Media-Saturn-Holding: Vermehrt Cyberattacken auf grosse Unternehmen

Kriminelle Hacker haben Unternehmen und öffentliche Einrichtungen im Visier. Sie drohen oft damit, auch die Daten von unbeteiligten Kunden zu veröffentlichen.

Wie bei den meisten Cyberattacken der vergangenen Wochen und Monate geht es ums Geld. Die Robinhood-Hacker sind nach Angaben des Unternehmens im Besitz der E-Mail-Adressen von rund fünf Millionen Kunden. Bei zwei Millionen Kunden wurde auch der volle Name erbeutet. Mit dieser Kombination lassen sich wiederum gefährliche Phishing-Mails generieren, um bei den Kunden Passwörter und andere sensible Informationen abzufischen.

Hart hat es die Elektronikmärkte der Media-Saturn-Holding getroffen, weil der Angriff das Tagesgeschäft massiv behindert. Der Branchenprimus hatte sich in der Nacht zum Montag eine Erpresser-Software eingefangen. Diese verschlüsselte in wenigen Minuten die Daten von über 3000 Servern.

Damit wurde das komplette Warenwirtschaftssystem der Gruppe lahmgelegt. In den Filialen von Media Markt und Saturn konnte nur noch mit Bargeld bezahlt werden. Geschenkgutscheine konnten nicht eingelöst und Garantiefälle nicht mehr abgewickelt werden.

Die Erpresser haben mithilfe der Schadsoftware Hive für die Freigabe der Daten zunächst 240 Millionen US-Dollar Lösegeld verlangt. Diese unrealistisch hohe Forderung haben sie mittlerweile reduziert. Das berichtet ein unbestätigter Bericht des Onlinemagazin Bleepingcomputer. MediaMarktSaturn versucht nun, die Systeme aus brauchbaren Back-ups wiederherzustellen.

Unklar blieb am Dienstag aber, ob die Angreifer die Daten vor der Verschlüsselung auch noch kopiert haben. So heisst es im Bericht.

Hive ist für eine «Double Extortion» (doppelte Erpressung) bekannt. Dabei werden die Opfer nicht nur mit den verschlüsselten Daten erpresst. Es wird auch damit gedroht, Kopien der Daten zu veröffentlichen.

Sicherheitsexperte Rüdiger Trost von der Firma F-Secure befürchtet Schlimmes: «Man kann davon ausgehen, dass die Angreifer schon sehr lange im Netzwerk aktiv waren. Zeitpunkt und Zielsysteme haben sie mit Bedacht gewählt.»

Ransomware gilt seit Jahren als die gravierendste Bedrohung der Cybersicherheit. Vor allem, weil die Erpressung ein besonders einträgliches Geschäft ist. Abgerechnet wird oft in der Digitalwährung Bitcoin: Nach Angaben des US-Finanzministeriums belief sich der Gesamtwert der verdächtigen Bitcoin-Aktivitäten auf 590 Millionen US-Dollar.

Gleichzeitig müssen die Angreifer auch nicht mehr technische Experten sein, um Cyberattacken zu starten. Ransomware kann man inzwischen als Service im Netz buchen. Dabei teilen die Angreifer das erpresste Geld mit den Hackern, die die Schadsoftware entwickelt haben.

Die Kriminellen profitieren aber auch davon, dass Ransomware-Attacken nicht entschieden bekämpft werden. Viele Angriffe haben ihren Ursprung in Russland oder Osteuropa.

Sicherheitsexperten zufolge kann man aber insbesondere in Russland keine klare Grenze zwischen kriminellen Hackergruppen und staatlich unterstützten Cyberoperationen ziehen. Sie unterstellen der russischen Regierung, sie toleriere oft kriminelle Aktivitäten. Aber nur solange sie auf das Ausland abzielen. Russlands Präsident Wladimir Putin dementiert das.