Das elektronische Anwaltspostfach (BeA) der Anwaltskammer ist scheinbar Opfer eines Ransomware Angriffs geworden. Eine fehlkonfigurierte Datenbank ermöglichte den Angreifern nun, unter anderem Lösegelde zu fordern.
Anwaltskammer vor 2 Wochen von Ransomware befallen
Die Nachrichten Webseite Golem berichtete bereits vor ca. 2 Wochen darüber, dass die Informationsseite des elektronischen Anwaltspostfaches immer wieder offline war und dementsprechend nicht erreicht werden konnte. Neuer Informationen sagen, dass diese “Downtime” der Informationsseite Folge eines Cyberangriffes waren.
Die Webseite der Anwaltskammer ist nicht direkt von der BeA es handelt sich lediglich um eine Informationsseite für die Bevölkerung. Dennoch ist dieser Angriff nicht auf die leichte Schulter zu nehmen, denn eine bekannte Fehlkonfiguration sorgte für den Schaden.
Auf der Informationsseite lief eine MySQL-Datenbank die offenbar so konfiguriert wurde, dass sämtliche Benutzer ohne die Eingabe eines Nutzernamens und Passwort akzeptiert wurden. Diese Fehlkonfiguration sorgte dafür, dass Angreifer die Daten kopieren konnten und anschließend die gesamte Datenbank löschen könnten.
570€ als Lösegeld-Forderung
Die Datenbank, die Aufgrund der Fehlkonfiguration angreifbar gewesen ist, enthielt nach dem Angriff keine Daten mehr. Die beiden enthaltenen Tabellen enthielten beide nur noch einen Eintrag, indem auf eine Onion-Adresse verwiesen wurde. Dieser Art der Erpressung ist keine neue Strategie mehr.
Öffnet man diese Onion-Adresse sieht man die Forderung der Angreifer. Um die Daten der kompromittierten Datenbank zurückzuerhalten sollen 0,06 Bitcoin auf ein angegebenes Wallet überwiesen werden. Zu dem aktuellen Zeitpunkt sind 0,06 Bitcoin in etwa 570€ Wert und stellen damit einen recht kleinen Betrag für eine Lösegeld Forderung da. Und genau durch solch eine Lösegeld-Forderung zeichnet sich ein Ransomware Angriff aus, in diesem Fall gegen die Anwaltskammer. Nicht selten werden Daten vor der Verschlüsselung heruntergeladen. Zahlt jemand nicht das Lösegeld, drohen die Angreifer die Daten zu veröffentlichen.
Diese kleine Forderung könnte damit zusammenhängen, dass der Inhalt der Datenbank in die Hände mehrerer Kriminelle gelangt ist und damit weit verbreitet sein könnte. Da die Datenbank komplett ungeschützt war liegt die Vermutung nahe, dass nicht nur eine Hackergruppe die Daten gestohlen hat.
Um sich selbst und die eigenen gespeicherten Daten zu schützen sollte darauf geachtet werden, dass die verwendetet Datenbank korrekt konfiguriert ist. Eine Fehlkonfiguration wie in dem oben genannten Beispiel würde im Rahmen eines Penetrationstests sehr schnell auffallen. Somit könnten Sie sich einen kostspieligen Cyber-Angriff sparen, indem Sie proaktiv Ihre Sicherheitslücken entdecken und schließen.
