CyberCompare

25. Juni 2021: Cyber-Angriff von „enormen Ausmaßen“ ++ Sicherheitslücke bei DELL ++ Einwohnerdaten offengelegt

Cyber-Angriff von „enormen Ausmaßen“ bei SalzburgMilch

Laut SalzburgMilch handelt es sich um einen Cyber-Angriff von enormen Ausmaßen: Der Angriff begann am Dienstag um 22 Uhr. Die Täter hätten es geschafft alle Passwörter zu verändern, sodass es zu einem Totalausfall der IT-Systeme kommen konnte. Die Produktion des Salzburger Milchhofes musste eingestellt werden. Die Logistik und somit auch das Bestell-System liegen nach wie vor lahm.

Seit Mittwoch arbeiten Techniker daran, die EDV-Systeme im Unternehmen wieder instand zu setzen. „Es ist uns mittlerweile gelungen einen Notbetrieb zu starten, damit die angelieferte Milch auch wieder verarbeitet werden kann. Der Logistikbereich konnte leider noch nicht reaktiviert werden, weshalb wir derzeit nicht an unsere Handelspartner ausliefern können. Wir arbeiten aber auch hier mit IT-Experten daran, den Normalzustand wiederherzustellen“, sagt der Prokurist der Großmolkerei Salzburg Milch, Florian Schwap. Wann dies gelingen wird, kann die Großmolkerei derzeit noch nicht abschätzen.

Laut Geschäftsleitung wird mit Spezialisten an der Behebung der Probleme gearbeitet. Wer hinter der Cyber-Attacke steckt, ist bisher nicht bekannt. Das Landeskriminalamt Salzburg hat die Ermittlungen aufgenommen. Dem Vernehmen nach wird eine Lösegeldsumme gefordert.

Die SalzburgMilch GmbH ist Österreichs drittgrößte Molkerei mit Firmenstandorten in Salzburg-Itzling und Lamprechtshausen (Flachgau). Dass Bauern nun auf der Milch sitzenbleiben ist ausgeschlossen. Die Abholung funktioniert nach wie vor weiter.

Wer sensiblere Daten preisgegeben hat, sollte seine Kreditauskunft einfrieren, um es Dritten zu erschweren, Identitätsdiebstahl zu begehen und Kredite unter Ihrem Namen aufzunehmen.

Quelle: https://salzburg.orf.at/stories/3109769/

Sicherheitslücke bei über 30 Millionen DELL PCs

Eine auf Dell-Computern vorinstallierte Support-Software macht Millionen Dell Geräte für Cyber-Attacken anfällig. 

Sicherheitsforscher haben vier große Sicherheitslücken in der BIOSConnect-Funktion von Dell SupportAssist gefunden. Angreifer könnten so aus der Ferne die Kontrolle über fremde Rechner erlangen und Schadsoftware ausführen.

Laut der Dell-Website ist die SupportAssist-Software „auf den meisten Dell-Geräten mit Windows-Betriebssystem vorinstalliert“. Die BIOSConnect Funktionen bieten Firmware-Updates und die Wiederherstellung des Betriebssystems aus der Ferne.

Alle drei gefundenen Schwachstellen seien unabhängig voneinander – jede einzelne könnte zur Ausführung von Schadcode im BIOS führen.

Die entdeckte Kette an Schwachstellen hat einen CVSS-Basis-Score von 8,3/10 und ermöglicht es Angreifern, sich als „Dell.com“ auszugeben und die Kontrolle über den Boot-Prozess des Zielgeräts zu übernehmen. So kann die Sicherheitskontrollen auf Betriebssystemebene umgangen werden.

„Ein solcher Angriff würde es Angreifern ermöglichen, den Boot-Prozess des Geräts zu kontrollieren und das Betriebssystem und die Sicherheitskontrollen auf höherer Ebene zu unterlaufen“, erklären die Eclypsium-Forscher.

Da es sich um eine relativ komplexe, aufwändige Angriffsmethode handelt, gehen die Sicherheitsforscher davon aus, dass vor allem Unternehmen ins Visier geraten könnten.

Kriminelle müssten den Datenverkehr des Opfers umleiten, beispielsweise über einen «Machine-in-the-Middle»-Angriff. Weil die Angreifer praktisch unbegrenzte Kontrolle über das Gerät erhielten, sei ihnen dies wohl die Mühe wert.

Die Angreifer fangen die Anfrage an den Dell-Support ab und geben sich als der Support aus. Die Fernwartungs-Funktion ermöglicht dem Angreifer dann Zugriff auf den Dell-PC.

Die Sicherheitsforscher von Eclypsium schreiben in ihrer Analyse, dass Support-Software, die übers Internet angesteuert werde, vermehrt ins Visier von Hackern gerate.

Welche Dell-Modelle sind betroffen?

„Das Problem betrifft 129 Dell-Modelle von Consumer- und Business-Laptops, Desktops und Tablets, darunter auch Geräte, die durch Secure Boot und Dell Secured-Core-PCs geschützt sind“.

Insgesamt seien das 30 Millionen einzelne Dell Geräte. Der US-Computerhersteller hat ein Software-Update veröffentlicht, dass unbedingt installiert werden sollte. Bei Rechnern, auf denen eine Aktualisierung nicht möglich sei, werde empfohlen, das BIOSConnect zu deaktivieren. Dell hat auf seiner Website eine Anleitung dazu veröffentlicht (s. Quelle)

Quellen:

https://eclypsium.com/2021/06/24/biosdisconnect/

https://www.dell.com/support/kbdoc/de-de/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature

Bildquelle:

https://www.bleepingcomputer.com/news/security/dell-supportassist-bugs-put-over-30-million-pcs-at-risk/

Stadt Tulsa in Oklahoma warnt seine Einwohner vor Datendiebstahl

Persönlichen Daten der Einwohner von Tulsa seien möglicherweise offengelegt worden, warnt die Stadt.

„Heute wurde die Stadt Tulsa darauf aufmerksam gemacht, dass die Verantwortlichen für den Ransomware-Angriff auf die Stadt Tulsa im Mai 2021 mehr als 18.000 Dateien der Stadt über das Dark Web geteilt haben, hauptsächlich in Form von Polizeiberichten und internen Abteilungsdateien.“

– Pressemitteilung der Stadt Tulsa, Oklahoma

Anfang Mai wurde Tulsa Opfer eines Ransomware-Angriffs, der dazu führte, dass die Stadt ihr Netzwerk herunterfuhr, um die Ausbreitung der Malware zu verhindern.

Der Angriff störte die Online-Rechnungszahlungssysteme, die Abrechnung von Versorgungsleistungen und E-Mails sowie die Websites der Stadt, des Stadtrats sowie der Polizei von Tulsa.

Zum Zeitpunkt des Angriffs war nicht bekannt, wer hinter dem Angriff steckt.

Diese Woche übernahm die Conti Ransomware-Bande die Verantwortung und veröffentlichte 18.938 Dateien der Stadt, hauptsächlich Polizeieinträge und interne Word-Dokumente.

Nach dem Datenleck gab die Stadt Tulsa eine Pressemitteilung heraus, in der sie davor warnte, dass personenbezogene Daten in den durchgesickerten Polizeiberichten offengelegt wurden. Dabei handele es sich um Angaben wie Name, Geburtsdatum, Adresse und Führerscheinnummer. Die Bitte an die Einwohner lautet Wachsamkeit: Es sei wichtig, auf Kreditberichte und Kreditkartenabrechnungen und verdächtige E-Mails oder SMS-Texte zu achten, die vorgeben, von der Stadt Tulsa zu stammen.

Quelle: https://www.bleepingcomputer.com/news/security/tulsa-warns-of-data-breach-after-conti-ransomware-leaks-police-citations/

Zitatquelle: https://www.cityoftulsa.org/press-room/ransomware-update-june-22-tulsa-police-citations-posted-on-dark-web-tulsa-residents-should-take-necessary-precautions/

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.