Ransomware-Angriff auf Hardwarehersteller Gigabyte - Update: 7GB Daten von RansomEXX veröffentlicht

Painkiller

Painkiller

Moderator
Teammitglied
Moin in die Runde :kaffee:,

wie Heise Security meldet, wurde der Hardware Hersteller Gigabyte wie es scheint Opfer eines Ransomeware Angriffs.

Es wurden laut vorliegenden Informationen nicht nur Daten verschlüsselt, sondern offenbar auch entwendet. Erste Berichte sprechen hier von ca. 112 GB an Daten. Darin enthalten sind laut ersten Angaben auch vertrauliche Daten zu Partnern und Zuliefernen wie Intel, AMD und American Megatrends.

Den Angriff schreibt man im Moment einen Gruppe mit dem Namen RansomEXX zu. Diese hat bereits in der Vergangenheit mit Angriffen auf auf Italiens Lazio Region, CNT, TxDOT, Konica Minolta, IPG Photonics und Tyler Technologies auf sich aufmerktsam gemacht.

Als Beweis haben Sie folgende E-Mail an Gigabyte gesendet:

Gigabyte_hack.png

Quelle: https://www.bleepingcomputer.com/ne...e-giant-gigabyte-hit-by-ransomexx-ransomware/

Der Angriff erfolgte in der Nacht von Dienstag auf Mittwoch und zwang das Unternehmen, seine Systeme in Taiwan abzuschalten.

Kunden haben auch von Problemen beim Zugriff auf Support-Dokumente oder beim Erhalt aktueller Informationen über eigereichte RMAs berichtet, was wahrscheinlich auf den Ransomware-Angriff zurückzuführen ist.

Sollte Gigabyte nicht das geforderte Geld bezahlen, so will man die gestohlenen Daten veröffentlichen. Die Erpresser haben explizit gefordert, das sich ausschließlich ein Vertreter des Unternehmens bei ihnen melden soll. Zuwiderhandlung würde das geforderte Lösegeld nur erhöhen. Gigabyte hat die Strafverfolgungsbehörden eingeschaltet.

*Update I - 18.08. *

Wie WinFuture mit Verweis auf das Online-Magazin, BetaNews, meldet hat sich Gigabyte nicht auf die Erpressungsversuche der Hackergruppe RansomEXX eingelassen. Das Resultat ist, dass die Unbekannten vertrauliche Interna des Konzerns und dessen Partnern AMD und Intel veröffentlicht haben.

In einem Hacker-Forum wurde ein entsprechendes Paket an vertraulichen Daten gefunden, welche vermutlich direkt von dem Gigabyte-Hack stammen. Die Rede ist hier von rund 7 GB an Daten, welche Gigabyte-internen Unternehmensinformationen sowie geschützte Daten der Chip-Hersteller Intel und AMD enthalten sollen. Unter anderem wird expliziet der Quellcode für den Intel Manageability Commander genannt.

Benutzerinformationen wie Kreditkartendaten oder Kontoinformationen scheinen nicht enthalten zu sein.

Falls Gigabyte das Lösegeld nicht bezahlt werden noch mehr Daten veröffentlicht.

Gruß
Pain

Quellen:
www.heise.de

Hardware-Hersteller Gigabyte von Ransomware-Angriff betroffen

Die internen IT-Systeme von Gigabyte sind von Ransomware-Erpressern heimgesucht worden. Die Support-Seite ist noch immer nicht zu erreichen.
www.heise.de www.heise.de
www.bleepingcomputer.com

Computer hardware giant GIGABYTE hit by RansomEXX ransomware

Taiwanese motherboard maker Gigabyte has suffered a RansomEXX ransomware attack where threat actors threaten to release 112 GB of data if a ransom is not paid.
www.bleepingcomputer.com www.bleepingcomputer.com
 
Zuletzt bearbeitet:
RyzA schrieb:
Wenn sich Profis nicht davor schützen können wie dann Privatanwender?
Zum Vergrößern anklicken....
Privatanwender können sich (wenn sie sich damit beschäftigen) viel leichter schützen als Profis, denn erstens sind sie nicht gezwungen öffentlich erreichbar zu sein und zweitens sind sie kein derart lukratives Ziel dass wirklich üble Angriffe lohnend wären (klar, wer die Rechnung.exe in der Mail aufmacht ist selber schuld).

Als Privatperson kannste (bzw. sollte man!) dir immer all deine Daten als Offlinebackup sichern und Daten die nicht für die Öffentlichkeit sind verschlüsseln. Wenn dir dann so ein ransom-Typ kommt kannste ihm viel Spaß mit seinen geklauten verschlüsselten Daten wünschen und bei dir dein nicht betroffenes (da offline) Backup einspielen. :ka:

Bin gespannt wie Gigabyte auf die Erpresser reagiert - meine Vermutung ist: Gar nicht.
 
RyzA schrieb:
Wenn sich Profis nicht davor schützen können wie dann Privatanwender?
Wobei Privatanwender wahrscheinlich weniger interessant für die Hacker sind.
Zum Vergrößern anklicken....
Eine sehr gute Frage! :daumen:
Es gibt Mittel und Wege sich zu schützen. Wie immer bei IT gilt allerdings das 100% Sicherheit nicht möglich sind. Es sein denn du hast einen Offline-PC. ;)

Was das Thema Profis angeht:
Je größer das Unternehmen umso höher das Risiko das man sich was einfängt. Der Faktor Mensch ist oftmals der entscheidene Punkt. Viele Unternehmen schulen ihre Mitarbeiter nicht gut genug was das Thema Cybersecurity angeht.

Ransomeware findet meistens seinen Weg durch infizierte E-Mail Anhänge, also MS Office, Libre/Open Office Dokumente, Webbrowser oder Cloud-Dienste seinen Weg auf den Rechner. Also Vorsicht von E-Mails deren Absender unbekannt ist. Sehr gerne wird das auch mit gefakten Online-Shopping Mails versucht, die dann einen Link zu einer infizierten Website enthalten. Kurz gesagt: Augen auf beim Mailpostfach!

Bei mir im Unternehmen werden Mails mit MS Office/Libre/OpenOffice etc. automatisch abgewiesen. Nur PDF-Anhänge sind gestattet. Für alle anderen Daten haben wir eine NextCloud welche bei uns selbst gehostet ist.

Dann ist es natürlich wichtig eine regelmäßige Datensicherung von seinem Produktivsystem zu machen. Denn: Kein Backup, kein Mitleid. ;) Das Backupmedium sollte allerdings nicht dauerhaft mit dem Rechner verbunden sein.

Ebenfalls sollte dein Browser und dein OS immer auf dem aktuellen Stand sein. Das gleiche gilt für die AV-Software.
Für Browser gibt es zudem gute Addons wie uBlock Origin oder NoScript welche nochmals zusätzlich für Sicherheit sorgen können. Ansonsten gilt das übliche: Wachsam sein beim Surfen, und Programme nur aus vertrauenswürdigen Quellen installieren. Bei Bedenken die Files auf Virustotal hochladen.

Ein gute Website zu dem Thema findest du hier: *Klick*
Die Seite kennen die wenigsten. Sie ist eine Initiative der National High Tech Crime Unit der niederländischen Polizei, Europols europäischem Cybercrime Center, Kaspersky und McAfee. Hier findest du auch alle bekannten Entschlüsselungswerkzeuge, und die Möglichkeit verschlüsselte Daten hochzuladen. Die Website prüft dann, ob ein Entschlüsslungswerkzeug verfügbar ist.
 
Ok, das ist die ausführlichere Version meiner Gedanken... :daumen: :haha:

Das Hauptproblem ist halt wenn du als Firma ein lohnendes Ziel bist - dann lohnt es sich auch echte Hackingangriffe abzufeuern die Sicherheitslücken abseits "Mitarbeiter öffnet Mailanhang" ausnutzen. Privatleute sind eher Ziel einfachster Massenangriffe (Erfolg durch Wahrscheinlichkeit dass es genug dumme Leute gibt): Wenn du ne Mail mit nem Virus an 100.000 Leute versendest sind garantiert welche dabei die ihn ausführen.
 
Die Schritte die ihr genannt habt kenne ich - das war eine allgemeine Frage. :D
Und natürlich sicher ich meine Daten auch extern und offline.
Ich hatte mir auch die Tage ein Video angeguckt wie effektiv der Ransomware-Schutz vom Windows Defender ist.
Lokale Dateien werden wohl teilweise vor Verschlüsselungen geschützt andere gar nicht.
Da drauf kann man sich nicht verlassen.
Also weiterhin vorsichtig surfen und Daten (extern) sichern.
 
Zuletzt bearbeitet:
Incredible Alk schrieb:
Ok, das ist die ausführlichere Version meiner Gedanken... :daumen: :haha:
Zum Vergrößern anklicken....
:bier:

Incredible Alk schrieb:
Bin gespannt wie Gigabyte auf die Erpresser reagiert - meine Vermutung ist: Gar nicht.
Zum Vergrößern anklicken....
Mhm, ich bin mir da nicht sicher. Kommt natürlich drauf an, wie hoch die Vertraulichkeit bei den entwendeten Daten ist.

Incredible Alk schrieb:
Das Hauptproblem ist halt wenn du als Firma ein lohnendes Ziel bist - dann lohnt es sich auch echte Hackingangriffe abzufeuern die Sicherheitslücken abseits "Mitarbeiter öffnet Mailanhang" ausnutzen.
Zum Vergrößern anklicken....
Ja das stimmt. Je nach Größe des Unternehmens und der Anzahl der IT-Mitarbeiter ist es nicht so leicht da den Überblick zu behalten. Klammert man den Faktor Mensch mal aus, gibt es seitens Software-Herstellern wie eben Microsoft (siehe Exchange Lücken) oftmals immer wieder Fuckups die es Angreifern besonders leicht machen. Als IT-Mensch kannst du nichts dagegen tun, wenn eine Lücke bekannt wird, noch bevor der Patch veröffentlicht wurde.

Aber eines ist klar. Mit Brain.exe kann man sich heute auch als Privatuser nicht mehr ausreichend schützen. Die Bedrohungslage ist heute eine ganz andere als noch vor 10 oder 15 Jahren.

Wohin die Tendenz geht, sieht man sehr schön hier:
www.heise.de

220 Milliarden Euro Schaden durch Ransomware und andere Cyber-Angriffe

Deutsche Unternehmen beklagen zunehmende kostspielige Cyber-Angriffe. Dabei spielt Ransomware eine gewichtige Rolle.
www.heise.de www.heise.de

Zusätzlich pack ich euch noch eine PDF von Bitkom in den Anhang. Die Zahlen sind erschreckend.

Incredible Alk schrieb:
Wenn du ne Mail mit nem Virus an 100.000 Leute versendest sind garantiert welche dabei die ihn ausführen.
Zum Vergrößern anklicken....
Funktioniert bei Spam und Phishing Mails ja auch, da altbewährt.
 

Anhänge

  • bitkom-slides-wirtschaftsschutz-cybercrime-05-08-2021.pdf
    777,3 KB · Aufrufe: 5
Über welche Summen reden wir hier überhaupt?
Muss ja nicht unbedingt dieser Fall sein, keine Ahnung ob das in dem Fall bekannt ist, mir geht es eher darum zu erfahren was die üblichen Summen bei solch Firmen in dieser Größenordnung sind.
Das interessiert mich, weil ich wissen möchte ob diese Firmen dies einkalkulieren wenn die Summen relativ niedrig sind, ob sie erst deren Sicherheit erhöhen wenn die Summen zu hoch sind.
 
Naja, die geforderten Summen werden oft nicht veröffentlicht um die bösen nicht noch weiter auf den Geschmack zu bringen. Also Nachahmer reduzieren.

@Painkiller
Du schreibst über Sicherheit und dass man aufpassen muss und hängst dann eine Datei an deinen post, welche die Leute einfach öffnen sollen? :ugly:
Wenn die User deine Worte ernst nehmen, klicken sie bestimmt nichts an.
 
RyzA schrieb:
Ich hatte mir auch die Tage ein Video angeguckt wie effektiv der Ransomware-Schutz vom Windows Defender ist.
Lokale Dateien werden wohl teilweise vor Verschlüsselungen geschützt andere gar nicht.
Da drauf kann man sich nicht verlassen.
Zum Vergrößern anklicken....
Berufliche & persönliche Meinung:
Der Windows Defender ist ein ordentlicher Basisschutz für ein OS mit einer Menge Potential und Luft nach oben. Daher kommt er bei uns im Unternehmen in Kombination mit einem anderen AV-Produkt zum Einsatz. Das ist das gute am Windows Defender. Die Kooexistenz mit anderen AV-Produkten klappt einwandfrei! :daumen:

ΔΣΛ schrieb:
Über welche Summen reden wir hier überhaupt?
Zum Vergrößern anklicken....
Hier gibt es seitens Gigabyte noch keine Infos.

ΔΣΛ schrieb:
Muss ja nicht unbedingt dieser Fall sein, keine Ahnung ob das in dem Fall bekannt ist, mir geht es eher darum zu erfahren was die üblichen Summen bei solch Firmen in dieser Größenordnung sind.
Zum Vergrößern anklicken....
Meinst du rein die geforderten Summen oder die Summe des Gesamtschadens? Also inkl. Ausfallzeit, Wiederherstellung, Personalkosten?

Je nach Unternehmen kann das stark schwanken. Sophos hat dazu mal eine Studie gemacht:

Ransomware 2021: Horrende Kosten, zu komplex und kaum Datenrückgabe | IT-Administrator Magazin

www.it-administrator.de www.it-administrator.de

Cleriker schrieb:
@Painkiller
Du schreibst über Sicherheit und dass man aufpassen muss und hängst dann eine Datei an deinen post, welche die Leute einfach öffnen sollen?
Zum Vergrößern anklicken....
Guter Mann! Test bestanden! :daumen:
 
Painkiller schrieb:
Bei mir im Unternehmen werden Mails mit MS Office/Libre/OpenOffice etc. automatisch abgewiesen. Nur PDF-Anhänge sind gestattet.
Zum Vergrößern anklicken....
Wobei auch PDFs schon als Virenschleuder missbraucht worden sind. Der gute Emotet wurde auch schon über PDFs verteilt. Also auch da gilt: Augen auf beim Anhang öffnen. Besser ist es Makros generell zu verbieten, sofern es möglich ist. Oder eben den JavaScript im Adobe, damit Adobe kein schädliches Word Dokument anlegen kann.

Quellen: heise und GData
 
Zuletzt bearbeitet:
Standardmäßig sind Makros bei uns auch deaktiviert, aber och arbeite oft mit Exceltabellen die Daten aus unserem SAP ziehen. Dafür muss ich sie dann wieder aktivieren.
 
Hätten die Hacker von Gigabyte eigentlich auch auf denen ihre Webseiten Viren einschleusen können?
So das Treiber und Firmware infiziert sind?
Und dann an nichtsahnende Kunde/User verteilt würde?
Also ob das möglich wäre? Rein hypothetisch.
 
Zuletzt bearbeitet:
RyzA schrieb:
Also ob das möglich wäre? Rein hypothetisch.
Zum Vergrößern anklicken....
Hypothetisch ja. Das ist Asus ja mal passiert. Zwar nicht über die Website, aber über ihr Auto-Update Tool "ASUS Live Update Utility". War eine ziemlich hässliche Sache damals. *Klick*

Je nachdem wieviel Kontrolle die Hacker über die Server und Webserver haben, umso schlimmer ist die Bedrohungslage. Haben sie zum Beispiel die Kontrolle über die Webserver dann brauchen sie gar nicht die Treiber oder Firmware infizieren. Viel einfacher ist es, die Website selbst bzw. Java zu kompromittieren. Den entsprechenden Serverzugriff vorausgesetzt, läuft das ganze dann meistens so ab:

Drive_By.png


Personen welche dann diese Website ansurfen, fangen sich eine Drive-By Schadsoftware ein. Und dann wird die Sache ziemlich schnell auch ziemlich hässlich. Denn der Windows Defender kann dich vor sowas nicht zu 100% schützen. Hier müssen Browser-Addons wie NoScript ran. Je verbreiterter die Sicherheitssoftware ist, umso mehr rückt sie ins Ziel von Angreifern.

Der Windows Defender, welcher ja wirklich gut ist, ist bei Windows 10 von Haus aus mit dabei. Daher würde es mich nicht wundern, wenn Angreifer ihren Schadcode speziell anpassen um ihn zu umgehen. Unteranderem aus diesem Grund läuft bei mir im Unternehmen der Windows Defender in friedlicher Koexistens mit GData Endpoint Protection.


*News-Update I*
Wie WinFuture mit Verweis auf das Online-Magazin, BetaNews, meldet hat sich Gigabyte nicht auf die Erpressungsversuche der Hackergruppe RansomEXX eingelassen. Das Resultat ist, dass die Unbekannten vertrauliche Interna des Konzerns und dessen Partnern AMD und Intel veröffentlicht haben.

In einem Hacker-Forum wurde ein entsprechendes Paket an vertraulichen Daten gefunden, welche vermutlich direkt von dem Gigabyte-Hack stammen. Die Rede ist hier von rund 7 GB an Daten, welche Gigabyte-internen Unternehmensinformationen sowie geschützte Daten der Chip-Hersteller Intel und AMD enthalten sollen. Unter anderem wird expliziet der Quellcode für den Manageability Commander genannt.

Benutzerinformationen wie Kreditkartendaten oder Kontoinformationen scheinen nicht enthalten zu sein.

Falls Gigabyte das Lösegeld nicht bezahlt werden noch mehr Daten veröffentlicht.
 
Dann kann man nur hoffen das da nicht allzu sensible Daten bei sind.
Aber wenn Gigabyte kein Lösegeld zahlt gehe ich mal nicht davon aus.
 
RyzA schrieb:
Aber wenn Gigabyte kein Lösegeld zahlt gehe ich mal nicht davon aus.
Zum Vergrößern anklicken....
Bei Ransomwarebefall ist/sollte eigentlich die Kernstrategie immer die gleiche sein:

- Bei Befall die entsprechenden Server vom Netzwerk und Internet trennen
- Strafverfolgungsbehörden informieren
- Informieren der Mitarbeiter
- Virenscan von einem externen Inselsystem (z.B. Notebook) aus starten
- Prüfen ob Entschlüsselungstools schon bereit stehen
- Backup-Server bzw. einspielen von Backups bereit machen
- Zahlung an Täter ablehnen

Von daher kann man von der Handlungsweise Gigabyte's nicht wirklich Rückschlüsse auf die Sensibilität der Daten ziehen. Es gibt natürlich durchaus Fälle wo Unternehmen bezahlt haben. Gerade wenn man sich im KRITIS-Sektor bewegt oder Menschenleben davon abhängen, sollte man sich das genau überlegen. Geld darf niemals über Menschenleben stehen.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Epic Games: Ransomware-Gruppe will Daten gestohlen haben
Antworten
4
Aufrufe
652
freaky1978
freaky1978
PCGH-Redaktion
News MSI und Gigabyte: BIOS-Updates für Bluescreen- und DDR5-Probleme
Antworten
5
Aufrufe
1K
cordonbleu
cordonbleu
PCGH-Redaktion
News Intel Core 14000 nur ein Refresh?: Gigabyte bringt Support per UEFI-Update
2
Antworten
27
Aufrufe
2K
lucky1levin
lucky1levin
PCGH-Redaktion
Gigabyte Technology: Erpresser drohen damit, 112 GByte an Daten zu veröffentlichen
Antworten
5
Aufrufe
709
DarkWing13
DarkWing13
PCGH-Redaktion
Ransomware-Angriff: Crytek fiel Egregor zum Opfer, persönliche Daten entwendet
Antworten
3
Aufrufe
633
Christoph1717
Christoph1717
Oben Unten
Zurück