Getränke-Empfehlung

Jens: Amarone / 2018

Martin: Primitivo / 2022

Hausmitteilungen

• Wir wünschen allen unseren Hörern und Hörerinnen ein erfolgreiches und sicheres 2024! Möget ihr alle von Cyberangriffen verschont bleiben und Sicherheitslücken rechtzeitig geschlossen haben!
• Neues Jahr / Neues Intro, unser „very own“ Andi hat uns ein neues Intro gezimmert – wir sind begeistert und hoffen es gefällt euch ebenfalls!
• TEASER: Jens als Gast beim Podcast „Time4Work“ der Trans4mation! Freut euch auf ein spannendes Interview zur Realität kurz nach einem Cyberangriff – demnächst unter https://trans4mation.de/podcast/ und überall, wo es Podcasts gibt!

Gehackte Unternehmen

Unfallkasse Thüringen

Nachdem die Unfallkasse Thüringen bereits 2022 gehackt wurde, wiederholte sich das Schicksal am 18. Dezember 2023. Die Unfallkasse geht zum Zeitpunkt der Aufnahme davon aus, dass die Systeme bis zum 08. Januar 2024 wiederhergestellt sind.

Klar ist nur, dass Daten abgeflossen sind – soweit bekannt im Umfang von 45 GB. Die Angreifergruppe (RA World) hat die Daten bereits veröffentlicht. Versicherungsverträge, Kundendaten, Versicherungsfälle etc. pp.

Quellen:

• http://pa32ymaeu62yo5th5mraikgw5fcvznnsiiwti42carjliarodltmqcqd.onion/post/587461.html
• https://www.golem.de/news/sicherheitsvorfall-unfallkasse-thueringen-muss-erneut-it-systeme-neu-aufsetzen-2312-180506.html
• https://www.ukt.de/unser-service/aktuelles/news/news-detail?tx_news_pi1%5Baction%5D=detail&tx_news_pi1%5Bcontroller%5D=News&tx_news_pi1%5Bnews%5D=576&cHash=011935fa943480db0650dc99b3952f7c

Katholische Krankenhausvereinigung Ostwestfalen

Die Katholische Krankenhausvereinigung Ostwestfalen (KHO) hat es mit drei Krankenhäusern (Bielefeld, Rheda-Wiedenbrück & Herford) zwischen den Jahren hart erwischt. Die Notfallversorgung ist ausgesetzt. Der Fall ist insoweit interessant als das wohl ein „Affiliate“ von Lockbit für den Angriff verantwortlich war. Lockbit selber distanziert sich in deutlichen Worten (siehe https://twitter.com/vxunderground/status/1740851285295829242) vom Angriff und hat Unterstützung bei der Entschlüsselung angeboten. In dieser Form ein einmaliger / erstmaliger Vorfall.

Quellen:

• https://twitter.com/vxunderground/status/1740851285295829242
• https://www.youtube.com/watch?v=kUqe2AdiCtU
• https://www.bleepingcomputer.com/news/security/lockbit-ransomware-disrupts-emergency-care-at-german-hospitals/

Münchner Schulen

Verschiedene Schulen in München sind Opfer eines Angriffs geworden, der auf eine Lücke im verwendeten Webmailer „Horde“ zurückzuführen ist. Die Daten der Schüler & Schülerinnen sind betroffen. Bedenklich – der Webmailer wurde im Juni 2020 das letzte Mal gepatcht. Unserer Meinung nach ein untragbarer Zustand – Planung, Personal, Verantwortung – hier ist sehr viel schiefgelaufen, was nicht hätte schieflaufen müssen oder dürfen.

Quellen:

• https://youtu.be/UjQFw1TSvxQ?si=PpSEs3vme2n5KVYU

Südwestfalen-IT

Südwestfalen-IT (SIT) kämpft auch zwei Monate nach dem Angriff im Oktober (wir haben in Folge 8 Vinotec: Shownotes Folge 8 – 2023 – KW44 berichtet) mit der Wiederherstellung der Fachverfahren und Systeme für die ~150 betroffenen Kommunen, Gemeinden, Städte, … Eine Konsequenz:

Halbjahreszeugnisse wird man an vielen der betroffenen Schulen nun wohl von Hand schreiben.

KON Briefing

Die Wiederherstellung verzögert sich weiter aufgrund der „Komplexität der IT Systeme“ – die SIT ist aus diesem Grund aktuell auch nicht in der Lage den Betroffenen eine Zeitleiste bis zur Wiederherstellung zu geben.

Wir fragen uns „was“ an der Stelle die Komplexität ausmacht – ein Wirtschaftsunternehmen was zwei plus X Monate seine Systeme nicht ans Laufen bringt hätte sich aller Wahrscheinlichkeit nach aus dem Wirtschaftsleben verabschiedet …

Wir möchten an dieser Stelle auch noch einmal kritisch anmerken, das es nicht der hellste Moment der Beteiligten ist, gerade den „Öffentlichen Sektor“ aus dem Gültigkeitsbereich für NIS2 herauszunehmen.

Quellen:

• https://notfallseite.sit.nrw/?tx_news_pi1%5Baction%5D=detail&tx_news_pi1%5Bcontroller%5D=News&tx_news_pi1%5Bnews%5D=480&cHash=7e3d7b1fee5ac2e30d1772358c0571db
• https://konbriefing.com/de-topics/cyberangriff-2023-sit-suedwestfalen-it.html

Rockstar Games

Im Rahmen der in der letzten Folge besprochenen Angriffe gegen Rockstar Games / GTA ist am 24.12.2024 der Quellcode von GTA V geleaked wurden. Die Angreifergruppe „Lapsus$“ proklamiert auch den Quellcode für GTA VI zu besitzen.

Insbesondere interessant an dieser Stelle sind die verwendeten Angriffstechniken – hier Social Engineering und SIM Swapping. Das ist ein klar abweichendes Muster im Vergleich zu den „üblichen“ Malware-Baukästen die sich hauptsächlich auf das ausnutzen von nicht gepatchten Schwachstellen fokussieren.

Quellen:

• https://www.bleepingcomputer.com/news/security/gta-5-source-code-reportedly-leaked-online-a-year-after-rockstar-hack/

Google

Google wurde „Opfer“ eines Angriffs auf ihre Authentifizierungsmechanismen. Der „Fehler“ ermöglicht es Angreifern sogenannte Session-Cookies „beliebig“ zu verlängern – auch wenn sich der Nutzer abgemeldet hat, sein Passwort geändert hat, … Ausgenutzt wird hier ein bisher unbekannter OAuth-Endpoint („MultiLogin“) der eigentlich für die Synchronisierung von Anmeldedaten über mehrere Endpunkte eines Benutzers genutzt wird. Google hat sich bisher noch nicht zu ergriffenen oder geplanten Maßnahmen geäußert.

Quellen:

• https://www.bleepingcomputer.com/news/security/malware-abuses-google-oauth-endpoint-to-revive-cookies-hijack-accounts/

Schwachstellen

TESLA

Berliner Forschern ist es gelungen TESLAs Autopilot zu „Jailbreaken“. Die Sicherheitsmechanismen wurden durch ausnutzen von sogenanntem „Voltage Glitching“ umgangen. Der Jailbreak gibt den Zugriff auf viele Funktionen (Elon-Modus, Selbstfahrfunktionen, …) frei die eigentlich gesperrt sind. Aktuell funktioniert der Angriff nur bei bestehendem Zugriff auf das Auto – wir fragen uns wie groß die Gefahr ist das immer stärker vernetzte Autos in Zukunft auch von „Remote“ gehackt und manipuliert werden können.

Quellen:

• https://www.heise.de/news/Tesla-IT-Sicherheitsforscher-verschaffen-sich-Zugriff-auf-Autopilot-Hardware-9583095.html

SMTP

Eine Schwachstelle im SMT-Protokoll hebelt die darauf aufgesetzten Mechanismen DKIM, DMARC, SPF aus und ermöglicht eine Fälschung des Absenders. Die als SMTP-Smuggling bekannt gewordene Schwachstelle wurde von vielen Dienstleistern bereits gefixed – wir empfehlen eine durchgängige Verschlüsselung – z. B. mit PGP.

Quellen:

• https://www.heise.de/news/Neue-Luecke-in-altem-E-Mail-Protokoll-SMTP-smuggling-9584467.html

Apple / iOS

Auf Apple / iOS Geräten kommt es vermehrt zu Identitätsdiebstahl. Wesentlich ist hier das das Passwort des Apple-Accounts auch mit der PIN zurückgesetzt werden kann. Apple bessert hier in Version 17.3 nach!

Quellen:

• https://www.heise.de/news/Neuer-iPhone-Diebstahlschutz-Wichtige-Orte-als-Sicherheitsloch-9582753.html

Browser

Mehrere Sicherheitslücken in Chrome, Edge und Co. sind zwischen den Jahren publik geworden. Bitte auch in 2024 dran denken – Browser sind zu patchen!

Quellen:

• https://www.heise.de/news/Update-fuer-Google-Chrome-schliesst-sechs-Sicherheitsluecken-9586697.html