MediaMarkt i Saturn zainfekowane trojanem szyfrującym - Zagrożenie atakami ransomware

W ten weekend (06./07.11.2021), według kilku źródeł, doszło do ataku ransomware na sklepy z elektroniką MediaMarkt i Saturn. Podobno ucierpiały tylko systemy kasowe i zarządzania towarem w sklepach. Na razie jednak sklepy pozostają otwarte.

Nieznani wyłudzacze żądają 50 milionów dolarów w Bitcoinach za odszyfrowanie danych. Wykorzystali do tego stosunkowo nowy ransomware "Hive".

Ataki ransomware są coraz częstsze

Ransomware służy do szyfrowania danych na urządzeniu końcowym i wymuszania okupu za ich uwolnienie. Według. Aktualny raport o sytuacji BSI takie ataki stają się ostatnio coraz częstsze. Zwłaszcza duże firmy wielokrotnie trafiają z tego powodu na pierwsze strony gazet. Atakujący są coraz lepiej zorganizowani i przez to trudniej ich złapać.

Można również zaobserwować rozszerzenie tej strategii. W niektórych przypadkach atakujący bezprawnie przechowują dane przed ich zaszyfrowaniem, aby następnie wyłudzić hawajskie pieniądze pod groźbą publikacji. Takie podejście może okazać się skuteczne, jeśli ofiara nie wykazuje zainteresowania zapłaceniem okupu za odszyfrowanie danych ze względu na posiadanie własnych kopii zapasowych danych. Jeśli dojdzie do ataku ransomware, należy zatem założyć, że dane zostały zagrożone.

Największą furtką dla takich ataków są prawdopodobnie ataki socjotechniczne. Tutaj próbuje się podstępnie nakłonić ludzi do klikania w złośliwe linki lub pobierania załączników, które instalują złośliwe oprogramowanie, na przykład poprzez sprytnie sfałszowane wiadomości e-mail.

MediaMarkt i Saturn dotknięte koniem trojańskim do szyfrowania

Sklepy z elektroniką użytkową MediaMarkt i Saturn należą do Ceconomy AG. Grupa ta prowadzi około 1000 sklepów w 13 krajach Europy. Łącznie 3100 serwerów jest prawdopodobnie zainfekowanych kryptowirusem.

Firma poinformowała, że "obecnie intensywnie współpracuje z wewnętrznymi i zewnętrznymi ekspertami, a także odpowiedzialnymi organami, aby jak najszybciej przeanalizować i zidentyfikować szkody". Na razie nie udało się ustalić, czy dane klientów zostały podsłuchane, ani jaki był rzeczywisty zasięg ataku. Sklepy internetowe w tej chwili jeszcze funkcjonują, ale nie można w nich świadczyć żadnych usług poza sprzedażą zapasów. Pracownicy zostali poinstruowani, aby nie korzystać z komputerów i odłączyć kasy fiskalne od sieci.

Firma nie wydaje jednak żadnych dalszych oświadczeń, powołując się na trwające dochodzenia. Negocjacje są nadal w toku.

Ransomware "Hive

Napastnicy wykorzystali ransomware "Hive". Według strony w sieci Tor, działa ono od czerwca tego roku, a więc jest stosunkowo nowym graczem. FBI wydało ostrzeżenie o "Hive" już w sierpniu. Oprogramowanie to stanowiłoby istotne wyzwanie dla obrony i minimalizacji szkód.

Jeśli masz jakiekolwiek pytania lub problemy w tym zakresie, nasi eksperci chętnie Ci doradzą.