Thursday, November 11, 2021

Media-Markt-Erpressung: Das wird so richtig teuer werden

Die Ransomware heisst Hive, und der Angriff auf den europäischen Elektronikhändler Media-Markt und Saturn begann am Sonntagabend. Dabei wurden angeblich verschiedene wichtige Dienste  des Einzelhändlers verschlüsselt und blockiert. Der Online-Verkauf ist den Berichten zufolge nicht beeinträchtigt.

Gemäss ersten Medienberichten verlangten die Kriminellen 240 Millionen Dollar (!) für die Freigabe der verschlüsselten Daten. Berichten zufolge wurde diese masslose Forderung schnell reduziert und liegt jetzt bei 50 Millionen Dollar (in Bitcoin), nachdem Media-Markt Verhandlungen mit den Angreifern aufgenommen hat.

“Die Ransomware-Attacke auf Media-Markt und Saturn ist ein derber Schlag für die beiden Tech-Märkte, die zum Ceconomy-Konzern gehören und die gleichen Backend-Systeme verwenden. Ca. 3100 Server wurden verschlüsselt – und vor Weihnachten zählt jede Stunde bei der Widerherstellung der Systeme, damit die Kernzeit der Weihnachtseinkäufe für diese Konsumriesen nicht zu der eigentlichen Finanzkatastrophe wird [...]Jetzt geht es um Zeit. Wie schnell können alle Systeme wiederhergestellt werden, damit das Geschäft wieder läuft?  Möglicherweise sind auch alle Active Directory Server (Domain Controller) betroffen und verschlüsselt.  Wie kann man Active Directory wiederherstellen, wenn das passiert – wenn alle Server nicht mehr laufen?  Zu wenige Unternehmen stellen sich diese Frage bevor etwas passiert. Fakt ist: Wenn die Active Directory Server nicht mehr laufen, läuft gar nichts mehr – sie sind die Grundlage für das Anmelden aller anderen Systeme in der Infrastruktur – inklusive der Kassensysteme und sonstigen Servern, die für die Abwicklung des eigentlichen Geschäfts notwendig sind.“ (ZDNet)

Bereits im August 2021 hatte das FBI vor Hive gewarnt. Die Kriminellen würden nach Prozessen für Backups, Dateikopien und Sicherheitslösungen suchen. Dabei würden Dateien wie "hive.bat" und "shadow.bat" abgelegt.

Für Mediamarkt werden die nächsten Wochen aufreibend und kostspielig werden. Es ist bekannt, dass die Datenwiederherstellung in vielen Fällen sehr teuer werden kann – auch oder gerade wenn Lösegeld bezahlt wird.

Einen kleinen Lichtblick am Horizont gibt es immerhin:  Gerade eben haben
Behörden aus 17 Ländern die Resultate einer monatelange Ermittlung gegen eine Cybererpressergruppe bekanntgegeben. Bei Razzien haben Ermittler in Rumänien, Polen, den USA und Südkorea sieben Cybererpresser festgenommen. Sie beschlagnahmten ausserdem 6,1 Million Dollar Lösegeld.

No comments:

Post a Comment