Hadmut Danisch

Ansichten eines Informatikers

Mediamarkt, Saturn, Sparkasse, Volksbank

Hadmut
9.11.2021 12:26

Ist ja alles gar nicht so einfach mit der IT.

Mmmmh.

Mediamarkt und Saturn

Deskmodder behauptet, Mediamarkt und Saturn (gehören ja zusammen) seien von finster-böser Teufelssoftware befallen. Keine Ahnung, ob das stimmt, aber bei Heise steht dazu auch was.

Heise:

Die Elektronikmärkte der Ceconomy AG sind Opfer eines Ransomware-Angriffs geworden. “In der Nacht von Sonntag auf Montag führte eine Gruppe eine Cyber-Attacke durch”, bestätigte eine Sprecherin von MediaMarktSaturn gegenüber heise online. “Betroffen sind alle Landesgesellschaften von MediaMarktSaturn.” Weitere Angaben zu Einzelheiten macht das Unternehmen unter Verweis auf die laufenden Ermittlungen nicht.

Betroffen sind offenbar die Kassen- und Warenwirtschaftssysteme in den Filialen. Es seien “mehrere Windows-Server” mit einem Krypto-Virus infiziert worden, heißt in offenbar internen Dokumenten, die auf Twitter kursieren. Insgesamt seien 3100 Server betroffen. Weiter werden die Mitarbeiter angewiesen, die Kassen vom Netz zu nehmen und Computer nicht zu benutzen.

Deskmodder:

In der ersten Mail, die wohl an Marktleiter oder gar alle Mitarbeiter rausging, war die Situation noch unklar. Es heißt hier lediglich, dass „rund 3100 Server betroffen“ seien und dass die Geschäfte offline sein werden. Die Geschäfte seien in der Lage zu öffnen, aber es sei nicht möglich, Verkaufsdokumente zu erstellen oder Geschenkkarten einzulösen. Nur „Cash and Carry“ wäre möglich. Die Rechtslage in Deutschland sieht vor, dass ein Beleg erstellt werden muss, da es sich sonst um Steuerhinterziehung handelt. Das wird schwer machbar sein. […]

Laut den internen Dokumenten wird das Ausmaß dieses Angriffs erst am späteren Nachmittag klar. Die erste Aufforderung war, dass man fehlerhafte Kassen nicht neu installieren soll, da sonst Datenverlust die Folge seien. „Im Falle einer ausfallenden Kasse schließen Sie sie und verwenden Sie eine andere Kasse.“, heißt es in der E-Mail. Doch das war nur die Spitze des Eisbergs.

In weiteren Mails heißt es, dass ein Systemupdate und Virenprüfung die aktuelle Nutzung der WWS verhindert. Es sollen keine Anfragen an das Projektfulfillment Team gestellt werden. Erst mit dieser Mail wurde auch der Angriff auf Saturn bestätigt. Das Problem würde bundesweit bestehen und die Mitarbeiter sollen im keinen Fall Dateien umbenennen, da diese dann vermutlich dauerhaft gelöscht sind.

In einer weiteren Mail werden dann drastischere Schritte gefordert. Hier heißt es, dass „ab sofort die Netzwerkkabel an den Kassen“ getrennt werden und keine Aussagen der technischen Störung an Kunden weitergegeben werden sollen.

Windows mal wieder.

Versteht mich nicht falsch, Linux ist da nicht wasserdicht, da wird inzwischen auch enorm viel geschlampt. Aber da hat man weit mehr Kontrolle darüber, welche Dienste auf dem System laufen, was überhaupt installiert und aktiviert wird. Wenn man will (und kann), kann man ein Linux-System so zunageln, dass es über das Netzwerk nicht mehr angreifbar ist (von den seltenen Kernel-Bugs bei der Bearbeitung von IP-Adressen mal abgesehen, aber sowas war das hier nicht). Und dass Kassen ihre Daten nur lokal halten und deshalb nicht mehr angerührt werden dürfen, finde ich auch fragwürdig. Sowas würde ich anders bauen.

Ich frage mich da, warum man nicht irgendwann mal Konsequenzen aus diesen vielen Angriffen zieht.

Mich würde auch mal sehr interessieren, auf welchem Weg genau die da diese Systeme angegriffen haben.

Laut den Kollegen von WinFuture sind auch die Systeme des Warenwirtschaftssystem betroffen und wurden verschlüsselt. Das könnte ein ganz großes Problem für MediaMarktSaturn werden. Mal schauen, wie sich das ganze entwickelt. Wie sich die Ransomware in die Systeme schmuggeln konnte, sind aktuell nur Mutmaßungen. Das entsprechende Virenprogramm oder eine Firewall haben wohl nicht geholfen, so ein Problem zu verhindern.

Sparkassen und Volksbanken

Da liegen mir keinerlei Erkenntnisse vor, dass bei denen irgendwas nicht in Ordnung wäre.

Bis auf unzählige Mails, mit denen ich seit Monaten bombardiert werde, mein Spam-Ordner ist gerappelt voll davon. Unglaubliche Mengen (die halt auch so variieren, dass sie schlecht zu blocken sind) an Phishing-Mails laufen ein, hauptsächlich Sparkasse, dann noch einige für Volksbanken und ganz selten andere Banken.

Leicht als Spam/Phishing zu erkennen, wenn man sich auskennt (vor allem, weil ich kein Konto bei einer Sparkasse habe), die da mit allerlei Kapriolen versuchen, einem irgendeinen dringenden Bankvorfall vorzugaukeln, irgendwas soll man bestätigen oder klären, um einen dazu zu verlocken, sich auf irgendeiner Sparkassen-ähnlichen Seite auf irgendeinem gehackten Rechner einzuloggen und damit seine Credentials herauszugeben.

Soviel ist sicher: Entweder sind es die Russen oder nicht. Denn ich habe in diesen Mails auch schon Kommentare in kyrillischer Schrift gefunden. Russisch oder False Flag.

Das ist den Sparkassen und Volksbanken jetzt nicht unmittelbar anzulasten, denn die können ja nichts dagegen tun, dass Dritte schlechte Mails verschicken.

Mittelbar aber wohl schon. Denn einen anderen Zweck dieser Mails, als eben Phishing, sehe ich unmittelbar nicht, bin aber auch noch nicht auf diese Seiten drauf gegangen. Könnte natürlich sein, dass man da noch Malware dazubekommt. Aber zumindest nach den Mails, die ich mir bisher angeguckt habe, ist das eindeutig Phishing, und sonst habe ich da ohne allzutief reinzugucken nichts entdeckt.

Wenn aber jemand über Monate so hohen Aufwand treibt um Phishing durchzuziehen, und da steckt einiger Aufwand dahinter, weil die Mails zwar alle ähnlich aussehen mit ihrem roten Streifen, aber vom Text trotzdem variieren und ständig mit was Neuem daherkommen, das also nicht nur vaganbundiert, sondern „gepflegt“ wird, dann muss das auch einen Nutzen für den Täter haben.

Und das kann eigentlich nur bedeuten, dass die Webseiten der Sparkasse nicht gegen Phishing geschützt sind. Sonst würde man es ja nicht betreiben.

Irgendwie ist das alles ziemlicher Murks.

Und ich sehe nicht, dass wir als Land und Gesellschaft irgendwie mal versuchen, da herauszukommen. Aber Microsoft hat wieder einen Haufen Geld dafür kassiert.