News Krypto-Virus: Angriff legt 3.100 Server bei MediaMarkt und Saturn lahm

[Madman1209]

Hi,

Die IT wird sicherlich schon alle Maßnahmen ergriffen haben so etwas so gut wie möglich zu verhindern

ist das Sarkasmus? Erkennt man ohne das /s hinten dran nämlich nicht...

VG,
Mad

 

[holdes]

ist das Sarkasmus? Erkennt man ohne das /s hinten dran nämlich nicht...

Nein ist es nicht. Mir sind die IT Strukturen des Media Markt nicht bekannt aber bei dieser Menge wird es da schon ein paar Leute mit Köpfchen geben die entsprechende Datacenter aufbauen und konfigurieren/warten.

Edit: Ich will natürlich nicht behaupten, dass es keine Firmen gäbe, die so etwas grundsätzlich sträflich vernachlässigen (ich kenne auch die ein oder andere aus Systemhauszeiten) aber solange man keine Details von Insidern kennt kann man dazu auch nichts sagen.

 

[Atkatla]

Und was als "Hackerangriff" tituliert wird (ebenfalls die Sache mit dem Landkreis Ludwigslust), ist im Prinzip keiner, denn der Übeltäter sitzt meist in Form eines unqualifizierten Angestellten im Betrieb und öffnet irgendwelche dubiosen Emailanhänge.

Du tust fast so, als ob das Öffnen des Anhangs zu der Verschlüsselung der genannten Systeme führen würde und dass der PC direkten Zugriff auf alle 3.x00 Server hatte?

Der Angriff ist nicht das Öffnen eines Anhangs oder Ausnutzung einer 0day-Lücke, was lediglich einem Fuß in die Tür zu bekommen entspricht, sondern das was danach passiert: weitere Zugangsdaten erbeuten, sich nach und nach vorzuarbeiten, einen Überblick über die Infrastruktur zu bekommen, ggf. Backups zu löschen (oder falls dies nicht geht, möglichst lange nicht aufzufallen, bis auch die dann neuen Backups kompromittiert sind.)

Daher kann man in solchen Fällen nicht einfach Backups zurückspielen, denn dann ist das Problem potentiell sofort wieder da. Man muss erst ermitteln, wie die Angreifer reingekommen sind und du musst dir sicher sein, alle diese Vektoren identifiziert zu haben, bevor du überhaupt abschätzen kannst, welches der Backups noch vertrauenswürdig ist. Daher ist es meistens einfacher, bestimmte Teile neu aufzubauen und aufzusetzen. Da kann man bei der Gelegenheit oft auch schon Dinge umsetzen, die auf der Roadmap stehen und muss keine Rücksicht nehmen, weil ohnehin der Betrieb maximal gestört ist. Grüne Wiese halt.

 

[Haggis]

Die IT wird sicherlich schon alle Maßnahmen ergriffen haben so etwas so gut wie möglich zu verhindern, sei es durch Mailfilter, Proxyfirewalls, etc. aber passieren kann auch dem besten Nerd mal ein Fehler.

Wenn ich irgendwo hier zu Hause eine e-Mail anklicke, sollte das einen MediaMarkt/Saturn-Server ungefähr so sehr tangieren wie wenn ich diese Mail an der Kasse im Laden anklicke.
Falls der Trojaner also per Mail rein kam, sind Server und Netzwerk falsch konfiguriert.

 

[sethdiabolos]

@PietVanOwl Ich kann jetzt nicht für Media markt oder Saturn sprechen aber wir hatten schon Kunden, die blind irgendwelche Mail-Anhänge geöffnet haben oder blind auf Links geklickt haben..

Das muss nicht mal sein. Es reicht schon, wenn eine Mail mit schädliche Skript in die Mailvorschau geladen wird. Wir haben daher entsprechende Maßnahmen bei uns in der Firma getroffen, Partnerunternehmen haben teils keine Wahl gehabt als Lösegeld zu zahlen (z.B. 500 000 € in Bitcoin).

 

[Launebub]

Saturn verschickt auch aktuell keine Bestellungen, wurde mir heute mitgeteilt.
So ganz scheint es nicht zu stimmen, dass der onlineshop nicht betroffen sei.

 

[Monarch2]

Ja, war ganz lustig vorhin im Mediamarkt. Sie wissen selbst nicht mehr, was noch wo am Lager ist und was nicht.

Daher hab ich vorhin dann das Ausstellungsstück direkt mitnehmen können mit ordentlichem Nachlass

 

[Skellgon]

@Monarch2 Darf man fragen was für ein Gerät genau?
Frage für einen Freund

 

[Dr. MaRV]

Und das kurz vor dem Weihnachtsgeschäft.
Mir tun da die Angestellten alle leid.

Warum? Gibt doch eh nix zu kaufen. 75% der Einzelhändler gehen von Problemen mit der Verfügbarkeit von Waren aus.

 

[SaltyDog]

Jetzt ist die Frage, wie gut das Backup-Konzept ist. Denke deren IT wird die ganze Nacht zu tun haben.

Die ganze Nacht? Je nach Größe und Auswirkung dauert das Tage wenn nicht sogar Wochen! Nur so ein Backup zurückspielen ist nicht, ohne zu wissen was in den Systemen abgeht (IT-Forensik).
Siehe Eberspächer, die schon seit 2 Wochen down sind. Mittlerweile machen die sogar über Online.de Mails, weil's bei denen wohl orderntlich über den Exchange gerumpelt hat.

 

[Monarch2]

@Skellgon ganz unspektakulär. War eine schnöde Induktionskochplatte. Brauch nächste Woche eine für einen bestimmten Anlass...

 

[Armadill0]

Wenn ich irgendwo hier zu Hause eine e-Mail anklicke, sollte das einen MediaMarkt/Saturn-Server ungefähr so sehr tangieren wie wenn ich diese Mail an der Kasse im Laden anklicke.
Falls der Trojaner also per Mail rein kam, sind Server und Netzwerk falsch konfiguriert.

Wenn du der Administrator des Server-Netzwerks bist und darauf klickst und sich der Trojaner munter per RDP ganz easy mit deinem Domänen-Admin im Windows-Servernetzwerk weiter verbreiten kann, geht das recht flott.

Was natürlich bedeutet, dass die Netze trotzdem nicht ausreichend abgesichert sind und da in Bezug auf Sicherheit so einige Dinge im Argen liegen.

 

[holdes]

Wenn ich irgendwo hier zu Hause eine e-Mail anklicke, sollte das einen MediaMarkt/Saturn-Server ungefähr so sehr tangieren wie wenn ich diese Mail an der Kasse im Laden anklicke.

Bitte? Was hat das mit dem Fall hier oder dem Artikel zu tun? Nirgendwo steht das irgendwer etwas von zu Hause aus geöffnet hat? Es steht auch nirgendwo etwas davon ob ein Mitarbeiter konkret dran "schuld" gewesen sein soll.

Falls der Trojaner also per Mail rein kam, sind Server und Netzwerk falsch konfiguriert.

Nein, es gibt niemals Sicherheit gegen alles und jeden. Je gewiefter der Schadcode und je kleiner der Zielkreis, desto unwahrscheinlicher dass irgendein Scanner darauf anspringt. Ich betreue selbst UTM Systeme/Server und kann dir versprechen dass kein Produkt der Welt eine 100% Sicherheit garantiert. Selbst in ein reines Offline-System kann eingebrochen werden auch wenn dort nicht über das Internet. Ein einfacher "Trojaner" ist Ransomware nun auch nicht, den würden tatsächlich so gut wie alle Virenscanner anhand seiner Heuristik erkennen. Wird man aber direkt angegriffen und die Signaturen der Ransomware sind noch nicht im Umlauf und gängigen Scannern bekannt, wirds schon etwas schwieriger. Da hilft nur noch Dateisystemüberwachung und Zero-Day-Erkennungsmethoden die mal so/mal so gut sind.

 

[h3@d1355_h0r53]

Unvorstellbar! Die haben doch in jedem Ladengeschäft ganze Regale voller hochprofessioneller Sicherheitssoftware!!!

Abgesehen davon: Nichts ist sicher. Man kann es nur schwerer machen. Aber bei meinem Arbeitgeber und Kollegen wie auch unserem Systemhaus überwiegt der Unsicherheitsfaktor Mensch. Man setzt auf Windows. Es kommen ausführbare Anhänge durch. Kollegen leiten solche Mails dann auch noch weiter. Immerhin sollte unser Backup gut greifen, aber bei der geballten Kompetenz des Systemhauses bin ich mir nicht sicher ob es was taugt oder einfach nur so teuer war.

 

[polyphase]

passiert ständig. da kannste so oft drauf hinweisen wie du willst

Das ist bei uns in der Firma zum Glück nicht mehr so. Wir Mitarbeiter sind schon extrem vorsichtig geworden!

Selbst ich hatte schon 1-2 Mails, die ich von der IT vor dem Öffnen hab prüfen lassen. Und das ob wohl ich von mir behaupten würde, das ich jetzt nicht ganz unwissend im IT Bereich unterwegs bin 😉

 

[DisConnect]

"Angriff"? Netter Versuch um sein eigenes Versagen zu verbergen. Man könnte es auch nennen "Jemand ist durch die offene Tür reingekommen".

Aber immer diese bösen Hacker...ich kann's nicht mehr hören.

Sorry, aber das kann ich nicht bestätigen. IT-Sicherheit ist nicht trivial! Es muss auch keine Phishing-Attacke gewesen sein, reicht ja schon wenn ein Exploit für eine neue CVE für eine verwendete Komponente geschrieben wird. Da kann man nicht viel machen, außer Schwachstellenmanagement und Vulnerability-Scans. Dazu ein gutes Patchmanagement inklusive Staging und Testing, Rollen- und Berechtigungsmanagement, Logging und Monitoring inklusive SIEM, Incidence Response und Disaster Recovery Prozesse, Intrusion Detection, Intrusion Prevention, usw.
Da kann man bei einem Unternehmen wie Mediamarkt/Saturn mal ganz einfach 30 Angestellte mit beschäftigen, dazu regelmäßige Penetrationtests...Und das ist nicht die IT-Abteilung, sondern nur die IT-Sec.
Das ist deutlich komplexer als "Netzwerk und Serverkonfiguration" und solange die Geschäftsführung das nicht versteht und entsprechend Leute einstellt, wird das immer wieder vorkommen. Es ist halt nicht damit getan seine Apache Installation mit den CIS Benchmarks zu härten oder eine Firewall zu schalten. Die IT-Sec Abteilung in Unternehmen, deren primäres Geschäft nicht IT ist, kann einem nur leid tun!

 

[PegasusHunter]

Das Warenwirtschaftssystem war/ist auch betroffen ? Ok und was ist dann anders? Immer wenn ich etwas bestelle/kaufe und abholen will, bezahlen in Filiale, ist es kurz danach nicht verfügbar und ich muss 2-3 Tage warten.
Also alles wie immer.

 

[polyphase]

Mal ne ganze andere Frage:

Gibt es jetzt nur mehr "Hackerangriffe" wegen der Meldepflicht, oder hat sich wirklich die Anzahl der Angriffe erhöht?

 

[Xes]

Wenn du der Administrator des Server-Netzwerks bist und darauf klickst und sich der Trojaner munter per RDP ganz easy mit deinem Domänen-Admin im Windows-Servernetzwerk weiter verbreiten kann, geht das recht flott.

Wenn du mit einem Admin Account wild irgendwelche fremden Mailanhänge öffnest solltest du generell besser keine Admin Rechte bekommen...

Ich finde es übrigens interessant wie schnell hier schon wieder über mangelnde IT-Absicherung gespottet wird. Ihr seid also bestimmt alle Pentester die sich mit deren IT schon umfassend außeinander gesetzt habt?
Ich gehe da einfach mal davon aus, dass bei einem derart großen Konzern kein billiger Mailanhang ausgereicht hat sondern wesentlich gewieftere Kriminelle am Werk waren.
Dagegen kann man sich nie zu 100 % absichern.
(Außer man ist bereits so gigantisch, dass eigene Hacker selbstverständlich sind und man sogar einen eigenen Geheimdienst unterhält...)
Wir sprechen hier ja nicht von irgendeiner CDU-geleiteten Dorfbehörde die Windows XP und Fax für Digitalisierung hält...

 

[v3locite]

Gibt es jetzt nur mehr "Hackerangriffe" wegen der Meldepflicht, oder hat sich wirklich die Anzahl der Angriffe erhöht?

Es gibt keine Meldepflicht für Hackerangriffe, sondern für die Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO.