Erpressung in Südwestfalen: Akira kam mit geratenem Passwort ins kommunale Netz
Ein nun vorliegender forensischer Bericht stellt dem kommunalen IT-Verbund ein mittelprächtiges Zeugnis aus. Die Krisenbewältigung läuft weiter.
(Bild: Titima Ongkantong/Shutterstock.com)
Der Ransomware-Angriff auf die Südwestfalen-IT (SIT) gelang wohl aufgrund eines schwachen Passworts, fehlender Mehrfaktor-Authentifizierung und einer schlecht gepflegten VPN-Appliance. Zu diesem Ergebnis kommt der Bericht eines IT-Forensikunternehmens, den der kommunale IT-Verbund nun veröffentlicht hat.
Die Angreifer begannen offenbar bereits am 18. Oktober, Zugangsdaten auszuprobieren und erbeuteten nach kurzer Zeit die VPN-Kennung eines SIT-Mitarbeiters. Mit diesem Zugang – der nicht per Mehr-Faktor-Authentifizierung (MFA) gegen derlei Ratespielchen geschützt war – hangelten die Kriminellen sich von niederländischen und US-amerikanischen IP-Adressen aus weiter. Sie kundschafteten das SIT-Netz aus und begannen am 29. Oktober mit der Verschlüsselung der Systeme.
Sicherheitslücke in Cisco-Appliance nicht gepatcht
In die Karten spielte der Ransomware-Bande Akira, die eine ihrer üblichen Lösegeldforderungen hinterließ, eine Sicherheitslücke in einer Cisco-ASA, einer "Adaptive Security Appliance", die als Firewall und VPN-Endpunkt dient. Der Fehler mit der CVE-ID CVE-2023-20269 und einer CVSS-Punktzahl von immerhin 9,1 (Einstufung "kritisch") war bereits seit September vergangenen Jahres bekannt, blieb aber offenbar im SIT-Netzwerk ungepatcht. Dass Cisco selber mit einer deutlich geringeren Gefahr rechnete (CVSS 5,0, "mittel"), war der Sache sicherlich ebenso wenig dienlich.
Es bleibt dennoch ein fahler Beigeschmack, denn bereits im August hatte der Hersteller vor Ransomware-Angriffen über schlecht geschützte ASA-Appliances gewarnt. Warum diese Warnung von den SIT-Netzwerkadministratoren nicht beachtet wurde, blieb auf Nachfrage durch heise security unklar.
Einmal im Netz, durchforsteten die digitalen Eindringlinge die SIT-Infrastruktur weitgehend unbehelligt von den Verteidigungsmaßnahmen der Netzwerkadmins. So wurden Scan-Aktivitäten zwar durch eine Symantec-Software detektiert, jedoch offenbar nicht unterbunden oder an die Administratoren gemeldet. Der eigentliche Verschlüsselungsangriff fand zwischen dem Vormittag des 29. Oktober und dem Folgetag statt: Insgesamt infizierten die vermutlich russischsprachigen Kriminellen über 960 Systeme.
SIT-Vertreter zeigten sich dennoch stolz auf ihr Team, das in der Krise schnell reagiert habe. Auch die Tatsache, dass Backups zur Verfügung standen – die Cyberkriminellen hatten diese mangels gültiger Veeam-Zugangsdaten nicht verschlüsseln können – habe beim Wiederaufbau geholfen. Zu keinem Zeitpunkt habe es Kontakt zu den Erpressern gegeben – eine Lösegeldzahlung schloss der SIT-Sprecher kategorisch aus. Man habe zudem keinen Hinweis auf einen Datenabfluss festgestellt – den Erpressungsversuch lasse man daher ins Leere laufen. Und tatsächlich: Derzeit taucht die Südwestfalen-IT auf den Darknet-Seiten der Akira-Bande weder in der Kategorie "Leaks" noch in der News-Kategorie auf, in der die Erpresser über erfolgreiche Angriffe informieren.
(Bild: heise security / cku)
Wiederaufbau wird noch dauern
Noch liegt viel Arbeit vor den Westfalen. Verbandsvorsteher Melcher lässt sich in einer Pressemitteilung mit der Einschätzung zitieren, der Ransomware-Angriff habe "beträchtliche Auswirkungen sowohl auf uns als auch unsere Kunden und die Bürgerinnen und Bürger". Diese zu beseitigen, genießt bei den Südwestfalen noch immer höchste Priorität. Wann alle Fachverfahren und IT-Komponenten wiederhergestellt seien, konnte ein Sprecher hingegen nicht vorhersagen. Der Wiederanlauf geschehe in mehreren Phasen – aufgrund der Komplexität des SIT-Netzes sei eine genaue Prognose unmöglich. Zumindest wolle man die wichtigsten Fachverfahren – als solches bezeichnet die SIT etwa die KFZ-Zulassung oder Ausweis-Beantragung – bis Ende des ersten Quartals wieder in den Normalbetrieb überführen.
Ebensowenig kann der Verband derzeit Angaben über die finanziellen Auswirkungen des Angriffs machen. Diese hingen stark vom Umfang der Wiederaufbauarbeiten ab und seien daher derzeit noch nicht zu beziffern, erläuterte der SIT-Sprecher.
Nach dem Wiederaufbau der digitalen Infrastruktur in den Verbandskommunen steht für die SIT die kritische Auseinandersetzung mit den Ursachen des Angriffs an. Warum offenbar wichtige Updates nicht eingespielt wurden und wieso trotz anderslautender Warnungen des Herstellers keine Mehr-Faktor-Authentifizierung für das VPN der Südwestfalen-IT ausgerollt war, sind nur zwei Fragen für den künftigen Geschäftsführer Mirco Pinske. Dieser tritt zum 1. Februar sein Amt an; der bisherige stellvertretende Geschäftsführer Kowalke bleibt im Amt.
Unter Pinske wird die SIT die Erkenntnisse aus dem forensischen Bericht nutzen, um ihre Infrastruktur robuster zu gestalten und weitere Attacken bestmöglich auszuschließen. Zum Maßnahmenkatalog gehören unter anderem Einführung starker Passwortrichtlinien und MFA, aber auch ein ausgefeilteres Schwachstellenmanagement und ein umfassender Cyber-Sicherheitsplan. Eine Zertifizierung der SIT, etwa nach BSI-Grundschutz oder ISO27001, scheint hingegen nicht auf der Agenda zu stehen. (cku)
