Ragnar Locker Ransomware-Infektion bei Campari-Gruppe

[English]Der italienische Spirituosen-Hersteller Campari ist wohl Opfer einer Ransomware-Infektion mit Ragnar Locker geworden. Einige Server der Campari Group mussten restauriert werden, nachdem die Dateien verschlüsselt wurden.


Anzeige

Das berichteten ZDnet.com und  Bleeping Computer bereits am Donnerstag in diesem und diesem Artikel. Die Erpresser forderten 15 Millionen US-Dollar Lösegeld, wobei die Campari Group aber nicht auf die Erpressung einging.

Ragnar Locker Ransomware-Infektion bei Campari

Der Angriff muss bereits um den 1. November 2020 auf die IT-Systeme des italienischen Getränkekonzerns Campari erfolgt sein. Am Freitag, den 5. November 2020 bestätigte Campari, dass Daten auf einigen Servern des Unternehmens verschlüsselt worden und einige Informationen verloren gegangen seien. Das hätten Überprüfungen, die nach einem Cyber-Angriff durchgeführt wurden, ergeben. Hier die italienische Stellungnahme (Quelle):

Campari Group informa che, presumibilmente il giorno 1° novembre 2020, è stato oggetto di un attacco malware (virus informatico), che è stato prontamente identificato. Il dipartimento IT del Gruppo, con il supporto di esperti di sicurezza informatica, ha immediatamente intrapreso azioni volte a limitare la diffusione del malware nei dati e sistemi. Pertanto, la società ha attuato una temporanea sospensione dei servizi IT, in quanto alcuni sistemi sono stati isolati al fine di consentirne la sanificazione e il progressivo riavvio in condizioni di sicurezza per un tempestivo ripristino dell’ordinaria operatività. Contestualmente è stata avviata un’indagine sull’attacco, che è tutt’ora in corso. Si ritiene che dalla temporanea sospensione dei sistemi IT non possa derivare alcun significativo impatto sui risultati del Gruppo. Nel frattempo, Campari Group ha prontamente avviato una piena collaborazione con le autorità competenti.

Im Statement informiert die Campari-Gruppe, dass sie vermutlich am 1. November 2020 das Ziel eines Malware-Angriffs (Computervirus) war, der umgehend identifiziert wurde. Die IT-Abteilung der Gruppe ergriff mit der Unterstützung von IT-Sicherheitsexperten sofort Maßnahmen, um die Verbreitung von Malware in Daten und Systemen einzudämmen.

Daher leitete das Unternehmen eine vorübergehende Abschaltung der IT-Dienste durch, um einige Systeme zu isolieren. Anschließend wurden diese Systeme restauriert und schrittweise unter sicheren Bedingungen wieder in Betrieb genommen.  Gleichzeitig wurde eine Untersuchung des Angriffs eingeleitet, die noch nicht abgeschlossen ist. Es wird davon ausgegangen, dass die vorübergehende Abschaltung der IT-Systeme keine signifikanten Auswirkungen auf die Ergebnisse der Gruppe hat. In der Zwischenzeit hat die Campari-Gruppe unverzüglich die volle Zusammenarbeit mit den zuständigen Behörden aufgenommen.

ZDnet und Bleeping Computer schreiben, dass die Ragnar Locker-Gang 15 Millionen US-Dollar Lösegeld forderte. Das geht auch aus veröffentlichten Screenshots hervor. Es wurde aber kein Lösegeld gezahlt und die Campari-Gruppe versucht die Systeme so zu bereinigen.

Die Seite Threadpost hat weitere Details in diesem Artikel veröffentlicht. Der Sicherheitsforscher Pancak3 hat Threatpost eine eine Kopie der Lösegeldforderung zugespielt, in der es heißt:

We have BREACHED your security perimeter and get [sic] access to every server of the company’s network in different countries across all your international offices.

Die Cyber-Kriminellen geben also an, die Sicherheitsschranken der IT-Systeme überwunden zu haben und Zugriff auf jeden Server der Gruppe gehabt zu haben. Laut Threadpost enthält das Erpresserschreiben detaillierte Angaben zu den kompromittierten Datentypen, einschließlich Buchhaltungsdateien, Kontoauszüge, persönliche Daten von Mitarbeitern und mehr. In der Notiz hieß es, dass die Betrüger insgesamt 2 TB an Daten stehlen konnten. Weiter schreiben die Erpresser:


Anzeige

If no offer is made than [sic] all your info with be posted and/or offered through an auction to any 3rd get-togethers.

Werde kein Angebot gemacht, würden die Informationen veröffentlicht. ZDNet schrieb, dass entsprechende Dokumente auf einer Leak-Seite der Gruppe veröffentlicht wurden, um den Datenraub zu belegen. Es handelt sich um einen Vertrag mit Wild Turkey und dem Schauspieler Matthew McConaughey.

 


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Ragnar Locker Ransomware-Infektion bei Campari-Gruppe

  1. A. Non sagt:

    Falls die Erst-Infektion mit einem MS-Office-Dokument (Word/Excel) passiert wäre, wäre der Rat alle Datei-Typen vor OOXML zu verbieten und die dll für VBA umzubennen. Der Schutz, den M$ und AV bieten, reicht nicht immer.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.