Hive-Ransomware-Gang erbeutete 100 Millionen von 1.300 Opfern (u.a. Media Markt)

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Elektronik-Händler Media Markt wurde 2021 Opfer einer Hive Ransomware-Attacke. Ich hatte seinerzeit etwas von einer Lösegeldforderung von 240 Millionen US-Dollar vernommen. Nun hat das FBI die Schäden, die die Hive-Gang seit Juni 2021 bei 1.300 Opfern verursacht hat, mit 100 Millionen US-Dollar beziffert. Das FBI gibt zudem Hinweise auf Anzeichen für Infektionen und wie die Gruppe vorgeht.


Anzeige

FBI veröffentlicht Hive-Daten

Die Information wurde diese Woche vom FBI (Federal Bureau of Investigation) in Zusammenarbeit mit der US-CISA  veröffentlicht (sowohl Bleeping Computer als auch heise berichteten). In deren Mitteilung heißt es:

Bis November 2022 haben Hive-Ransomware-Akteure nach Angaben des FBI über 1.300 Unternehmen weltweit geschädigt und rund 100 Millionen US-Dollar an Lösegeldzahlungen erhalten.

Das ist das erste Mal, dass ich Zahlen über die Gruppe gelesen habe. Die Hive-Ransomware verwendet das Ransomware-as-a-Service (RaaS)-Modell, bei dem Entwickler die Malware erstellen, pflegen und aktualisieren, während Partner (Affiliates) die Ransomware-Angriffe durchführen. Von Juni 2021 bis mindestens November 2022 haben Bedrohungsakteure Hive-Ransomware eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastrukturen anzugreifen, darunter Regierungseinrichtungen, Kommunikationseinrichtungen, kritische Produktionsanlagen, Informationstechnologie und insbesondere das Gesundheits- und Sozialwesen.

Auf der betreffenden CISA-Seite #StopRansomware: Hive Ransomware beschreiben FBI und CISA die technischen Details der Angriffe, die folgende Schwachstellen ausnutzen:

  • CVE-2021-31207 – Microsoft Exchange Server Security Feature Bypass Vulnerability
  • CVE-2021-34473 – Microsoft Exchange Server Remote Code Execution Vulnerability
  • CVE-2021-34523 – Microsoft Exchange Server Privilege Escalation Vulnerability

Bei Erfolg verankern die Cyberkriminellen Schadsoftware, ziehen Daten für Erpressungsversuche ab und verschlüsseln zum Schluss die betreffenden Server, um die Opfer zu erpressen. In Deutschland machte vor allem der erfolgreiche Angriff auf einen IT-Dienstleister von sich reden, weil dadurch die Elektronikmärkte von Media Markt/Saturn 2021 lahm gelegt wurden.


Anzeige

Der Angriff auf Media Markt in 2021

Im November 2021 kam es zu einem erfolgreichen Cyberangriff der Hive-Gang auf die IT-Systeme des Dienstleisters Ceconomy AG, in dessen Folge ca. 3.100 Server verschlüsselt wurden. Auf den Systemen lief das Warenwirtschaftssystem von Media Markt/Saturn – ich hatte im Blog-Beitrag Ransomware-Angriff auf Media Markt/Saturn berichtet.

Die Elektronikläden der beiden genannten Gruppen konnten zwar öffnen, waren aber zu einer Art Notbetrieb gezwungen. Kunden konnten zwar in den Märkten einkaufen. Aber die Kassensysteme waren vom Warenwirtschaftssystem getrennt, d.h. alle Operationen, die Zugriff auf diese Daten benötigen, standen nicht, oder nur eingeschränkt zur Verfügung. Retouren von Waren, Gutscheine, oder Abholung von Bestellungen waren kaum möglich.

Der Dienstleister wies dann die Mitarbeiter in den Märkten an, keinesfalls selbst aktiv zu werden und weder Kunden noch Presse über diesen Sachverhalt zu informieren. Ich hatte dann noch berichtet, dass die Hive-Ransomware-Gruppe wohl die unrealistische Forderung von 240 Millionen US-Dollar gestellt hatte. Im Anschluss reduzierte die Gang diese Summe, um in einen Bereich realistischer Lösegeldsummen zu kommen, die vielleicht gezahlt würden. Ab da war dann aber Funkstille bezüglich weiterer Informationen. Wenn ich dann im FBI-Bericht lese, dass die Ransomware-Gang 100 Millionen US-Dollar von 1.300 Opfern erbeutet hat, wurde vom Media Markt/Saturn-Dienstleister entweder nicht oder nur sehr wenig gezahlt.

Ähnliche Artikel:
Ransomware-Angriff auf Media Markt/Saturn
Media Markt/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ Lösegeldforderung
Decryptor für Hive Ransomware v1 bis v4 verfügbar
Anatomie eines Hive Ransomware-Angriffs auf Exchange per ProxyShell


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Hive-Ransomware-Gang erbeutete 100 Millionen von 1.300 Opfern (u.a. Media Markt)

  1. Singlethreaded sagt:

    Zeigt einmal wieder wie wichtig es ist verfügbare Sicherheitsupdates zeitnah zu installieren, inbesondere auf Geräten, welche direkt aus dem Internet zu erreichen sind.

  2. Singlethreaded sagt:

    "Nun hat das FBI die Schäden, die die Hive-Gang seit Juni 2021 bei 1.300 Opfern verursacht hat, mit 100 Millionen US-Dollar beziffert."

    CVE-2021-31207 – May 11, 2021 (KB5003435)
    CVE-2021-34473 – April 13, 2021 (KB5001779)
    CVE-2021-34523 – April 13, 2021 (KB5001779)

    Antwort: Weil die Opfer es mindestens 1-2 Monate versäumt haben die Sicherheits-Updates zu installieren. ;-)

    • chw9999 sagt:

      Nur aus Interesse: könnte es nicht sein, dass schon vor dem frühestmöglichen Einspielen der Updates Backdoors hätten installiert werden können – und erst 1-2 Monate danach die Verschlüsselung durchgeführt wurde?

      Müsste es dann nicht eher lauten: Weil die Opfer weiterhin eine Software verwendeten, die in der Vergangenheit schon wiederholt Backdoors installieren ließ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.