Angriffe auf Unternehmen, Maßnahmen bezüglich Cybersecurity

Microsoft Details Gatekeeper Bypass Vulnerability in Apple macOS Systems

Microsoft has disclosed details of a now-patched security flaw in Apple macOS that could be exploited by an attacker to get around security protections imposed to prevent the execution of malicious applications.

The shortcoming, dubbed Achilles (CVE-2022-42821, CVSS score: 5.5), was addressed by the iPhone maker in macOS Ventura 13Monterey 12.6.2, and Big Sur 11.7.2, describing it as a logic issue that could be weaponized by an app to circumvent Gatekeeper checks.

“Gatekeeper bypasses such as this could be leveraged as a vector for initial access by malware and other threats and could help increase the success rate of malicious campaigns and attacks on macOS,” Jonathan Bar Or of the Microsoft 365 Defender Research Team said.


Gatekeeper is a security mechanism designed to ensure that only trusted apps run on the operating system. This is enforced by means of an extended attribute called “” that’s assigned to files downloaded from the internet. It is analogous to the Mark of the Web (MotW) flag in Windows.

Thus when an unsuspecting user downloads a potentially harmful app that impersonates a piece of legitimate software, the Gatekeeper feature prevents the app from being run as it’s not validly signed and notarized by Apple.

Even in instances where an app is approved by Apple, users are displayed a prompt when it’s launched for the first time to seek their explicit consent.

Given the crucial role played by Gatekeeper in macOS, it’s hard not to imagine the consequences of sidestepping the security barrier, which could effectively permit threat actors to deploy malware on the machines.

The Achilles vulnerability identified by Microsoft exploits a permission model called Access Control Lists (ACLs) to add extremely restrictive permissions to a downloaded file (i.e., “everyone deny write,writeattr,writeextattr,writesecurity,chown”), thereby blocking Safari from setting the quarantine extended attribute.

In a hypothetical attack scenario, an adversary could embrace the technique to craft a rogue app and host it on a server, which could then be delivered to a possible target via social engineering, malicious ads, or a watering hole.

The method also circumvents Apple’s newly introduced Lockdown Mode in macOS Ventura – an opt-in restrictive setting to counter zero-click exploits – necessitating that users apply the latest updates to mitigate threats.

“Fake apps remain one of the top entry vectors on macOS, indicating Gatekeeper bypass techniques are an attractive and even a necessary capability for adversaries to leverage in attacks,” Bar Or said.

LinkedIn has massively cut the time it takes to detect security threats. Here’s how it did it

LinkedIn revitalized its cybersecurity operations to be more effective than ever — by working smarter, not harder.


Image: Getty

Protecting against phishing, malware and other cyber threats is a difficult cybersecurity challenge for any organization — but when your business has over 20,000 employees and runs a service used by almost a billion people, the challenge is even tougher.

But that’s precisely the challenge that’s facing LinkedIn: the world’s largest professional network has over 875 million members, ranging from entry-level employees, all the way up to high-level executives, who all use it to network with colleagues and peers, discuss ideas, and find new jobs.

With hundreds of millions of users, LinkedIn needs to ensure its systems are secure against a range of ever-evolving cyber threats, a task that falls to LinkedIn’s Threat Detection and Incident Response team.

Heading up the operation is Jeff Bollinger, the company’s director of incident response and detection engineering, and he’s under no illusions about the significance of the challenge the company faces from cyber threats.


It’s well known that highly sophisticated hacking groups have high-profile companies like LinkedIn in their sights, whether that’s trying to trick users into clicking phishing links or installing malware via manipulative social-engineering attacks.

Also: These are the cybersecurity threats of tomorrow that you should be thinking about today

“Well-funded attackers are definitely challenging because they can just keep coming — we have to be right every single time, and they’ve only got to be right once,” says Bollinger.

“That’s one of the challenges — we always have to be watching. We always have to be ready — whether it’s an opportunistic attacker or if it’s a dedicated, persistent attacker, we need to have our sensors and our signals collection in place to do it, no matter who it is.”

Building significant, more mature cybersecurity for the business was no small task, something which Bollinger describes as “akin to shooting for the moon” — so the program was named Moonbase.

Moonbase set out to improve threat detection and incident response, and it aimed to do so while improving quality of life for LinkedIn’s security analysts and engineers with the aid of automation, reducing the need for manually examining files, and server logs.

It was with this goal in mind that, over a period of six months between March 2022 and September 2022, LinkedIn rebuilt its threat-detection and monitoring capabilities, along with its security operations centre (SOC) — and that process started with reevaluating how potential threats are analyzed and detected in the first place

“Every good team and program begins with a proper threat model. We have to understand what are the actual threats that are facing our company,” Bollinger explains.

That awareness begins with analyzing what data most urgently needs protecting; things like intellectual property, customer information, and information regulated by laws or standards — then thinking about the potential risks to that data.

For LinkedIn and Bollinger, a threat is “anything that harms or interferes with the confidentiality, integrity, and availability of a system or data”.

Examining patterns and data of real-world incidents provides information on what a range of cyberattacks look like, what classes as malicious activity, and what type of unusual behavior should set off alerts. But solely relying on people to do this work is a time-consuming challenge.

By using automation as part of this analysis process, Moonbase shifted the SOC towards a new model; a software-defined and cloud-centric security operation. The goal of the software-defined SOC is that much of the initial threat detection is left to automation, which flags potential threats that investigators can examine.

Also: A Winning Strategy for Cybersecurity

But that’s not to say humans aren’t involved in the detection process at all. While many cyberattacks are based around common, tried-and-tested techniques, which malicious hackers rely on throughout the attack chain, the evolving nature of cyber threats means that there’s always new, unknown threats being deployed in efforts to breach the network — and it’s vital that this activity can also be detected.

“When it comes to what we don’t know, it really depends on us just looking for strange signals in our threat hunting. And that’s really the way to get it — by dedicating time to looking for unusual signals that could eventually be rolled into a permanent detection,” says Bollinger.

However, one of the challenges surrounding this effort is that cyber attackers often use legitimate tools and services to conduct malicious activity — so, while it might be possible to detect if malware has been installed on the system, finding malicious behavior that could also realistically be legitimate user behavior is a challenge, and something LinkedIn’s rebuild has been focused around.

“Normal, legitimate administration activity often looks exactly like hacking because attackers are going for the highest level of privileges — they want to be domain admin or they want to obtain root access, so they can have all persistence and do whatever they want to do. But normal administration activities look similar,” Bollinger explains.

However, by using the SOC to analyze unusual behavior detected by automation, it’s possible to either confirm it was legitimate activity, or find potential malicious activity before it becomes a problem.

The SOC also does so without requiring information security personnel to methodically oversee what each user at the company is doing, only getting hands-on with individual accounts if strange or potentially malicious behavior is detected.

And by using this strategy, it means that the threat-hunting team can use time to quickly examine more data in more detail and, if necessary, take action against real threats, rather than having to take time to to manually examine every single alert, especially when many of those alerts are false warnings.

“I think that gives us a lot more people power to work on these problems,” says Bollinger.


But threat detection is only part of the battle — like any organization when a threat is detected, LinkedIn must be able to act against it as quickly and smoothly as possible to avoid disruption and prevent a full–blown incident.

Also: Google’s hackers: Inside the cybersecurity red team that keeps Google safe

This is where the incident-response team comes in, actively looking for and filtering out threats, based on what’s been detailed by the threat-hunting team.

“We give our people the most context and data upfront, so that they can minimize their time spent gathering data, digging around, looking for things, and they can maximize their time on actually using the critical-thinking capacities of the human brain to understand what’s actually happening,” Bollinger explains.

The operation of incident response hasn’t changed drastically, but the way it’s approached, with the additional context of data and analysis has been revised — and that shift has helped LinkedIn become much more efficient when it comes to detecting and protecting against potential threats. According to Bollinger, investigations are now much faster — all the way from detecting threats to dealing with them.

“The time to detect is the time from when activity first occurs until when you first see it — and speeding that up, it’s been dramatic for us. We went from it being several days to being minutes,” he says.

“We’ve dramatically reduced our time to detect and time to contain as well. Because once we’ve lowered that threshold for time to detect, we also have more time to actually contain the incident itself.

“Now that we’re faster and better at seeing things, that reduces the opportunities for attackers to cause damage — but the quicker that we detect something is happening, the quicker we can shut it down, and that minimizes the window that an attacker has to actually cause damage to employees, members, the platform, or the public,” says Bollinger.

Keeping the company secure is a big part of LinkedIn’s overhaul of threat-detection capabilities, but there’s also another key element to the work — designing the process, so it’s helpful and effective for staff in the SOC, helping them to avoid the stress and burnout that can accompany working in cybersecurity, particularly when responding to live incidents.

“One of the key pieces here was preserving our human capital — we want them to have a fulfilling job here, but we also want them to be effective and not worn out,” says Bollinger.

The approach is also designed to encourage collaboration between detection engineers and incident responders, who — while divided into two different teams — are ultimately working towards the same goal.

This joined-up approach has also trickled down to LinkedIn employees, who have become part of the process of helping to identify and disrupt threats.

Users are informed about potentially suspicious activity around their accounts, with additional context and explanation as to why the threat-hunting team believes something is suspicious — as well as asking the user if they think the thing is suspicious.

Depending on the reply and the context, a workflow is triggered, which could lead to an investigation into the potential incident — and a remediation.

“Instead of having people working harder, we’re having them working smarter — that was really one of the big pieces for us in in all this,” says Bollinger.

“A big part of the job is just staying on top of things. We can’t just hope for the best and hope that our tools will find everything. We need to be constantly researching — that’s a really big part of what keeps us on our toes,” he concludes.

Cyberattack Hits Brooklyn Hospitals That Serve Poor New Yorkers

Since late November, medical professionals have been using pen and paper as experts work to get the facilities fully back online.


Interfaith Medical Center in Brooklyn is part of the One Brooklyn Health system, which has been battling a cyberattack.Credit…Dave Sanders for The New York Times

A Brooklyn hospital group that serves patients in some of New York’s poorest neighborhoods has been battling the consequences of a cyberattack that forced some critical services offline.

The group, One Brooklyn Health, was hit by the attack in late November, officials confirmed. Now, even as cybersecurity experts work to get its three hospitals fully back online, doctors and nurses are forced to rely on methods most hospitals left behind in the 1990s: pen-and-paper patient care.

LaRay Brown, the chief executive officer of One Brooklyn Health — which includes Interfaith Medical Center, Brookdale Hospital Medical Center and Kingsbrook Jewish Medical Center — said that the hospitals were working with security experts to remediate the problems, which at one point shut down all-important hospital work stations through which health care providers access medical records, order prescriptions and fill in patient charts.

“One Brooklyn Health has made considerable progress in our investigation and remediation process in response to a cybersecurity incident we detected in late November,” Ms. Brown said in an emailed statement over the weekend. “In the meantime, all of our hospitals and facilities are open, and we continue to provide care for our patients using well-established downtime procedures for which our clinicians and administrators are extensively trained.”

It has not been disclosed whether this was a ransomware attack, in which the hackers demanded payment. The F.B.I. declined to comment on the case, citing its policy of not discussing ongoing investigations. Other public safety agencies did not immediately respond to requests for comment. The New York State Department of Health said it was working with the hospitals to ensure patient safety but declined to comment further.

The cyberattack was reported earlier by The City.

Scheena Iyande Tannis, a critical care nurse at Brookdale for the past 17 years, said that the electronic medical system there had been down for several weeks, pushing her to turn to methods she first learned in the days before the hospital had electronic medical records.

“My day-to-day has changed a little bit, just re-familiarizing yourself with the paperwork that is needed, but the actual care of the patient remains the same, because patients present, disease processes present, as they always have,” Ms. Tannis said. “And I’m an experienced nurse that grew up in critical care using the paper charting.”

In an interview, a hospital employee who works in inpatient psychiatry at Interfaith said that the cyberattack required his unit to create new workarounds: Hard-copy patient records now must be carried by hand to the unit. He said that the ability to provide care had not changed, but noted that lab results now took longer. The hospital employee requested anonymity because he was not authorized to speak about the hack.


Another staff member, at Brookdale, said diagnostic imaging had to be sent out, because it could not be done in-house. “A lot of things are taking a long time, we are doing our best and trying to adapt,” he said.

Brookdale is located in Brownsville, a predominantly Black neighborhood in Brooklyn where the poverty rate is twice the citywide rate. The neighborhood’s skyline is dominated by public housing towers including the Woodson Houses, Tilden Houses and Seth Low Houses.

Sign up for the New York Today Newsletter  Each morning, get the latest on New York businesses, arts, sports, dining, style and more. Get it sent to your inbox.

Brookdale and other such safety-net hospitals, which primarily take care of poor and working-class patients, were quickly overwhelmed during the deadly first wave of the coronavirus pandemic in the spring of 2020. Patients in the surrounding neighborhood have a higher incidence of chronic health conditions, including obesity and hypertension, both of which made Covid-19 more deadly. The hospitals were also understaffed.

Approximately 2,500 Covid-19 patients were admitted by One Brooklyn Health hospitals in the spring and summer of 2020. One-third, or 831 of them, died, the system said.

Ms. Tannis, the critical care nurse, cited that experience as girding her for the inconveniences of the cyberattack. “I made it through many a battle,” she said. “This is more like a hiccup rather than a battle.”

Since 2017, there have been more than 3,600 local, tribal and state governments across the country targeted by ransomware hackers, according to the Multi-State Information Sharing and Analysis Center, an organization that seeks to enhance the cybersecurity posture of the United States.

One Brooklyn Health is among several prominent institutions in the region dealing with cyberattacks. For weeks this fall, the government of Suffolk County was forced largely offline by a malicious ransomware attack. And on Friday, the Metropolitan Opera announced plans to work around a cyberattack that paralyzed its website and box office: It is selling $50 tickets to some performances on a site run by Lincoln Center.

Hospitals are increasingly a favorite target of hackers. A wave of cyberattacks hit about a dozen hospitals in the fall of 2020, disrupting care. In one Vermont hospital, nurses had to turn away chemotherapy patients. At Wyckoff Heights Medical Center, in Brooklyn, a ransomware attack in October 2020 left the hospital staff relying on pen, paper, and a lot of elevator rides to transmit information, the hospital’s chief executive, Ramón Rodriguez, recalled in an interview. And in April, the U.S. Department of Health and Human Services issued a warning to health care providers that a particularly aggressive hacking gang was targeting them.

John Riggi, the national adviser for cybersecurity and risk at the American Hospital Association, noted that data theft and ransomware attacks have only accelerated in the months since the start of the pandemic.

“As we raced to care for the waves of Covid-19 patients and save lives, hospitals and health systems made greater use of network and internet-connected technologies, cloud-based services and remote third parties,” Mr. Riggi said in a statement. “This helped ease the effect of severe work force shortages and increase clinical and business efficiencies. However, this also increased our digital ‘attack surface.’”

Foreign-based hackers quickly took advantage of hospitals’ increased risk exposure, he said.

At One Brooklyn Health, administrators said that workarounds are in place that have allowed operations to continue relatively smoothly, and after taking the hospital’s network offline in an effort to contain the intrusion, many services have been restored.

One Brooklyn Health grew out of a longstanding state effort to consolidate struggling hospitals in central Brooklyn. Brookdale is the largest of the hospitals, although Interfaith is one of the largest providers of inpatient psychiatry in Brooklyn, with more than 120 beds allocated for behavioral health.

The hospitals largely serve Medicaid and Medicare patients and lose millions of dollars each year because of low reimbursement rates. The unpaid chairman of the board of One Brooklyn Health, however, is Alexander Rovt, a billionaire real estate investor and Democratic donor who made his fortune in the fertilizer business.

Liam Stack contributed reporting.

Sarah Maslin Nir covers breaking news for the Metro section. She was a Pulitzer Prize finalist for her series “Unvarnished,” an investigation into New York City’s nail salon industry that documented the exploitative labor practices and health issues manicurists face. @SarahMaslinNir

Joseph Goldstein covers health care in New York, following years of criminal justice and police reporting for the Metro desk. He also spent a year reporting on Afghanistan from The Times’s Kabul bureau.  @JoeKGoldstein

Sharon Otterman covers health care and the pandemic for the Metro desk. A reporter at The Times since 2008, she has also covered religion and education, and won a Polk Award for Justice Reporting for her role in exposing a pattern of wrongful convictions in Brooklyn. @sharonNYT

KMU oder Kleinstunternehmen: Warum die Größe bei Cyberangriffen keine Rolle spielt

Ransomware-Angriffe sind eine reale Bedrohung! Sie sind allgegenwärtig und richten in den betroffenen Unternehmen großen Schaden an. Die schlechte Nachricht ist, dass diese Art der Cyberkriminalität nicht nur auf große multinationale Unternehmen abzielt, sondern auch bei klein- und mittelgroßen Unternehmen (KMU) Chaos anrichten können. Große Unternehmen können sich in der Regel vor solchen Angriffen schützen, da sie ein größere IT-Budgets und somit mehr Maßnahmen zum Schutz treffen können. Kleine und mittlere Unternehmen verfügen aber häufig nicht über diese Budgets und werden dadurch zu einem viel leichteren Ziel.

Der Cyber Crime Report des BMI zeigt einen deutlich Trend der letzten Jahre auf: die angezeigten Straftaten im Zusammenhang mit Cyber Kriminalität steigen jährlich an und die Aufklärungsrate liegt nur bei rund 40 Prozent.

Maersk, Uber, Palfinger, Salzburg Milch nur einige der bekannten Fälle, die mit den verheerenden Auswirkungen eines erfolgreichen Ransomware-Angriffs konfrontiert wurden. Aber lassen Sie sich von diesen Namen nicht von der Tatsache ablenken, dass KMU – ein Sektor, der mehr als 99% der heimischen Unternehmen ausmacht und fast 67% der Arbeitskräfte unseres Landes beschäftigt – vermehrt zum Hauptziel von Cyberkriminalität werden. Eines kann mit Sicherheit behauptet werden: Kein Unternehmen ist wirklich sicher!

Abbildung: Entwicklung der Anzeigen und der aufgeklärten Fälle von Cyberkriminalität laut Bundeskriminalamt


KMU sind besonders gefährdet, weil diese häufig nicht in entsprechende Sicherheitsmaßnahmen investieren. Eine kleine Anwaltskanzlei, ein Hersteller mit 35 Mitarbeiter:innen oder eine gemeinnützige Organisation mit 2 Mitarbeiter:innen können allesamt technologieorientierte Unternehmen sein, die genauso viel Schutz benötigen wie multinationale Konzerne. In vielen Fällen unterschätzen sie ihre Cybersicherheit jedoch.

Dies kann dazu führen, dass nur minimale Budgets für Cybersicherheitsprogramme und -pläne zur Verfügung stehen, es an internen Schulungen zur Cybersicherheit und zur Planung von und zum Umgang mit Angriffen fehlt. Außerdem werden veraltete Software und Geräte nicht mehr unterstützt.

Durch die Eindämmung von Covid-19 mussten viele kleine Unternehmen auch auf Home Office umstellen, weshalb diese für eine Reihe von Cybersicherheitsproblemen anfällig wurden. Gründe hierbei waren z.B. die Verwendung von Privatcomputern für arbeitsbezogene Aufgaben oder die Nutzung der Cloud mit wenig oder gar keinem IT-Personal bzw. -Ressourcen.


Die Entwicklung von Ransomware

Mit der Entwicklung von Ransomware-Angriffen ergeben sich für Cyberkriminelle neue Möglichkeiten, diese “leichten Ziele” auszunutzen. Daher ist es wichtig, ein Bewusstsein für diesen Trend zu schaffen und sicherzustellen, dass Sie in allen Fällen angemessen geschützt sind.

Eine Methode, die sich vermehrter Beliebtheit erfreut, ist jene der doppelten Erpressung. Dabei exfiltrieren die Angreifer die Daten der Opfer vor der Verschlüsselung an einen externen Speicherort und drohen diesen dann mit der Veröffentlichung der Daten, falls kein Lösegeld gezahlt wird. Die kombinierte Bedrohung durch Verschlüsselung und Datenexfiltration ist demnach eine Form der doppelten Erpressung. Kriminelle setzen diese Angriffsmethode immer häufiger ein, da sie sich als äußerst profitabel erweist.

Die Attacken richten sich zunehmend gegen LieferkettenDabei werden Methoden entwickelt, um ganze Versorgungsketten zum Erliegen zu bringen, indem Software-Schwachstellen in mehreren gezielten Angriffen ausgenutzt werden (z.B. Solarwinds-Angriff). Angriffe auf die Lieferkette können sowohl für große als auch für kleine Unternehmen schwerwiegende finanzielle und rufschädigende Folgen haben, die über mehrere Jahre haften bleiben können. Kleine Unternehmen sind besonders anfällig für Angriffe auf ihre Lieferkette, da sie häufig Teil einer großen Lieferkette sind und meist auf die Hilfe von externen IT-Dienstleistern angewiesen sind.

Ransomware wird auch in Form von „Ransomware-as-a-Service“ (RaaS) kommerziell rentabel. RaaS ist eine Art von Pay-for-Use-Malware, die es Cyberkriminellen ermöglicht, bereits entwickelte Ransomware-Tools zu erwerben und somit groß angelegte Ransomware-Angriffe durchzuführen. RaaS funktioniert im Wesentlichen wie ein Partnerprogramm – für jede erfolgreiche Lösegeldzahlung erhalten die Entwickler der Tools einen Anteil. Da RaaS es Cyberkriminellen mit grundlegenden technischen Kenntnissen ermöglicht, einen Ransomware-Angriff durchzuführen, wird dieses Geschäftsmodell die Bedrohungslandschaft auch im Jahr 2023 weiter kräftig anheizen.


Wie Sie Cyberangriffen durch gezielte Investments vorbeugen

Obwohl sich die Methoden der Cyberkriminellen im Laufe der Jahre geändert haben, bleibt die Grundlage der Ransomware-Angriffe dieselbe: Die Angreifer zielen auf die Unachtsamkeit der Opfer ab, blockieren den Zugang auf essenzielle Programme und verlangen anschließend Lösegeld für eine Wiederherstellung des Zugriffs.

Was Sie stets beachten müssen ist, dass Ransomware – egal wie ausgeklügelt der auch Angriff ist –  immer noch einen ersten Zugangspunkt braucht, um wirksam zu sein. Cybersicherheit ist letzten Endes ein menschliches Problem. Die Aufklärung über Ransomware, die sich entwickelnde Art der Angriffe und die Erkennung eines potenziellen Ransomware-Angriffs ist eine wichtige erste Verteidigungslinie. Einfach gesagt: Eine Bedrohung kann nicht vermieden werden, wenn sie nicht erkannt wird!

Die Ausbildung der Mitarbeiter zur Erkennung potenzieller Cyberbedrohungen trägt wesentlich dazu bei, die Wahrscheinlichkeit eines Angriffs zu verringern. Investitionen in laufende Schulungen zur Cybersicherheit muss eine hohe Priorität haben, wenn Ihr Unternehmen seine Widerstandsfähigkeit gegenüber Cyberbedrohungen verbessern will.

Weitere wichtige Sicherheitsvorkehrungen sind etwa die Implementierung eines Endpunktschutzes, der die Sicherung von Endpunkten und Zugangspunkten für alle Geräte innerhalb Ihres Unternehmens umfasst. Ferner empfehlen wir die ordnungsgemäße Verwendung von Passwörtern und eine teamübergreifende Passwortverwaltung, die das Risiko eines Angriffs drastisch verringern können sowie zuverlässige Offsite-Back-ups an einem sicheren Ort samt robusten Wiederherstellungsprozessplan.


Wie können Sie Ihre IT-Infrastruktur schützen?

Potenzielle Angriffe erfolgen nicht immer auf hochtechnologische, ausgeklügelte Weise. Eine Attacke kann auf trivialste Art erfolgen: Wenn z.B. jemand zu Ihrer Rezeption geht und einen USB-Stick in einen unbemannten Computer einsteckt.

Die Sicherheit der eigenen Person und damit auch die Sicherheit Ihres Unternehmens muss immer an erster Stelle stehen. E-Mail-Anhänge und infizierte Websites sind die häufigsten Einfallstore für Ransomware. Behandeln Sie daher alle Ihre E-Mails und Nachrichten (auch SMS und Whatsapp!) als potenzielle Gefahrenquellen und vermeiden Sie es, unnötige Banner auf verdächtigen Websites anzuklicken.

Erstellen Sie darüber hinaus auch einen Back-up- und Wiederherstellungsplan, mit dem Sie im Falle eines Angriffs Ihre Daten schnell wiederherstellen können. Aktualisieren Sie Ihre Software regelmäßig, da Cyberkriminelle häufig bekannte Sicherheitslücken ausnutzen, die die Entwickler bereits geschlossen haben.

Die Auswirkungen von Ransomware-Angriffen auf kleine oder mittelgroße Unternehmen können verheerend sein und weit über die finanziellen Lösegeldforderungen hinausgehen. Aufklärung, Vorbereitung und schnelles Handeln gehören zu den wirksamsten Waffen, die in diesem Cyberkrieg zur Verfügung stehen – Sie müssen darauf vorbereitet sein und Ihre Mitarbeiter:innen bereit für den Ernstfall machen.

Wir raten Ihnen daher: Agieren statt regieren! Werden Sie nicht zum nächsten Opfer!

BREAKING: Cyberattack forces Catholic schools to close

Huron-Superior Catholic District School Board students are being sent home early today — and schools are closed tomorrow — after cyber incident targeted board’s computer and phone systems

SooToday StaffDec 15, 2022 12:39 PM


Students at English Catholic schools are being sent home early today — and schools are closed tomorrow — in the wake of a cyber incident this morning that targeted the board’s computer and phone systems.

The website for the Huron-Superior Catholic District School Board has been offline since this morning, and school phones are not working.

Danny Viotto, the board’s director of education, said in a letter to parents that the board is “currently recovering from a cyber-incident that first came to our attention this morning.”

“Upon our discovery, we immediately took steps to secure our network and retained expert assistance,” reads an excerpt of the letter. “We are in the process of investigating and understanding the full impact of this incident.”

Viotto assures parents that classes will resume Jan. 3, as scheduled.

“Our IT team has been working diligently and will continue until we are able to restore services,” he says. “We appreciate that this incident raises a significant privacy concern, and we will be providing updates and sharing more information when we have it.”

Although English Catholic schools will be closed tomorrow, principals and vice-principals will be at work if needed.

“Moving forward, I will be communicating with all employees and families through our school messenger platform and social media platforms (facebook, instagram and twitter),” Viotto says.

A media release from Huron-Superior Catholic District School Board follows:

The Huron-Superior Catholic District School Board is currently recovering from a cyber-incident that first came to our attention this morning. Upon our discovery, we immediately took steps to secure our network and retained expert assistance. We are in the process of investigating and understanding the full impact of this incident.

Since our communications systems in schools such as telephones and P.A. Systems have been affected due to this cyber-incident, and to ensure the health and safety of everyone, all staff and students will be sent home for the remainder of the day today and all classes will be cancelled this afternoon and tomorrow, Friday, Dec. 16, 2022 Classes will resume for staff and students on Tuesday, Jan. 3, 2023.

Principals and vice-principals will remain in schools for the remainder of today and will be reporting to their schools on Friday should their assistance be required at the school level.

Moving forward, we will be communicating with all employees and families through our school messenger platform and social media platforms (Facebook, Instagram and Twitter). At this time our board website is not operational.

Our IT team has been working diligently and will continue until we are able to restore services. We appreciate that this incident raises a significant privacy concern, and we will be providing updates and sharing more information when we have it.

Thank you for your patience and understanding as we work through this and we sincerely apologize for any inconvenience this may cause.

Unternehmen erhöhen Cybersecurity-Budgets

Um sich vor zukünftigen Risiken zu schützen, erhöhen fast drei Viertel (73 Prozent) der Unternehmen weltweit ihre Ausgaben für Cybersicherheit. Das ist das Ergebnis einer Umfrage von Fastly.

Beinahe drei Viertel der Unternehmen wollen ihre Ausgaben für die Cybersicherheit steigern, wie die Umfrage zeigt


Fraglich ist jedoch, ob diese Investitionen tatsächlich optimal eingesetzt werden, denn die Untersuchung zeigt auch: Nur 61 Prozent der angeschafften Cybersicherheits-Tools sind überhaupt vollständig aktiv oder wirklich im Einsatz. Im DACH-Raum liegt dieser Durchschnittswert bei 59 Prozent. Da bei der Auswahl von Sicherheitslösungen ausserdem häufig das Giesskannenprinzip angewandt wird, überlappen sich 42 Prozent der Tools in ihrem Zweck. Die Unternehmen schützen sich also gleich mehrmals vor denselben Bedrohungen. Gleichzeitig gibt es bei den eingesetzten Lösungen zu oft, zu viele Fehlalarme. So sind beispielsweise 38 Prozent der von den Web Application Firewalls (WAFs) der Unternehmen erkannten Warnungen False Positives.

Im Rahmen dieser Studie gaben die IT-Verantwortlichen auch eine Prognose zu den grössten Bedrohungen für ihr Unternehmen in den nächsten zwölf Monaten ab. In der DACH-Region nennen 35 Prozent Phishing vor Malware (26 Prozent) und Datendiebstahl (25 Prozent). Weltweit wird letzteres am häufigsten genannt (32 Prozent), vor Malware (29 Prozent) und Phishing (26 Prozent). Zum Vergleich: In einer von Fastly in Grossbritannien durchgeführten Studie aus dem Jahr 2021 waren die grössten Bedrohungen für Unternehmen noch Malware, DDoS-Angriffe (Distributed Denial of Service) und Cyberkriminelle, die auf bekannte Schwachstellen abzielen. Diese Veränderung stellt eine signifikante Verschiebung der Bedrohungsängste dar. Im Fokus stehen nun Angriffe, die per «Social Engineering» auf einzelne Mitarbeiter abzielen.

Neuer Sabotageangriff auf Steuersysteme der Bahn – Staatsschutz ermittelt

Die Bahn ist erneut Opfer eines Sabotageangriffs geworden. Nach SPIEGEL-Informationen durchtrennten Unbekannte in Essen mehrere Kabelverbindungen und sorgten so für Ausfälle im Steuerungssystem.


Die Deutsche Bahn ist erneut Opfer von Saboteuren geworden. Nach SPIEGEL-Informationen brachen unbekannte Täter am vergangenen Sonntag an einer Bahnstrecke in Essen-Dellwig in zwei Stellwerkgebäude ein. Laut einem internen Behördenvermerk über den Vorfall trennten sie in mehreren Schaltkästen »gezielt« wichtige Kabel durch.

Die Strecke in der Nähe des Tatorts, auf der ausschließlich Güterzüge fahren, musste nach der Entdeckung der Schäden zunächst für den Zugverkehr gesperrt werden, da mehrere Bahnübergänge ohne Strom waren. Die Strecke war erst einen Tag zuvor nach einjähriger Bauzeit wiedereröffnet worden. Der Personenverkehr wurde jedoch nicht beeinträchtigt.Zur Ausgabe

Die Reparatur in den beiden Stellwerken war nicht sofort möglich. Dennoch können bereits wieder Güterzüge auf der Strecke fahren, da die betroffenen Bahnübergänge mit Batterie betrieben werden können.

Der polizeiliche Staatsschutz hat die Ermittlungen aufgenommen. Der Fall erinnert an ähnliche Sabotageaktionen im Herbst. Damals hatten Unbekannte erst im nordrhein-westfälischen Herne und einige Stunden später in Berlin Glasfaserkabel des bahninternen Mobilfunknetzes durchtrennt. Daraufhin fiel in weiten Teilen Norddeutschlands der Zugverkehr für mehrere Stunden aus.

In diesen Fällen ermittelt inzwischen die Karlsruher Bundesanwaltschaft wegen des Verdachts der »verfassungsfeindlichen Sabotage«. Die Ermittler gehen davon aus, dass die Täter die entsprechenden Kabel durchtrennten, um das interne Kommunikationsnetz lahmzulegen. Bisher allerdings gibt es laut Sicherheitskreisen keine heiße Spur in dem Fall.

Derzeit erscheint es eher unwahrscheinlich, dass bei den Aktionen in Herne und Berlin dieselben Täter am Werk waren. In Bahnkreisen jedenfalls vermutet man keine Verbindung zwischen der Sabotage in Essen und den Angriffen im Herbst. Die Sache sehe »anders aus«, hieß es.

French Electricity Provider Fined for Storing Users’ Passwords with Weak MD5 Algorithm

The French data protection watchdog on Tuesday fined electricity provider Électricité de France (EDF) €600,000 for violating the European Union General Data Protection Regulation (GDPR) requirements.

The Commission nationale de l’informatique et des libertés (CNIL) said the electric utility breached European regulation by storing the passwords for over 25,800 accounts by hashing them using the MD5 algorithm as recently as July 2022.

It’s worth noting that MD5, a message digest algorithm, is considered cryptographically broken as of December 2008 owing to the risk of collision attacks.


Furthermore, the authority noted that the passwords associated with 2,414,254 customer accounts had only been hashed and not salted, exposing the account holders to potential cyber threats.

The probe also pointed fingers at EDF for failing to comply with GDPR data retention policies and for providing “inaccurate information on the origin of the data collected.”

“The amount of the fine was decided considering the breaches observed and the cooperation by the company and all the measures it has taken during the proceedings to reach compliance with all alleged breaches,” the CNIL said.

The penalty arrives less than two weeks after CNIL fined Discord €800,000 for its failure to respect data retention periods for inactive accounts and enforce a strong password policy.

Colombian energy supplier EPM hit by BlackCat ransomware attack

Colombian energy company Empresas Públicas de Medellín (EPM) suffered a BlackCat/ALPHV ransomware attack on Monday, disrupting the company’s operations and taking down online services.

EPM is one of Colombia’s largest public energy, water, and gas providers, providing services to 123 municipalities. The company generated over $25 billion in revenue in 2022 and is owned by the Colombian Municipality of Medellin.

On Tuesday, the company told approximately 4,000 employees to work from home, with IT infrastructure down and the company’s websites no longer available.

EPM disclosed to local media that they were responding to a cybersecurity incident and provided alternative methods for customers to pay for services.

The Prosecutor’s Office later confirmed to EL COLOMBIANO that ransomware was behind the attack on EPM that caused devices to be encrypted and data to be stolen.

However, the ransomware operation behind the attack was not disclosed.

BlackCat ransomware behind the attack

BleepingComputer has since learned that the BlackCat ransomware operation, aka ALPHV, was behind the attacks, claiming to have stolen corporate data during the attacks.

BleepingComputer has also seen the encryptor sample and ransom notes from the EPM attack and has confirmed that they are from the BlackCat ransomware operation.

While the ransom note created in the attack states that the threat actors stole a wide variety of data, it should be noted that this is the exact text used in all BlackCat ransom notes and is not specific to EPM.

However, further discoveries indicate that hackers likely stole quite a bit of data from EPM during the attack.

Chilean security researcher Germán Fernández discovered a recent sample of BlackCat’s ‘ExMatter’ data-theft tool, uploaded from Colombia to a malware analysis site.

ExMatter is a tool used in BlackCat ransomware attacks to steal data from corporate networks before devices are encrypted. This data is then used as part of the ransomware gang’s double-extortion attempts.

When the tool is run, it will steal data from devices on the network and store it on attacker-controlled servers within folders named after the Windows computer name that it was stolen from.

When analyzing the ExMatter tool, Fernández found that it uploaded the data to a remote server that was not adequately secured, allowing any visitor to see the data stored on it.

In the ExMatter variant from Colombia, the data was uploaded into various folders starting with ‘EPM-,’ as shown below. Fernández told BleepingComputer that these computer names match known computer naming formats used by Empresas Públicas de Medellín.

While it is unclear how much total data was stolen, Fernández told BleepingComputer that there were a little over 40 devices listed on the site.

BleepingComputer has reached out to EPM to learn more about the attack and how much data was stolen, but a response was not immediately available.

This is not the first time a ransomware attack has targeted a Colombian energy company.

In 2020, the Enel Group suffered a ransomware attack twice in the same year.

Colombia has also seen an increase in attacks over the last months, with the country’s healthcare system disrupted last month by a RansomHouse attack on Keralty, a multinational healthcare organization.

Jedes zweite Unternehmen 2022 war Opfer von Ransomware

Ransomware-Attacken haben sich zu einer der gefährlichsten Bedrohungen für den IT-Alltag weltweit entwickelt und stellen vor allem für kleine und mittelständische Unternehmen eine wachsende Bedrohung dar. Wie ein Ransomware-Angriff funktioniert, ob Sie gefährdet sind und wie Sie Ihr Unternehmen schützen können, erfahren Sie in diesem Artikel.

Wie funktioniert ein Ransomware-Angriff?

Sogenannte Ransomware ist ein beliebtes Mittel von Cyberkriminellen, um sensible Daten von Unternehmen abzugreifen, sie damit zu erpressen und im Darknet zu verkaufen. Hacker haben im Jahr 2022 mit Hilfe von Ransomware so bereits über 30 Terabyte an sensiblen Daten erbeutet. Jedes Jahr werden die Methoden für die Angriffe immer effizienter und verheerender, sodass heutzutage mindestens jedes zweite Unternehmen von Ransomware betroffen ist. Die Angreifer verfügen dabei über zahlreiche Wege wie E-Mail-Spam, Phishing-Angriffe oder schädliche Web-Downloads, um ihre Schadsoftware zu ihrem Opfer zu schicken. Ist diese erstmal auf zum Beispiel dem Computer eines Mitarbeiters angelangt, so ist es in der Regel zu spät den Angriff zu verhindern. In den ersten Wochen bis Monaten hält sich die Ransomware versteckt im System um von Anti-Viren-Programmen nicht identifiziert zu werden. Oft wird sie erst nach 6 Monaten aktiv, schickt sämtliche Daten zu dem Hacker und macht sie für die betroffenen Mitarbeiter unzugänglich. Die einzig mögliche Interaktion auf den Computern ist dann ein Lösegeldtransfer, welcher laut Forderung innerhalb weniger Stunden oder Tage erfolgen muss, da sonst die Daten gänzlich vernichtet oder verkauft werden. Sobald Hacker wissen, dass das Unternehmen Schwachstellen hat, die sie ausnutzen können, bleibt es meist nicht nur bei einem Angriff. Durch das für Cyber-Kriminelle lukrative Geschäft hat sich das Ransomware-Volumen allein im Jahr 2021 verdoppelt und übersteigt die 600 Millionen-Marke. Über 70% der Unternehmen Weltweit, welche 2022 von einem Angriff betroffen waren, wurden innerhalb von 12 Monaten erneut Opfer von einem oder mehreren weiteren Ransomware-Attacken. Fast jeder zweite Vorfall erfolgte über Phishing-E-Mails, Links und Websites, welche auf den ersten Blick selbst für geschulte Mitarbeiter nicht als Gefahr wahrzunehmen sind.

Eine wachsende Erfolgsgeschichte

Da der Großteil der Unternehmen immer wieder das geforderte Lösegeld zahlen, sind Ransomware-Angriffe ein beliebtes und einfaches Mittel für Cyberkriminelle. Ganze 76% der Unternehmen in Österreich, welche 2021 von Ransomware betroffen waren, haben das Lösegeld gezahlt, wobei die Dunkelziffer deutlich höher geschätzt wird, da solche Angriffe ungern an die Öffentlichkeit getragen werden. Trotzdem konnte fast jedes vierte Unternehmen (24%) seine Daten danach nicht wiederherstellen und zahlte somit doppelt. Aber wie teuer sind Ransomware-Angriffe für Unternehmen? Die Lösegelder schwanken je nach Ziel der Cyberkriminellen sehr stark. Sind kleine und mittelständische Unternehmen betroffen, kalkulieren Hacker genau, wie kostspielig es wäre die verlorenen Daten wieder aufzubereiten. Dementsprechend wird der Preis für die Freigabe der Daten angepasst und liegt meist im mittleren sechsstelligen Bereich. Unternehmen in Japan zahlten allerdings bei den größten Ransomware-Angriffen im Jahr 2021 durchschnittlich fast 4,3 Millionen US-Dollar.

Beliebte Ziele bei Cyberkriminellen

Ransomware kann im Zeitalter der wachsenden Digitalisierung in jedem Fall zu einer mächtigen Waffe werden, die den betroffenen Unternehmen nicht nur immensen finanziellen Schaden, sondern auch einen bleibenden Reputationsverlust zufügen kann. Besonders beliebt sind Ransomware bei internationalen Angriffen auf Regierungen mit 47 Angriffen im Jahre 2021 und ein oft genutztes Mittel in sogenannten „Cyberwars“. Bei Angriffen auf Regierungen erhoffen sich Cyber-Kriminelle weniger ein gutes Lösegeld, sondern insbesondere wertvolle Daten, welche heißbegehrt im Darknet sind. Knapp dahinter stehen Bildung und Dienstleistungseinrichtungen. Selbst das Gesundheitswesen bleibt nicht verschont und ist auf Platz vier der beliebtesten Ziele von Ransomware. Nicht selten geraten dadurch auch Menschenleben in Gefahr. Anzumerken ist, dass die öffentlichen Statistiken nur Angriffe beinhalten, welche auch offiziell gemeldet wurden. Viele Unternehmen fürchten einen Image-Schaden oder Panik bei ihren Kunden, wodurch die Dunkelziffer weitaus höher als vermutet liegen kann.

Ab wann lohnt sich Schutz vor Ransomware?

Die Frage ist nicht ab wann, sondern welcher Schutz sich lohnt. Egal in welchem Stadium sich ein Unternehmen in der Entwicklung befindet, zu jeder Zeit steht es als potenzielles Opfer auf der Liste von Cyberkriminellen. Viele kostenlose Anti-Viren-Programme geben an, einen integrierten Ransomware-Schutz zu beinhalten, allerdings bieten diese nur für sehr einfach gestrickte Schadsoftware Schutz. Dadurch, dass  Ransomware in der Regel erst nach einigen Monaten aktiv wird, kann der herkömmliche Schutz nichts gegen die wirklich gefährlichen Angriffe ausrichten.

Ein Lichtblick im Ransomware-Chaos

2022 ist eine neue SaaS-Lösung auf den Markt gekommen, welche es möglich macht, genau dieses Problem zu lösen. SPIXNET hat eine Methode entwickelt die Zeit für die versteckte Ransomware künstlich zu verschnellern. So erkennt SPIXNET innerhalb von wenigen Sekunden eine Schadsoftware oder Spam, bevor diese in das Postfach des Empfängers gelangt. Zu einem guten Schutz gehört es auch regelmäßige Sicherungen auf einem externen Datenträger und/oder in einer Cloud zu machen. So lassen sich in einem Ernstfall verlorene Daten zumindest zum Teil wiederherstellen.

Zu der Frage „Schutz vor Ransomware?“ gilt also ganz klar: Wer nichts macht, zahlt doppelt. Und zwar nicht nur Lösegeld, sondern meistens auch mit wichtigen Daten und Reputation.


Top 5 der Ransomware-Statistiken – MQ Management und Qualität ( (12.12.2022)

Wie ein Ransomware-Angriff funktioniert und Sie Ihr Unternehmen schützen können | heise (12.12.2022)