[English]Der italienische Spirituosen-Hersteller Campari ist wohl Opfer einer Ransomware-Infektion mit Ragnar Locker geworden. Einige Server der Campari Group mussten restauriert werden, nachdem die Dateien verschlüsselt wurden.
Anzeige
Das berichteten ZDnet.com und Bleeping Computer bereits am Donnerstag in diesem und diesem Artikel. Die Erpresser forderten 15 Millionen US-Dollar Lösegeld, wobei die Campari Group aber nicht auf die Erpressung einging.
Der Angriff muss bereits um den 1. November 2020 auf die IT-Systeme des italienischen Getränkekonzerns Campari erfolgt sein. Am Freitag, den 5. November 2020 bestätigte Campari, dass Daten auf einigen Servern des Unternehmens verschlüsselt worden und einige Informationen verloren gegangen seien. Das hätten Überprüfungen, die nach einem Cyber-Angriff durchgeführt wurden, ergeben. Hier die italienische Stellungnahme (Quelle):
Campari Group informa che, presumibilmente il giorno 1° novembre 2020, è stato oggetto di un attacco malware (virus informatico), che è stato prontamente identificato. Il dipartimento IT del Gruppo, con il supporto di esperti di sicurezza informatica, ha immediatamente intrapreso azioni volte a limitare la diffusione del malware nei dati e sistemi. Pertanto, la società ha attuato una temporanea sospensione dei servizi IT, in quanto alcuni sistemi sono stati isolati al fine di consentirne la sanificazione e il progressivo riavvio in condizioni di sicurezza per un tempestivo ripristino dell'ordinaria operatività. Contestualmente è stata avviata un'indagine sull'attacco, che è tutt'ora in corso. Si ritiene che dalla temporanea sospensione dei sistemi IT non possa derivare alcun significativo impatto sui risultati del Gruppo. Nel frattempo, Campari Group ha prontamente avviato una piena collaborazione con le autorità competenti.
Im Statement informiert die Campari-Gruppe, dass sie vermutlich am 1. November 2020 das Ziel eines Malware-Angriffs (Computervirus) war, der umgehend identifiziert wurde. Die IT-Abteilung der Gruppe ergriff mit der Unterstützung von IT-Sicherheitsexperten sofort Maßnahmen, um die Verbreitung von Malware in Daten und Systemen einzudämmen.
Anzeige
Daher leitete das Unternehmen eine vorübergehende Abschaltung der IT-Dienste durch, um einige Systeme zu isolieren. Anschließend wurden diese Systeme restauriert und schrittweise unter sicheren Bedingungen wieder in Betrieb genommen. Gleichzeitig wurde eine Untersuchung des Angriffs eingeleitet, die noch nicht abgeschlossen ist. Es wird davon ausgegangen, dass die vorübergehende Abschaltung der IT-Systeme keine signifikanten Auswirkungen auf die Ergebnisse der Gruppe hat. In der Zwischenzeit hat die Campari-Gruppe unverzüglich die volle Zusammenarbeit mit den zuständigen Behörden aufgenommen.
ZDnet und Bleeping Computer schreiben, dass die Ragnar Locker-Gang 15 Millionen US-Dollar Lösegeld forderte. Das geht auch aus veröffentlichten Screenshots hervor. Es wurde aber kein Lösegeld gezahlt und die Campari-Gruppe versucht die Systeme so zu bereinigen.
Die Seite Threadpost hat weitere Details in diesem Artikel veröffentlicht. Der Sicherheitsforscher Pancak3 hat Threatpost eine eine Kopie der Lösegeldforderung zugespielt, in der es heißt:
We have BREACHED your security perimeter and get [sic] access to every server of the company's network in different countries across all your international offices.
Die Cyber-Kriminellen geben also an, die Sicherheitsschranken der IT-Systeme überwunden zu haben und Zugriff auf jeden Server der Gruppe gehabt zu haben. Laut Threadpost enthält das Erpresserschreiben detaillierte Angaben zu den kompromittierten Datentypen, einschließlich Buchhaltungsdateien, Kontoauszüge, persönliche Daten von Mitarbeitern und mehr. In der Notiz hieß es, dass die Betrüger insgesamt 2 TB an Daten stehlen konnten. Weiter schreiben die Erpresser:
If no offer is made than [sic] all your info with be posted and/or offered through an auction to any 3rd get-togethers.
Werde kein Angebot gemacht, würden die Informationen veröffentlicht. ZDNet schrieb, dass entsprechende Dokumente auf einer Leak-Seite der Gruppe veröffentlicht wurden, um den Datenraub zu belegen. Es handelt sich um einen Vertrag mit Wild Turkey und dem Schauspieler Matthew McConaughey.
Anzeige
Falls die Erst-Infektion mit einem MS-Office-Dokument (Word/Excel) passiert wäre, wäre der Rat alle Datei-Typen vor OOXML zu verbieten und die dll für VBA umzubennen. Der Schutz, den M$ und AV bieten, reicht nicht immer.
wir sind gestern von der Truppe verschlüsselt worden.
Wie ist noch unklar erstmal ist alles heruntergefahren bzw. die haben auch unseren Datenspeicher (Nimble) gelöscht.
Mal sehen, ob das auslagern der Veeamserver aus der Domain wenigstens was gebracht hat.
Holzauge sei Wachsam
Hi,
das herausnehmen der Veeam Server aus der AD und logischerweise auch komplett andere Zugangdaten zu nutzen – hat in unserem Fall nicht gebracht!
Da jetzt eh alle Veeam Reposity Server Verschlüsselt sind werde ich die – sofern Veeam (Supportcase eröffnet) da auch nicht mehr retten kann – neu unter Ububu 20.04 aufsetzen und die alle immutable machen.
Alles andere ist sinnlos, das sind keine Nasebohrer.
Seit schlau, lernt aus den Fehlern der dummen ;-)
Hatte ich geschrieben, dass alle Server Windowspatch aktuell waren?
wenn Ihr eine AD Gruppe printer findet – das war bei uns der Fall – mit einem Benutzer "baeh" oder auch anders – Ihr seit dann schon unter Beobachtung und reagiert!!!
Überwacht auf einer Maschine alle AD Gruppen die neu angelegt werden und schlagt Alarm – ich hab nur druckoperatoren, Domainadmins usw. überwacht und dchte mich erwicht Ihr nicht *haha*
Wisst ihr wieviel Zeit zwischen Infektion und Angriff vergangen ist? Wurde instantan verschlüsselt oder vergingen ein paar Tage, Wochen, Monate? Hintergrund der Frage ist, dass wir zwar ein Bandbackup haben, welches technisch bedingt nicht verschlüsselt werden kann, wir jedoch erst mal nicht wissen, ob wir das Problem damit wieder restoren. Die Herausforderung wäre dann uA die eigentliche Infektion in einem defekten System zu identifizieren…
Achtung!
Ein
dsquery user "DC=gehacktedomain,DC=de" -limit 8000|dsget user -samid findet den Benutzer nicht (8000 Objekte haben wir nicht)
Genausowenig wie
Get-ADUser -Filter * | Select-Object -Property Name,SID
Oder
difde -f ExportUser.ldf -s adserverdergehacktendomain -r "(objectclass=user)"
Nur ein
net user
bzw.
net user baeh
zeigt den überhaupt an!
Baeh kann bei euch pfuibaeh oder blablub sein "unser"Angriff wurde mit baeh gemacht
Passt bitte sehr genau auf – ich hab die beiden oberen Befehle täglich laufen lassen um meine div. 2dos mit Daten zu füllen und war ziemlich geplättet wieso ich das mit dem Benutzer übersehen konnte – ja lag an mir, weil ich die "falschen" Befehle genutzt habe :lol: :lol: :lol: :roll:
Später ist mal schlauer oder nach dem Angriff ist vor dem Angriff.
Wir versuchen es nun mit einem "Ent-Verschlüsselungsprofi" – wenn ich da was rausfinde melde ich mich wieder.
Die versteckte AD Gruppe hiess bei uns printer
Überwacht TÄGLICH – in welchen AD Gruppen eure Domainadmins drin sind – da war einer von "uns" und der versteckte "baeh" benutzer ("user" kein admin; operator oder ähnliches) drin.
Der Entschlüsselungsprofi hat schon abgewunken – die verschlüsseln große Dateien auch nicht vollständig weniger als 20 MB jeder Datei – so können die auch riesige Datenmengen im hohen TB Bereich in sehr kurzer Zeit platt machen.