Bereits am 30.10.2023 erfolgte eine Cyberattacke mit Ransomware auf den IT-Dienstleister Südwestfalen-IT. Der Anbieter versorgt unter anderem 72 Kommunen mit IT-Dienstleistungen, welche seit fast 2 Wochen völlig lahmgelegt sind. Nun gibt es erste Erkenntnisse – wenn auch keine besonders guten.
Über eine Notfall-Webseite informiert der IT-Anbieter SIT – Südwestfalen-IT alle Kunden und die Gemeinden zum Verlauf der erfolgten Cyberattacke mit Ransomware. Betroffen sind unter anderem die 72 Mitgliedskommunen aus dem Verbandsgebiet in Südwestfalen, darunter die Landkreise Hochsauerlandkreis, Märkischer Kreis, Olpe, Siegen-Wittgenstein, Soest sowie mehrere Kommunen im Rheinisch-Bergischen Kreis.
🔎 Laut einem Bericht der Siegener Zeitung soll die Akira Ransomware die Systeme des IT-Dienstleisters Südwestfalen-IT angegriffen und verschlüsselt haben (Bild: B2B-C-S).
Um die Weiterverbreitung der Schadsoftware innerhalb des Netzwerks zu verhindern, wurden die Verbindungen des Rechenzentrums zu und von allen Verbandskommunen gekappt. Infolgedessen können die Verwaltungen derzeit nicht auf die von der SIT bereitgestellte n Fachverfahren und Infrastrukturen zugreifen und sind in ihren Dienstleistungen für die Bürger stark eingeschränkt.
Akira Ransomware soll der Angreifer sein
Der Spiegel berichtet aktuell, dass der Siegener Zeitung ein vertrauliches Schreiben des Innenministeriums an den Landtag vorliegt. Darin soll als Angreifer die APT-Gruppe Akira genannt sein. Die Akira Gruppe ist zwar erst seit März 2023 aktiv, greift aber viele Unternehmen an. Allerdings findet sich auf der Leak-Seite der Akira-Gruppe noch kein Hinweis auf den Angriff mit denen die Gruppen sonst gerne etwas prahlen.
Bei der eingesetzten Ransomware handelt es sich um eine hoch entwickelte Schadsoftware, die darauf abzielt, die Dateien auf dem System eines Opfers zu verschlüsseln, Schattenkopien zu löschen und Anweisungen für die Zahlung des Lösegelds und die Datenwiederherstellung bereitzustellen. Sie verwendet Verschlüsselungsalgorithmen, Ausschlusskriterien und ein Kommunikationssystem basierend auf TOR, um bösartige Operationen durchzuführen.
Erste forensische Analysen
Laut eigenen Angaben hat die Südwestfalen-IT (SIT) die erste Phase der forensischen Analysen der betroffenen Systeme abgeschlossen und nutzt die gewonnenen Erkenntnisse, um nun alle Kundensysteme in einem systematischen Prozess zu untersuchen. Außerdem wird Südwestfalen-IT bis Ende dieser Woche gemeinsam mit den Mitgliedern des erweiterten Krisenstabs eine Priorisierung der wiederherzustellenden Fachverfahren fertigstellen. Danach will sie mit der schrittweisen Wiederherstellung der Systeme beginnen.
Erste Workarounds erst nächste Woche
Die Südwestfalen-IT ist zuversichtlich, dass die ersten Workarounds in der nächsten Woche eingeführt werden können, so dass die Bürgerinnen und Bürger einige öffentliche Dienstleistungen zumindest behelfsweise wieder nutzen können. Allerdings rechnet der Dienstleister bereits jetzt mit viel längeren Ausfallzeiten.
Die Gemeinden helfen sich selbst so gut es geht. Denn die ganze IT ist lahmgelegt samt den Homepages der Landreise. Hier eine kurze Liste von verfügbaren Infoquellen der einzelnen Landkreise. Dort finden sich auch neue Telefonnummern.
- Hochsauerlandkreis – informiert per Facebook
- Märkischer Kreis – informiert per Facebook
- Siegen-Wittgenstein/Olpe – informiert per Not-Homepage kreissiwi.de
- Soest – informiert per Facebook
- Lüdenscheid – informiert per Not-Homepage www.luedenscheid.de
Passende Artikel zum Thema
Mehr bei Sophos.com