News Krypto-Virus: Angriff legt 3.100 Server bei MediaMarkt und Saturn lahm

[Crowbar]

Da gibt's schon Maßnahmen. Z. B. Alle HTML Emails in plaintext anzeigen (Serverseitig konfiguriert). Dann werden die eigentlichen Link Adressen sofort sichtbar.
Und Anhänge mit doc/docx standardmäßig zurückweisen.

Warum docx?

Ergänzung (9. November 2021)

Gibt es jetzt nur mehr "Hackerangriffe" wegen der Meldepflicht, oder hat sich wirklich die Anzahl der Angriffe erhöht?

Welche Meldepflicht?

Ergänzung (9. November 2021)

Wir sprechen hier ja nicht von irgendeiner CDU-geleiteten Dorfbehörde die Windows XP und Fax für Digitalisierung hält...

Kammergericht Berlin (SPD/Grüne) - gehackt by Emotet

Stadtverwaltung Frankfurt (SPD) - gehackt by Emotet

IT-Dienstleister für Öffentlichen Dienst in Mecklenburg-Vorpommern (SPD, CDU nur kleiner Koalitionspartner) - gehackt by Ransomware

 

[Tulol]

Hm. Krypto? Warum denke ich da nicht an ransomware?

Vermutlich weil du die Bedeutung des Wortes "Kryptographie" nicht kennst?

 

[Dr. MaRV]

Am Ende bricht das Weihnachtsgeschäft dann wieder alle Rekorde.

Komischerweise erwarten genau das die Einzelhändler. Widerspruch in sich.

 

[PhilAd]

Also mit ‚wir schalten HTML ab und blocken docx‘, generiert man doch keine Sicherheit vor Social Engineering … Wenn mit einem der mal blöd klickt gleich 3100 Server lahmgelegt werden können, hat man ein anderes Problem - Wenn es überhaupt so gewesen ist.
Dann schaut ein MA halt mal in seine Privatmails über den Webbrowser und sieht sich da seine Mails in HTML an oder öffnet die Macroverseuchte docx … Irgendwie infizieren sich einzelne Clients doch immer durch irgendwen … gerade in Unternehmen mit 10k+ MA lässt sich das doch durch solche Maßnahmen nicht vermeiden …

 

[Idon]

Man empfängt das als PDF oder jpeg.

Wie soll gemeinsam praktisch und ohne alle Arbeitsabläufe massiv zu stören/zu verkomplizieren an PDF oder JPEG gearbeitet werden? Wie gesagt: Standardisierter Track&Changes-Modus mit Kommentarfunktion ist mir auch bei Adobe DC nicht bekannt, generell halte ich die Bearbeitungsfunktion von PDF dort für menschenfeindlich (Randomabsätze, alles in zig Untermenüs verschachtelt, die man erst mühsam wechseln muss etc.).

Und wie soll ich meinen weltweiten Geschäftspartnern klar machen, dass ab heute der absolute Standard, nämlich docx, von uns nicht mehr bedient wird?


Kurzum: Sounds good, doesn't work.

 

[Tulol]

Die IT wird sicherlich schon alle Maßnahmen ergriffen haben so etwas so gut wie möglich zu verhindern, sei es durch Mailfilter, Proxyfirewalls, etc. aber passieren kann auch dem besten Nerd mal ein Fehler.

Keine Ahnung was bei MediaMarkt so läuft aber ich kann aus Erfahrung sagen, Vorbildlich handeln Auftraggeber solcher IT Firmen oft nicht.

 

[dr. lele]

Netter Versuch um sein eigenes Versagen zu verbergen. Man könnte es auch nennen "Jemand ist durch die offene Tür reingekommen".

der Übeltäter sitzt meist in Form eines unqualifizierten Angestellten im Betrieb und öffnet irgendwelche dubiosen Emailanhänge.

Was ist denn bei euch los? Die Person, die die Ransomware hingeschickt hat ist also eurer Meinung nach unschuldig?

 

[Falc410]

Hier geht es um die Verschlüsselung von Daten durch eine Ransomware und nicht darum, dass de-anonymisierte Kundendaten abgeschöpft wurden. Wenn doch, haben die ein ganz anderes Problem

Fast jede Ransomware heutzutage, exfiltiert die Daten von solchen Firmen und droht zusätzlich mit Veröffentlichung der Daten falls das Lösegeld nicht bezahlt wird. Dadurch erhöht man den Druck auf das Unternehmen. Von dem her ist so ein Sicherheitsvorfall erst einmal immer Meldepflichtig da man nicht pauschal sagen kann welche Daten betroffen sind und welche nicht.

 

[Weyoun]

Harter Tobak. Da ist doch die Hauptfrage: wie konnte sowas passieren. Sind die Server nicht genug abgesichert gewesen oder haben Mitarbeiter den Mist einfallen lassen. Bin auf die Auflösung dieses Cyberkrimis schon gespannt.
MFG Piet

Dürfte genauso abgelaufen sein wie in Schweden, als die größte Supermarkt-Kette Coop über Tage ihre Filialen schließen musste. Ich denke mal, die Mitarbeiter sind nicht schuld, sondern ausschließlich die kriminellen Elemente, die hinter dem Angriff stecken. Die Schließung von Supermärkten kann zu Panikkäufen führen, die wiederum in Gewalt ausarten können. Von daher müssten die Strafen dementsprechend drakonisch hoch sein (man muss berücksichtigen, welche Folgen schlimmstenfalls möglich wären).

 

[Sterntaste]

Mich irritiert vielmehr, dass Kunden nichts unternehmen müssen.
Sicherlich wird es nicht schaden, trotzdem etwas zu tun. Mail ändern, Passwort ändern...

Kennen wir doch solche Aussagen. Kunden in Sicherheit wiegen und die werden in nicht allzu ferner Zukunft bemerken, dass die offiziellen Aussagen nix wert sind.

 

[sikarr]

Wahnsinn wie viele IT Sicherheitsexperten und Insider hier im Forum sitzen und sich um die beliebten Elektronikmärkte sorgen (!Ironie!).

Mal ernsthaft, ich mutmaße mal das hier keiner Details über den Angriff (in sofern es einer war), die IT des Konzerns und deren Märkte und die Kompetenz der MA und deren IT kennt, falls ich mich irre dann klärt uns bitte auf.

Ohne die Infos ist das alles nur Mutmaßung und keinen Deut besser als das was die Leute jetzt dem Konzern und deren MA vorwerfen.

 

[Sapphire Fan]

Immer schön mit dem Finger auf andere Zeigen und teils Schadenfreude? Soweit ist es in unserer Gesellschaft schon gekommen. Ich hoffe die Mitarbeiter kommen gut durch die Krise und haben starke Nerven. Ich hoffe auch der Angreifer oder die Angreifer werden gefunden und zu sehr langen Haftstrafen verurteilt.

 

[PietVanOwl]

sondern ausschließlich die kriminellen Elemente, die hinter dem Angriff stecken.

Das ist mir auch klar dass Kriminelle hinter der Ransomware stehen. Meine Frage war ja ob jemand den Kriminellen die Tür geöffnet hat (Mitarbeiter öffnet irgendwas falsches), oder ob die Tür von Haus aus schon ein Spalt offen war (Sicherheitslücke in der Serverstruktur).

Wenn ich meine Wohnungstür offen lasse und dann alles weg ist kann ich auch sagen: der Dieb ist Schuld. Meine Versicherung wird aber sagen ich bin selber Schuld. Man muss eben mit krimineller Energie rechnen, vor allem im Internet. Das ist ja nichts neues dass es dort Schadsoftware ohne Ende und auch massig Kriminelle gibt.

Dass das sich dann auch noch im gesamten Netzwerk ausbreiten und alle Server befallen kann ist natürlich nochmal eine ganz andere Sache.
MFG Piet

 

[ThomasK_7]

Hat man die Angreifer der letzten bekannten großen Angriffe der letzten Monate gefunden?
Ich habe nichts darüber gehört/gelesen!

 

[Gomlot]

Da fällt mir immer wieder eines auf. Man spricht mit IT Verantwortlichen und fragt wie stehen sie zum Thema IT Sicherheit. Ist bei uns kein Thema unsere Firewall und Endpoint ist top. Hinter der Mauer sieht es dann wie hier anders aus einmal drin gibt es keine bis sehr wenige Hürden. Aber unsere Mauer ist uneindringbar . Oft höre ich auch immer das kostet nur unendlich Geld und das bringt ja alles nix. Wieviele Neukunden ich nun schon gesehen habe die von VLan's und internen Firewalls nix wissen wollen.

 

[Ranayna]

Ich glaube auch, das vielen garnicht klar ist, wie verdammt viel an Zero Days da moeglicherweise rumschwirrt.

Erinnert sich noch jemand an Print Nichtmare?
Damit konntest du von jeder x-beliebigen Domain-Workstation die gesamte Windows Domain uebernehmen. Und wer schon mal in einem Media Markt war: Die ganzen Kundenberatungsrechner die da rumstehen sind was? Windows Domain Mitglieder. In einem unbeobachteten Moment ein Rubberducky eingesteckt, und man ist drin, spaetestens wenn der Rechner vom Mitarbeiter entsperrt wurde.

Die Exchange Luecken waren noch boeser.... Bei 3100 Servern (Was macht MMS eigendlich mit so vielen Servern?) gehe ich davon aus, dass die einen eigenen Exchange betreiben.
Der Exchange ist in der Regel eines der Systeme welches am exponiertestem im Netz steht. Da mag ein Proxy oder eine Firewall dazwischen sein, aber im Falle eines Zerodays muss die nicht schuetzen. Und bam, man ist auf dem Exchange, und kann sich von da weiter verbreiten. Bei der Exchange Sache war dann das unangenehme, das wenn man nicht aufgepasst hat und bereits infiziert war, das Installieren der Updates nichts gegen die Infektion getan hat.

Von Moeglichkeiten wie Luecken in den echten Edge Geraeten, den Firewalls und Routern mal ganz abgesehen. Cisco ist da ja beruechtigt immer wieder Luecken zu haben. Aber seit versichert: Die anderen Hersteller kochen auch nur mit Wasser. Schaut man sich die Changenotes eines beliebigen Herstellers an muss man das kalte Grausen bekommen.

Da sind wir noch nichtmal bei Luecken in Usersoftware angekommen.

Und dann kommt da noch das grundlegende "Dilemma" dazu was @Idon schildert: Die IT ist in fast allen Unternehmen ja kein Selbstzweck. Die IT sorgt im Endeffekt dafuer, das die anderen ueberhaupt ihre Arbeit machen koennen. Und deswegen ist es in der Regel ja so, das die IT keine eigene Entscheidungsgewalt hat. Sie kann und muss Beraten, aber oft genug liegt die letzte Entscheidung nicht bei der IT. Mit allen daraus resultierenden Konsequenzen.

 

[Blubmann1337]

Scheint wohl aktuell wieder was rumzugehen. Audi und medatixx sind auch Opfer von Ransomware geworden. Bei Datev aktuell auch Probleme, wobei es da noch keine genaueren Infos gibt. Gibt es möglicherweise einen 0-Day-Exploit?

​

 

[crispychips]

"Angriff"? Netter Versuch um sein eigenes Versagen zu verbergen. Man könnte es auch nennen "Jemand ist durch die offene Tür reingekommen".

Bild war vor Ort ...

Aber immer diese bösen Hacker...ich kann's nicht mehr hören.

Hacken ist kein Kavaliersdelikt ...

 

[Idon]

Das ist aber doch ein anderes Thema:

Das ganze Geschäftskonzept von Ransomware funktioniert doch nur, weil via Bitcoin und Co. nicht/kaum nachverfolgbare Zahlungsströme existieren und die Antwort auf solche Taten kein Drohnenangriff ist.

Der weltweite Schaden (inkl. Abwehrkosten) ist immens.

 

[c9hris]

@Ranayna Stimme dir die vollkommen zu, es leid oft Entscheidungen getroffen von Leuten im Unternehmen denen die Tragweite ihrer Entscheidungen nicht bewusst ist, und ihnen die Kompetenz fehlt in gewissen Bereichen um eine fundierte Entscheidung zu treffen

Was mich auch wundert ist die Anzahl der Server, muss ziemlich ein wildes Sammelsurium an Servern sein.

Ahne dort nichts gutes, da leider im Markt die System selbst auch sehr veraltet ist. Teilweise auch noch Windows 7 Rechner und die Software die Einsetzten . Habe einen bekannten der in einen Markt Arbeitet.

Daher wird wohl die Server Landschaft wohl auch nicht gerade State of the Art sein.