Ransomware bei der Südwestfalen-IT

   Hemer CyberCyber

In der Nacht von Sonntag auf Montag den 30.10.2023 wurde der kommunale IT-Dienstleister Südwestfalen-IT (SiT) mit einem Verschlüsselungstrojaner angegriffen. Seitdem sind im gesamten Märkischen Kreis und darüber hinaus alle Kommunal- und Kreisbehörden Offline. Sogar unser ÖPNV, die Märkische Verkehrsgesellschaft (MVG) ist betroffen. Update 20.01.2024 (Forensik Abschlussberichte)

Seit dem 31.10.2023 vormittags prangt auf allen betroffenen Internetseiten dieses Schild:

Hinweisseite der SiT


Seitdem keinerlei Kommunikation mehr. Nichts. Niente. Das grosse Schweigen…

Ich spekuliere mal: Die setzen natürlich ‘Das Tödliche Trio’ ein. Windows, Office, Active-Directory. Mit einer 4- vielleicht auch 5-stelligen Anzahl Arbeitsplätze. Irgendwann hat irgendjemand auf irgendeinem Arbeitsplatz einen E-Mail-Anhang oder -Link geöffnet. Das kann schon Wochen vorher passiert sein. Der Trojaner hat sich unbemerkt im gesamten Netz und über alle Server ausgebreitet, ist erst in der Nacht zu Montag aktiv geworden und hat angefangen Dateien zu verschlüsseln. Erst dadurch ist der Angriff überhaupt aufgefallen.

Einen vergleichbaren Vorfall gab es am 06.07.2021 im Landkreis Anhalt-Bitterfeld. Dort hat die Wiederherstellung bis Februar 2022 gedauert. 7 Monate! Dabei sind denen wichtige Daten unwiederbringlich verloren gegangen, z.B. die Umweltdatenbank mit dem jahrelangen Monitoring der Umweltbelastungen im Gebiet des ehemaligen Chemiekombinats Bitterfeld.

Update 06.11.2023:
Seit heute ist eine Notfallseite der gehackten Dienstleistungsbude online. Dort soll jetzt täglich über Fortschritte berichtet werden. Da bin ich ja mal gespannt…

Update 21.12.2023:
Mittlerweile sind 152 Kommunen und Organisationen in NRW und Niedersachsen betroffen: https://konbriefing.com/de-topics/cyberangriff-2023-sit-suedwestfalen-it.html

Update 20.01.2024:
Der Forensik Abschlussbericht wurde veröffentlicht. Alles noch schlimmer als befürchtet. Initialer Angriffsvektor war ein ungepatchter VPN-Zugang.
Version 1.1 vom 19.01.2024   Version 0.15 vom 15.01.2024   Bewertungen dazu:   Golem.de   Heise.de   jakobssystems.net