![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Der franz\u00f6sische Kosmetikhersteller Pierre Fabre, die deutsche Moba Mobil Automation sind wohl bzw. m\u00f5glicherweise Opfer von Ransomware-Infektionen geworden. Hier ein kurzer \u00dcberblick \u00fcber die F\u00e4lle. Zudem gibt es einige neue Angriffsmethoden, wie Malware, die per Kontaktformular ausgeliefert wird.<\/p>\n
<\/p>\n
Pierre Fabre ist k\u00fcrzlich wohl Opfer eines erfolgreichen eines REvil\/Sodinokibi-Ransomware-Angriffs geworden. Ich bin \u00fcber obigen Tweet<\/a> von Bleeping Computer auf den Fall aufmerksam geworden. Die Cyber-Kriminellen fordern ein L\u00f6segeld in H\u00f6he von 25 Millionen US-Dollar, wie BleepingComputer hier<\/a> schreibt. Der Angriff der REvil-Gruppe muss am 31. M\u00e4rz 2021 erfolgt sein, wie das Unternehmen in einer Pressemitteilung<\/a> zum 1. April 2021 bekannt gab.<\/p>\n Dank der schnellen Reaktion der IT-Mitarbeiter konnte der Computervirus weniger als 24 Stunden nach dem Vorfall vollst\u00e4ndig unter Kontrolle gebracht werden, hei\u00dft es in der Pressemitteilung. Parallel dazu begannen am 31. M\u00e4rz 2021 die Ma\u00dfnahmen, um eine schrittweise R\u00fcckkehr zur Normalit\u00e4t zu erm\u00f6glichen. Als Vorsichtsma\u00dfnahme und in \u00dcbereinstimmung mit dem Risikomanagementplan wurde das Informationssystem des Konzerns sofort in den Standby-Modus versetzt, um die Ausbreitung des Virus einzud\u00e4mmen. Dies f\u00fchrte zur schrittweisen, vor\u00fcbergehenden Einstellung der meisten Produktionsaktivit\u00e4ten (mit Ausnahme der Produktionsst\u00e4tte in Gaillac – im Tarn in Frankreich – die Wirkstoffe f\u00fcr Pharmazeutika und Kosmetikprodukte herstellt).<\/p>\n Die Moba Mobil Automation<\/a> ist ein Anbieter der im Stra\u00dfenbau, der Abfallwirtschaft und im Bereich Erdbewegungen aktiv ist. Das Unternehmen bietet in der Automationsbranche eine Vielzahl an Automatisierungsl\u00f6sungen (Baggersteuerungen, Nivellierung im Stra\u00dfenbau etc.) an und ist im hessischen Limburg angesiedelt. Mit 589 Angestellten eher ein kleineres Unternehmen.<\/p>\n Ein Twitter-Nutzer mit dem Namen Ransomwaremap hat mich per Mail sowie \u00fcber den obigem Tweet<\/a> darauf aufmerksam gemacht (danke daf\u00fcr), dass es m\u00f6glicherweise einen Ransomware-Angriff auf dieses Unternehmen gab. Die Ragnarok-Gruppe reklamiert jedenfalls, bei einem Ransomware-Angriff Daten von der Moba Mobil Automation AG erbeutet zu haben und bietet diese im Darknet an. Vom Unternehmen ist bisher aber nichts dergleichen best\u00e4tigt.<\/p>\n Hier noch einige kurze Meldungen zusammengefasst, die mir die Tage unter die Augen gekommen sind.<\/p>\n Das Thema Ransomware d\u00fcrfte uns auch weiterhin in Atem halten, da die Ransomware-Gruppen st\u00e4ndig ihre Techniken und Tools st\u00e4ndig aktualisieren. \u00dcber nachfolgenden Tweet<\/a> gelangt man zu einem Beitrag<\/a> von Trend Micro, der sich mit dem Thema in einem \u00dcberblicksartikel befasst. Fand ich ganz interessant, falls man sich einen \u00dcberblick \u00fcber die Thematik verfassen m\u00f6chte.<\/p>\n An dieser Stelle mein Hinweis auf diesen Heise-Beitrag<\/a> von Ende M\u00e4rz 2021, der sich damit befasst, dass die REvil-Gruppe st\u00e4ndig die Funktionen der Malware \u00fcberarbeitet. Der REvil-Trojaner ist in der Lage, den abgesicherten Modus von Windows auszutricksen. Nach dem Eindringen, z.B. \u00fcber eine Exchange-Schwachstelle, und dem Erlangen erh\u00f6hter Rechte wird das System in den Wiederherstellungsmodus gebootet. Dort kann die Schadsoftware weiter agieren, ohne von laufenden Antivirus-Funktionen wie dem Windows Defender behelligt zu werden.\u00a0 Das MalwareHunter-Team hat dies auf Twitter<\/a> dokumentiert.<\/p>\n Die Kollegen von Bleeping-Computer machen in nachfolgendem Tweet<\/a> und diesem Beitrag<\/a> auf eine neue Masche zur Verbreitung von Malware aufmerksam. Cyber-Kriminelle verwenden Kontaktformulare von Firmen, um ihre IcedID-Malware in die Unternehmens-IT einzuschleusen und die Systeme zu infizieren.<\/p>\nPierre Fabre<\/a> ist ein franz\u00f6sischer Hersteller von Kosmetika und dematologischer Produkte wie Handcremes, der auch ein Deutschland bekannt sein d\u00fcrfte.\u00a0 Das Unternehmen gilt als der zweitgr\u00f6\u00dfte Pharmakonzern in Frankreich und das zweitgr\u00f6\u00dfte Dermo-Kosmetik-Labor weltweit. Mit \u00fcber 10.000 Mitarbeitern weltweit entwickelt Pierre Fabre eine Vielzahl von Produkten, die von Chemotherapie-Medikamenten bis hin zu Hautpflegeprodukten reichen.<\/p>\n
![\"Ransomware](\"https:\/\/i.imgur.com\/W7r5vgh.png\" "\\"Ransomware")
<\/a><\/p>\nMoba Mobil Automation betroffen?<\/h2>\n
![\"Ransomware](\"https:\/\/i.imgur.com\/kml95G6.png\" "\\"Ransomware")
<\/a><\/p>\nWeitere Meldungen<\/h2>\n
Ransomware bleibt signifikant<\/h3>\n
![\"Ransomware](\"https:\/\/i.imgur.com\/UzmFIH3.png\" "\\"Ransomware")
<\/a><\/p>\nREvil-Malware nutzt abgesicherten Windows-Mode<\/h3>\n
IcedID-Malware kommt per Kontaktformular<\/h3>\n
![\"Malware](\"https:\/\/i.imgur.com\/1g0f86L.png\" "\\"Malware")
<\/a><\/p>\n![\"Contact](\"https:\/\/www.bleepstatic.com\/images\/news\/u\/1109292\/2021\/Contact-form-phishing-email.png\" "\\"Contact")