• Achtung, kleine Regeländerung für User-News: Eine User-News muss Bezug zu einem IT-Thema (etwa Hardware, Software, Internet) haben. Diskussionen über Ereignisse ohne IT-Bezug sind im Unterforum Wirtschaft, Politik und Wissenschaft möglich.
  • Hallo Gast, du kaufst gerne günstig ein und erfährst oft vor deinen Freunden von interessanten Angeboten? Dann kannst du dein Talent als Schnäppchenjäger jetzt zu Geld machen und anderen PCGH-Lesern beim Sparen helfen! Schau einfach mal rein - beim Test der Community Deals!

Ransomware-Angriff auf Hardwarehersteller Gigabyte - Update: 7GB Daten von RansomEXX veröffentlicht

Painkiller

Moderator
Teammitglied
Moin in die Runde :kaffee:,

wie Heise Security meldet, wurde der Hardware Hersteller Gigabyte wie es scheint Opfer eines Ransomeware Angriffs.

Es wurden laut vorliegenden Informationen nicht nur Daten verschlüsselt, sondern offenbar auch entwendet. Erste Berichte sprechen hier von ca. 112 GB an Daten. Darin enthalten sind laut ersten Angaben auch vertrauliche Daten zu Partnern und Zuliefernen wie Intel, AMD und American Megatrends.

Den Angriff schreibt man im Moment einen Gruppe mit dem Namen RansomEXX zu. Diese hat bereits in der Vergangenheit mit Angriffen auf auf Italiens Lazio Region, CNT, TxDOT, Konica Minolta, IPG Photonics und Tyler Technologies auf sich aufmerktsam gemacht.

Als Beweis haben Sie folgende E-Mail an Gigabyte gesendet:

Gigabyte_hack.png

Quelle: https://www.bleepingcomputer.com/ne...e-giant-gigabyte-hit-by-ransomexx-ransomware/

Der Angriff erfolgte in der Nacht von Dienstag auf Mittwoch und zwang das Unternehmen, seine Systeme in Taiwan abzuschalten.

Kunden haben auch von Problemen beim Zugriff auf Support-Dokumente oder beim Erhalt aktueller Informationen über eigereichte RMAs berichtet, was wahrscheinlich auf den Ransomware-Angriff zurückzuführen ist.

Sollte Gigabyte nicht das geforderte Geld bezahlen, so will man die gestohlenen Daten veröffentlichen. Die Erpresser haben explizit gefordert, das sich ausschließlich ein Vertreter des Unternehmens bei ihnen melden soll. Zuwiderhandlung würde das geforderte Lösegeld nur erhöhen. Gigabyte hat die Strafverfolgungsbehörden eingeschaltet.

*Update I - 18.08. *

Wie WinFuture mit Verweis auf das Online-Magazin, BetaNews, meldet hat sich Gigabyte nicht auf die Erpressungsversuche der Hackergruppe RansomEXX eingelassen. Das Resultat ist, dass die Unbekannten vertrauliche Interna des Konzerns und dessen Partnern AMD und Intel veröffentlicht haben.

In einem Hacker-Forum wurde ein entsprechendes Paket an vertraulichen Daten gefunden, welche vermutlich direkt von dem Gigabyte-Hack stammen. Die Rede ist hier von rund 7 GB an Daten, welche Gigabyte-internen Unternehmensinformationen sowie geschützte Daten der Chip-Hersteller Intel und AMD enthalten sollen. Unter anderem wird expliziet der Quellcode für den Intel Manageability Commander genannt.

Benutzerinformationen wie Kreditkartendaten oder Kontoinformationen scheinen nicht enthalten zu sein.

Falls Gigabyte das Lösegeld nicht bezahlt werden noch mehr Daten veröffentlicht.

Gruß
Pain

Quellen:
 
Zuletzt bearbeitet:

Incredible Alk

Moderator
Teammitglied
Wenn sich Profis nicht davor schützen können wie dann Privatanwender?
Privatanwender können sich (wenn sie sich damit beschäftigen) viel leichter schützen als Profis, denn erstens sind sie nicht gezwungen öffentlich erreichbar zu sein und zweitens sind sie kein derart lukratives Ziel dass wirklich üble Angriffe lohnend wären (klar, wer die Rechnung.exe in der Mail aufmacht ist selber schuld).

Als Privatperson kannste (bzw. sollte man!) dir immer all deine Daten als Offlinebackup sichern und Daten die nicht für die Öffentlichkeit sind verschlüsseln. Wenn dir dann so ein ransom-Typ kommt kannste ihm viel Spaß mit seinen geklauten verschlüsselten Daten wünschen und bei dir dein nicht betroffenes (da offline) Backup einspielen. :ka:

Bin gespannt wie Gigabyte auf die Erpresser reagiert - meine Vermutung ist: Gar nicht.
 
TE
Painkiller

Painkiller

Moderator
Teammitglied
Wenn sich Profis nicht davor schützen können wie dann Privatanwender?
Wobei Privatanwender wahrscheinlich weniger interessant für die Hacker sind.
Eine sehr gute Frage! :daumen:
Es gibt Mittel und Wege sich zu schützen. Wie immer bei IT gilt allerdings das 100% Sicherheit nicht möglich sind. Es sein denn du hast einen Offline-PC. ;)

Was das Thema Profis angeht:
Je größer das Unternehmen umso höher das Risiko das man sich was einfängt. Der Faktor Mensch ist oftmals der entscheidene Punkt. Viele Unternehmen schulen ihre Mitarbeiter nicht gut genug was das Thema Cybersecurity angeht.

Ransomeware findet meistens seinen Weg durch infizierte E-Mail Anhänge, also MS Office, Libre/Open Office Dokumente, Webbrowser oder Cloud-Dienste seinen Weg auf den Rechner. Also Vorsicht von E-Mails deren Absender unbekannt ist. Sehr gerne wird das auch mit gefakten Online-Shopping Mails versucht, die dann einen Link zu einer infizierten Website enthalten. Kurz gesagt: Augen auf beim Mailpostfach!

Bei mir im Unternehmen werden Mails mit MS Office/Libre/OpenOffice etc. automatisch abgewiesen. Nur PDF-Anhänge sind gestattet. Für alle anderen Daten haben wir eine NextCloud welche bei uns selbst gehostet ist.

Dann ist es natürlich wichtig eine regelmäßige Datensicherung von seinem Produktivsystem zu machen. Denn: Kein Backup, kein Mitleid. ;) Das Backupmedium sollte allerdings nicht dauerhaft mit dem Rechner verbunden sein.

Ebenfalls sollte dein Browser und dein OS immer auf dem aktuellen Stand sein. Das gleiche gilt für die AV-Software.
Für Browser gibt es zudem gute Addons wie uBlock Origin oder NoScript welche nochmals zusätzlich für Sicherheit sorgen können. Ansonsten gilt das übliche: Wachsam sein beim Surfen, und Programme nur aus vertrauenswürdigen Quellen installieren. Bei Bedenken die Files auf Virustotal hochladen.

Ein gute Website zu dem Thema findest du hier: *Klick*
Die Seite kennen die wenigsten. Sie ist eine Initiative der National High Tech Crime Unit der niederländischen Polizei, Europols europäischem Cybercrime Center, Kaspersky und McAfee. Hier findest du auch alle bekannten Entschlüsselungswerkzeuge, und die Möglichkeit verschlüsselte Daten hochzuladen. Die Website prüft dann, ob ein Entschlüsslungswerkzeug verfügbar ist.
 

Incredible Alk

Moderator
Teammitglied
Ok, das ist die ausführlichere Version meiner Gedanken... :daumen: :haha:

Das Hauptproblem ist halt wenn du als Firma ein lohnendes Ziel bist - dann lohnt es sich auch echte Hackingangriffe abzufeuern die Sicherheitslücken abseits "Mitarbeiter öffnet Mailanhang" ausnutzen. Privatleute sind eher Ziel einfachster Massenangriffe (Erfolg durch Wahrscheinlichkeit dass es genug dumme Leute gibt): Wenn du ne Mail mit nem Virus an 100.000 Leute versendest sind garantiert welche dabei die ihn ausführen.
 

RyzA

PCGH-Community-Veteran(in)
Die Schritte die ihr genannt habt kenne ich - das war eine allgemeine Frage. :D
Und natürlich sicher ich meine Daten auch extern und offline.
Ich hatte mir auch die Tage ein Video angeguckt wie effektiv der Ransomware-Schutz vom Windows Defender ist.
Lokale Dateien werden wohl teilweise vor Verschlüsselungen geschützt andere gar nicht.
Da drauf kann man sich nicht verlassen.
Also weiterhin vorsichtig surfen und Daten (extern) sichern.
 
Zuletzt bearbeitet:
TE
Painkiller

Painkiller

Moderator
Teammitglied
Ok, das ist die ausführlichere Version meiner Gedanken... :daumen: :haha:
:bier:

Bin gespannt wie Gigabyte auf die Erpresser reagiert - meine Vermutung ist: Gar nicht.
Mhm, ich bin mir da nicht sicher. Kommt natürlich drauf an, wie hoch die Vertraulichkeit bei den entwendeten Daten ist.

Das Hauptproblem ist halt wenn du als Firma ein lohnendes Ziel bist - dann lohnt es sich auch echte Hackingangriffe abzufeuern die Sicherheitslücken abseits "Mitarbeiter öffnet Mailanhang" ausnutzen.
Ja das stimmt. Je nach Größe des Unternehmens und der Anzahl der IT-Mitarbeiter ist es nicht so leicht da den Überblick zu behalten. Klammert man den Faktor Mensch mal aus, gibt es seitens Software-Herstellern wie eben Microsoft (siehe Exchange Lücken) oftmals immer wieder Fuckups die es Angreifern besonders leicht machen. Als IT-Mensch kannst du nichts dagegen tun, wenn eine Lücke bekannt wird, noch bevor der Patch veröffentlicht wurde.

Aber eines ist klar. Mit Brain.exe kann man sich heute auch als Privatuser nicht mehr ausreichend schützen. Die Bedrohungslage ist heute eine ganz andere als noch vor 10 oder 15 Jahren.

Wohin die Tendenz geht, sieht man sehr schön hier:

Zusätzlich pack ich euch noch eine PDF von Bitkom in den Anhang. Die Zahlen sind erschreckend.

Wenn du ne Mail mit nem Virus an 100.000 Leute versendest sind garantiert welche dabei die ihn ausführen.
Funktioniert bei Spam und Phishing Mails ja auch, da altbewährt.
 

Anhänge

  • bitkom-slides-wirtschaftsschutz-cybercrime-05-08-2021.pdf
    777,3 KB · Aufrufe: 2

ΔΣΛ

PCGH-Community-Veteran(in)
Über welche Summen reden wir hier überhaupt?
Muss ja nicht unbedingt dieser Fall sein, keine Ahnung ob das in dem Fall bekannt ist, mir geht es eher darum zu erfahren was die üblichen Summen bei solch Firmen in dieser Größenordnung sind.
Das interessiert mich, weil ich wissen möchte ob diese Firmen dies einkalkulieren wenn die Summen relativ niedrig sind, ob sie erst deren Sicherheit erhöhen wenn die Summen zu hoch sind.
 

Cleriker

PCGH-Community-Veteran(in)
Naja, die geforderten Summen werden oft nicht veröffentlicht um die bösen nicht noch weiter auf den Geschmack zu bringen. Also Nachahmer reduzieren.

@Painkiller
Du schreibst über Sicherheit und dass man aufpassen muss und hängst dann eine Datei an deinen post, welche die Leute einfach öffnen sollen? :ugly:
Wenn die User deine Worte ernst nehmen, klicken sie bestimmt nichts an.
 
TE
Painkiller

Painkiller

Moderator
Teammitglied
Ich hatte mir auch die Tage ein Video angeguckt wie effektiv der Ransomware-Schutz vom Windows Defender ist.
Lokale Dateien werden wohl teilweise vor Verschlüsselungen geschützt andere gar nicht.
Da drauf kann man sich nicht verlassen.
Berufliche & persönliche Meinung:
Der Windows Defender ist ein ordentlicher Basisschutz für ein OS mit einer Menge Potential und Luft nach oben. Daher kommt er bei uns im Unternehmen in Kombination mit einem anderen AV-Produkt zum Einsatz. Das ist das gute am Windows Defender. Die Kooexistenz mit anderen AV-Produkten klappt einwandfrei! :daumen:

Über welche Summen reden wir hier überhaupt?
Hier gibt es seitens Gigabyte noch keine Infos.

Muss ja nicht unbedingt dieser Fall sein, keine Ahnung ob das in dem Fall bekannt ist, mir geht es eher darum zu erfahren was die üblichen Summen bei solch Firmen in dieser Größenordnung sind.
Meinst du rein die geforderten Summen oder die Summe des Gesamtschadens? Also inkl. Ausfallzeit, Wiederherstellung, Personalkosten?

Je nach Unternehmen kann das stark schwanken. Sophos hat dazu mal eine Studie gemacht:

@Painkiller
Du schreibst über Sicherheit und dass man aufpassen muss und hängst dann eine Datei an deinen post, welche die Leute einfach öffnen sollen?
Guter Mann! Test bestanden! :daumen:
 

RyzA

PCGH-Community-Veteran(in)

BrollyLSSJ

Komplett-PC-Aufrüster(in)
Bei mir im Unternehmen werden Mails mit MS Office/Libre/OpenOffice etc. automatisch abgewiesen. Nur PDF-Anhänge sind gestattet.
Wobei auch PDFs schon als Virenschleuder missbraucht worden sind. Der gute Emotet wurde auch schon über PDFs verteilt. Also auch da gilt: Augen auf beim Anhang öffnen. Besser ist es Makros generell zu verbieten, sofern es möglich ist. Oder eben den JavaScript im Adobe, damit Adobe kein schädliches Word Dokument anlegen kann.

Quellen: heise und GData
 
Zuletzt bearbeitet:

Cleriker

PCGH-Community-Veteran(in)
Standardmäßig sind Makros bei uns auch deaktiviert, aber och arbeite oft mit Exceltabellen die Daten aus unserem SAP ziehen. Dafür muss ich sie dann wieder aktivieren.
 

RyzA

PCGH-Community-Veteran(in)
Hätten die Hacker von Gigabyte eigentlich auch auf denen ihre Webseiten Viren einschleusen können?
So das Treiber und Firmware infiziert sind?
Und dann an nichtsahnende Kunde/User verteilt würde?
Also ob das möglich wäre? Rein hypothetisch.
 
Zuletzt bearbeitet:
TE
Painkiller

Painkiller

Moderator
Teammitglied
Also ob das möglich wäre? Rein hypothetisch.
Hypothetisch ja. Das ist Asus ja mal passiert. Zwar nicht über die Website, aber über ihr Auto-Update Tool "ASUS Live Update Utility". War eine ziemlich hässliche Sache damals. *Klick*

Je nachdem wieviel Kontrolle die Hacker über die Server und Webserver haben, umso schlimmer ist die Bedrohungslage. Haben sie zum Beispiel die Kontrolle über die Webserver dann brauchen sie gar nicht die Treiber oder Firmware infizieren. Viel einfacher ist es, die Website selbst bzw. Java zu kompromittieren. Den entsprechenden Serverzugriff vorausgesetzt, läuft das ganze dann meistens so ab:

Drive_By.png


Personen welche dann diese Website ansurfen, fangen sich eine Drive-By Schadsoftware ein. Und dann wird die Sache ziemlich schnell auch ziemlich hässlich. Denn der Windows Defender kann dich vor sowas nicht zu 100% schützen. Hier müssen Browser-Addons wie NoScript ran. Je verbreiterter die Sicherheitssoftware ist, umso mehr rückt sie ins Ziel von Angreifern.

Der Windows Defender, welcher ja wirklich gut ist, ist bei Windows 10 von Haus aus mit dabei. Daher würde es mich nicht wundern, wenn Angreifer ihren Schadcode speziell anpassen um ihn zu umgehen. Unteranderem aus diesem Grund läuft bei mir im Unternehmen der Windows Defender in friedlicher Koexistens mit GData Endpoint Protection.


*News-Update I*
Wie WinFuture mit Verweis auf das Online-Magazin, BetaNews, meldet hat sich Gigabyte nicht auf die Erpressungsversuche der Hackergruppe RansomEXX eingelassen. Das Resultat ist, dass die Unbekannten vertrauliche Interna des Konzerns und dessen Partnern AMD und Intel veröffentlicht haben.

In einem Hacker-Forum wurde ein entsprechendes Paket an vertraulichen Daten gefunden, welche vermutlich direkt von dem Gigabyte-Hack stammen. Die Rede ist hier von rund 7 GB an Daten, welche Gigabyte-internen Unternehmensinformationen sowie geschützte Daten der Chip-Hersteller Intel und AMD enthalten sollen. Unter anderem wird expliziet der Quellcode für den Manageability Commander genannt.

Benutzerinformationen wie Kreditkartendaten oder Kontoinformationen scheinen nicht enthalten zu sein.

Falls Gigabyte das Lösegeld nicht bezahlt werden noch mehr Daten veröffentlicht.
 

RyzA

PCGH-Community-Veteran(in)
Dann kann man nur hoffen das da nicht allzu sensible Daten bei sind.
Aber wenn Gigabyte kein Lösegeld zahlt gehe ich mal nicht davon aus.
 
TE
Painkiller

Painkiller

Moderator
Teammitglied
Aber wenn Gigabyte kein Lösegeld zahlt gehe ich mal nicht davon aus.
Bei Ransomwarebefall ist/sollte eigentlich die Kernstrategie immer die gleiche sein:

- Bei Befall die entsprechenden Server vom Netzwerk und Internet trennen
- Strafverfolgungsbehörden informieren
- Informieren der Mitarbeiter
- Virenscan von einem externen Inselsystem (z.B. Notebook) aus starten
- Prüfen ob Entschlüsselungstools schon bereit stehen
- Backup-Server bzw. einspielen von Backups bereit machen
- Zahlung an Täter ablehnen

Von daher kann man von der Handlungsweise Gigabyte's nicht wirklich Rückschlüsse auf die Sensibilität der Daten ziehen. Es gibt natürlich durchaus Fälle wo Unternehmen bezahlt haben. Gerade wenn man sich im KRITIS-Sektor bewegt oder Menschenleben davon abhängen, sollte man sich das genau überlegen. Geld darf niemals über Menschenleben stehen.
 

RyzA

PCGH-Community-Veteran(in)
Die Schritte sind mir bekannt. Eine Lösegeldzahlung ist auch keine Garantie um wieder an die Daten zu kommen oder Leaks zu verhindern.
Aber das sie gar nicht darauf eingehen zeigt mir das sie auch keine Angst haben.
Ich glaube nämlich kaum, dass die Strafermittlungsbehörden die Täter schnappen, bzw diese nur eine Sicherung von den geklauten Daten haben.
 
Zuletzt bearbeitet:
TE
Painkiller

Painkiller

Moderator
Teammitglied
Ich glaube nämlich kaum, dass die Strafermittlungsbehörden die Täter schnappen, bzw diese nur eine Sicherung von den geklauten Daten haben.
Es ist schwierig solchen Leuten auf die Schliche zu kommen. Vorallem wenn sie gut darin sind, ihre Spuren zu verwischen. Möglichkeiten gibt es genug um unter dem Radar zu bleiben. Vom Garlic Routing Protokoll, Proxy-Websites, Proxy-Server-Dienste, Öffentliches WLAN, VPN, ZKS bis hin zu Angriffen über Server die in dem Land des Opfers stehen etc... Diese Möglichkeiten in Verbindung mit einer Linux-Distri wie Kali, BlackBox oder BlackArch machen es den Strafermittlungsbehörden nicht gerade einfach.
 
Zuletzt bearbeitet:
Oben Unten