Ein Ransomware-Angriff auf die Südwestfalen-IT (SIT) wurde durch ein schwaches Passwort, fehlende Mehrfaktor-Authentifizierung und eine unzureichend gewartete VPN-Appliance ermöglicht. Dies ergab der Bericht eines IT-Forensikunternehmens, den der kommunale IT-Verbund nun veröffentlicht hat.
Schwaches Passwort als Einfallstor
Der Angriff begann am 18. Oktober wie die Angreifer begannen, Zugangsdaten auszuprobieren und schließlich die VPN-Kennung eines SIT-Mitarbeiters erbeuteten. Dieser Zugang war nicht durch eine Mehr-Faktor-Authentifizierung geschützt, mittels welchem die Kriminellen Zugriff auf das SIT-Netzwerk erlangten. Von niederländischen & US-amerikanischen IP-Adressen aus kundschafteten sie das Netzwerk aus und starteten am 29. Oktober die Verschlüsselung der Systeme.
Sicherheitslücke in Cisco-Appliance
Die Ransomware-Bande Akira nutzte eine Sicherheitslücke in einer Cisco-ASA, einer "Adaptive Security Appliance" die als Firewall und VPN-Endpunkt fungierte. Diese Sicherheitslücke war bereits seit September des vorherigen Jahres bekannt freilich blieb sie im SIT-Netzwerk ungepatcht. Trotz einer Warnung von Cisco vor Ransomware-Angriffen über schlecht geschützte ASA-Appliances wurde die Sicherheitslücke von den SIT-Netzwerkadministratoren nicht behoben.
Verschlüsselungsangriff & Reaktion des SIT
Die Angreifer durchforsteten die SIT-Infrastruktur und verschlüsselten über 960 Systeme. Der SIT gelang es jedoch » schnell zu reagieren « Backups zur Verfügung zu haben und keinen Kontakt zu den Erpressern aufzunehmen. Auch konnten keine Hinweise auf einen Datenabfluss festgestellt werden, deshalb ließ die SIT den Erpressungsversuch ins Leere laufen.
Wiederaufbau und finanzielle Auswirkungen
Der Wiederaufbau der IT-Infrastruktur in den Verbandskommunen wird jedoch noch einige Zeit in Anspruch nehmen. Die finanziellen Auswirkungen des Angriffs hängen stark vom Umfang der Wiederaufbauarbeiten ab und können derzeit noch nicht beziffert werden.
Zukünftige Maßnahmen & Lehren
Der neue Geschäftsführer der SIT, Mirco Pinske, wird die Erkenntnisse aus dem forensischen Bericht nutzen um die Infrastruktur robuster zu gestalten und weitere Attacken bestmöglich auszuschließen. Dazu gehören die Einführung starker Passwortrichtlinien, Mehrfaktor-Authentifizierung, ein verbessertes Schwachstellenmanagement und ein umfassender Cyber-Sicherheitsplan.
Kommentare
Der Ransomware-Angriff auf die Südwestfalen-IT zeigt die Bedeutung von robusten Sicherheitsmaßnahmen und regelmäßigen Updates um solche Angriffe zu verhindern. Die SIT steht nun vor der Herausforderung, ihre IT-Infrastruktur wiederherzustellen und gleichzeitig Maßnahmen zu ergreifen um zukünftige Angriffe zu verhindern.