[English]Der Elektronik-Händler Media Markt wurde 2021 Opfer einer Hive Ransomware-Attacke. Ich hatte seinerzeit etwas von einer Lösegeldforderung von 240 Millionen US-Dollar vernommen. Nun hat das FBI die Schäden, die die Hive-Gang seit Juni 2021 bei 1.300 Opfern verursacht hat, mit 100 Millionen US-Dollar beziffert. Das FBI gibt zudem Hinweise auf Anzeichen für Infektionen und wie die Gruppe vorgeht.
Anzeige
FBI veröffentlicht Hive-Daten
Die Information wurde diese Woche vom FBI (Federal Bureau of Investigation) in Zusammenarbeit mit der US-CISA veröffentlicht (sowohl Bleeping Computer als auch heise berichteten). In deren Mitteilung heißt es:
Bis November 2022 haben Hive-Ransomware-Akteure nach Angaben des FBI über 1.300 Unternehmen weltweit geschädigt und rund 100 Millionen US-Dollar an Lösegeldzahlungen erhalten.
Das ist das erste Mal, dass ich Zahlen über die Gruppe gelesen habe. Die Hive-Ransomware verwendet das Ransomware-as-a-Service (RaaS)-Modell, bei dem Entwickler die Malware erstellen, pflegen und aktualisieren, während Partner (Affiliates) die Ransomware-Angriffe durchführen. Von Juni 2021 bis mindestens November 2022 haben Bedrohungsakteure Hive-Ransomware eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastrukturen anzugreifen, darunter Regierungseinrichtungen, Kommunikationseinrichtungen, kritische Produktionsanlagen, Informationstechnologie und insbesondere das Gesundheits- und Sozialwesen.
Auf der betreffenden CISA-Seite #StopRansomware: Hive Ransomware beschreiben FBI und CISA die technischen Details der Angriffe, die folgende Schwachstellen ausnutzen:
- CVE-2021-31207 – Microsoft Exchange Server Security Feature Bypass Vulnerability
- CVE-2021-34473 – Microsoft Exchange Server Remote Code Execution Vulnerability
- CVE-2021-34523 – Microsoft Exchange Server Privilege Escalation Vulnerability
Bei Erfolg verankern die Cyberkriminellen Schadsoftware, ziehen Daten für Erpressungsversuche ab und verschlüsseln zum Schluss die betreffenden Server, um die Opfer zu erpressen. In Deutschland machte vor allem der erfolgreiche Angriff auf einen IT-Dienstleister von sich reden, weil dadurch die Elektronikmärkte von Media Markt/Saturn 2021 lahm gelegt wurden.
Anzeige
Der Angriff auf Media Markt in 2021
Im November 2021 kam es zu einem erfolgreichen Cyberangriff der Hive-Gang auf die IT-Systeme des Dienstleisters Ceconomy AG, in dessen Folge ca. 3.100 Server verschlüsselt wurden. Auf den Systemen lief das Warenwirtschaftssystem von Media Markt/Saturn – ich hatte im Blog-Beitrag Ransomware-Angriff auf Media Markt/Saturn berichtet.
Die Elektronikläden der beiden genannten Gruppen konnten zwar öffnen, waren aber zu einer Art Notbetrieb gezwungen. Kunden konnten zwar in den Märkten einkaufen. Aber die Kassensysteme waren vom Warenwirtschaftssystem getrennt, d.h. alle Operationen, die Zugriff auf diese Daten benötigen, standen nicht, oder nur eingeschränkt zur Verfügung. Retouren von Waren, Gutscheine, oder Abholung von Bestellungen waren kaum möglich.
Der Dienstleister wies dann die Mitarbeiter in den Märkten an, keinesfalls selbst aktiv zu werden und weder Kunden noch Presse über diesen Sachverhalt zu informieren. Ich hatte dann noch berichtet, dass die Hive-Ransomware-Gruppe wohl die unrealistische Forderung von 240 Millionen US-Dollar gestellt hatte. Im Anschluss reduzierte die Gang diese Summe, um in einen Bereich realistischer Lösegeldsummen zu kommen, die vielleicht gezahlt würden. Ab da war dann aber Funkstille bezüglich weiterer Informationen. Wenn ich dann im FBI-Bericht lese, dass die Ransomware-Gang 100 Millionen US-Dollar von 1.300 Opfern erbeutet hat, wurde vom Media Markt/Saturn-Dienstleister entweder nicht oder nur sehr wenig gezahlt.
Ähnliche Artikel:
Ransomware-Angriff auf Media Markt/Saturn
Media Markt/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ Lösegeldforderung
Decryptor für Hive Ransomware v1 bis v4 verfügbar
Anatomie eines Hive Ransomware-Angriffs auf Exchange per ProxyShell
Anzeige
Zeigt einmal wieder wie wichtig es ist verfügbare Sicherheitsupdates zeitnah zu installieren, inbesondere auf Geräten, welche direkt aus dem Internet zu erreichen sind.
Elefant im Raum, warum ist die angegriffene Software so unsicher?
"Nun hat das FBI die Schäden, die die Hive-Gang seit Juni 2021 bei 1.300 Opfern verursacht hat, mit 100 Millionen US-Dollar beziffert."
CVE-2021-31207 – May 11, 2021 (KB5003435)
CVE-2021-34473 – April 13, 2021 (KB5001779)
CVE-2021-34523 – April 13, 2021 (KB5001779)
Antwort: Weil die Opfer es mindestens 1-2 Monate versäumt haben die Sicherheits-Updates zu installieren. ;-)
Nur aus Interesse: könnte es nicht sein, dass schon vor dem frühestmöglichen Einspielen der Updates Backdoors hätten installiert werden können – und erst 1-2 Monate danach die Verschlüsselung durchgeführt wurde?
Müsste es dann nicht eher lauten: Weil die Opfer weiterhin eine Software verwendeten, die in der Vergangenheit schon wiederholt Backdoors installieren ließ?
Ja, natürlich ist es denkbar, dass Systeme "auf Vorrat" infiziert wurden und der Patch erst nach der Infektion eingespielt wurde. Trotzdem zeigen Beiträge der Vergangenheit, dass Updates für Exchange häufig einfach nicht installiert werden:
https://www.borncity.com/blog/2020/10/08/bsi-warnung-im-okt-2020-noch-40-000-ungepatchte-exchange-server-in-betrieb/
https://www.heise.de/news/ProxyShell-Massive-Angriffswelle-auf-ungepatchte-Exchange-Server-6171597.html
Gemäß des heise Artikels gab es im August 2021 alleine in Deutschland 7.800 verwundbare Exchange-Server im Internet, welche für ProxyShell anfällig waren. Die Patches gab es seit April 2021.
Keine Frage kann und muss man Microsoft für die vielen Sicherheitslücken in Exchange-Server kritisieren. Auch das ganze Hick-Hack mit den URL-Rewrite Regeln ist einem Konzern wie Microsoft eigentlich unwürdig. Das können die sicherlich besser.
Ob man jetzt Exchange-Server einsetzt oder nicht, ist jedem selber überlassen. Die Diskussion über Alternativen würde auch hier schon öfters geführt. Aber: Wenn ich Exchange-Server einsetze, dann habe ich auch die Verantwortung diese entsprechender Wartung zuzuführen.
Häufig wird immer nur mit dem Finger auf Microsoft gezeigt, aber die eigene Verantwortung für den Betrieb der Systeme ausgeblendet. Das ist der Elefant, welchen ich sehe.
Danke für Deine Einschätzung :)