Die Hochschule Furtwangen ist wohl Opfer eines Cyberangriffs geworden, der kurz vor dem Start des Vorlesungsbeginns des neuen Semesters den Betrieb stören dürfte. Ich hatte es am Rande mitbekommen, dass Mitte September 2023 ein Angriff auf die IT der Hochschule stattgefunden haben muss (Danke an den Leser, der mich nochmals auf den Vorfall hingewiesen hat). Es handelt sich um eine Infektion mit Ransomware, und potentiell ist jedes Gerät, welches bis Mitte September 2023 mit den IT-Netzwerken der Hochschule (auch per VPN) verbunden war, kompromittiert.
Angriff am 18. September
Auf der Webseite der Hochschule heißt es derzeit nur, dass die IT-Infrastruktur von einem Hackerangriff betroffen sei. Daher steht die gesamte IT-Infrastruktur der Hochschule derzeit nicht zur Verfügung. Dies beinhaltet auch die E-Mail-Kommunikation sowie alle Zugänge, für die das Hochschullogin (auch von zu Hause aus) benötigt werden. Betroffen sind neben der Webseite der Hochschule auch alle zentralen Services wie FELIX oder die Bibliotheken.
In den FAQs der Hochschule zum Cyberangriff wird bestätigt, dass der eigentlichen Angriff bereits in der Nacht auf Montag, den 18. September 2023 (also vor über 10 Tagen) erfolgte. Die eigentliche Kompromittierung bzw. das Eindringen der Angreifer kann bereits vorher erfolgt sein. Es handelt sich dabei um einen Ransomware-Angriff, bei der nach ersten Erkenntnissen Daten auf den IT-Systemen der Hochschule zum genannten Zeitpunkt verschlüsselt oder gelöscht wurden. Als Erstmaßnahme wurden von der IT sämtliche Systeme vom Netz genommen.
Alle verbundenen Geräte kompromittiert?
Bei sämtlichen IT-Geräten, die während des Zeitpunktes des Angriffs in den Netzwerken der Hochschule Furtwangen eingebunden waren oder über VPN Zugriff auf Netzlaufwerke hatten, besteht das Risiko, von dem Angriff betroffen zu sein. Deshalb ist die gesamte IT-Infrastruktur der Hochschule Furtwangen bis auf weiteres heruntergefahren.
Im Hinblick auf die Frage, wie man eine Kompromittierung erkennt, heißt es nur, das in den meisten Fällen unbekannte Dateien (ggf. mit einer ungewöhnlichen Dateinamenerweiterung) auftauchen. Das bedeutet dann aber, dass das System wohl schon durch die Ransomware verschlüsselt wurde. Bei einem Befahl werden eigene Dateien nicht mehr gefunden oder sind nicht mehr lesbar. Die IT der Hochschule arbeitet daran Servicestellen an allen Standorten einzurichten, die feststellen können, ob ein eingereichtes Gerät betroffen ist. Auch Anleitungen zum Gebrauch solcher Programme sind in Arbeit, heißt es von der Hochschule.
Droht Datenverlust und ein Datenleck?
Die Hochschulleitung hat bereits am Montag, als der Cyberangriff bekannt wurde, einen Expertenkreis zusammengerufen, um die Situation zu prüfen. Das Ausmaß des Schadens kann laut Hochschule aber auch am Monatsende noch nicht genau abgeschätzt werden und die Ermittlungen der Behörden laufen. Daher ist aktuell unklar, ob persönliche Daten von Mitarbeitern und Studenten der Hochschule abgeflossen sind. Die Einschätzung der Hochschul-IT ist aber, dass davon auszugehen ist, dass beim Angriff auf die IT-Infrastruktur sehr wahrscheinlich Daten abgezogen wurden. Eine zuverlässige Aussage darüber, welche Daten genau betroffen sind, ist derzeit nicht möglich. Es ist aber davon auszugehen, dass auch personenbezogene Daten betroffen sein könnten.
Wie lange die Hochschule benötigt, um die eigenen Geräte von der Infektion zu befreien und die Systeme aufzusetzen, ist derzeit offen. Es müssen ja auch alle verbunden Geräte überprüft werden, um eine Re-Infektion zu vermeiden.
Aktuell rät die IT der Hochschule etwas hilflos die Passwörter (dienstlich und privat) zu ändern und am besten Passwortmanager wie zum Beispiel KeePass zu benutzen. Weiterhin sollen Antivirenprogramme (zum Beispiel Microsoft Defender) auf dem privaten PC und Updates des Betriebssystems aktuell gehalten werden. Zudem sollten Personen, die Geräte verwenden, die mit den IT-Systemen der Hochschule verbunden waren, wachsam sein. Sofern auffällt, dass von einer E-Mail-Adresse Spam verschickt wird, Logins nicht mehr funktionieren, obwohl die Daten korrekt sind oder Geräte wie PC, Laptop oder Handy einen stark erhöhten Akkuverbrauch haben, oder ein ungewöhnliches Verhalten des PCs oder Laptops auffällt, ist das Gerät abzuschalten und das IMZ zu informieren.
Die Zeit zwischen der ersten Kompromittierung und der Verschlüsselung kann viele Tage bis einige Wochen betragen. Neben dem automatisierten „lateral movement“ dürften auch zeitweise humanoide prüfen.
mich würde intressieren, welcher Virenschutz dort eingesetzt wird.
Warum das?
Aus eigener Erfahrung kann ich sagen, dass heute dieser und morgen jener und übermorgen ein dritter Scanner aktueller ist. Und in einer Woche schlägt keiner dieser drei auf den Einfallsvektor an.
Und wenn die erste Hürde überwunden wurde, dann düfte als erstes genau die Überwachungssoftware blockiert oder abgeschaltet werden.
Mit ausreichend Paranoia installiert man am besten eine ganze Handvoll an Security-Gedöns, das sowohl das System, alle Useraktionen als auch sich selbst kreuzweise gegenseitig überwacht. Das senkt die Gefahr einer Infektion wahrscheinlich deutlich, allerdings ebenso die Produktivität des Benutzers.
Der Ansatz ist einfach der falsche.
Auch wenn es interessant ist, zu wissen, welche Scanner liefen. Aber auch Hacker kennen diese Scanner, inkl. derer Schwachstellen.
Die Hacker checken ihre Tools mit virustotal.
Darum sind da auch nicht alle Scanner vertreten.
M.a.W. niemals einen Scanner verwenden, der auch bei VT ist…
so ein Blödsinn, dann werden diese doch den Herstellern gemeldet. Signaturen erstellt etc.
Oder auch wie der Angriff an sich erfolgte.
Aber das wird ja nirgendwo veröffentlicht. Nicht das andere sich ggf drauf einstellen oder schützen können….
Die allermeisten der Ransomware-Angriffe erfolgen durch Links oder Anhänge in Emails, einige über infizierte Homepages und nur sehr wenige tatsächlich durch aktives Eindringen ins Netzwerk über andere Wege.
Es war die „ALPHV“-Gruppe
Quelle: posts.ransomware.live
Danke für die Ergänzung – mir fehlt heute etwas die Zeit für weitere Recherchen.
Das hat den gleichen naiven Grund, weshalb Stiftung Warentest, nie zeigt, wie sie Fahrradschlösser testet.
Eine Nachfrage ergab, daß man niemanden schlauer machen wolle.
Ja klar ne, die Diebe kennen die Tricks ja nicht und brauchen Stiftungwaren Test als Weiterbildung.
Genauso hier.
Es ist schlimm.
Aber man muss auch sehen:
Wenn man immer wieder die gleiche Vorgehensweise beschreibt, gibt es irgendwann keine Clicks mehr.
Aber so hoffen die Leser doch etwas lernen zu können…
übrigens findet man Anleitungen bei YouTube…
Wer sich zum Thema Sicherheit von Schlössern informieren möchte:
https://www.youtube.com/@lockpickinglawyer/videos
Nö.
Die Vorgehensweise wird nicht verraten, um Scriptkids nicht anzuleiten. Um Profis gehts da gar nicht, denn die kennen die Vorgehensweise ja.