10.11.2021 10:06 |

Bei Media Markt & Co.

Ransomware-Banden haben immer noch leichtes Spiel

Immer häufiger, immer gieriger: Kriminelle Hacker haben Unternehmen und öffentliche Einrichtungen im Visier und drohen oft damit, Daten unbeteiligter Kunden zu veröffentlichen. Neben der Elektronikmarktkette Media Markt erwischte es nun in den USA auch den Aktien- und Kryptoanlagen-Broker Robinhood, der mit seiner App insbesondere bei jungen Leuten populär ist.

Cyberangriffe führten heuer auch in Österreich zu Betriebsunterbrechungen unter anderem bei der Großmolkerei Salzburgmilch und beim Kranhersteller Palfinger. Aber auch private Anwender sind im Visier der Cyberkriminellen.

Ebenso der deutsche IT-Dienstleister Medatixx, der jede vierte Arztpraxis in Deutschland mit Software beliefert, meldete kürzlich einen Angriff. Wie bei den meisten Cyberattacken der vergangenen Wochen und Monate geht es ums Geld. Die Robinhood-Hacker sind nun nach Angaben des Unternehmens im Besitz der E-Mail-Adressen von rund fünf Millionen Kunden, bei zwei Millionen wurde auch der volle Namen erbeutet. Mit dieser Kombination lassen sich wiederum gefährliche Phishing-Mails generieren, um bei den Kunden Passwörter und andere sensible Informationen abzufischen.

Der US-Broker kann immerhin seine Dienste weiter in vollem Umfang anbieten, auch wenn die Hackerattacke das Image beschädigt und den eigenen Aktienkurs nach unten gedrückt hat.

Einschränkungen in Media-Markt-Filialen
Härter hat es die Elektronikmärkte von MediaMarktSaturn getroffen, weil der Angriff das Tagesgeschäft massiv behindert. Der Branchenprimus hatte sich in der Nacht zum Montag eine Erpresser-Software eingefangen, die in wenigen Minuten die Daten von über 3000 Servern verschlüsselte. Damit wurde das komplette Warenwirtschaftssystem der Gruppe lahmgelegt. In den Filialen von Media Markt und Saturn konnte nur noch mit Bargeld bezahlt werden, weil Kartenabbuchungen nicht mehr möglich waren. Geschenkgutscheine konnten nicht eingelöst, Garantiefälle nicht mehr abgewickelt werden.

Nach einem unbestätigten Bericht des Onlinemagazin Bleepingcomputer haben die Erpresser mit Hilfe der Schadsoftware Hive für die Freigabe der Daten zunächst 240 Millionen US-Dollar Lösegeld verlangt, dann aber ihre unrealistisch hohe Forderung reduziert. MediaMarktSaturn steht nun zum einen vor der Herausforderung, die Systeme aus hoffentlich noch brauchbaren Backups wiederherzustellen.

Zitat Icon

Man kann davon ausgehen, dass die Angreifer schon sehr lange im Netzwerk aktiv waren und Zeitpunkt und Zielsysteme mit Bedacht gewählt haben.

Rüdiger Trost, F-Secure

Unklar blieb zunächst, ob die Angreifer die Daten vor der Verschlüsselung auch noch kopiert haben, heißt es in dem Bericht. Hive ist für eine „Double Extortion“ (doppelte Erpressung) bekannt, bei dem die Opfer nicht nur mit den verschlüsselten Daten erpresst werden, sondern auch damit gedroht wird, Kopien der Daten zu veröffentlichen. Sicherheitsexperte Rüdiger Trost von der Firma F-Secure befürchtet Schlimmes: „Man kann davon ausgehen, dass die Angreifer schon sehr lange im Netzwerk aktiv waren und Zeitpunkt und Zielsysteme mit Bedacht gewählt haben.“

Ransomware gilt seit Jahren als die gravierendste Bedrohung der Cybersicherheit, auch weil die Erpressung ein besonders einträgliches Geschäft ist. Abgerechnet wird oft in der Digitalwährung Bitcoin: Nach Angaben des US-Finanzministeriums belief sich der Gesamtwert der verdächtigen Bitcoin-Aktivitäten, die in den ersten sechs Monaten des Jahres 2021 im Zusammenhang mit Ransomware gemeldet wurden, auf 590 Millionen US-Dollar. Dieser Wert liegt höher als die 416 Millionen US-Dollar, die für das gesamte Jahr 2020 gemeldet wurden.

IT-Sicherheit wird oft vernachlässigt
Aber trotz ständiger Hinweise der US-Behörden und des deutschen Bundesamtes für Sicherheit (BSI) auf die angespannte Sicherheitslage gelingt es den Kriminellen weiterhin, ihre Schlagzahl zu erhöhen. Dafür gibt es mehrere Gründe. Zum einen haben viele Unternehmen und öffentliche Einrichtungen ihre IT-Systeme nicht im Griff. Sicherheitsupdates werden gar nicht oder verspätet eingespielt. Nach einem Cyber-Angriff auf das Berliner Kammergericht empfahlen Experten sogar, die marode IT-Infrastruktur komplett zu ersetzen.

Zitat Icon

Die Angriffe richten sich zusehends auf große und somit lukrative Ziele.

Rüdiger Trost, F-Secure

„Die Angriffe richten sich zusehends auf große und somit lukrative Ziele“, sagt Experte Trost. Jenseits der großen Unternehmen und Schlagzeilen sehe es aber nicht besser aus. „Im Gegenteil: Der Mittelstand wird immer häufiger angegriffen. Die sind schlechter geschützt und wehren sich nicht so heftig. Und es gibt immer mehr Cyberkriminelle, die Ransomware-Attacken betreiben“

Gleichzeitig müssen die Angreifer auch nicht mehr technische Experten sein, um Cyberattacken zu starten. Ransomware kann man inzwischen als Service im Netz buchen. Dabei teilen die Angreifer das erpresste Geld mit den Hackern, die die Schadsoftware entwickelt haben.

Ursprung oft in Russland und Osteuropa
Die Kriminellen profitieren aber auch davon, dass Ransomware-Attacken nicht entschieden bekämpft werden. Viele Angriffe haben ihren Ursprung in Russland oder Osteuropa. Sicherheitsexperten zufolge kann man aber insbesondere in Russland keine klare Grenze zwischen kriminellen Hackergruppen und staatlich unterstützten Cyberoperationen ziehen. Sie unterstellen der russischen Regierung, sie toleriere oft kriminelle Aktivitäten, solange sie auf das Ausland abzielen. Russlands Präsident Wladimir Putin dementiert das.

Nun ist es allerdings Ermittlern aus Europa, den USA und anderen Teilen der Welt gelungen, mutmaßliche Mitglieder der Hackergruppe REvil aufzuspüren, die vor allen in Osteuropa verortet wird. Das US-Justizministerium teilte mit, in Polen sei ein Ukrainer gefasst worden, der im Verdacht stehe, unter anderem hinter der großen Cyberattacke auf den amerikanischen IT-Dienstleister Kaseya zu stecken. Über eine Schwachstelle bei Kaseya waren Anfang Juli Hunderte Unternehmen in den USA und anderen Ländern mit Erpressungssoftware angegriffen worden. Die Polizeibehörde Europol teilte in Den Haag mit, in Rumänien seien zwei Menschen festgenommen worden, die mit der gleichen Software Attacken begangen haben sollen.

Für Sicherheitsexperte Trost ist der Schlag gegen REvil eine Zäsur: „Cyberkriminelle müssen zukünftig aufpassen, nicht zu dreist zu agieren. Über einer bestimmten Schwelle muss man ansonsten mit den USA und ihren Verbündeten rechnen. Und wer will schon weltweit sein Leben lang von den USA gejagt werden?“

 krone.at
krone.at
Kommentare
Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Samstag, 27. November 2021
Wetter Symbol