Ransomware bei der Südwestfalen-IT
Hemer CyberCyberIn der Nacht von Sonntag auf Montag den 30.10.2023 wurde der kommunale IT-Dienstleister Südwestfalen-IT (SiT) mit einem Verschlüsselungstrojaner angegriffen. Seitdem sind im gesamten Märkischen Kreis und darüber hinaus alle Kommunal- und Kreisbehörden Offline. Sogar unser ÖPNV, die Märkische Verkehrsgesellschaft (MVG) ist betroffen. Update 07.08.2024 (von Crowdstrike betroffen)
Seit dem 31.10.2023 vormittags prangt auf allen betroffenen Internetseiten dieses Schild:
Seitdem keinerlei Kommunikation mehr. Nichts. Niente. Das grosse Schweigen…
Ich spekuliere mal: Die setzen natürlich ‘Das Tödliche Trio’ ein. Windows, Office, Active-Directory. Mit einer 4- vielleicht auch 5-stelligen Anzahl Arbeitsplätze. Irgendwann hat irgendjemand auf irgendeinem Arbeitsplatz einen E-Mail-Anhang oder -Link geöffnet. Das kann schon Wochen vorher passiert sein. Der Trojaner hat sich unbemerkt im gesamten Netz und über alle Server ausgebreitet, ist erst in der Nacht zu Montag aktiv geworden und hat angefangen Dateien zu verschlüsseln. Erst dadurch ist der Angriff überhaupt aufgefallen.
Einen vergleichbaren Vorfall gab es am 06.07.2021 im Landkreis Anhalt-Bitterfeld. Dort hat die Wiederherstellung bis Februar 2022 gedauert. 7 Monate! Dabei sind denen wichtige Daten unwiederbringlich verloren gegangen, z.B. die Umweltdatenbank mit dem jahrelangen Monitoring der Umweltbelastungen im Gebiet des ehemaligen Chemiekombinats Bitterfeld.
Update 06.11.2023:
Seit heute ist eine
Notfallseite
der gehackten Dienstleistungsbude online. Dort soll jetzt täglich über Fortschritte berichtet werden. Da bin ich ja mal gespannt…
Update 21.12.2023:
Mittlerweile sind 152 Kommunen und Organisationen in NRW und Niedersachsen betroffen:
https://konbriefing.com/de-topics/cyberangriff-2023-sit-suedwestfalen-it.html
Update 20.01.2024:
Der Forensik Abschlussbericht wurde veröffentlicht. Alles noch schlimmer als befürchtet. Initialer Angriffsvektor war ein ungepatchter VPN-Zugang.
Version 1.1 vom 19.01.2024 Version 0.15 vom 15.01.2024
Bewertungen dazu:
Golem.de
Heise.de
jakobssystems.net
Update 07.08.2024:
Jetzt auch noch von CrowdStrike betroffen:
Borncity.com