Elbart
Here to stay
|
Seit dem Hackerangriff auf das Land Kärnten hat die Vereinigung „Black Cat“ damit gedroht, Daten zu veröffentlichen. Das Land lehnte eine Lösegeldforderung ab. Am Freitag dann zwei Knalleffekte: Erste sensible Daten aus der Landesverwaltung sollen im Internet gelandet sein, was das Land so nicht bestätigen will. Darüber hinaus sei ein weiterer Angriff abgewehrt worden. https://kaernten.orf.at/stories/3159239/Das Land hat am Samstag bekannt gegeben, dass es nach dem Angriff durch die Hackergruppe „Black Cat“ mit Cybercrime-Experten zusammenarbeite, um sich zu wehren. Zuletzt hätten die Täter mit der Veröffentlichung von angeblichen Daten aus der Landesverwaltung den Druck auf das Land erhöhen wollen, hieß es aus der Regierung. Noch am Freitagnachmittag hielt das Land zum Thema eine Pressekonferenz ab – mehr dazu in Hackerangriff: Land dementiert Datenleak. An dieser Pressekonferenz nahmen zwei Journalisten persönlich und mehr als 30 über das Internet teil. Nicht alle Namen könnten bekannten Journalisten zugeordnet werden, sagte Kurath. Einzelne Anmeldedaten seien zumindest interessant.
Kurath: „Eine Person nahm unter dem Kürzel ’W’ teil, eine andere unter ‚AFP‘, also der Agence France-Presse. Von dieser französischen Agentur hatten wir noch nie eine Reaktion. Unsere Techniker sind durch eine Recherche drauf gekommen, dass zwei Teilnehmer offenbar über das Darknet zugeschaltet waren. Das Interesse scheint hier relativ groß gewesen zu sein.“ Es lass sich aber nicht sagen, ob diese Personen mit der Hachkergruppe in Kontakt stehen, sagte Kurath. https://kaernten.orf.at/stories/3159345/Spannung pur.
|
Umlüx
Huge Metal Fan
|
das internet ist für uns alle neuland 
|
Elbart
Here to stay
|
Hinweise auf russische Hacker nach Angriff
Knapp zwei Wochen nach dem Hackerangriff auf das Land Kärnten hat es mittlerweile einige weitere Angriffe – Überlastungsangriffe – gegeben. Diese konnten abgewehrt werden, so Landeshauptmann Peter Kaiser (SPÖ). Laut IT-Experte Cornelius Granig könnte es sich um russische Hacker handeln.
...
Laut Brunner [Leiter der IT-Abteilung des Landes] ist gesichert, dass es sich um eine Phishing-Attacke gehandelt habe. Der Eintrittsvektor sei ein problematisches E-Mail an einem Arbeitsplatz im April gewesen. Die Schadsoftware habe sich dann über eine bekannte Betriebssystem-Schwachstelle ausgebreitet.
...
[Cybercrime-Experte] Granig betonte, dass die Sicherheitsvorkehrungen des Landes gut gewesen seien. Auch die Pressekonferenz am Montag wurde offenbar wieder aus dem Darknet verfolgt. Ein anonymer Teilnehmer schrieb auf Englisch sinngemäß in den Chat: Wenn ihr genau wissen wollt, welche Daten wir haben, dann zahlt, sonst veröffentlichen wir weitere Daten. https://kaernten.orf.at/stories/3159524/
|
UnleashThebeast
Mr. Midlife-Crisis
|
DIE RUSSEN WOANS! ... Der Eintrittsvektor sei ein problematisches E-Mail an einem Arbeitsplatz im April gewesen. Der Eintrittsvektor war also ein schlecht geschulter Mitarbeiter.
|
charmin
Super Moderator10x
|
DIE RUSSEN WOANS!
...
Der Eintrittsvektor war also ein schlecht geschulter Mitarbeiter. blöde frage: sollte sowas nicht verhinderbar sein, wenn man keine Adminrechte am pc hat?
|
Smut
takeover & ether
|
Hm. Windows hat defacto permanent privilege escalation Schwachstelle. Die admin rechte verhindern einfach schlimmere Aktionen durch den User, Sicherheit bringt es sehr wenig.
|
semteX
begehrt die rostschaufel
|
blöde frage: sollte sowas nicht verhinderbar sein, wenn man keine Adminrechte am pc hat? das hängt halt davon ab, wen du angreifst. wenns die liesl aus der buchhaltung is: jo. wenns dein IT admin is: eeeeeeeew gute nacht.
|
UnleashThebeast
Mr. Midlife-Crisis
|
das hängt halt davon ab, wen du angreifst. wenns die liesl aus der buchhaltung is: jo.
wenns dein IT admin is: eeeeeeeew gute nacht. Wenn dein IT Admin seine Credentials auf einer Phishing-Seite eingibt oder irgendein .doc mit Makros von protected eingibt, hast aber eh vorher schon ganz andere Probleme ghabt.
|
semteX
begehrt die rostschaufel
|
Wenn dein IT Admin seine Credentials auf einer Phishing-Seite eingibt oder irgendein .doc mit Makros von protected eingibt, hast aber eh vorher schon ganz andere Probleme ghabt. unbestritten. wenn du am tag aber 90 mails von bitbucket / jira / whatever bekommst (und der angreifer weiß das) und das 91. mail kommt von "phisher@fu.com" und redirected dich zu nem fake SSO login... i möcht ned wissn wieviel leute da ihre sso credentials reinprügeln weil da ******* bitbucket wiedermal den login vergessn hat, das blöde trum. nicht jedes phishing mail kommt vom nigerianischen prinzen.
|
mr.nice.
differential image maker
|
Da hat sich halt mittlerweile eine eigene Industrie daraus entwickelt, die einen schreiben VB-Script, die anderen Javascript, die dritten Powershell, die vierten horten Exploits, wieder ein anderer steuert den encrypter und obfuscator bei und alles zusammen ergibt dann oft ein tödliches Gebräu, das bei gut gemachten Phishing Kampagnen fast alle Mechanismen aushebeln kann. Makrofähige Attachments gar nicht erst hineinlassen am gateway kann oft schlimmeres verhindern.
Bearbeitet von mr.nice. am 06.06.2022, 18:27
|
UnleashThebeast
Mr. Midlife-Crisis
|
Makrofähige Attachments gar nicht erst hineinlassen am gateway kann oft schlimmeres verhindern. Wir hatten vor bisl über einem Jahr eine riesengroße Welle an .doc und .xls mit Macros drinnen, die uns bombardiert haben. Ich hab direkt vorgeschlagen einfach am Mailgateway .doc und .xls abzulehnen. "Des geht ned, wenn unsare Kunden uns a Mail schreiben wollen und des geht ned durch is des schrecklich!!1!eins" Jo eh. 6 Monate später haben wir eine fake phishing-Kampagne gefahren, wo du nach klicken auf einen Link zur Anmeldeseite der "Frima" statt "Firma" gekommen bist. Danach haben wir 70 Mitarbeiter entlassen, weil grad die Wochen davor eine Awarenesskampagne mit Pflichttrainings genau dazu gefahren wurde...
|
COLOSSUS
AdministratorGNUltra
|
Und, wie laeuft's am Arbeits- und Sozialgericht jetzt so? 
|
mr.nice.
differential image maker
|
Microsoft hat sich zwar in sehr vielen Bereichen verbessert, aber nach wie vor die Neigung Kompatibilität vor Sicherheit zu stellen, was von vielen Kunden durchaus akzeptiert ist und schleppt daher gewisse Altlasten bis zum St.Nimmerleinstag mit, was in Kombination mit schlecht oder nicht dokumentieren Funktionen schnell zum security nightmare werden kann.
Am besten wäre meiner Meinung nach, legacy office Dokumente könnten nur noch read only geöffnet werden und müssten zum Bearbeiten zwingend zuvor im neuen, nicht scripting fähigen Format abgespeichert werden. Diesen Schritt haben sie leider nicht gewagt durchzusetzen.
Bearbeitet von mr.nice. am 06.06.2022, 18:49
|
Smut
takeover & ether
|
Und, wie laeuft's am Arbeits- und Sozialgericht jetzt so? Hab ich mir auch gerade gedacht. Noch nie von so einer Aktion gehört in .at. Waren die Kündigungen wirklich kausal?
|
UnleashThebeast
Mr. Midlife-Crisis
|
Größtenteils ja, gekündigt wurden aber nur die MA, bei denen es schon in vorigen MA-Gesprächen "Probleme" gab.
|
Anmeldung