BeA-Webseite: Ransomware-Angriff auf Anwaltskammer

Ein ungeschützter MySQL-Server hat den Ausfall einer Info-Webseite zum Anwaltspostfach BeA verursacht.

Artikel veröffentlicht am ,
Eine Ransomware-Gang fordert Lösegeld für die Datenbank der BeA-Infowebseite.
Eine Ransomware-Gang fordert Lösegeld für die Datenbank der BeA-Infowebseite. (Bild: Southern Railway System / Wikimedia Commons)

Der kürzliche Ausfall der Info-Webseite zum besonderen elektronischen Anwaltspostfach (BeA) der Bundesrechtsanwaltskammer ging offenbar auf einen Ransomware-Angriff zurück. Auf dem Server, auf dem die Webseite lag, läuft nach wie vor ein MySQL-Service, bei dem man sich ohne Passwort anmelden kann. Statt Datenbanken findet man dort aber nur noch einen Hinweis einer Ransomware-Gang.

Stellenmarkt
  1. Operations Manager - IT-Security (m/w/d)
    operational services GmbH & Co. KG, Hamburg, Frankfurt am Main, München
  2. Applikationsmanager (w/m/d) mit Schwerpunkt SAP|PM und CS
    Stadtwerke Karlsruhe GmbH, Karlsruhe
Detailsuche

Vor zwei Wochen hatten wir darüber berichtet, dass die Webseite, auf der die Bundesrechtsanwaltskammer unter bea.brak.de über das BeA informiert, zeitweise offline und zwischendurch auch durch eine ungeschützte Wordpress-Installation angreifbar war. Es handelt sich dabei nicht um das BeA selbst, sondern um eine reine Informationsseite. Inzwischen wird man dort auf ein Supportportal weitergeleitet.

Offener MySQL-Server ermöglichte Ransomware-Angriff

Durch einen Hinweis erfuhr Golem.de jetzt, wie es zu dieser Abschaltung kam. Offenbar wurde die MySQL-Datenbank der Wordpress-basierten Seite von einer Ransomware-Gang gelöscht. Auf dem Server, auf dem die Webseite in der Vergangenheit lag, läuft eine offene MySQL-Installation, die aus dem Internet erreichbar ist. Doch nicht nur das: Man kann sich dort nach wie vor ohne Benutzername und Passwort einloggen.

Auf dem Server finden sich zwei Datenbanken namens bea_brak und bea_brak.de, die beide jedoch leer sind. In ihnen findet sich nur noch eine Tabelle mit einer einzigen Zeile. Diese enthält eine Mitteilung, dass man eine Onion-Webseite im Tor-Netzwerk aufrufen und dort einen Code eingeben soll, wenn man die Daten wiederhaben möchte.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
Weitere IT-Trainings

Ruft man diese Seite auf, wird man aufgefordert, 0,06 Bitcoin an eine bestimmte Adresse zu überweisen, um die Daten zurückzuerhalten. Umgerechnet sind das etwa 570 Euro. Bezahlt hat den Betrag offenbar bisher niemand. Auf der angegebenen Bitcoin-Adresse gab es bislang keinen Geldeingang. Vermutlich könnten sich auch andere Personen Zugriff auf die MySQL-Datenbank verschaffen, da es sich aber um eine reine Informationsseite handelt, dürfte das Interesse daran gering sein.

Die Haupt-Webseite der Bundesrechtsanwaltskammer lief über denselben Server wie die BeA-Informationsseite, über einen Ausfall hier ist aber nichts bekannt. Möglicherweise nutzt diese Webseite keine MySQL-Datenbank und blieb daher von dem Angriff verschont. Inzwischen wurden die Webseiten der Bundesrechtsanwaltskammer ebenso wie die BeA-Subdomain auf einen neuen Server umgezogen.

Bundesrechtsanwaltskammer hat keine Hinweise auf Angriff

Die Bundesrechtsanwaltskammer bestreitet auf unsere Anfrage hin, dass es einen derartigen Ransomware-Vorfall überhaupt gegeben habe. Auf unsere Anfrage vor zwei Wochen antwortete man uns: "Wir haben aktuell keinerlei Hinweise bezüglich Angriffe auf unsere Seite." Auch auf eine Rückfrage heute teilte man uns mit, dass man keine Hinweise auf einen Ransomware-Angriff habe.

Ransomware-Angriffe auf ungeschützte Datenbanken sind nichts Ungewöhnliches. Regelmäßig werden offenstehende Datenbanken von Angreifern gelöscht und eine Datenrückgabe gegen Bitcoin versprochen. MySQL ist allerdings davon eher selten betroffen, da es ungewöhnlich ist, einen MySQL-Server so zu konfigurieren, dass ein nicht authentifiziertes Login möglich ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Viele Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Ärger um Drachenlord: Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber
    Ärger um Drachenlord
    Dorf verhängt Allgemeinverfügung wegen umstrittenem Youtuber

    Seit Jahren ist das Dorf Altschauerberg Schauplatz von Provokationen gegen den Youtuber Rainer Winkler. Jetzt sollen neue Gesetze die Ordnung wiederherstellen.

  2. Elektroautos: Neue Ladekarten sollen Schwarzladen verhindern
    Elektroautos
    Neue Ladekarten sollen Schwarzladen verhindern

    Das einfache Klonen von Ladekarten soll künftig nicht mehr möglich sein. Doch dazu müssen alle im Umlauf befindlichen Karten ausgetauscht werden.

  3. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Crucial BX500 1TB SATA 64,06€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit DDR4-4000 269,79€ • 30% auf Warehouse • Primetime bei Saturn (u. a. Switch Lite 166,24€) • Gaming-Chairs • MM Gönn dir Dienstag [Werbung]
    •  /