BeA-Webseite: Ransomware-Angriff auf Anwaltskammer

Ein ungeschützter MySQL-Server hat den Ausfall einer Info-Webseite zum Anwaltspostfach BeA verursacht.

Artikel veröffentlicht am ,
Eine Ransomware-Gang fordert Lösegeld für die Datenbank der BeA-Infowebseite.
Eine Ransomware-Gang fordert Lösegeld für die Datenbank der BeA-Infowebseite. (Bild: Southern Railway System / Wikimedia Commons)

Der kürzliche Ausfall der Info-Webseite zum besonderen elektronischen Anwaltspostfach (BeA) der Bundesrechtsanwaltskammer ging offenbar auf einen Ransomware-Angriff zurück. Auf dem Server, auf dem die Webseite lag, läuft nach wie vor ein MySQL-Service, bei dem man sich ohne Passwort anmelden kann. Statt Datenbanken findet man dort aber nur noch einen Hinweis einer Ransomware-Gang.

Stellenmarkt
  1. Softwareentwickler (m/w/d) für den Energiemarkt
    PSI Energy Markets GmbH, Aschaffenburg, Berlin, Hannover
  2. Datenbankentwickler:in (m/w/d)
    Kassenärztliche Vereinigung Schleswig-Holstein, Bad Segeberg
Detailsuche

Vor zwei Wochen hatten wir darüber berichtet, dass die Webseite, auf der die Bundesrechtsanwaltskammer unter bea.brak.de über das BeA informiert, zeitweise offline und zwischendurch auch durch eine ungeschützte Wordpress-Installation angreifbar war. Es handelt sich dabei nicht um das BeA selbst, sondern um eine reine Informationsseite. Inzwischen wird man dort auf ein Supportportal weitergeleitet.

Offener MySQL-Server ermöglichte Ransomware-Angriff

Durch einen Hinweis erfuhr Golem.de jetzt, wie es zu dieser Abschaltung kam. Offenbar wurde die MySQL-Datenbank der Wordpress-basierten Seite von einer Ransomware-Gang gelöscht. Auf dem Server, auf dem die Webseite in der Vergangenheit lag, läuft eine offene MySQL-Installation, die aus dem Internet erreichbar ist. Doch nicht nur das: Man kann sich dort nach wie vor ohne Benutzername und Passwort einloggen.

Auf dem Server finden sich zwei Datenbanken namens bea_brak und bea_brak.de, die beide jedoch leer sind. In ihnen findet sich nur noch eine Tabelle mit einer einzigen Zeile. Diese enthält eine Mitteilung, dass man eine Onion-Webseite im Tor-Netzwerk aufrufen und dort einen Code eingeben soll, wenn man die Daten wiederhaben möchte.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Ruft man diese Seite auf, wird man aufgefordert, 0,06 Bitcoin an eine bestimmte Adresse zu überweisen, um die Daten zurückzuerhalten. Umgerechnet sind das etwa 570 Euro. Bezahlt hat den Betrag offenbar bisher niemand. Auf der angegebenen Bitcoin-Adresse gab es bislang keinen Geldeingang. Vermutlich könnten sich auch andere Personen Zugriff auf die MySQL-Datenbank verschaffen, da es sich aber um eine reine Informationsseite handelt, dürfte das Interesse daran gering sein.

Die Haupt-Webseite der Bundesrechtsanwaltskammer lief über denselben Server wie die BeA-Informationsseite, über einen Ausfall hier ist aber nichts bekannt. Möglicherweise nutzt diese Webseite keine MySQL-Datenbank und blieb daher von dem Angriff verschont. Inzwischen wurden die Webseiten der Bundesrechtsanwaltskammer ebenso wie die BeA-Subdomain auf einen neuen Server umgezogen.

Bundesrechtsanwaltskammer hat keine Hinweise auf Angriff

Die Bundesrechtsanwaltskammer bestreitet auf unsere Anfrage hin, dass es einen derartigen Ransomware-Vorfall überhaupt gegeben habe. Auf unsere Anfrage vor zwei Wochen antwortete man uns: "Wir haben aktuell keinerlei Hinweise bezüglich Angriffe auf unsere Seite." Auch auf eine Rückfrage heute teilte man uns mit, dass man keine Hinweise auf einen Ransomware-Angriff habe.

Ransomware-Angriffe auf ungeschützte Datenbanken sind nichts Ungewöhnliches. Regelmäßig werden offenstehende Datenbanken von Angreifern gelöscht und eine Datenrückgabe gegen Bitcoin versprochen. MySQL ist allerdings davon eher selten betroffen, da es ungewöhnlich ist, einen MySQL-Server so zu konfigurieren, dass ein nicht authentifiziertes Login möglich ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Von Cubesats zu Disksats
Satelliten als fliegende Scheiben

Leichte und billige Satelliten, die auch zu Mond und Mars fliegen können: Aerospace Corp hat den neuen Standardformfaktor Disksats entwickelt.
Von Frank Wunderlich-Pfeiffer

Von Cubesats zu Disksats: Satelliten als fliegende Scheiben
Artikel
  1. Cyrcle Phone 2.0: Rundes Smartphone soll 700 Euro kosten
    Cyrcle Phone 2.0
    Rundes Smartphone soll 700 Euro kosten

    Dass Mobiltelefone in den letzten 20 Jahren meist nicht rund gewesen sind, scheint einen guten Grund zu haben, wie das Cyrcle Phone 2.0 zeigt.

  2. Wochenrückblick: Frischobst
    Wochenrückblick
    Frischobst

    Golem.de-Wochenrückblick Apple zeigt neue Geräte und Windows wird schneller: die Woche im Video.

  3. SheTransformsIT: Pflichtfach Informatik soll mehr Frauen in die IT bringen
    SheTransformsIT
    Pflichtfach Informatik soll mehr Frauen in die IT bringen

    Mit einem 10-Punkte-Plan will das Bündnis ShetransformsIT mehr Frauen in die IT bringen. Dazu zählt auch ein Pflichtfach Informatik.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance LPX DDR4-3200 16 GB 63,74€ und 32 GB 108,79€ • Alternate (u. a. Creative SB Z SE 71,98€, Kingston KC2500 2 TB 181,89€ und Recaro Exo Platinum 855,99€) • Breaking Deals mit Club-Rabatten • ASUS ROG Crosshair VIII Hero WiFi 269,99€ • iPhone 13 vorbestellbar [Werbung]
    •  /