weiden ++ Schadcode-Lücke in Windows

Cyber-Angriff auf Modekette Gerry Weber

Die deutsche Textilhandelskette Gerry Weber wurde Opfer eines Cyber-Angriffs. Als Folge wurde das IT-System des Bekleidungshändlers deutschlandweit über eine Woche lang lahmgelegt.

Man habe „den Versuch Dritter, Kontrolle über die IT-Systeme zu erlangen, erfolgreich abwehren können“, heißt es seitens der Gerry-Weber-Pressestelle. Als Vorsichtsmaßnahme habe man dennoch möglicherweise betroffene Systeme heruntergefahren. Wer hinter dem Cyber-Angriff steckt, ist bisher unklar. „Es wurden zwar verdächtige Aktivitäten entdeckt, aber weder wurde bis heute eine Ransomware installiert, noch wurden Lösegeldforderungen gestellt“, sagt eine Sprecherin des Unternehmens.

Erst 2019 hatte die Modekette ein Insolvenzverfahren einleiten müssen. Im Zug der Insolvenz seien auch hauseigene IT-Mitarbeiter entlassen worden. Unternehmensintern wird spekuliert, dass der Cyberschutz des Unternehmens daher unzureichend gewesen sein könnte. Die Unternehmensleitung dementiert das als Gerüchte, erklärt aber, externe Cyber-Security Experten an Bord geholt zu haben.

„Mittlerweile wurde die IT-Verfügbarkeit bis auf wenige Ausnahmen wieder vollumfänglich hergestellt“, heißt es von Gerry Weber. Nach derzeitigem Kenntnisstand der eingeschalteten Cyber-Security Experten sind wohl keine persönlichen Kundendaten abgegriffen worden. Gerry Weber hat Anzeige bei der Polizei erstattet und die zuständige Datenschutzbehörde LDI informiert.

Quelle:

https://www.westfalen-blatt.de/owl/hacker-attacke-auf-gerry-weber-ag-1380662

https://www.businessinsider.de/wirtschaft/handel/hackerangriff-auf-gerry-weber-it-system-und-kunden-betroffen-a/

Ransomware-Angriff auf 11 Unternehmen in Weiden

In der bayerischen Stadt Weiden bedroht eine Ransomware-Attacke die Existenz von Unternehmen: Während der Bayerische Rundfunk von 11 Opfern berichtet, schreibt das Lokalblatt der „Neue Tag“ von 15 bis 20 betroffenen Unternehmen. Es sei einer der „aktuell schwerwiegendsten Fälle von Cybercrime im gesamten deutschsprachigen Raum“, zitiert das Blatt einen Szene-Insider. Die Ostbayerische Technische Hochschule veröffentlicht tagesaktuelle sicherheitsrelevante Hinweise: 

Quelle: https://www.oth-aw.de/informieren-und-entdecken/einrichtungen/rechenzentrum/informationssicherheit/

Die Kriminalpolizei Weiden ermittelt zusammen mit der Zentralstelle Cybercrime Bayern, die bei der Generalstaatsanwaltschaft Bamberg angesiedelt ist. Wie deren Sprecher Christian Schorr dem BR mitteilt, gehen die Ermittler derzeit davon aus, dass die Schadsoftware von einem Unternehmen auf weitere Firmen überging, die mit dem betroffenen Unternehmen in Kontakt stehen.

Die Täter gelangten in das IT-Netzwerk der Unternehmen und hinterlegen in den meisten Fällen eine unverschlüsselte Textdatei. In dieser Textdatei stehen dann die Anweisungen, meist eine Forderung von Lösegeld. Details zu den konkreten Fällen gibt es nicht, weil die Ermittlungen noch laufen, hieß es. Täter seien in solchen Fällen schwer ausfindig zu machen, so Schorr von der Generalstaatsanwaltschaft Bamberg.

Vor diesen Angriffen sind auch größere Unternehmen nicht gefeit. Die Zentralstelle Cybercrime Bayern empfiehlt daher ein schlüssiges Backup-Konzept. Das müsse ausschließen, dass auch Backup-Dateien im Internet herausgefunden und verschlüsselt werden können.

Die Cyberkriminalität hat in den letzten Jahren zugenommen. Die Bayerische Staatsregierung hat deshalb im Jahr 2019 eine Cybercrime-Hotline für Opfer von Computer-Kriminalität eingerichtet. Unter 089 1212 4400 erhalten die Betroffenen Hilfe von Expertinnen und Experten, die sie zur entsprechenden Stelle weiterleiten oder direkt helfen.

Quellen:

https://www.br.de/nachrichten/bayern/hackerangriff-auf-elf-unternehmen-in-weiden,Sbd9cOf

https://www.idowa.de/inhalt.cyber-angriff-hacker-fordern-loesegeld-fuer-daten-von-oberpfaelzer-firmen.5d6141d3-f754-4a03-91d7-b1c4f41b89dd.html 

PrintNightmare: Schadcode-Lücke in Windows bedroht ganze Netzwerke

Derzeit ist Exploit-Code in Umlauf, der an einer bislang ungepatchten Sicherheitslücke in vielen Windows-Versionen ansetzt. Ein Sicherheitsupdate ist bislang nicht verfügbar. Es gibt aber einen Workaround, über den Admins Systeme vor Attacken schützen können.

Diese Schwachstelle wird als kritisch eingestuft, weil sie es Angreifern erlaubt, Windows-Domänenserver zu übernehmen und auf einfache Weise Malware im gesamten Unternehmensnetzwerk zu verteilen.

Das Problem findet sich im Printer-Spooler-Service von Windows. Aufgrund der langen Liste von Fehlern, die diese Komponente im Laufe der Jahre mit sich gebracht hat, bezeichnen die Forscher das Problem als „PrintNightmare“. Dem derzeitigen Informationsstand zufolge sind davon alle Versionen von Windows 7 SP1 bis Server 2019 betroffen. Verschiedene Sicherheitsforscher geben an, vollständig gepatchte Systeme mit Windows Server 2019 erfolgreich attackiert zu haben. Als Ergebnis konnten sie Schadcode mit System-Rechten ausführen. Passiert das auf einem Domain-Server, könnten Angreifer sich im Netzwerk ausbreiten und weitere Computer mit Malware infizieren.

Das Bekanntwerden der Details zu dieser Sicherheitslücke war ein Versehen: Am Patchday im Juni hat Microsoft eine ähnliche Sicherheitslücke (CVE-2021-1675, „hoch“) in Printer Spooler geschlossen. Für die neue Schwachstelle existiert bislang noch keine CVE-Nummer und Einstufung des Bedrohungsgrads. Sicherheitsforscher sprechen von einem kritischen Bug.

Das Problem ist, dass Forscher von Sangfor versehentlich Exploit-Code für die neue Lücke veröffentlicht haben. Das geschah im Zuge der Vorbereitungen für einen Vortrag über Printer-Spooler-Bugs auf der anstehenden Hacker-Konferenz Black Hat im August 2021. Erst nach der Veröffentlichung stellte sich heraus, dass der Code gar nicht für die bereits geschlossene Lücke ist, sondern für eine neue Schwachstelle. Doch da war es bereits zu spät und der Zero-Day-Exploit kursiert im Netz.

Bislang hat Microsoft keinen Sicherheitspatch angekündigt. Das Update komme wohl erst am nächsten Patchday (13. Juli). Bis dahin sollten Admins den Print-Spooler-Service deaktivieren.

Angreifer, insbesondere Ransomware-Gruppen, werden wahrscheinlich die Gelegenheit nutzen und Unternehmensnetzwerke angreifen, da es leicht möglich ist Anmeldeinformationen für Domänenbenutzer mit eingeschränkten Rechten zu erhalten, so Sicherheitsforscher Jonas Lykkegård gegenüber BleepingComputer.

Quelle:

https://www.bleepingcomputer.com/news/security/tulsa-warns-of-data-breach-after-conti-ransomware-leaks-police-citations/

https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.