{"id":275201,"date":"2022-11-19T00:03:00","date_gmt":"2022-11-18T23:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275201"},"modified":"2022-11-19T10:18:32","modified_gmt":"2022-11-19T09:18:32","slug":"hive-ransomware-gang-erbeutete-100-millionen-von-1-300-opfern-u-a-media-markt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/19\/hive-ransomware-gang-erbeutete-100-millionen-von-1-300-opfern-u-a-media-markt\/","title":{"rendered":"Hive-Ransomware-Gang erbeutete 100 Millionen von 1.300 Opfern (u.a. Media Markt)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/11\/19\/hive-ransomware-gang-looted-100-million-from-1300-victims-including-media-markt\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Der Elektronik-H\u00e4ndler Media Markt wurde 2021 Opfer einer Hive Ransomware-Attacke. Ich hatte seinerzeit etwas von einer L\u00f6segeldforderung von 240 Millionen US-Dollar vernommen. Nun hat das FBI die Sch\u00e4den, die die Hive-Gang seit Juni 2021 bei 1.300 Opfern verursacht hat, mit 100 Millionen US-Dollar beziffert. Das FBI gibt zudem Hinweise auf Anzeichen f\u00fcr Infektionen und wie die Gruppe vorgeht.<\/p>\n<p><!--more--><\/p>\n<h2>FBI ver\u00f6ffentlicht Hive-Daten<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/aab795b044ee4693bdcf86dbe7b55775\" alt=\"\" width=\"1\" height=\"1\" \/>Die Information wurde diese Woche vom FBI (Federal Bureau of Investigation) in Zusammenarbeit mit der US-CISA\u00a0 <a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-321a\" target=\"_blank\" rel=\"noopener\">ver\u00f6ffentlicht<\/a> (sowohl <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/fbi-hive-ransomware-extorted-100m-from-over-1-300-victims\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a> als auch <a href=\"https:\/\/www.heise.de\/news\/Media-Markt-Erpresser-ergaunern-mit-Hive-Ransomware-100-Millionen-US-Dollar-7345244.html\" target=\"_blank\" rel=\"noopener\">heise<\/a> berichteten). In deren <a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-321a\" target=\"_blank\" rel=\"noopener\">Mitteilung hei\u00dft<\/a> es:<\/p>\n<blockquote><p>Bis November 2022 haben Hive-Ransomware-Akteure nach Angaben des FBI \u00fcber 1.300 Unternehmen weltweit gesch\u00e4digt und rund 100 Millionen US-Dollar an L\u00f6segeldzahlungen erhalten.<\/p><\/blockquote>\n<p>Das ist das erste Mal, dass ich Zahlen \u00fcber die Gruppe gelesen habe. Die Hive-Ransomware verwendet das Ransomware-as-a-Service (RaaS)-Modell, bei dem Entwickler die Malware erstellen, pflegen und aktualisieren, w\u00e4hrend Partner (Affiliates) die Ransomware-Angriffe durchf\u00fchren. Von Juni 2021 bis mindestens November 2022 haben Bedrohungsakteure Hive-Ransomware eingesetzt, um ein breites Spektrum von Unternehmen und kritischen Infrastrukturen anzugreifen, darunter Regierungseinrichtungen, Kommunikationseinrichtungen, kritische Produktionsanlagen, Informationstechnologie und insbesondere das Gesundheits- und Sozialwesen.<\/p>\n<p>Auf der betreffenden CISA-Seite <a href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/alerts\/aa22-321a\" target=\"_blank\" rel=\"noopener\">#StopRansomware: Hive Ransomware<\/a> beschreiben FBI und CISA die technischen Details der Angriffe, die folgende Schwachstellen ausnutzen:<\/p>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-31207\" target=\"_blank\" rel=\"noopener\">CVE-2021-31207<\/a> &#8211; Microsoft Exchange Server Security Feature Bypass Vulnerability<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-34473\" target=\"_blank\" rel=\"noopener\">CVE-2021-34473<\/a> &#8211; Microsoft Exchange Server Remote Code Execution Vulnerability<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-34523\" target=\"_blank\" rel=\"noopener\">CVE-2021-34523<\/a> &#8211; Microsoft Exchange Server Privilege Escalation Vulnerability<\/li>\n<\/ul>\n<p>Bei Erfolg verankern die Cyberkriminellen Schadsoftware, ziehen Daten f\u00fcr Erpressungsversuche ab und verschl\u00fcsseln zum Schluss die betreffenden Server, um die Opfer zu erpressen. In Deutschland machte vor allem der erfolgreiche Angriff auf einen IT-Dienstleister von sich reden, weil dadurch die Elektronikm\u00e4rkte von Media Markt\/Saturn 2021 lahm gelegt wurden.<\/p>\n<h2>Der Angriff auf Media Markt in 2021<\/h2>\n<p>Im November 2021 kam es zu einem erfolgreichen Cyberangriff der Hive-Gang auf die IT-Systeme des Dienstleisters Ceconomy AG, in dessen Folge ca. 3.100 Server verschl\u00fcsselt wurden. Auf den Systemen lief das Warenwirtschaftssystem von Media Markt\/Saturn &#8211; ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/11\/08\/ransomware-angriff-auf-media-markt-saturn\/\">Ransomware-Angriff auf Media Markt\/Saturn<\/a> berichtet.<\/p>\n<p>Die Elektronikl\u00e4den der beiden genannten Gruppen konnten zwar \u00f6ffnen, waren aber zu einer Art Notbetrieb gezwungen. Kunden konnten zwar in den M\u00e4rkten einkaufen. Aber die Kassensysteme waren vom Warenwirtschaftssystem getrennt, d.h. alle Operationen, die Zugriff auf diese Daten ben\u00f6tigen, standen nicht, oder nur eingeschr\u00e4nkt zur Verf\u00fcgung. Retouren von Waren, Gutscheine, oder Abholung von Bestellungen waren kaum m\u00f6glich.<\/p>\n<p>Der Dienstleister wies dann die Mitarbeiter in den M\u00e4rkten an, keinesfalls selbst aktiv zu werden und weder Kunden noch Presse \u00fcber diesen Sachverhalt zu informieren. Ich hatte dann noch berichtet, dass die Hive-Ransomware-Gruppe wohl die unrealistische Forderung von 240 Millionen US-Dollar gestellt hatte. Im Anschluss reduzierte die Gang diese Summe, um in einen Bereich realistischer L\u00f6segeldsummen zu kommen, die vielleicht gezahlt w\u00fcrden. Ab da war dann aber Funkstille bez\u00fcglich weiterer Informationen. Wenn ich dann im FBI-Bericht lese, dass die Ransomware-Gang 100 Millionen US-Dollar von 1.300 Opfern erbeutet hat, wurde vom Media Markt\/Saturn-Dienstleister entweder nicht oder nur sehr wenig gezahlt.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/08\/ransomware-angriff-auf-media-markt-saturn\/\">Ransomware-Angriff auf Media Markt\/Saturn<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/09\/media-markt-saturn-ransomware-angriff-durch-hive-gang-240-mio-us-lsegeldforderung\/\">Media Markt\/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ L\u00f6segeldforderung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/06\/29\/decryptor-fr-hive-ransomware-v1-bis-v4-verfgbar\/\">Decryptor f\u00fcr Hive Ransomware v1 bis v4 verf\u00fcgbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/06\/17\/anatomie-eines-hive-ransomware-angriffs-auf-exchange-per-proxyshell\/\">Anatomie eines Hive Ransomware-Angriffs auf Exchange per ProxyShell<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der Elektronik-H\u00e4ndler Media Markt wurde 2021 Opfer einer Hive Ransomware-Attacke. Ich hatte seinerzeit etwas von einer L\u00f6segeldforderung von 240 Millionen US-Dollar vernommen. Nun hat das FBI die Sch\u00e4den, die die Hive-Gang seit Juni 2021 bei 1.300 Opfern verursacht hat, mit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/11\/19\/hive-ransomware-gang-erbeutete-100-millionen-von-1-300-opfern-u-a-media-markt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-275201","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275201"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275201\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275201"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}