Beim Dienstleister dsbmobile.de gibt es eine große Störung des Rechenzentrums/Dienstes (Anbieter Mivitec), mit Auswirkungen auf das “Digitale Schwarze Brett®” und die DSBmobile®-App. Zudem muss es beim Systemhaus und Beschaffungslogistiker abe-brand.de einen Cybervorfall gegeben haben. Die Ransomware-Gruppe Lockbit 3.0 droht mit der Veröffentlichung von Daten. Und zu den Sicherheitskameras von ABUS gibt es ebenfalls eine Sicherheitsmeldung. Und eine Untersuchung hat ergeben, dass bestimmte Android-Geräte (Smartphones) mit Trojanern in der Firmware ausgeliefert werden. Ich fasse mal einige Meldungen in einem Sammelbeitrag zusammen.
Cybervorfall bei abe-brand.de?
Die Webseite abe-brand.de gehört zu Associated Brands Europe (ABE GmbH) mit Standort in Willich. ABE GmbH bietet Büroartikel, Möbel, Papiere und Verpackungen, Briefumschläge, Werbematerialien und verwandte Produkte an und beliefert Kunden in Europa.
Obiger Screenshot zeigt die Webseite dieses Anbieters. Das Unternehmen scheint Opfer eines Ransomware-Angriffs durch die Lockbit 3.0-Gruppe geworden zu sein. Es wird mit der Veröffentlichung von Dateien gedroht, wenn bis zum 4. Juni 2023 kein Lösegeld gezahlt wird.
Auch auf breachsense.io ist die Information hier zu finden. Auf der Webseite des Unternehmens konnte ich bisher nichts diesbezügliches an Informationen lesen. Lockbit versucht wohl Druck auf das Unternehmen auszuüben, um ein Lösegeld zu erpressen.
Großstörung bei dsbmobile.de – Mivitec
Auf der Webseite des Anbieters findet sich ein Banner, das über eine Großstörung bei dsbmobile.de informiert. Der Systemstatus diverser Dienste steht aktuell auf Störung. Der Dienstleister arbeitet mit Hochdruck an einer Lösung für die Störung.
Auf der Webseite finden sich weitere Informationen zur aktuellen Situation:
Liebe Kunden,
hiermit möchten wir Sie über die aktuellen Entwicklungen rund um die Cyberattacke auf den Betreiber unseres Rechenzentrums und die damit verbundene Störung des Digitalen Schwarzen Bretts®, der DSBmobile®-App und der Mediabox informieren.
Es besteht kein Risiko, dass das Netzwerk Ihrer Institution von dem Angriff auf unser Rechenzentrum betroffen ist. Unsere Server wurden vom Netz genommen und isoliert und das Routing der DSB® und Mediaboxen umgeleitet, sodass auch dann keine Gefahr einer Störung besteht, wenn die existierenden Server wieder hochgefahren werden. Sie müssen Ihre DSB® daher nicht vom Netz nehmen oder ähnliche Vorkehrungen treffen. Außer der Meldung an Ihren Datenschutzbeauftragten, wie in unserer gestrigen Mail ausgeführt, können und müssen Sie aktuell keine weiteren Maßnahmen ergreifen.
Die Cyberattacke betrifft ausschließlich das Digitale Schwarze Brett®, die DSBmobile®-App und die Mediabox. Alle weiteren Produkte aus dem Lösungsportfolio von heinekingmedia, einschließlich der schul.cloud und der tafel.cloud®, sind von dem Vorfall nicht betroffen.
Unser Team arbeitet weiterhin mit Hochdruck am Aufbau einer neuen Infrastruktur, die als Absicherung dient, sollten die bestehenden Systeme nicht weiter genutzt werden können.
Selbstverständlich halten wir Sie weiterhin über die neusten Erkenntnisse auf dem Laufenden und werden Ihnen morgen um 13 Uhr ein neues Update zur Verfügung stellen. Den aktuellen Stand der Systeme können Sie auch jederzeit online auf unserer DSB-Status-Website einsehen.
Wir bedanken uns für Ihr Verständnis und Ihre Geduld.
Mit freundlichen Grüßen,
Markus Doetsch Group CEO heinekingmedia
Weitere Details liegen mir zu diesem Cybervorfall bisher nicht vor. Ergänzungen: Der Merkur hat in diesem Artikel einige Informationen, bezogen auf eine Schule in München zusammengetragen. Der Blog-Leser kommt aber aus einem Nachbarort von mir, lebt also im Umland Frankfurts, es sind also auch hessische Schulen betroffen. Vermutlich sind alle Schulen betroffen, die die erwähnten Dienste und die App verwenden.
Rechenzentrum von Mivitec betroffen
Eine weitere Quelle berichtete im Hinblick auf die Störung beim Münchner Rechenzentrum Mivitec, dass massive Probleme bestehen. Mivitec gehört seit 2021 zu myLoc, und die “Störung” scheint großflächig zu sein. Bei myLoc gibt es den Hinweis, dass aktuell eine Teilstörung der VMWare Cloud in München vorliegt. Man analysiert das Problem und arbeitet weiter mit Hochdruck an der Entstörung.
Der Anbieter Mivitec selbst ist “down”, und die Tunnel von Mivitec zu den Kunden sind ebenfalls down. Meinem Informanten zufolge, der mit der Fehlersuche für einen Anwender betraut war, scheint ein gezielter Angriff auf die Infrastruktur erfolgt zu sein, bei dem wohl so ziemlich alles verschlüsselt wurde.
Der Anbieter weiß selbst wenig, aber das LKA, das BSI und externe Spezialisten wurden eingeschaltet. Laut dem Anbieter der Service-Cloud wird es wohl noch einige Zeit dauern, bis alles wieder normal funktioniert. Kunden, die Cloud-Leistungen bei Mivitec gebucht haben, stehen vor Problemen.
Schwachstelle bei Abus Sicherheitskamera
ABUS dürfte vielen Lesern als Hersteller von Schlössern und Sicherheitstechnik bekannt sein. Mit der Cybersicherheit seiner modernen Produkte tut sich dieser Traditionshersteller jedoch einigermaßen schwer und fällt durch Sicherheitslücken in elektronischen Schlössern auf. Ebenfalls in seinem “Industry Solution”-Portfolio bietet ABUS auch einige Hightech-Lösungen an, wie z. B. netzwerkfähige Kameras. Leider weisen diese Kameras einige der gleichen Schwachstellen auf wie viele ähnliche Kameras.
Eine bekannte Sicherheitslücke betrifft ABUS-Kameras und wurde von Peter Ohm im Februar 2023 in der Mailingliste Full Disclosure veröffentlicht. Die Enthüllung umfasst drei verschiedene Schwachstellen:
- Lokale Dateizugriffe: Diese Schwachstelle kann genutzt werden, um beliebige Dateien zu lesen.
- Remote Command Injection: Diese Sicherheitslücke ermöglicht die Einschleusung beliebiger Befehle.
- Wartungszugang mit festen Zugangsdaten, über die Angreifer auf die Funktionen der Sicherheitskamera zugreifen können.
Die Details lassen sich im verlinkten Artikel nachlesen. Interessant ist, dass seit dem 22. Mai 2023 Angriffe auf Geräte über diese Schwachstelle erfolgen. Ein Sensor hat die Exploit-Versuche aufgezeichnet, die von einem Server in den Niederlanden ausgehen. Dieser Server hat in der Vergangenheit versucht, verschiedene gängige Sicherheitslücken auszunutzen.
Es wird vermutet, dass dieselbe Firmware/Hardware unter verschiedenen Marken weiterverkauft wird. Behebt ein Hersteller die Schwachstelle, ist keineswegs garantiert, dass andere Hersteller, die dieselben Geräte verkaufen, die gleichen Maßnahmen ergreifen.
Der Ratschlag der Sicherheitsfachleute: Als Benutzer einer solchen Kamera müssen Sie sicherstellen, dass Sie Ihre Firmware auf dem neuesten Stand halten und vermeiden, diese Kameras dem Internet auszusetzen. Und wie ABUS es ausdrückt: “KEEP AN EYE ON EVERYTHING.”, vor allem auf Ihre Verkäufer.
Ab Werk infizierte Android-Geräte gefunden
Der Artikel “Lemon Group’s Cybercriminal Businesses Built on Preinfected Devices” von Trend Micro (TM) berichtet über mobile Geräte, die für eine Betrugskampagne verwendet wurden. Die Sicherheitsforscher von TM haben eines der Geräte analysiert und verschiedene Komponenten von Bedrohungsgruppen identifiziert.
Ars Technica hat diesen Artikel veröffentlicht und weitere Details zu den identifizierten Unternehmen, Monetarisierungskanälen und Mitarbeiterprofilen enthüllt.
Diese Erkenntnisse geben Einblick in die kriminellen Machenschaften von Cyberkriminellen, die infizierte Geräte für ihre Zwecke nutzen.
Das waren die wichtigsten News zusammengefasst in einem Sammelbeitrag. Halten Sie Ihre Systeme auf dem neuesten Stand und seien Sie wachsam gegenüber neuen Bedrohungen.