BeA-Webseite: Ransomware-Angriff auf Anwaltskammer

Ein ungeschützter MySQL-Server hat den Ausfall einer Info-Webseite zum Anwaltspostfach BeA verursacht.

Artikel veröffentlicht am ,
Eine Ransomware-Gang fordert Lösegeld für die Datenbank der BeA-Infowebseite.
Eine Ransomware-Gang fordert Lösegeld für die Datenbank der BeA-Infowebseite. (Bild: Southern Railway System / Wikimedia Commons)

Der kürzliche Ausfall der Info-Webseite zum besonderen elektronischen Anwaltspostfach (BeA) der Bundesrechtsanwaltskammer ging offenbar auf einen Ransomware-Angriff zurück. Auf dem Server, auf dem die Webseite lag, läuft nach wie vor ein MySQL-Service, bei dem man sich ohne Passwort anmelden kann. Statt Datenbanken findet man dort aber nur noch einen Hinweis einer Ransomware-Gang.

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d)
    Bayerisches Landesamt für Gesundheit und Lebensmittelsicherheit, Oberschleißheim
  2. Trainee (m/w/d) Informationssicherheit
    Landwirtschaftliche Rentenbank, Frankfurt am Main
Detailsuche

Vor zwei Wochen hatten wir darüber berichtet, dass die Webseite, auf der die Bundesrechtsanwaltskammer unter bea.brak.de über das BeA informiert, zeitweise offline und zwischendurch auch durch eine ungeschützte Wordpress-Installation angreifbar war. Es handelt sich dabei nicht um das BeA selbst, sondern um eine reine Informationsseite. Inzwischen wird man dort auf ein Supportportal weitergeleitet.

Offener MySQL-Server ermöglichte Ransomware-Angriff

Durch einen Hinweis erfuhr Golem.de jetzt, wie es zu dieser Abschaltung kam. Offenbar wurde die MySQL-Datenbank der Wordpress-basierten Seite von einer Ransomware-Gang gelöscht. Auf dem Server, auf dem die Webseite in der Vergangenheit lag, läuft eine offene MySQL-Installation, die aus dem Internet erreichbar ist. Doch nicht nur das: Man kann sich dort nach wie vor ohne Benutzername und Passwort einloggen.

Auf dem Server finden sich zwei Datenbanken namens bea_brak und bea_brak.de, die beide jedoch leer sind. In ihnen findet sich nur noch eine Tabelle mit einer einzigen Zeile. Diese enthält eine Mitteilung, dass man eine Onion-Webseite im Tor-Netzwerk aufrufen und dort einen Code eingeben soll, wenn man die Daten wiederhaben möchte.

Golem Akademie
  1. Blender Grundkurs: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    21.06.2022, Virtuell
Weitere IT-Trainings

Ruft man diese Seite auf, wird man aufgefordert, 0,06 Bitcoin an eine bestimmte Adresse zu überweisen, um die Daten zurückzuerhalten. Umgerechnet sind das etwa 570 Euro. Bezahlt hat den Betrag offenbar bisher niemand. Auf der angegebenen Bitcoin-Adresse gab es bislang keinen Geldeingang. Vermutlich könnten sich auch andere Personen Zugriff auf die MySQL-Datenbank verschaffen, da es sich aber um eine reine Informationsseite handelt, dürfte das Interesse daran gering sein.

Die Haupt-Webseite der Bundesrechtsanwaltskammer lief über denselben Server wie die BeA-Informationsseite, über einen Ausfall hier ist aber nichts bekannt. Möglicherweise nutzt diese Webseite keine MySQL-Datenbank und blieb daher von dem Angriff verschont. Inzwischen wurden die Webseiten der Bundesrechtsanwaltskammer ebenso wie die BeA-Subdomain auf einen neuen Server umgezogen.

Bundesrechtsanwaltskammer hat keine Hinweise auf Angriff

Die Bundesrechtsanwaltskammer bestreitet auf unsere Anfrage hin, dass es einen derartigen Ransomware-Vorfall überhaupt gegeben habe. Auf unsere Anfrage vor zwei Wochen antwortete man uns: "Wir haben aktuell keinerlei Hinweise bezüglich Angriffe auf unsere Seite." Auch auf eine Rückfrage heute teilte man uns mit, dass man keine Hinweise auf einen Ransomware-Angriff habe.

Ransomware-Angriffe auf ungeschützte Datenbanken sind nichts Ungewöhnliches. Regelmäßig werden offenstehende Datenbanken von Angreifern gelöscht und eine Datenrückgabe gegen Bitcoin versprochen. MySQL ist allerdings davon eher selten betroffen, da es ungewöhnlich ist, einen MySQL-Server so zu konfigurieren, dass ein nicht authentifiziertes Login möglich ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Forschung
Blaualge versorgt Computer sechs Monate mit Strom

Ein Forschungsteam hat einen Mikroprozessor sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit.

Forschung: Blaualge versorgt Computer sechs Monate mit Strom
Artikel
  1. EC-Karte: Trotz Kartensperre können Diebe stundenlang Geld abheben
    EC-Karte
    Trotz Kartensperre können Diebe stundenlang Geld abheben

    Eine Sperre der Girocard wird nicht immer sofort aktiv. Verbraucher können sich bereits im Vorfeld schützen.

  2. Swisscom-Chef: Vermasselt habe ich nichts
    Swisscom-Chef
    "Vermasselt habe ich nichts"

    Urs Schaeppi gibt den Chefposten bei Swisscom auf. Sein Rückblick auf neun Jahre Konzernführung fällt ungewöhnlich offen aus.

  3. EV Driver Survey: Elektroautos bei IT-Experten besonders beliebt
    EV Driver Survey
    Elektroautos bei IT-Experten besonders beliebt

    Fahrerlebnis und Technik sind für Fahrer von Elektroautos der größte Zusatznutzen dieser Mobilitätsform. Fast alle würden wieder ein E-Auto kaufen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV (2021) 77" günstig wie nie: 1.771,60€ statt 4.699€ • Grakas günstig wie nie (u. a. RTX 3080Ti 1.285€) • Samsung SSD 1TB (PS5-komp.) + Heatsink günstig wie nie: 143,99€ • Microsoft Surface günstig wie nie • Jubiläumsdeals MediaMarkt • Bosch Prof. bis 53% günstiger[Werbung]
    •  /