CyberCompare

28. Mai 2021: Tegut-Kundendaten im Darknet ++ Sicherheitslücke bei Luca-App ++ Bose Ransomware-Attacke

Kundendaten im Darknet

Nach Cyber-Angriff auf Tegut: Kundendaten im Darknet aufgetaucht

Bereits Ende April wurde das IT-Netzwerk der Supermarkt-Kette Tegut Ziel eines Ransomware Angriffs. Ein Lösegeld wurde bislang offenbar nicht bezahlt. Jetzt erhöhen die Erpresser den Druck, indem Sie vom Unternehmen gesammelte Kundendaten im Darknet veröffentlichen.

Tegut zufolge ist es bereits die zweite Veröffentlichung von Informationen, die bei dem Angriff erbeutet wurden.

Bei den Daten handele es sich um Auskünfte, die Kundenkartenbesitzer im Rahmen von Befragungen oder Marktforschungsstudien zu ihrem Einkaufsverhalten gegeben hatten, so Geschäftsführer Thomas Gutberlet. In einzelnen Dateien seien auch Kontaktinformationen der Kunden wie Anschriften, E-Mail-Adressen und Telefonnummern enthalten. Tegut werde alle Betroffenen persönlich informieren, stellte das Unternehmen in Aussicht. Die neue Entwicklung sei an die entsprechenden Behörden gemeldet worden.

Tegut hat sich „auf die erwartbare Eskalation gut vorbereitet“ und Vorkehrungen zum Schutz der Kunden getroffen. So seien die Log-in-Möglichkeiten auf der Website bereits mit Bekanntwerden des Cyberangriffs vorsorglich gesperrt worden. Inzwischen sind diese Zugänge – nach entsprechenden Sicherheitsprüfungen – wieder freigegeben, hinterlegte Passwörter seien zurückgesetzt und Kunden vorsorglich zur Neuvergabe von Passwörtern aufgefordert worden. Tegut arbeitet nach eigenen Angaben mit den zuständigen Strafverfolgungsbehörden sowie externen IT-Sicherheitsexperten zusammen.

Die Taktik der „doppelten Erpressung“ ist nicht neu. Der Trend geht dahin, dass Angreifer bei Ransomware-Attacken nicht mehr nur versuchen, Firmen durch die Verschlüsselung von Dateien zu erpressen. Immer öfter wird auch mit einer Veröffentlichung kopierter Informationen gedroht, falls kein Lösegeld fließt.

Je sensibler die Daten, desto eher funktioniert die Masche.

Für Tegut hatte der Angriff schon vor der jetzigen Datenveröffentlichung ernste Konsequenzen. Unmittelbar nach dem Angriff hatte der Lebensmittelhändler Einschränkungen bei der Warenverfügbarkeit zu spüren bekommen. Betroffen waren demnach vor allem Fleisch- und Wurstwaren. Das Unternehmen hatte sämtliche IT-Netzwerke abgeschaltet, was sich unter anderem auf seine Warenwirtschaftsprogramme auswirkte. Angaben zum finanziellen Schaden hatte Tegut nicht gemacht.

Quellen: https://www.heise.de/news/Nach-Hackerangriff-auf-Tegut-Kundendaten-im-Darknet-aufgetaucht-6056223.html

Sicherheitslücke bei Luca-App

Wie Verschlüsselungstrojaner in die Gesundheitsämter eingeschleust werden können.

Die Luca-App soll Gesundheitsämtern bei der Kontaktnachverfolgung helfen. Infektionsketten mit dem Coronavirus sollen so gestoppt werden.

In einem am Mittwoch veröffentlichen Video zeigt IT-Sicherheitsexperte Marcus Mengs, anhand des öffentlich einsehbaren Quellcodes des Luca-Systems, wie sich darin Schadcode verstecken lässt. In der Rolle des Mitarbeiters eines fiktiven Gesundheitsamtes ruft er via Luca die Daten fiktiver Barbesucher ab, die laut Timestamp zur selben Zeit wie die infizierte Person vor Ort waren. Um den kompletten Datensatz sehen zu können, muss er diesen herunterladen und in Excel importieren. Oft geschieht das in Form einer CSV-Datei. Unter den Daten befindet sich auch der Check-In eines fiktiven Angreifers, in dessen Nutzerdaten sich Schadcode befindet.

Quelle: https://twitter.com/mame82/status/1397425075654168576

Nach dem Import verschlüsselt der Schadcode den Computer und greift Daten ab. Programme wie Excel können jeden Wert einer CSV-Datei, der mit einem = beginnt, als Funktion interpretieren. In die Luca-App eintragen kann ein Angreifer solche Sonderzeichen fatalerweise ganz einfach als Teil seines Namens oder seiner Adressdaten.

In der Luca-App gibt es drei Optionen, die Daten zu importieren: Direkter über Excel, CSV- oder Sormas-Export. Entscheidet sich ein Mitarbeiter für eine der letzten beiden Varianten, bekommt er in Excel eine Warnung angezeigt. Nur, wenn er diese Warnung ignoriert, können Angreifer mit ihrem Angriff fortfahren. Warnungen dieser Art gebe es in gängigen Programmen wie Excel aber auch bei legitimer Nutzung häufiger, User seien daran gewöhnt, sie wegzuklicken, sagt Linus Neumann, Sprecher des Chaos Computer Club.

Quelle: https://t3n.de/news/sicherheitsluecke-kriminelle-1380790/

Ransomware-Attacke

Bose meldet Datenverlust nach Ransomware-Attacke: „Wir haben kein Lösegeld gezahlt

Die Firma Bose wurde im März dieses Jahres Opfer eines Ransomware-Angriffs. Betroffen seien wohl Daten von sechs ehemaligen Mitarbeitern, die möglicherweise exfiltriert wurden.

„Wir haben kein Lösegeld gezahlt“, sagte Bose Media Relations Director Joanne Berthiaume gegenüber BleepingComputer und fügte hinzu, dass „wir unsere Systeme mit der Unterstützung von externen Cybersecurity-Experten schnell wiederhergestellt und gesichert haben.“

Das Unternehmen hält sich bedeckt, was den Vorfall angeht. Was man weiß:

Bose hatte zunächst daran gearbeitet, die Kontrolle über seine Systeme wiederzuerlangen, bevor es mit seinen eigenen Forensikexperten daran ging, die Daten zu ermitteln, auf die während des Angriffs zugegriffen wurde.

Ende April 2021 konnte das Unternehmen feststellen, dass die Angreifer nur die Personaldaten von einem halben Dutzend ehemaliger Mitarbeiter in die Hände bekamen, einschließlich deren Namen, Sozialversicherungsnummern und vergütungsbezogene Informationen.

Bose hat auch die Dienste einer Dark Web-Überwachungsfirma in Anspruch genommen. Dies ist mittlerweile gängige Praxis, da Ransomware-Kriminelle „Leak“-Seiten im Dark Web nutzen, um gestohlene Daten zu veröffentlichen und so den Druck auf die Opfer zu erhöhen. Informationen, die für andere bösartige Akteure wertvoll sein könnten, werden oft in Hackerforen zum Verkauf angeboten.

In diesem Fall haben Bose und seine Überwachungsfirma keine Beweise für Versuche gesehen, die betroffenen Daten zu veröffentlichen oder zu verkaufen.

Quellen:

https://global.techradar.com/de-de/news/bose-meldet-datenverlust-nach-ransomware-attacke

https://www.forbes.com/sites/leemathews/2021/05/25/bose-hit-by-ransomware-refuses-to-pay-ransom/

https://www.bleepingcomputer.com/news/security/audio-maker-bose-discloses-data-breach-after-ransomware-attack/

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.