IT-System der Filialen verschlüsselt
Ransomware-Attacke gegen MediaMarkt: Erpresser fordern 200 Mio. Euro
Gerüchte bezüglich einer Ransomware-Attacke gegen die Media-Saturn-Gruppe machten bereits gestern die Runde. Mittlerweile ist bestätigt, dass die Angreifer Daten des Konzerns verschlüsselt und eine initiale Lösegeldforderung in Höhe von rund 200 Millionen Euro gestellt haben.
#MediaMarkt / #Saturn gerade scheinbar in ganz DE und NL von #Ransomware betroffen.
Alle Kassen still, nichts läuft, sieht nicht gut aus pic.twitter.com/OR4stCaTT6— Hozan Murad ☀️ (@HozanMurad) November 8, 2021
Dem Onlinemagazin BleepingComputer zufolge wurden bei dem Angriff die Ransomware Hive verwendet, um die IT-Systeme der Elektrokette zu verschlüsseln. Von der in der Nacht zum Montag ausgeführten Attacke sind Filialen von MediaMarkt und Saturn in Deutschland und den Niederlanden betroffen. Dem Vernehmen nach wurden bis auf weiteres alle Computer und Kassensysteme in den Filialen vom Netz genommen. Der Onlineverkauf der Handelsketten laufe dagegen wie gewohnt weiter.
MediaMarkt bestätigt Cyberangrif
Die Geschäftsleitung von MediaMarkt hat den Angriff gegenüber BleepingComputer bestätigt. So sei die Handelsgruppe Ziel eines Cyberangriffs geworden und man arbeite daran, die betroffenen Systeme zu identifizieren und die entstandenen Schäden schnellstmöglich zu beheben. In den stationären Märkten könne es infolge des Vorfalls zu Einschränkungen kommen, grundsätzlich stehe MediaMarktSaturn seinen Kunden aber weiterhin über alle Vertriebskanäle zur Verfügung.
Mit Blick auf die hohe „Lösegeldforderung“ verweist das IT-Magazin darauf, dass dergleichen bei derartigen Erpressungsversuchen quasi Standard ist. Man stelle zu Beginn überhöhte Forderungen, um entsprechend Raum für Verhandlungen zu haben. Auch im aktuellen Fall soll die geforderte Summe mittlerweile reduziert worden sein, über den konkreten Verlauf der Verhandlungen – sofern dergleichen aktuell überhaupt stattfindet – ist allerdings nichts bekannt.
Wie bei derartigen Angriffen üblich, stellen die Erpresser ihre Forderungen gemeinsam mit dem Hinweis, dass die Daten endgültig vernichtet werden, wenn man keine Einigung erzielt oder die Betroffenen mit Strafverfolgungsbehörden kooperieren. Auch sei eine Wiederherstellung der Daten nicht mehr möglich, wenn die verschlüsselten Dateien verändert oder umbenannt würden.
Alles schön und gut, aber “ist dran am arbeiten” macht mir mehr Schmerzen als deren Verschlüsselung.
(Und ja, ich bin sehr gespannt, wie das passieren konnte)
Genau das war auch mein erster Gedanke
… diese „auch mein erster Gedanke“ Posts sind wahnsinnig hilfreich.
@HappyGeoCatcher das war jetzt auch mein erster Gedanke
Daran dachte ich auch erst!
Wieviel hilfreicher ist dein Beitrag?
Ist doch alles miteinander vernetzt. Jeder depp braucht aus Bequemlichkeit Remote Zugriff weil das ja so effizient ist. Wer weiß wie lange die schon im sys waren und was sie wirklich abgegriffen haben.
Gleiche Sorte – Problem nicht erkannt ;).
Für 190 Mio kann man bestimmt paar neue Festplatten kaufen und Backup aufspielen.
kein Wunder, dass Bitcoins immer „stärker“ werden wenn Erpresser aus Nordkorea überall auf der Welt zuschlagen und sich über nicht verfügbare Kanäle sicher auszahlen lassen.
Mein erster Vorschlag: Bitcoin & Co verbieten.
trifft paar ehrliche Zocker aber verbrennt allen Kriminelle ihren Bunkergeld
Für 10 Mio alle IT Flaschen abfinden und gute Leute einstellen.
Auch mein erster Gedanke beim Lesen. Haha!
Sowas passiert leider schneller als man gucken kann, da sich die Angreifer immer neue Sachen einfallen lassen und die Filter von Firewall, Spam & Co. hinterher hinken. Am häufigsten schaffen es die Angreifer mit eMails. Irgendein Depp klickt immer Dinge an, die er besser nicht angeklickt hätte.
„Depp“ finde ich an dieser Stelle doch sehr unfreundlich. Denn es kann nun mal wieder jedem passieren. Ein altes Sprichwort sagt: wirf nicht mit Steinen, wenn du im Glashaus sitzt.
Dran am arbeiten wird erstmal „nur“ heißen zu prüfen, welche Systeme betroffen sind und wie weit der Schaden geht.
Welche Systeme genutzt werden können, was nicht.
Ob Backup wiederherstellen reicht oder man im Worst Case doch den Schlüssel kaufen muss.
Es geht wohl eher um die Grammatik… O.o
Mist… da hätte ich mal gleich davor noch was über die Firma als Rechnung bestellt >:)
Toller Mensch
Zielgruppe „Geiz ist geil!“ halt…
Schäm dich.
Nur ein Konzern!
Hahaha wenn man mich als geizig bezeichnen würde ist man relativ fern von dieser Welt. Hab bestimmt schon in einem Jahr so viel ausgegeben wie du 40 Jahren verdienst :)
woher weißt Du toller Hecht denn was Dr. Koothrappali im Jahr verdient?
Immer diese 0 Kommentare – es gibt einfach soviele Deppen
Du scheinst ein ganz harter zu sein. Soviel Geld in einem Jahr wie andere in 40 ausgeben, aber dann sich daran potentiell zu erfreuen den Konzern um eine 90€ Mikrowelle zu erleichtern?
Pass lieber auf, das niemand auf deine Rechnung was kauft. ;) ;) ;)
Nomen est omen…
Wundert mich irgendwie nicht, wenn ich mir überlege das viele Kassensysteme noch auf Windows XP laufen und quasi nie gewartet werden. Zudem sind bei Mediamarkt auch die Computer an denen die Mitarbeiter den Bestand abfragen und Preise checken oft offen zugänglich (im Sinne von nicht ausgeloggt)….die werden zwar keine Adminrechte haben aber wer weiß.
Die Mühe wird sich ein Hacker nicht machen um von zuhause bis zum PC im Markt zu laufen.
Täusch dich da mal nicht. Social Engineering ist mit das wichtigste beim Hacken…
Die Technik (zumindest in unserem Markt im Ort) ist alles auf Windows 10 (sieht man ja ziemlich gut) und ich denke, dass die PCs nicht direkt am zentralen Netzwerk hängen, denn meine Kundendaten aus einem anderen Markt können die MA nicht sehen. Aber irgendein Server wird bestimm täglich alles nach Ingolstadt schicken …
Die Kassensysteme bei MMS laufen auf Linux.
Die Netze sind alle voneinander getrennt (Kasse, Promotion, POS, 3Party (Fotostation, Sonos,..),…).
Es gibt für ein solches Szenario einen Plan.
Die IT arbeitet übrigens regelmäßig mit dem CCC zusammen.
Werden wir sehen, was passiert.
Sind auch Kundendaten betroffen? Werden diese nur verschlüsselt oder auch abgegriffen?
Gute Frage, da wird so einiges noch nachkommen. Ein Supergau auf alle Fälle.
Weis man momentan nicht wirklich.
Lass mal Ingolstadt fertig sein am Arbeiten, dann wissen wir mehr.
;)
Haha als ob :D
Ingolstadt tut alles wieder in Ordnung machen und wenn das nichts hilft dann holen sich die Erpresser eben die 200 Millionen von deinem Konto- also solltest du prophylaktisch deine Bankverbindung, deinen Namen und deine Anschrift ändern…und ziehe auch aus dem PLZ Gebiet aus- das wurde an der Kasse ja auch immer gefragt… ;-)
Deutschlands Dilemma.
Besserwisser im Datenschutz.
Aber von Datensicherheit keinen blassen Schimmer.
Deutschlands wahres Dilemma sieht man beim Lesen der Kommentare, welche hier gepostet werden.
Was ist damit konkret gemeint?
Die Sprache.
das ist kein dilemma. das is ne rechtschreibschwäche.
Hm, wenn ich mal drauf schaue, welche Firmen bisher die meisten Probleme haben, dann sind das wohl die Amerikaner. Aus China und Russland hört man natürlich nichts offizielles. Hackerangriffe sind aber trotzdem ein weltweites Problem – wahrscheinlich können wir hier noch froh über unser schlechtes Internet sein, dass es nicht schon mehr Firmen betrifft ;-)
Deutschland hat keinenAhnung von Datenschutz…
Hier geht es aber um Datensicherheit…
Irgendwann sind unsere Stromnetze dran.
Blackout
Dann kauf mal schnell Wendlers Kurbelradio
Ist doch so gewollt, vom Wähler.
Aber wohl eher nicht durch einen Hackerangriff, sondern weil nicht mehr genug Strom da ist. Letztes Jahr standen wir bereits kurz vor zwei Blackouts. Man kann auch auf der Regierungsseite sehr interessante Szenarien ansehen, welche Auswirkungen ein Blackout in Deutschland haben kann. Plötzlich ist „the Purge“ nicht mehr so fern.
Könntest du einen Link teilen wo dies zu finden ist?
Setz du bitte deinen Aluhut wieder auf, ist ja richtig schlimm… XD
Das wundert mich nicht, ein Bekannter hat ein Problem mit einer Rechnung, erst war sie veschwunden, dann war sie wieder da und dann wurde sie wie gutgeschrieben. Die EDV bastelt da schon seit 3 Monaten dran rum
Ingolstadt ist dran am Arbeiten :D
Das entschlüsseln oder finden des Schlüssel in 10min wäre doch endlich mal eine tolle Aufgabe für den Quantencomputer :-/
Dann macht aber auch jegliche Verschlüsselung keinen sinn mehr :D
Tatsächlich ist bspw. die AES-Verschlüsselung (mit 256bit Schlüssellänge) sicher gegen Brute-force mit Quantencomputern. Quantencomputer liefern beim knacken symmetrischer Verschlüsselungsverfahren „nur“ eine quadratische Beschleunigung. AES-256bit ist gegen Quantencomputer also so sicher wie AES-128bit gegen herkömmliche Rechner
Kein Backup, kein mitleid!
Da nicht bekannt sein dürfte, wann die Schadsoftware aufgespielt oder. geladen wurde, ist das mit den Backups immer ein Problem. Die IT-Abt. dort ist nicht zu beneiden!
Versionskette, fertig! Ein durch gedachtes und automatisiertes Backup und gut ist :)
Man weis derzeit ja nicht wie lange die Ransomware schon im System war. Mit Pech sind Monate Backups verseucht.
Ransomware wird mittlerweile so eingesetzt, dass bei Nichtzahlung die vorher erbeuteten Daten veröffentlicht werden oder sogar meistbietend versteigert werden. Siehe hierzu zum Beispiel die Erklärung im aktuellen BSI-Lagebericht, Stichwort Killchain.
Es werden mittlerweile „nur“ noch 50 Mio. USD gefordert
Hm, ich hätte MM nur die MWSt. erlassen…
1+ :-))
:-)
ingolschdad isch daran am arbeit!
Die haben sicher eine Cyber-Versicherung. Ob gezahlt wird darf Mediamarkt vermutlich nicht sagen. Meist wird der Betrag ein paar mal reduziert bis letztendlich gezahlt wird.
Warum ist das so tragisch? Backup einspielen und fertig? Sorry, dass ich so frage… kenne mich nicht besser aus.
So einfach ist das nicht, das sind hochkomplexe Systeme, scheinbar ist ja vermutlich auch die Wärmewirtschaft, möglicherweise SAP betroffen. Diese Trojaner werden meistens einige Wochen vorher eingeschleust, sprich du weißt gar nicht ab wann das System kompromittiert ist und wo es sich überall eingenistet hat, Domänen-Controller, Sql, SAP, Irgendwann drückt da dann einer der Verbrecher auf den Knopf und die Ransom-Ware verschlüsselt die Festplatten-Verzeichnisse, nicht die Daten selbst. Das geht in Sekunden. Um das zu machen haben die Angreifer meist durch eine Sicherheitslücke einen Account auf Top Level gebracht, damit geht dann oft sehr viel. Ein vollständiges Backup zurückzuspielen ist aufwändig. Wenn du ein Image zurückspielst kann die Schadsoftware bereits enthalten sein. Im Grunde ein Alptraum.
Naja, die Backups müssen natürlich auch erst geprüft werden.
Und bei einer so großen IT Infrastruktur wie sie Mediamarkt/Saturn zweifelsohne hat, ist das auch nicht mal eben schwupps zurückgespielt.
Man weiß nicht, wie lange die Schadsoftware schon im System war bis sie jetzt aktiviert wurde.
Vermutung von Berufswegen: Aus reiner Bequemlichkeit wird der Backup-Server auch in der Domäne gewesen sein statt stand-alone. Somit hatten die Angreifer Zugriff auf die Datensicherungen und die angebundenen Datenspeicher. Die wurden entweder gelöscht oder ebenfalls verschlüsselt.
Ah ja, soso. Sind ja interessante Kenntnisse, über die Sie da verfügen. Vielleicht gehören Sie ja zu den Erpressern?
„Vermutung von Berufswegen“ hast Du wohl übersehen, aber Hauptsache nen dummen Spruch auf Lager.
Bei Gscheidhaferln wie dir immer!
Sind jetzt nur noch 50 Millionen. Das haben sie doch über da sie angeblich alle Marktleiter entlassen/rausgekauft haben.
Läuft es ohne Marktleiter denn besser?
Nö, aber schlechter auch nicht.
Wann das denn? Und wie läuft es jetzt?
Relevant dabei ist nicht, ein Backup zu haben. Es sind die Kundendaten, die nun gestohlen sind. Alleine das ist ein Reputationsproblem für den Markt und führt zu Ärger mit Kunden (auch Großkunden und Lieferanten) und mit dem Datenschutzbeauftragten. Deshalb zahlen so viele, damit die Daten nicht veröffentlicht werden. Ein Backup alleine wäre schnell eingespielte ein die IT halbwegs fit und vorbereitet ist.
Ein Backup schnell eingespielt, ja ne is klar… XD
Raum für Verhandlungen: irgendwas zwischen 200 Millionen und einer PS5
; )
Die 200 Millionen sind die Untergrenze, richtig?
Hey, keiner ist hier ärgerlich über diese fiesen Verbrecher, die nichts anderes im Kopf haben als mit hinterpf**** Methoden das Geld von hart arbeitenden Angestellten / Firmen abzugreifen. Hoffentlich werden die ausfindig gemacht und dann sollten die in Keller gesperrt werden mit verschlüsselten unentschlüsselbaren Schlössern.
Und diese Arschlöcher sitzen irgendwo sicher in Puerto-Rico (oder wo auch immer) und kommen damit einfach so durch?
Irgendwas sollte man mal gegen diese Zecken unternehmen und ein ordentliches Exempel statuieren, damit sich keiner von diesen Saftsäcken mehr sicher fühlt!
Meist sitzen sie in Russland. Dort interessiert es den Staat nicht, solange russische Firmen in Ruhe gelassen werden… Win-Win sozusagen.
Meist Russland & China. Die Regierungen tun jedoch bekanntlich nichts gegen die Hacker. Manchmal stecken sie da auch mit drin.
Daher kommt man quasi auch nie an die Täter ran.
Ich hätte es nicht besser schreiben können, danke!
Letztendlich auch eine Art Wirtschaftszweig, leider.
Warum Arschlöcher? Hätte ich es drauf, würde genau so machen. Habe keinen Bock auf die Arbeit bis ich fast 70 bin.
Dann kann man dir eigentlich nur wünschen, dass du selber Opfer einer solchen Erpressung wirst. Dein Verständnis wird sicher groß sein, denn offenbar hat dann da auch jemand keinen Bock, bis 70 zu arbeiten. Aber du wirst ihn als Bruder im Geiste sicher gerne unterstützen, gell?
um mich nett auszudrücken, du kannst dich schön ins Knie ficken :)
Mi mi mi…
Da können wir alle froh sein, dass Du es nicht drauf hast.
so ist das
Serge, sei froh, daß Du es nicht draufhast. Denn im Knast gibt es keinerlei Arbeitsbeschränkungen, auch nicht für Leute über 70.
ein Snowden muss es wissen ;)
Eigentlich ein selbstgeschaffenes Problem – verbiete anonyme Zahlungen durch BitCoin & Co und schon erledigt sich das Geschäftsmodell von selbst …
Ahja, genao so und nicht anders… WHAT???
Ähm die Täter müssten dazu erstmal gefasst werden… XD
Besser Amazon, 4 Wochen lang vor Weihnachten.
Uuihh ist derzeit ein ergiebiges Geschäft. Letzte die Stadwerke Schwerin und diese Woche… .
Wer braucht eigentlich noch die verkaufsoptimierten Metro Geschäfte, mit Studenten getarnt als Verkaufsprofis, ehh Berater? Ein Ladenzeile vor Ort, sollte gegenüber dem Internet Handel, mit Beratung & Service glänzen. Beides tun die genannten keinesfalls, so meine Erfahrung. Wenn die mal irgendwann Schlecker folgen, keine Träne.
Vielen Dank,für deinen interessanten Beitrag, von ein über 40-jährigen, laut deiner Aussage, Studenten. Und noch ein wenig Applaus für eine weitere Pauschalaussage eines sicherlich sehr gut informierten.
*einem
Ist unser Firma im Sommer auch passiert !
Würde mich nicht wundern , wenn es die gleiche Gruppe ist .
Am Ende hat man bezahlt – blieb ja auch nichts anderes übrig .