Hacker haben den Webmaschinen-Hersteller Picanol aus Belgien mit einem Cyberangriff lahmgelegt und fordern Lösegeld. Auf die Forderungen der Erpresser ging das Unternehmen zunächst nicht ein, wie die belgische Agentur Belga am Dienstag berichtete.
Am Morgen beriet der Maschinenbauer aus Ypern demnach mit Polizei-Spezialisten für Cyberkriminalität über das weitere Vorgehen.
Ihre 1.500 Arbeitnehmer an den belgischen Standorten habe die Firma in Kurzarbeit wegen höherer Gewalt geschickt, meldete Belga. An der Brüsseler Börse wurde der Handel mit Picanol-Anteilen am Dienstagmorgen ausgesetzt, wie die Börsenaufsicht FSMA meldete.
Picanol stellt Webmaschinen in Belgien, China und Rumänien her. Der Cyberangriff sei am Montagmorgen zunächst im chinesischen Firmenzweig bemerkt worden, schrieb die Zeitung „De Morgen“. Kurz darauf habe das IT-Team in Ypern festgestellt, dass der gesamte Betrieb mit weltweit 2.300 Beschäftigten betroffen sei.
14.01.2020, Belgien, Ypern: Fahnen wehen vor dem Firmengelände des Webmaschinen-Herstellers Picanol. Foto: Kurt Desplenter/BELGA/dpa
“Ich arbeite schon 20 Jahre für diesen Betrieb, aber einen Angriff von diesem Kaliber habe ich noch nie erlebt“, sagte Firmensprecher Frederic Dryhol dem Blatt.
„Als wir eine kurze Nachricht mit der Forderung nach Lösegeld auf unserem Server fanden, wussten wir, dass es um einen Angriff mit Ransomware ging“, zitierte die Zeitung den Sprecher. Einen bestimmten Betrag hätten die Erpresser zunächst nicht genannt. Ransomware ist eine Software, die Hacker heimlich auf Computern und in Netzwerken installieren, um bestimmte Datensätze zu verschlüsseln. Die Erpresser versprechen, den Schlüssel gegen ein Lösegeld freizugeben.
Das Zentrum für Cybersicherheit Belgien (ZCB) rät von Lösegeldzahlungen in solchen Fällen ab, „vor allem, weil es keine Lösung des Problems garantiert“. Mit einer gewissen Wahrscheinlichkeit schaffe die Entschlüsselung auch neue Probleme oder die Datensätze gingen im schlimmsten Fall vollständig verloren, warnten die ZCB-Spezialisten.
„Opfer, die ein Lösegeld zahlten, haben erklärt, dass nach dieser ersten Zahlung ein höherer Betrag verlangt wurde“, berichtet das Zentrum, das als zentrale Behörde für Cybersicherheit in Belgien fungiert. In manchen Fällen seien die Opfer nach einiger Zeit auch mit der gleichen Ransomware angegriffen worden. (dpa)
Hackerangriff kann man das wohl kaum nennen, wenn ein unbedachter Mitarbeiter auf einen Anhang klickt dessen Absender er nicht kennt. Das ist eindeutig der häufigste und üblichste Weg auf dem ein Ransomware ein Netzwerk befällt. Ich bezweifle sehr, das sich jemand Zugang verschafft und die Ransomware ‚installiert‘ hat.
Im Prinzip handelt es sich also ‚lediglich‘ um einen Virenbefall.
Die Mär des bösen Hackers der die Firma erpresst ist hier ein bisschen hoch gegriffen.
Ein gutes Backup ist hoffentlich vorhanden und ein paar Profis bringen das System zügig wieder auf die Beine.
Bitte achtet darauf was ihr öffnet, wenn ihr Zweifel habt fragt lieber einmal zuviel euren IT Menschen um Rat.
Das erspart uns lange Nächte :)
@CN
Leider ist in diesem Post nicht von der Hand zu weisen, dass Lesen hilft.
Die Nachricht sprach sehr wohl von einem zu zahlenden Betrag, der lediglich nicht chiffriert wurde.
Es gibt sehr wohl auch Bluffs dieser Art. Die erkennt man an der einfachen Tatsache, dass schlicht und ergreifend nichts passiert. Das wiederum war für dieses Unternehmen nicht der Fall.
Backup-Lösungen sind in der Tat ein Muss. Jedoch: alle kosten Geld. Je besser (reverse recursive) um so mehr. Wenn diese jedoch permanent mitlaufen sollen, kostet es noch etwas mehr und verlangsamt das Netzwerk. Auch damit ist der Krieg noch nicht gewonnen. Bei einem Befall dieser Art testen Sie zu erst einmal mit einigen neuen Maschinen, ob der Backup funktioniert. Dann ziehen sie die Nummer auf 2300 Maschinen durch. „Erfrischend“ ist die Feststellung wieviele „unbedachte“ Mitarbeiter höchst wichtige Sachen auf ihrem Harddisk abgespeichert haben. Dieser wiederum war Bestandteil der Backup-Lösung oder auch nicht. Man beachte Unternehmen mit intensiver Reisetätigkeit. Gehen Sie also beruhigt davon aus, dass ein solche Nummer 5 Arbeitstage kostet (macht 3% des Jahresumsatzes) plus einen Prozentsatz der Kunden.
Den „unbedachten“ Mitarbeiter können sie auch gerne standrechtlich erschiessen. An dem vorher Gesagten ändert das aber nichts.
Sagt jemand der jede Mail checkt und von dem Mist ungefähr einen halbes Dutzend pro Woche kriegt. Noch nie etwas schief gegangen (bis heute). Jedoch gestärkt von der Erfahrung, dass im letzten Jahr mein liebster Internetprovider beschlossen hatte meine Verbindungen lahmzulegen (2mal), ca. 40 Gesprächen (nach entsprechender Warteschleife) mit allen Helpdesks dieser Welt (die wenigsten waren zuständig) und der Erkenntnis dass die Wiederherstellung per (Luxusversion)-Backup schon etwas aufwändiger ist, habe ich eine ungefähre Idee, was passiert wenn es ein richtiges Problem gibt. Ich rede nur von einem 10-Mann-Betrieb.
…
Den „unbedachten“ Mitarbeiter können sie auch gerne standrechtlich erschiessen. An dem vorher Gesagten ändert das aber nichts.
…
Warum durfte der überhaupt einen gefährlichen Mailanhnag öffnen? Lässt sich doch in der heutigen Zeit problemlos blockieren im Unternehmensnetzwerk.
Moderne Viren / Trojaner analysieren eine Weile ihren Mailverkehr und reagieren dann darauf. Es kann zum Beispiel sein, dass sie eine Antwortmail auf eine von ihnen gesendete Mail erhalten. Und zwar von demjenigen (Absender gefälscht) dem sie die Mail geschrieben haben. Zum Beispiel. Hallo Franzjupp, hier ist die von dir gewünschte Adressenliste für die Einladungen. Anhang Worddokument. Wenn sie dann das Worddokument öffnen wollen erscheint eine Meldung zum aktivieren des Makros. Nach dem klick ist man dann ohne es zu wissen infiziert. Durch die erschlichenen Adminrechte auf ihrem PC wird sich evtl. erst nach Tagen oder Wochen ein Verschlüsselungsprogramm aktivieren und ihre Festplatte verschlüsseln. Das Lösegeld soll dann anonym mit Bitcoins bezahlt werden….
Halbwissen olé… Um beim Beispiel Word zu bleiben: docx deaktiviert Makros. Bleibt nur das alte doc und das neuere docm. Die kann man beide blockieren.
@Der, Lesen empfehle ich denn auch Ihnen
Der Artikel legt nahe das ein Hacker gezielt die Firma aufs Korn genommen hat, dies ist sehr sehr unwahrscheinlich. Sicher gibt es hinter dem Bitcoin Account und dem zu zahlenden Betrag einen Erpresser, der ist aber kein Hacker.
Der kann vielleicht ein bisschen Coden (womöglich nicht einmal das) aber eben nicht hacken, braucht er auch gar nicht denn das übernimmt der unbedarfte Mitarbeiter.
Wer ähnliches vollbringen will findet alles was er dazu braucht in wenigen Minuten im Internet.
Virenscanner und Antispam Mechanismen funktionieren heute sehr gut, sind aber auch nicht unfehlbar. Immer wieder schaffen es unseriöse E-mails bis zum normalen Benutzer.
Diese Art des Angriffs ist eben gar kein Angriff sondern ein Massmailing mit Zufallstreffer.