Sie haben Fragen?

info@8com.de
+49 6321 48446-0

Ransomware-Angriff auf Software AG

14. Oktober 2020

Am 5. Oktober 2020 informierte die Software AG, eines der größten deutschen Tech-Unternehmen mit mehr als 5.000 Mitarbeitern und direkter Konkurrent von SAP, die Öffentlichkeit, dass sie zwei Tage zuvor Opfer eines Malware-Angriffs geworden sei. Dieser habe sich auf die interne Kommunikation und den Helpdesk ausgewirkt, die Dienste für die Kunden seien davon unberührt geblieben. Bislang gebe es keine Hinweise, dass Kundendaten in Mitleidenschaft gezogen seien. Doch bereits drei Tage später, am 8. Oktober 2020, musste das Unternehmen zugeben, dass tatsächlich Daten von Servern und Rechnern der Mitarbeiter heruntergeladen wurden. Außerdem sei die Malware noch immer nicht vollständig unter Kontrolle.

Weitere Informationen zur Art des Schädlings und auf welchem Weg der Angriff ablief, veröffentlichte das Unternehmen in seinen Pressemeldungen bislang nicht. Doch Sicherheitsforscher von MalwareHunterTeam haben offenbar die Erpressernachricht sowie den Chat zwischen den Angreifern und der Software AG auf der Tor-Zahlungsseite der berüchtigten Clop-Ransomware entdeckt. Stimmen die Informationen von MalwareHunterTeam, dürfte die Lösegeldforderung der Erpresser mit über 20 Millionen US-Dollar eine der größten Summen sein, die jemals bekannt wurden. Gegenüber dem Branchendienst BleepingComputer erklärte MalwareHunterTeam, Zugriff auf diese Informationen erhalten zu haben, nachdem sie die ausführbare Clop-Ransomware gefunden hätten, die beim Angriff auf die Software AG verwendet wurde.

Das Perfide bei Angriffen mit der Clop-Ransomware ist jedoch nicht nur die Tatsache, dass die Malware die Daten verschlüsselt. Sie gehört zu den Schädlingen, die vorher so viele Daten wie möglich herunterlädt, um den Kriminellen ein weiteres Druckmittel für ihre Erpressungsversuche zu liefern. So lief es wohl auch in diesem Fall, wie die Software AG zugeben musste. Auf einer Leak-Seite der Ransomware wurden mittlerweile auch einige Daten von den Servern des Unternehmens veröffentlicht, darunter Scans von Ausweisen und E-Mails von Mitarbeitern. Ein Screenshot zeigt einen Ordnerbaum, der Informationen darüber enthält, welche weiteren Daten kompromittiert sein könnten. Im von MalwareHunterTeam gefundenen Chat ist von ungefähr einem Terabyte an Daten die Rede, inklusive Dokumenten, Verträgen, Berichten, Zertifikaten und Kontaktlisten.

Die Software AG hüllt sich derweil in Schweigen und äußerte sich bis dato nicht dazu, ob es sich tatsächlich um einen Angriff mit der Clop-Ransomware handelte und ob die kolportierte Summe tatsächlich der Wahrheit entspricht, doch die Hinweise sprechen dafür. Auch darüber, wie die Malware ins System gelangen konnte, wurden bislang keine Informationen herausgegeben. Es bleibt abzuwarten, ob das Unternehmen bereit ist, das geforderte Lösegeld zu zahlen und ob weitere erbeutete Daten veröffentlich werden, sollte sie dies nicht tun. Interessant an diesem Fall ist jedenfalls, dass es überhaupt zu einem erfolgreichen Angriff kommen konnte, denn als Software-Unternehmen zählt die Software AG eigentlich zu den IT-Profis, die sich sowohl der Gefahren im Netz bewusst, als auch dementsprechend vorbereitet sein sollten. Positiv zu erwähnen ist die Tatsache, dass in der Pressemeldung ein Sicherheitsprotokoll angesprochen wird, das in Kraft getreten sei. So könnte weiterer Schaden durch rasche Reaktionen abgewendet worden sein.

Bild (c) Pete Linforth / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews