Erpressung 2.0: Cyberkriminelle greifen MediaMarktSaturn und Medatixx an
Erpressung 2.0: Cyberkriminelle greifen MediaMarktSaturn und Medatixx an


Hackerangriffe auf Handelsketten und öffentliche Einrichtungen nehmen in einem bestürzenden Maße zu.

Nach MediaMarktSaturn erwischte es in den USA jetzt den Aktien- und Kryptoanlagen-Broker Robinhood, der mit seiner App insbesondere besonders bei jungen Leuten populär ist. Betroffen von einer Attacke war jüngst auch der IT-Dienstleister Medatixx. Jede vierte Arztpraxis in Deutschland hat Software von Medatixx.

Bei fast allen dieser Angriffe geht es – na, klar – um Geld. So sind die Robinhood-Hacker offenbar im Besitz der E-Mail-Adressen von rund fünf Millionen Kunden, bei zwei Millionen wurde auch der volle Name dieser Personen abgefischt. Mit dieser Kombination lassen sich gefährliche Phishing-Mails generieren, um bei den Kunden Passwörter und andere sensible Informationen zu erfahren.

Der US-Broker kann immerhin seine Dienste weiter in vollem Umfang anbieten, auch wenn die Hackerattacke das Image beschädigt und den eigenen Aktienkurs nach unten gedrückt hat.

Schlimmer hat es die Elektronikmärkte von MediaMarktSaturn getroffen, weil der Angriff jetzt ihr Tagesgeschäft massiv behindert. Der Konzern hatte sich in der Nacht zu Montag eine Erpresser-Software eingefangen, die in wenigen Minuten die Daten von über 3000 Servern verschlüsselte. Damit wurde das komplette Warenwirtschaftssystem des Unternehmens blockiert. In den Filialen von Media Markt und Saturn konnte nur noch mit Bargeld bezahlt werden, Kartenabbuchungen waren nicht mehr möglich. Auch Geschenkgutscheine konnten nicht eingelöst, Garantiefälle nicht mehr abgewickelt werden.

Nach einem unbestätigten Bericht des Onlinemagazin „Bleepingcomputer“ haben die Erpresser mit Hilfe der Schadsoftware Hive für die Freigabe der Daten zunächst 240 Millionen US-Dollar Lösegeld verlangt, dann aber ihre unrealistisch hohe Forderung reduziert. MediaMarktSaturn steht nun zum einen vor der Herausforderung, die Systeme aus hoffentlich noch brauchbaren Back-ups wiederherzustellen.

Unklar blieb am Dienstag, ob die Angreifer die Daten vor der Verschlüsselung kopiert haben. Hive ist für eine «Double Extortion» (doppelte Erpressung) bekannt, bei dem die Opfer nicht nur mit den verschlüsselten Daten erpresst werden, sondern auch damit gedroht wird, Kopien der Daten zu veröffentlichen. Sicherheitsexperte Rüdiger Trost von der Firma F-Secure befürchtet Schlimmes: «Man kann davon ausgehen, dass die Angreifer schon sehr lange im Netzwerk aktiv waren und Zeitpunkt und Zielsysteme mit Bedacht gewählt haben.»

Ransomware gilt seit Jahren als die gravierendste Bedrohung der Cybersicherheit, auch weil die Erpressung ein besonders einträgliches Geschäft ist. Abgerechnet wird oft in der Digitalwährung Bitcoin: Nach Angaben des US-Finanzministeriums belief sich der Gesamtwert der verdächtigen Bitcoin-Aktivitäten, die in den ersten sechs Monaten des Jahres 2021 im Zusammenhang mit Ransomware gemeldet wurden, auf 590 Millionen US-Dollar. Dieser Wert liegt höher als die 416 Millionen US-Dollar, die für das gesamte Jahr 2020 gemeldet wurden.

x