Nefilim-Ransomware-Angriff auf die Madsack-Verlagsgruppe

Virus

Wieder einmal muss ein Verlag sich gegen einen Angriff durch eine Malware verteidigen. Nach der Funke-Gruppe, die Ende letzten Jahres einen ähnlichen Angriff erlitt, hat es nun die Madsack-Gruppe erwischt. Unmittelbarer Grund dafür, dass zum Beispiel die Wolfsburger Allgemeine Zeitung am 26.04.2021 in, so der Chefredakteur, “ein wenig veränderter Form” zu ihren Leserinnen und Lesern kam, war ein Cyberangriff. In Mitleidenschaft gezogen wurde damit das gesamte Computersystem eines der größten deutschen Verlage, der neben der “Wolfsburger Allgemeinen”, verantwortlich ist für die “Freie Presse Hannover”, die “Leipziger Volkszeitung”, die “Hannoversche Allgemeine”, die “Ostsee-Zeitung” und, last but not least, das “Redaktionsnetzwerk Deutschland“. Durchgeführt wurde der Angriff mit der Ransomware Nefilim. Laut einer Analyse der Sicherheitsfirma Trend Micro, so t-online, verbreiten Kriminelle “Nefilim” vor allem über das ungeschützte Remote Desktop Protocol, das von Microsoft angeboten wird, um einen Fernzugriff auf Rechner mit Windows-Betriebssystem zu ermöglichen. In Zeiten, in denen Homeoffice boomt, also eine sehr verbreitete Netzwerk-Schwachstelle. Infolge einer Infektion, an deren Anfang auch ein per E-Mail versendeter Anhang und dessen (unbeabsichtigte) Aktivierung durch den Empfänger stehen kann, werden Dateien im gesamten Netzwerk und in großer Geschwindigkeit verschlüsselt. Die Madsack-Gruppe wies Ende letzter Woche darauf hin, dass die Attacke “alle Standorte” und den “gesamten Konzern der Madsack Mediengruppe” betreffe.

Der Verlag forderte seine Angestellten auf, ihre Rechner nicht mehr im Netzwerk zu nutzen, notfalls den Netzwerkstecker zu ziehen, vorübergehend nur noch per WLAN zu arbeiten und ihre Rechner mit der installierten Anti-Viren-Software auf Schad-Code zu überprüfen.

Die hinter dieser Art von Angriffen stehenden Personen setzen auf die Double Extortion, bei der zum Einen ein Lösegeld nicht nur für die ENT-schlüsselung gefordert wird, sondern auch für die NICHT-veröffentlichung von Kopien der erbeuteten Dateien. Die genannte Ransomware ist, so golem.de, seit März letzten Jahres in Umlauf.