{"id":237371,"date":"2020-11-07T19:59:29","date_gmt":"2020-11-07T18:59:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237371"},"modified":"2020-11-21T17:50:56","modified_gmt":"2020-11-21T16:50:56","slug":"ragnar-locker-ransomware-infektion-bei-campari","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/07\/ragnar-locker-ransomware-infektion-bei-campari\/","title":{"rendered":"Ragnar Locker Ransomware-Infektion bei Campari-Gruppe"},"content":{"rendered":"

[English<\/a>]Der italienische Spirituosen-Hersteller Campari ist wohl Opfer einer Ransomware-Infektion mit Ragnar Locker geworden. Einige Server der Campari Group mussten restauriert werden, nachdem die Dateien verschl\u00fcsselt wurden.<\/p>\n

<\/p>\n

\"\"Das berichteten ZDnet.com und\u00a0 Bleeping Computer bereits am Donnerstag in diesem<\/a> und diesem<\/a> Artikel. Die Erpresser forderten 15 Millionen US-Dollar L\u00f6segeld, wobei die Campari Group aber nicht auf die Erpressung einging.<\/p>\n

\"Ragnar<\/p>\n

Der Angriff muss bereits um den 1. November 2020 auf die IT-Systeme des italienischen Getr\u00e4nkekonzerns Campari erfolgt sein. Am Freitag, den 5. November 2020 best\u00e4tigte Campari, dass Daten auf einigen Servern des Unternehmens verschl\u00fcsselt worden und einige Informationen verloren gegangen seien. Das h\u00e4tten \u00dcberpr\u00fcfungen, die nach einem Cyber-Angriff durchgef\u00fchrt wurden, ergeben. Hier die italienische Stellungnahme (Quelle<\/a>):<\/p>\n

Campari Group informa che, presumibilmente il giorno 1\u00b0 novembre 2020, \u00e8 stato oggetto di un attacco malware (virus informatico), che \u00e8 stato prontamente identificato. Il dipartimento IT del Gruppo, con il supporto di esperti di sicurezza informatica, ha immediatamente intrapreso azioni volte a limitare la diffusione del malware nei dati e sistemi. Pertanto, la societ\u00e0 ha attuato una temporanea sospensione dei servizi IT, in quanto alcuni sistemi sono stati isolati al fine di consentirne la sanificazione e il progressivo riavvio in condizioni di sicurezza per un tempestivo ripristino dell'ordinaria operativit\u00e0. Contestualmente \u00e8 stata avviata un'indagine sull'attacco, che \u00e8 tutt'ora in corso. Si ritiene che dalla temporanea sospensione dei sistemi IT non possa derivare alcun significativo impatto sui risultati del Gruppo. Nel frattempo, Campari Group ha prontamente avviato una piena collaborazione con le autorit\u00e0 competenti.<\/p><\/blockquote>\n

Im Statement informiert die Campari-Gruppe, dass sie vermutlich am 1. November 2020 das Ziel eines Malware-Angriffs (Computervirus) war, der umgehend identifiziert wurde. Die IT-Abteilung der Gruppe ergriff mit der Unterst\u00fctzung von IT-Sicherheitsexperten sofort Ma\u00dfnahmen, um die Verbreitung von Malware in Daten und Systemen einzud\u00e4mmen.<\/p>\n

Daher leitete das Unternehmen eine vor\u00fcbergehende Abschaltung der IT-Dienste durch, um einige Systeme zu isolieren. Anschlie\u00dfend wurden diese Systeme restauriert und schrittweise unter sicheren Bedingungen wieder in Betrieb genommen.\u00a0 Gleichzeitig wurde eine Untersuchung des Angriffs eingeleitet, die noch nicht abgeschlossen ist. Es wird davon ausgegangen, dass die vor\u00fcbergehende Abschaltung der IT-Systeme keine signifikanten Auswirkungen auf die Ergebnisse der Gruppe hat. In der Zwischenzeit hat die Campari-Gruppe unverz\u00fcglich die volle Zusammenarbeit mit den zust\u00e4ndigen Beh\u00f6rden aufgenommen.<\/p>\n

ZDnet und Bleeping Computer schreiben, dass die Ragnar Locker-Gang 15 Millionen US-Dollar L\u00f6segeld forderte. Das geht auch aus ver\u00f6ffentlichten Screenshots hervor. Es wurde aber kein L\u00f6segeld gezahlt und die Campari-Gruppe versucht die Systeme so zu bereinigen.<\/p>\n

Die Seite Threadpost hat weitere Details in diesem Artikel<\/a> ver\u00f6ffentlicht. Der Sicherheitsforscher Pancak3<\/a> hat Threatpost eine eine Kopie der L\u00f6segeldforderung zugespielt, in der es hei\u00dft:<\/p>\n

\n
\n
\n

We have BREACHED your security perimeter and get [sic] access to every server of the company's network in different countries across all your international offices.<\/p><\/blockquote>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n

Die Cyber-Kriminellen geben also an, die Sicherheitsschranken der IT-Systeme \u00fcberwunden zu haben und Zugriff auf jeden Server der Gruppe gehabt zu haben. Laut Threadpost enth\u00e4lt das Erpresserschreiben detaillierte Angaben zu den kompromittierten Datentypen, einschlie\u00dflich Buchhaltungsdateien, Kontoausz\u00fcge, pers\u00f6nliche Daten von Mitarbeitern und mehr. In der Notiz hie\u00df es, dass die Betr\u00fcger insgesamt 2 TB an Daten stehlen konnten. Weiter schreiben die Erpresser:<\/p>\n

\n
\n
\n
\n

If no offer is made than [sic] all your info with be posted and\/or offered through an auction to any 3rd get-togethers.<\/p><\/blockquote>\n<\/div>\n<\/div>\n<\/div>\n<\/blockquote>\n

\n
\n
\n

Werde kein Angebot gemacht, w\u00fcrden die Informationen ver\u00f6ffentlicht. ZDNet schrieb, dass entsprechende Dokumente auf einer Leak-Seite der Gruppe ver\u00f6ffentlicht wurden, um den Datenraub zu belegen. Es handelt sich um einen Vertrag mit Wild Turkey und dem Schauspieler Matthew McConaughey.<\/p>\n<\/div>\n<\/div>\n<\/div>\n

 <\/p>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

[English]Der italienische Spirituosen-Hersteller Campari ist wohl Opfer einer Ransomware-Infektion mit Ragnar Locker geworden. Einige Server der Campari Group mussten restauriert werden, nachdem die Dateien verschl\u00fcsselt wurden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-237371","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237371","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237371"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237371\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237371"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237371"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237371"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}