Anzeige
Anzeige
News

Erpressung 2.0: Warum Cyberkriminelle noch immer leichtes Spiel haben

Was haben Mediamarkt und Saturn, der Medizin-Dienstleister Medatixx sowie der US-Broker Robinhood gemeinsam? Sie wurden alle Opfer von Hackern, die Lösegeld erpressen wollen. Ein Ende der Welle ist nicht in Sicht – obwohl es auch Fahndungserfolge gibt.

4 Min.
Artikel merken
Anzeige
Anzeige

Kriminelle Hacker haben Unternehmen und öffentliche Einrichtungen im Visier. (Foto: Shutterstock)

Immer häufiger. Immer gieriger. Kriminelle Hacker haben Unternehmen und öffentliche Einrichtungen im Visier und drohen oft damit, auch die Daten von unbeteiligten Kunden zu veröffentlichen. Neben der Elektronikmarktkette Mediamarktsaturn erwischte es nun in den USA auch den Aktien- und Kryptoanlagen-Broker Robinhood, der mit seiner App insbesondere bei jungen Leuten populär ist. Auch der IT-Dienstleister Medatixx, der jede vierte Arztpraxis in Deutschland mit Software beliefert, meldete einen Angriff.

Anzeige
Anzeige

Wie bei den meisten Cyberattacken der vergangenen Wochen und Monate geht es ums Geld. Die Robinhood-Hacker sind nun nach Angaben des Unternehmens im Besitz der E-Mail-Adressen von rund fünf Millionen Kunden, bei zwei Millionen wurde auch der volle Namen erbeutet. Mit dieser Kombination lassen sich wiederum gefährliche Phishing-Mails generieren, um bei den Kunden Passwörter und andere sensible Informationen abzufischen.

Der US-Broker kann immerhin seine Dienste weiter in vollem Umfang anbieten, auch wenn die Hackerattacke das Image beschädigt und den eigenen Aktienkurs nach unten gedrückt hat.

Anzeige
Anzeige

Mediamarktsaturn stark betroffen

Härter hat es die Elektronikmärkte von Mediamarktsaturn getroffen, weil der Angriff das Tagesgeschäft massiv behindert. Der Branchenprimus hatte sich in der Nacht zum Montag eine Erpresser-Software eingefangen, die in wenigen Minuten die Daten von über 3.000 Servern verschlüsselte. Damit wurde das komplette Warenwirtschaftssystem der Gruppe lahmgelegt. In den Filialen von Mediamarkt und Saturn konnte nur noch mit Bargeld bezahlt werden, weil Kartenabbuchungen nicht mehr möglich waren. Geschenkgutscheine konnten nicht eingelöst, Garantiefälle nicht mehr abgewickelt werden.

Anzeige
Anzeige

Nach einem unbestätigten Bericht des Onlinemagazin Bleepingcomputer haben die Erpresser mithilfe der Schadsoftware Hive für die Freigabe der Daten zunächst 240 Millionen US-Dollar Lösegeld verlangt, dann aber ihre unrealistisch hohe Forderung reduziert. Mediamarktsaturn steht nun zum einen vor der Herausforderung, die Systeme aus hoffentlich noch brauchbaren Backups wiederherzustellen.

Unklar blieb am Dienstag aber, ob die Angreifer die Daten vor der Verschlüsselung auch noch kopiert haben, heißt es in dem Bericht. Hive ist für eine „Double Extortion“ (doppelte Erpressung) bekannt, bei der die Opfer nicht nur mit den verschlüsselten Daten erpresst werden, sondern auch damit gedroht wird, Kopien der Daten zu veröffentlichen. Sicherheitsexperte Rüdiger Trost von der Firma F-Secure befürchtet Schlimmes: „Man kann davon ausgehen, dass die Angreifer schon sehr lange im Netzwerk aktiv waren und Zeitpunkt und Zielsysteme mit Bedacht gewählt haben.“

Anzeige
Anzeige

Ransomware gilt seit Jahren als die gravierendste Bedrohung der Cybersicherheit, auch weil die Erpressung ein besonders einträgliches Geschäft ist. Abgerechnet wird oft in der Digitalwährung Bitcoin: Nach Angaben des US-Finanzministeriums belief sich der Gesamtwert der verdächtigen Bitcoin-Aktivitäten, die in den ersten sechs Monaten des Jahres 2021 im Zusammenhang mit Ransomware gemeldet wurden, auf 590 Millionen Dollar. Dieser Wert liegt höher als die 416 Millionen Dollar, die für das gesamte Jahr 2020 gemeldet wurden.

Aber trotz ständiger Hinweise der US-Behörden und des Bundesamtes für Sicherheit (BSI) auf die angespannte Sicherheitslage gelingt es den Kriminellen dennoch, ihre Schlagzahl zu erhöhen. Dafür gibt es mehrere Gründe. Zum einen haben viele Unternehmen und öffentliche Einrichtungen ihre IT-Systeme nicht im Griff. Sicherheitsupdates werden gar nicht oder verspätet eingespielt. Nach einem Cyber-Angriff auf das Berliner Kammergericht empfahlen Experten sogar, die marode IT-Infrastruktur komplett zu ersetzen.

Nicht nur große Unternehmen sind betroffen

„Die Angriffe richten sich zusehends auf große und somit lukrative Ziele“, sagt Experte Trost. Jenseits der großen Unternehmen und Schlagzeilen sehe es aber nicht besser aus. „Im Gegenteil: Der Mittelstand wird immer häufiger angegriffen. Die sind schlechter geschützt und wehren sich nicht so heftig. Und es gibt immer mehr Cyberkriminelle, die Ransomware-Attacken betreiben.“

Anzeige
Anzeige

Gleichzeitig müssen die Angreifer auch nicht mehr technische Experten sein, um Cyberattacken zu starten. Ransomware kann man inzwischen als Service im Netz buchen. Dabei teilen die Angreifer das erpresste Geld mit den Hackern, die die Schadsoftware entwickelt haben.

Die Kriminellen profitieren aber auch davon, dass Ransomware-Attacken nicht entschieden bekämpft werden. Viele Angriffe haben ihren Ursprung in Russland oder Osteuropa. Sicherheitsexperten zufolge kann man aber insbesondere in Russland keine klare Grenze zwischen kriminellen Hackergruppen und staatlich unterstützten Cyberoperationen ziehen. Sie unterstellen der russischen Regierung, sie toleriere oft kriminelle Aktivitäten, solange sie auf das Ausland abzielen. Russlands Präsident Wladimir Putin dementiert das.

Nun ist es allerdings Ermittlern aus Europa, den USA und anderen Teilen der Welt gelungen, mutmaßliche Mitglieder der Hackergruppe Revil aufzuspüren, die vor allen in Osteuropa verortet wird. Das US-Justizministerium teilte mit, in Polen sei ein Ukrainer gefasst worden, der im Verdacht stehe, unter anderem hinter der großen Cyberattacke auf den amerikanischen IT-Dienstleister Kaseya zu stecken. Über eine Schwachstelle bei Kaseya waren Anfang Juli Hunderte Unternehmen in den USA und anderen Ländern mit Erpressungssoftware angegriffen worden. Die Polizeibehörde Europol teilte in Den Haag mit, in Rumänien seien zwei Menschen festgenommen worden, die mit der gleichen Software Attacken begangen haben sollen.

Anzeige
Anzeige

Für Sicherheitsexperte Trost ist der Schlag gegen Revil eine Zäsur: „Cyberkriminelle müssen zukünftig aufpassen, nicht zu dreist zu agieren. Über einer bestimmten Schwelle muss man ansonsten mit den USA und ihren Verbündeten rechnen. Und wer will schon weltweit sein Leben lang von den USA gejagt werden?“ dpa

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare (1)

Community-Richtlinien

Thomas Wieland

Hallo,Allerseits.Bin zum allerersten Mal auf eurer Seite.Ihr seid ja richtig Spitze.Gleich euren Newsletter bestellt.Beste Grüße aus Stuttgart–Thomas

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige