Deutsche Unternehmen häufig Opfer von Ransomware – Teil 1

Ransomware-Angriffe auf deutsche Unternehmen sind längst keine hypothetische Gefahr mehr, sondern kommen täglich vor. Einer Cybersecurity-Umfrage von CrowdStrike aus dem November 2020 nach wurden allein in den letzten zwölf Monaten fast 60 Prozent der befragten deutschen Unternehmen mindestens einmal Opfer eines Ransomware-Angriffs. In einer Artikelreihe möchte ich dieses Thematik nochmals aufgreifen.


Anzeige

Das Thema dümpelt bereits seit einiger Zeit bei mir als Vorlage für einen Blog-Beitrag. Denn die Info zur CrowdStrike-Cybersecurity-Umfrage liegt mir seit November 2020 vor. Und in meinem Postfach stecken eine Reihe Meldungen aus Sicherheitskreisen über erfolgreiche Ransomware-Angriffe auf deutsche Firmen, die ich nie thematisiert habe.

Die Strategien der Ransomware-Gangs

Im Jahr 2020 deutete sich eine Änderung der Taktik von Ransomware-Gruppen an. War es in der Vergangenheit so, dass die Dateien auf den Systemen der Opfer verschlüsselt wurden, um Lösegeld zu erbeuten, verfolgen die Gruppen inzwischen eine andere Strategie. Laut dem Cyber-Sicherheitsunternehmen EmsiSoft verfolgen die Cyber-Kriminellen folgende drei, aufeinander aufbauende Strategien:

  1. Exfiltrate
  2. Encrypt
  3. DDoS

Im ersten Schritt werden die bei einem erfolgreichen Ransomware-Angriff erreichbaren Nutzerdateien abgezogen und an die Server der Cyber-Kriminellen übertragen. Diese Dateien werden dann später in Tranchen veröffentlicht, um Druck auf die Opfer aufzubauen und diese zu Zahlungen zu veranlassen. Im nächsten Schritt verschlüsselt die Ransomware die Dateien, so dass das Opfer keinen Zugriff mehr hat. Das ist quasi die initiale Maßnahme, um die Opfer zu erpressen. Und als dritte Variante kommen noch DDoS_Angriffe auf die IT-System der Opfer hinzu, über die deren Seiten gezielt überlastet werden und nicht mehr per Internet erreichbar sind.

DDoS-Angriff auf SB Zantal Markt
DDoS-Angriff auf SB Zantal Markt

Von EmsiSoft liegt mir beispielsweise die Information über einen solchen Angriff (siehe obiger Screenshot) vor. Die Webseite dieses Großmarkts wurde am 18. Sept. 2020 per DDoS aus dem Internet geschossen, ist aber inzwischen wieder erreichbar.

Deutsche Opfer von Ransomware-Leaks

Nicht immer werden Ransomware-Infektionen in der Öffentlichkeit bekannt. Viele Firmen halten massiv den Deckel auf solchen Vorfällen, erst wenn dann erbeutete Daten von den Ransomware-Gruppen auf deren Webseiten veröffentlicht werden, bekommen Sicherheitskreise mit, dass es einen Vorfall gab. Hin der zweiten Hälfte 2020 hat mir EmsiSoft einige Male Informationen zu Daten deutscher Firmen bereitgestellt, die Opfer von Ransomware-Angriffen wurden.

Ransomware-Opfer Miltenyi Biotec
Ransomware-Opfer Miltenyi Biotec


Anzeige

  • So wurde Miltenyi Biotec (die auch im Bereich COVIC-19-Impfstoff arbeiten) Opfer der Mount Locker Ransomware, wie die veröffentlichten Daten aus obigem Screenshot zeigen. Dieser ist mir am 3.11.2020 zugegangen. Inzwischen hat das Unternehmen den Ransomware-Befall eingestanden (siehe z.B. den Beitrag von Bleeping Computer vom 13.11.2020, so dass ich es hier publiziere).
  • Die Delme-Werkstätten gGmbh, eine Arbeitseinrichtung für Menschen mit Behinderungen, steht auf dieser Liste. Veröffentlicht wurden teilweise auch sehr persönliche Daten von Menschen, die in diesen Werkstätten eingegliedert sind. Bei einer Websuche kann man eine Drittquelle mit einem Hinweis auf den Angriff finden.
  • Der Raummöbelausstatter Karl F. Jacobs in Oftersheim ist ebenfalls unter den Opfern, deren Daten von den Erpressern veröffentlicht wurden. 
  • Die Wackler Group, Anbieter von Personal und Gebäude-Dienstleistungen mit 6.000 Mitarbeitern gehört zu den Opfern, deren Daten auf Seiten einer Ransomware-Gang zu finden waren.
  • Der Anbieter von Steuerungselektroniken und Antrieben, Sobek Drives, findet sich ebenfalls auf einer Liste mit Opfern, deren Daten bei einem Ransomware-Angriff abgezogen wurden.
  • Bei Heckler (heckler.de) aus Niefern-Öschelbronn, die Opfer der Egregor-Gang geworden sind, komme ich nicht auf die Webseite, um weitere Informationen abzurufen.
  • Beim Werkzeughersteller EMAG Gmbh & Co. KG aus Salach wurden Kopien von Pässen, Kreditkarten, Kreditverträgen etc. durch die Cyber-Kriminellen veröffentlicht.

Die Liste ließe sich um den Catering-Dienst Do & Co, die Steuerberatungsgesellschaft Dr. Macho + Partner in Minden, die Spezialisten für Telekommunikation, Sicherheitstechnik und Datentechnik der T.E.D. COM GmbH etc. erweitern. Von den genannten wurden erbeutete Daten (teilweise von Mandanten) durch die Erpresser veröffentlicht – ich konnte Stichproben einsehen.

Beim Gespräch mit einem lokalen Handwerker im Dezember 2020 erfuhr ich, dass er ebenfalls 'gehackt' worden sei. Er erwähnte mehrere weitere Firmen und Ärzte als Betroffene an meinem Wohnort. Von daher halte ich die fast 60 Prozent der befragten deutschen Unternehmen als Opfer eines Ransomware-Angriffs in den letzten zwölf Monaten für realistisch.

Artikelreihe
Deutsche Unternehmen häufig Opfer von Ransomware – Teil 1
Deutsche Unternehmen zahlen öfters bei Ransomware – Teil 2


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Deutsche Unternehmen häufig Opfer von Ransomware – Teil 1

  1. Dat Bundesferkel sagt:

    Böse Zungen behaupten, daß einige der DDoS-Attacken durchaus direkt / indirekt von Unternehmen wie Cloudflare initiiert worden sein könnten, um neue Kunden ins Boot zu holen und sich als Retter des Internets zu postitulieren.

    Ansonsten wundert mich der Ransombefall – insbesondere bei deutschen Betrieben – kein Wunder. Man muß nur einmal hinter den Kulissen arbeiten, dann versteht man…

    – Kleinerer Betrieb mit 2-Rädern (Fahrrad, Moped/Mofa, Motorrad): Kassen-PC Browser mit Sex-Seiten im Hintergrund. Im Büro dann ein Rechnerwirrwarr vor dem Herren: Von Windows 10 bis Windows XP (und sogar ein 98er bzw. MS-DOS Rechner für den Ersatzteilkatalog eines Herstellers) – alles vorhanden.
    Keinerlei Sicherheitsstrategie, nicht einmal rudimentärste, kostengünstige lokale Trennung.
    Sie haben kein Geld für eine IT-Fachkraft. Und die Infrastruktur wurde ihnen förmlich von Geschäftspartnern "aufgeschwatzt". Mit wenig Eigenerfahrung und gutem Glauben wird sowas dann ins Internet gelassen.
    Den Betreibern mache ich nur indirekt einen Vorwurf, woher sollen die älteren Personen es auch besser wissen, hat man ihnen doch das Internet als Nonplusultra verkauft, ohne Gefahren oder Nebenwirkungen.

    Diese Situation wird wohl auf recht viele Unternehmer in Deutschland zutreffen. Aber auch die Profis sind nicht besser: Die Lachnummer beA – verpflichtender Nutzen durch RAe, trotz (oder gerade wegen?) der eklatanten Sicherheitsmängel dieser unausgereiften Bananensoftware.
    … oder De-mail (und vergleichbarer NSA-Müll)…

    Die Unternehmen brauchen auf jeden Fall einen Ansprechpartner, der auch Gelegenheit hat, sich regelmäßig fortzubilden, Handlungsbefugnisse hat (ohne sich jeden piep absegnen lassen zu müssen) und KEIN Consultant eines Betriebes mit reinen Eigeninteressen ist (wenn 50 % eines Consultants-Unternehmen auf Marketing und Vertrieb/Werbung ausgelegt sind, sollte man sich Gedanken machen…).

    Das war (m)ein Wort zum Vorsonntag.

  2. No sagt:

    Es ist zwar schwierig die Verschlüsselung zu knacken aber nicht unmöglich:

    nomoreransom.org/

    Nach meinem Eindruck sind das oft einzelne Spezialisten.

  3. Luigi sagt:

    Servus!
    Sorry – aber der Artikel ist (ausnahmsweise) nicht gut recherchiert!
    1. Bitte keine Shaming-URL veröffentlichen (wohl ein versehen – Screenshot SB Zantal Markt))
    2. Ransomware ist nicht die Attacke – sondern der Abschiedsbrief…
    – Phase 1.: Ausspähen/ Kontrolle übernehmen
    – Phase 2.: Daten abziehen
    – Phase 3.: Daten verschlüsseln (an der Stelle wird Geld verlangt)
    – Phase 4.: Daten veröffentlichen
    – Phase 5.: DDoS

    Gruß
    Luigi

  4. Chris sagt:

    Der kleine Handwerker von nebenan ist oft nur ein "Abfallprodukt" eines anderen erfolgreichen Angriffes einer größeren Firma. Durch Abgriff der Mailverkehrs gelangt auch er in die Infektionskette, weil er Kontakt zu dieser größeren Firma hatte. Dieser kleine Handwerker, stellvertrettend für andere mittelständische Unternehmen, besitzt keine eigene IT sondern irgendjemand betreut die IT nebenbei, im Idealfall leistet er sich ein externen Dienstleister.

    Aber Sicherheit in der IT funktioniert nicht "extern" über einen Dienstleister.
    Der Dienstleister kann zwar eine gewisse Grundsicherheit vermitteln, aber in der Tiefe wird er immer scheitern da IT Konfigurationen am Ende zu individuell sind.

    Von daher ist es nicht verwunderlich das Ramsonware seine Ziele findet.

    IT Sicherheit ist ein dynamischer Prozess und die Anforderungen können sich jeden Tag ändern, den Luxus sich hierfür einen Mitarbeiter zu leisten, der auch wirklich was davon versteht und sich laufend Fit hält, ist nicht gegeben.

  5. Robert sagt:

    Leider wird sehr viel im Bereich IT nicht wie die technische Teile von Straßenverkehr, Schiene, Seefahrt, Luftfahrt oder Brandschutz kontrolliert. Bei Software ist sogar Gewährleistung noch ein Fremdwort während auf der anderen Seite z.B. einem Flugzeugmodell die Starterlaubnis entzogen wird.

    Es sind nicht nur die weniger versierten Betriebe mit IT-Werkzeug, tatsächlich nimmt die gesamte IT-Branche sowohl staatlich als auch privat das Thema immer noch nicht ernst genug, um diese Unfallhäufigkeit zu senken. Und da Versicherungen mittlerweile schon bei „mehr war nicht drin"-Ergebnis inkl. Schulterzucken Geld auszahlen, kann man sich ja wieder hinlegen.

    Hier wäre mal so ein aktuell geführter, stattlich gesponserter „Anschnallen"-Leitfaden von Vorteil als Teil der Infrastruktur, damit man wie auf Verkehrswegen weder in Loch oder Böschung fährt noch stetig überfallen wird. Der viel weniger eingesetzte Verbandskasten im Auto hat per Order einen höheren Anspruch zu erfüllen und darf nicht alt sein ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.