Akira verantwortlich für Angriff auf Südwestfalen IT und Kommunen

B2B Cyber Security ShortNews

Beitrag teilen

Nun steht es definitiv fest: Die Gruppe Akira und ihre Ransomware haben im Oktober die Südwestfalen IT angegriffen und damit 70 bis 100 Kommunen lahmgelegt. Der Dienstleister arbeitetet nun den Angriff auf und lässt durchblicken, dass alles mit einer VPN-Attacke begann.

Der Angriff auf die Südwestfalen IT – SIT startete am 30. Oktober 2023 und hält bis dato die Verantwortlichen auf Trab. Noch immer arbeite man den Aktionsplan ab, so SIT und will bis Ende Q1-2024 wieder im Normalbetrieb sein. Einige Kommunen melden bereits, dass sie annähernd wieder normal arbeiten könnten.

Anzeige

Akira-Attacke legte die Kommunen lahm

Der Dienstleister SIT teilte nun mit, wie die Attacke auf das Unternehmen ablief. Dabei startete alles mit einem Angriff via VPN. Laut SIT ist dies passiert: „Die ersten verschlüsselten Dateien bemerkte die Südwestfalen-IT in der Nacht von Sonntag, 29. Oktober 2023 auf Montag, den 30. Oktober 2023. Die Datei-Endung .akira weist auf die Ransomware-Gruppe „Akira“ hin.

Den Zugang zum internen Netzwerk erlangten die Angreifer über eine softwarebasierte VPN-Lösung mit einer Zero-Day-Schwachstelle, die keine Multifaktor-Authentifizierung erforderte. Auf welchem Weg die dafür benötigten Zugangsdaten abgegriffen wurden, konnte nicht abschließend aufgeklärt werden. Laut Forensik-Bericht könnte eine Brute-Force-Attacke stattgefunden haben. Sicherheitslücken in der intra.lan ermöglichten es den Angreifern, die Rechte bis zur Domain-Administrationsberechtigung zu erhöhen. Die Aktivitäten der Angreifer konzentrierten sich auf die Windows-Domäne intra.lan, die zentrale Systeme und wichtige Fachverfahren für alle Kunden der Südwestfalen-IT verwaltet. Andere Domänen waren nicht betroffen.“

Schnelle Reaktion verhinderte Ausbreitung

Laut eigenen Angaben dämmte die Südwestfalen-IT den Angriff durch unverzügliches Herunterfahren und Isolieren der betroffenen Systeme ein. Direkt wurden wohl externe, BSI-zertifizierte Cyber-Security-Experten mit der forensischen Untersuchung und dem Wiederaufbau der Infrastruktur beauftragt. „Fakt ist, dass das Rechenzentrum nicht in der Lage war, den Angriff abzuwehren.“ so Verbandsvorsteher Theo Melcher. „Die Erkenntnisse aus dem forensischen Bericht werden nun genutzt, um die Sicherheit der IT-Systeme in allen Netzwerkbereichen und Domänen weiter zu verstärken. Zugleich kann der forensische Bericht anderen helfen, aus dem Vorfall bei der Südwestfalen-IT zu lernen. Die Transparenz, die wir durch die Veröffentlichung des Berichts herstellen, nutzt allen.“

Keine Hinweise auf Datenabfluss

Leak-Seite von Akira

🔎 Aktuell listet die Leak-Seite von Akira keine Daten der SIT-Seite oder aus dem Netzwerk (Bild: B2B-C-S).

Bei den intensiven forensischen Untersuchungen durch die beauftragten Cyber-Security-Experten sowie dem kontinuierlichen Monitoring des Darkwebs mittels einer Spezialsoftware konnten keine Hinweise auf einen Datenabfluss oder eine Datenveröffentlichung gefunden werden. Die Datenrücksicherungen der Südwestfalen-IT sind intakt und werden den Kommunen schrittweise wieder zur Verfügung gestellt.

Der aktuelle Fall zeigt, dass VPN bei einem solch großem Anbieter der Vergangenheit angehören sollte. Zero Trust Network Access (ZTNA) löst das Problem. Allerdings muss man auch sagen, dass eine 0-Day-Schwachstelle bei VPN für das Eindringen von Akira verantwortlich war.

Akira selbst zeigt auf seiner Leak-Seite keine Angabe zu Südwestfalen IT – SIT – weder in der Liste der aktuellen Angriffe, noch in der Liste der veröffentlichten Daten. Somit könnte SIT damit Recht haben, dass keine Daten abgeflossen sind.

Red./sel

 

Passende Artikel zum Thema

Phishing-Attacken via SVG-Grafikdateien

Eine Analyse zeigt einen sprunghaften Anstieg von Phishing-Attacken mit SVG-Grafikdateien. Über die genutzten SVG-Grafik- und Bilddateien wird aktuell viel Malware ➡ Weiterlesen

Testergebnisse: Endpoint-Schutz für MacOS

Das Labor des AV-TEST Instituts hat Ende 2024 bekannte Sicherheitslösungen für MacOS untersucht. Die Produkte für Unternehmen und Einzelplatz-Macs wurden ➡ Weiterlesen

Verschlüsselung gegen Datenhunger

Die Wirtschaft, Staaten und die KI fordern immer mehr Daten von allem und jedem. Unerheblich welcher Initiator dahinter steckt - ➡ Weiterlesen

Eine Einschätzung zu DeepSeek

Da DeepSeek auf Open-Source aufbaut, kann es sowohl von kriminell motivierten Personen als auch neutralen Enthusiasten sondiert und erforscht werden. ➡ Weiterlesen

Endpoint-Security für Office-PCs mit Windows 10

Noch sind sie massenhaft in Unternehmen zu finden: Office-PCs mit Windows 10. Das AV-TEST Institut hat in seiner Windows-Testreihe nun ➡ Weiterlesen

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen