Krypto-Virus: Angriff legt 3.100 Server bei MediaMarkt und Saturn lahm
Ein Ransomware-Angriff auf MediaMarkt und Saturn, die beide zur Ceconomy AG gehören, soll in der Nacht von Sonntag zu Montag rund 3.100 Server der Unternehmen betroffen und diese mit einem Krypto-Trojaner infiziert haben. Der Online-Shop sei nicht betroffen, Kunden müssten derzeit nichts unternehmen.
Krypto-Virus soll Server verschlüsselt haben
Für die Elektronikmärkte im Einzelhandelsgeschäft sind die Auswirkungen hingegen umfangreicher. Durch den Verschlüsselungstrojaner, der bei dem Cyberangriff auf den Servern platziert wurde, sollen auch das Kassen- und die Warenwirtschaftssysteme der einzelnen Filialen ausgefallen sein. Durch den Krypto-Virus wurden demnach die Dateien auf den Servern verschlüsselt und so der Zugriff für das Unternehmen gesperrt.
Inwiefern die teilweise auf Twitter veröffentlichten Dokumente, die diese Form des Angriffs belegen, echt sind, kann nicht mit Sicherheit gesagt werden. Denn wegen der laufenden Ermittlungen wolle das Unternehmen derzeit keine Details bekannt geben, arbeite jedoch mit Ermittlungsbehörden und externen Experten zusammen, um das Ausmaß des entstandenen Schadens genau zu beurteilen. Wann die eigenen Systeme wiederhergestellt werden können, dazu gibt es bislang keine Aussagen. Den Dokumenten zufolge wurden alle Filialen aufgefordert, ihre Systeme vom Internet zu trennen und die Computer vorerst nicht zu benutzen. Betroffen sind nicht nur die Systeme und Filialen in Deutschland, sondern auch den Niederlanden.
Filialen geöffnet, Service eingeschränkt
Dennoch blieben die Filialen am Montag geöffnet und ausgestellte Ware wurde weiterhin verkauft. Auch Kartenzahlungen und das Ausstellen von Kassenzetteln konnten problemlos abgewickelt werden. Ohne die IT-Systeme sei es derzeit aber unmöglich, Bestellungen, Rückgaben oder reservierte Abholungen zu bearbeiten.
Hive soll 240 Mio. US-Dollar fordern
Wie unter anderem BleepingComputer berichtet, soll der Angriff auf MediaMarkt und Saturn auf die Ransomware-Gruppe Hive zurückzuführen sein, die für die Freigabe der Daten auf den Servern ein Lösegeld von 240 Millionen US-Dollar gefordert haben sollen. Inzwischen sei diese Forderung auf 50 Millionen US-Dollar reduziert worden. Ob Hive wie in der Vergangenheit damit droht, die Daten nicht nur dauerhaft gesperrt zu lassen, sondern auch auf der eigenen Plattform HiveLeaks zu veröffentlichen, ist bislang nicht bekannt. Ebenfalls ungewiss ist bislang, ob auch Backups der Daten von dem Angriff betroffen sind.
Nachdem ein Angriff von Hive im Sommer mehrere Krankenhäuser in den USA und Australien stark in ihrem Betrieb eingeschränkt hatte, hatte die US-Bundespolizei vor der Hackergruppe gewarnt (PDF).