An diesem Wochenende (06./07.11.2021) kam es laut mehreren Quellen zu einem Ransomware-Angriff auf die Elektronikmärkte MediaMarkt und Saturn. Offenbar sind lediglich die Kassen- und Warenwirtschaftssysteme in den Filialen betroffen. Die Läden bleiben jedoch zunächst geöffnet.

Die unbekannten Erpresser fordern für die Entschlüsselung der Daten 50 Millionen US-Dollar in Bitcoin. Sie verwendeten die relativ neue Ransomware „Hive“.

Ransomware-Angriffe werden häufiger

Ransomware wird verwendet, um die Daten auf einem Endgerät zu verschlüsseln und für deren Freigabe ein Lösegeld zu erpressen. Laut dem aktuellen BSI-Lagebericht werden solche Angriffe in letzter Zeit immer häufiger. Gerade große Unternehmen geraten deshalb wiederholt in die Schlagzeilen. Die Angreifer sind dabei immer besser organisiert und dementsprechend schwieriger zu überführen.

Eine Erweiterung dieser Strategie lässt sich auch beobachten. Teilweise speichern Angreifer die Daten vor der Verschlüsselung rechtswidrig ab, um dann unter Androhung der Veröffentlichung Schweigegeld zu erpressen. Dieses Vorgehen kann sich als effektiv beweisen, wenn das Opfer aufgrund eigener Sicherheitskopien der Daten kein Interesse an der Zahlung des Lösegeldes für die Entschlüsselung der Daten zeigt. Findet ein Ransomware-Angriff statt, muss deshalb grundsätzlich davon ausgegangen werden, dass die Daten kompromittiert sind.

Größtes Einfalltor für solche Angriffe sind wohl Social-Engineering-Attacken. Hierbei wird versucht, Menschen durch Tricks wie geschickt gefälschte E-Mails dazu zu bringen, etwa auf bösartige Links zu klicken oder Anhänge herunterzuladen, die die Schadsoftware installieren.

Betroffenheit von MediaMarkt und Saturn vom Verschlüsselungstrojaner

Die Elektronikmärkte MediaMarkt und Saturn gehören zur Ceconomy AG. Die Gruppe betreibt in 13 europäischen Ländern rund 1000 Märkte. Insgesamt sind wohl 3100 Server mit einem Krypto-Virus infiziert.

Das Unternehmen teilte mit, dass „derzeit intensiv mit internen und externen Experten sowie den zuständigen Behörden zusammen[gearbeitet werde], um die entstandenen Schäden schnellstmöglich zu analysieren und zu identifizieren“. Es könne momentan weder festgestellt werden, ob Kundendaten abgegriffen wurden, noch welches Ausmaß der Angriff konkret hat. Die Online-Shops würden momentan noch funktionieren, in den Läden sei dagegen außer dem Verkauf der Bestandsware kein Service möglich. Die Mitarbeiter werden angewiesen, Computer nicht zu benutzen und Kassen vom Netz zu nehmen.

Unter Verweis auf laufende Ermittlungen macht das Unternehmen allerdings keine weiteren Aussagen. Derzeit werde zudem noch verhandelt.

Ransomware „Hive“

Die Angreifer verwendeten die Ransomware „Hive“. Nach den Angaben einer Website im Tor-Netzwerk ist diese seit Juni dieses Jahrs aktiv und damit ein verhältnismäßig neuer Spieler. Bereits im August hatte das FBI eine Warnung vor „Hive“ ausgesprochen. Die Software würde signifikante Herausforderungen für die Verteidigung und die Schadensminimierung bereithalten.

Sollten Sie Fragen oder Probleme in diesem Bereich haben, beraten Sie unsere Experten gerne.

DSB buchen
de_DEDeutsch