Ransomware-Angriffe nehmen langsam das Ausmaß einer Epidemie an. Die letzten Tage wurde eine US-Tochterfirma des deutschen Chemie-Händlers Brenntag Opfer eines solchen Angriffs. Aktuell steht auch das irische Gesundheitssystem und eine Geburtsklinik nach einem Angriff still. Zudem wird das Gießener Möbelhaus Sommerlad von einer Ransomware-Gruppe erpresst. Ergänzung: Die Darkside-Server wurden wohl beschlagnahmt und die REvil-Gruppe schränkt ihre Operationen ein.
Anzeige
Irisches Gesundheitssystem angegriffen
In Irland wird wohl die IT des staatlichen Gesundheitssystems, Health Service Executive (HSE), zentral betrieben. Auf Twitter mussten die Verantwortlichen einen weitreichenden Angriff auf dieses IT-System eingestehen.
Als Folge hat der Betreiber alle IT-Systeme heruntergefahren. Golem hat hier einige Informationen dazu zusammen getragen – und der Spiegel berichtet hier, dass auch eine Geburtsklinik von der Maßnahme betroffen sei.
US-Tochter des Chemie-Händlers Brenntag zahlt 4 Mio. $
Bleeping Computer berichtet in diesem Artikel, dass Brenntag Opfer eines Ransomware-Angriffs wurde und ein Lösegeld in Höhe von 4,4 Millionen US-Dollar in Bitcoin an die DarkSide-Ransomware-Gang gezahlt habe. Ziel der Zahlung war es, ein Entschlüsselungsprogramm für Dateien zu erhalten und die Bedrohungsakteure daran zu hindern, gestohlene Daten öffentlich zu verbreiten. Betroffen war wohl die US-Tochterfirma des in Essen beheimateten Unternehmens. Brenntag ist ein weltweit führendes Unternehmen im Bereich des Handels mit Chemikalien und hat seinen Hauptsitz in Deutschland. Die Firma beschäftigt weltweit über 17.000 Mitarbeiter an mehr als 670 Standorten. Ein deutschsprachiger Artikel findet sich hier.
Anzeige
Gießener Möbelhaus Sommerlad erpresst
Per Mail bin ich von einem Blog-Leser auf nachfolgenden Tweet aufmerksam gemacht worden. Die Gießener Allgemeine Zeitung berichtet hier, dass der Ransomware-Angriff am 30. April 2021 erfolgte.
Alle Server des Unternehmens verschlüsselt und Backups gelöscht worden, schreibt die "Möbelstadt" Einrichtungshäuser R. Sommerlad GmbH & Co. KG in einer Mail an ihre Kunden. Wegen des Lockdowns kommt das Unternehmen aber mit einem blauen Auge davon. Frank Sommerlad, Geschäftsführer der Einrichtungshäuser R. Sommerlad GmbH & Co. KG. sagt dazu: »Wir werden zwar bis zu 400 Festplatten an unseren Rechnern austauschen müssen, aber am Freitag können wir im Schiffenberger Tal wieder öffnen.« Auch Sommerlad wurde Opfer der Darkside Ransomware-Gang.
Darkside-Server beschlagnahmt
Gerade noch reinbekommen: Bleeping Computer berichtet in nachfolgendem Tweet, dass die DarkSide-Server beschlagnahmt worden seien. Demnach soll die DarkSide-Ransomware-Operation angeblich eingestellt worden sein, nachdem die Bedrohungsakteure den Zugriff auf die Server verloren hatten und ihre Kryptowährung auf eine unbekannte Wallet übertragen wurde.
Diese Information wurde von einem Bedrohungsakteur mit dem Namen "UNKN", der zur rivalisierenden REvil-Ransomware-Gang gerechnet wird, in einem Forenbeitrag geteilt (siehe hier). In diesem Tweet wies Dmitry Smilyanets auf seine Entdeckung im Exploit-Hacking-Forum hin. Wer genau hinter dieser Beschlagnahme der Server steht – ob es die US-Administration ist – bleibt aktuell unklar. Die Payment-Infrastruktur der Gruppe scheint aber noch zu funktionieren. Bleeping Computer hat diesen Artikel dazu veröffentlicht.
Die REvil-Ransomware-Gang hat inzwischen auch angekündigt, ihre Aktivitäten nicht mehr zu bewerben und in einem Privat-Modus zu gehen. Das heißt, man arbeitet nur noch mit einem kleinen Kreis bekannter Mitarbeiter zusammen. Die REvil-Gruppe plant weiterhin, keine sensiblen sozialen Bereiche wie das Gesundheitswesen, Bildungseinrichtungen und die Regierungsnetzwerke eines Landes mehr anzugreifen. Der Grund ist, dass dass dies unerwünschte Aufmerksamkeit auf ihre Operation lenken könnte.
Inzwischen scheinen sich in Russland weitere Leute Gedanken zu machen, dass die Ransomware-Welle Opfer ihres Erfolgs wird und zu viel Staub aufwirbelt. Jedenfalls haben sich die Betreiber des populären russisches Hacking-Forum XSS entschlossen, alle Ransomware-Themen in ihrem Forum zu verbieten. Details lassen sich bei Bleeping Computer nachlesen.
Anzeige
Wer dachte, mit Emotet wäre der Schlange den Kopf abgeschnitten worden, hat sich gewaltig geschnitten. Es ist eine Hydra.
Eigentlich eher der Beleg, wie kaputt das Internet mittlerweile ist.
Mal schauen, wie lange es dauert, bis die Sache auseinander bricht.
Wer wen Bescheißt und abzockt ist doch mittlerweile schon egal.
Gute Firmen, böse Cracker, alle suchen nur Kunden und wollen ihr Bestes.
Sind das eigentlich alles die IT-ler, die sich die Unternehmen einsparen? :D
Der Mensch vor dem Rechner trägt in 79 % der Fälle die Schuld. Heute noch wird viel zu wenig auf Datenschutz und -sicherheit im Unternehmen hingewiesen und vor allem geschult. Was kostet mehr? Einen Systemangriff mit Lösegeld oder dauerhafte Schulungen.