Nun steht es definitiv fest: Die Gruppe Akira und ihre Ransomware haben im Oktober die Südwestfalen IT angegriffen und damit 70 bis 100 Kommunen lahmgelegt. Der Dienstleister arbeitetet nun den Angriff auf und lässt durchblicken, dass alles mit einer VPN-Attacke begann.
Der Angriff auf die Südwestfalen IT – SIT startete am 30. Oktober 2023 und hält bis dato die Verantwortlichen auf Trab. Noch immer arbeite man den Aktionsplan ab, so SIT und will bis Ende Q1-2024 wieder im Normalbetrieb sein. Einige Kommunen melden bereits, dass sie annähernd wieder normal arbeiten könnten.
Akira-Attacke legte die Kommunen lahm
Der Dienstleister SIT teilte nun mit, wie die Attacke auf das Unternehmen ablief. Dabei startete alles mit einem Angriff via VPN. Laut SIT ist dies passiert: „Die ersten verschlüsselten Dateien bemerkte die Südwestfalen-IT in der Nacht von Sonntag, 29. Oktober 2023 auf Montag, den 30. Oktober 2023. Die Datei-Endung .akira weist auf die Ransomware-Gruppe „Akira“ hin.
Den Zugang zum internen Netzwerk erlangten die Angreifer über eine softwarebasierte VPN-Lösung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte. Auf welchem Weg die dafür benötigten Zugangsdaten abgegriffen wurden, konnte nicht abschließend aufgeklärt werden. Laut Forensik-Bericht könnte eine Brute-Force-Attacke stattgefunden haben. Sicherheitslücken in der intra.lan ermöglichten es den Angreifern, die Rechte bis zur Domain-Administrationsberechtigung zu erhöhen. Die Aktivitäten der Angreifer konzentrierten sich auf die Windows-Domäne intra.lan, die zentrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet. Andere Domänen waren nicht betroffen.“
Schnelle Reaktion verhinderte Ausbreitung
Laut eigenen Angaben dämmte die Südwestfalen-IT den Angriff durch unverzügliches Herunterfahren und Isolieren der betroffenen Systeme ein. Direkt wurden wohl externe, BSI-zertifizierte Cyber-Security-Experten mit der forensischen Untersuchung und dem Wiederaufbau der Infrastruktur beauftragt. „Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren.“ so Verbandsvorsteher Theo Melcher. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen Netzwerkbereichen und Domänen weiter zu verstärken. Zugleich kann der forensische Bericht anderen helfen, aus dem Vorfall bei der Südwestfalen-IT zu lernen. Die Transparenz, die wir durch die Veröffentlichung des Berichts herstellen, nutzt allen.“
Keine Hinweise auf Datenabfluss
🔎 Aktuell listet die Leak-Seite von Akira keine Daten der SIT-Seite oder aus dem Netzwerk (Bild: B2B-C-S).
Bei den intensiven forensischen Untersuchungen durch die beauftragten Cyber-Security-Experten sowie dem kontinuierlichen Monitoring des Darkwebs mittels einer Spezialsoftware konnten keine Hinweise auf einen Datenabfluss oder eine Datenveröffentlichung gefunden werden. Die Datenrücksicherungen der Südwestfalen-IT sind intakt und werden den Kommunen schrittweise wieder zur Verfügung gestellt.
Der aktuelle Fall zeigt, dass VPN bei einem solch großem Anbieter der Vergangenheit angehören sollte. Zero Trust Network Access (ZTNA) löst das Problem. Allerdings muss man auch sagen, dass eine 0-Day-Schwachstelle bei VPN für das Eindringen von Akira verantwortlich war.
Akira selbst zeigt auf seiner Leak-Seite keine Angabe zu Südwestfalen IT – SIT – weder in der Liste der aktuellen Angriffe, noch in der Liste der veröffentlichten Daten. Somit könnte SIT damit Recht haben, dass keine Daten abgeflossen sind.
Red./sel