Logo Increase Your Skills
Kontakt

Cyberangriff auf Spieleunternehmen Capcom – Ransomware kompromittiert Daten von Usern

Informationssicherheit
24.11.2020

Autor:in
Hannes Hartung

Der Spielehersteller Capcom teilte in einer Pressemitteilung mit, dass es bereits am 02.11.2020 Ungereimtheiten im internen Netzwerk gab. Potentiell könnten bis zu 350.000 Datensätze von Kundschaft und Geschäftspartner:innen betroffen sein. Wie dieser Angriff zeigt, sind nicht nur Kundschaftsdaten das Ziel. Capcom rechnet damit, dass auch Daten von derzeitigen und ehemaligen Angestellten kompromittiert sein könnten. Dabei handelt es sich auch um Personen, die bereits in Rente sind. So könnten Fotos von Angestellten, Supportvorgänge, Absatzzahlen von Spielen und Entwicklungskosten betroffen sein. End Users sollten auch abseits von sozialen Netzwerken Vorsicht walten lassen und personenbezogene Daten nur angeben, wenn dies wirklich notwendig ist. Neben den oben beschriebenen Daten sind auch Geschäftsgeheimnisse durch die Angreifenden veröffentlicht worden. Das US-Spielemagazin Polygon ließ verlauten, dass durch diesen Angriff Lizenzsummen für einige Spiele von Sony, Google und anderen bekannt worden.  

Ragnar Locker bekennt sich – Ransomware as a service

Bei Ransomware-Angriffen dieser Gruppe handelt es sich zumeist um Malware, welche die Zielsysteme verschlüsselt. Zusätzlich beendet die Malware häufig vorinstallierte Anwendungen. Dies hat zur Wirkung, dass die ausgeführten Prozesse nicht unterbrochen werden und somit der Verschlüsselungsvorgang erfolgreich abgeschlossen wird. Die Verbreitung gelingt häufig über Junk-E-Mail-Anhänge, Freeware- oder Shareware-Downloads. Besonders perfide ist die Arroganz, mit der diese Gruppe vorgeht. Angriffe werden meist veröffentlicht und die Gruppe bekennt sich dazu. Zukünftig könnte „Ransomware as a service“ ein weitverbreitetes Phänomen werden. Mittlerweile haben auch organisierte kriminelle Organisationen die Bedeutung von Cyberangriffen erkannt und gehen Kooperationen oder Geschäftsbeziehungen mit skrupellosen Cyberkriminellen ein.

Veröffentlichung statt nur Verschlüsselung

Schon im Jahr 2019 hat die Gruppe Ragnar Locker auf sich aufmerksam gemacht, indem gestohlene Daten auf sozialen Netzwerken wie Facebook veröffentlicht worden sind. Zusätzlich werden unter Decknamen vermehrt Facebook-Werbeanzeigen geschaltet, hinter denen sich Malware verbirgt. Unternehmen dürfen Angriffe nicht verharmlosen. Meist ist die Kontaktaufnahme der Angreifenden der letzte Schritt in einer umfassend geplanten Attacke. Ab da wurde bereits das komplette Netzwerk kompromittiert und sensible Daten bereits ausgewertet. Präventive Maßnahmen sind somit umso wichtiger, um die Eintrittswahrscheinlichkeit dieser Schreckensszenarien zu verringern.  

Vorsicht vor Internetangeboten zur Entfernung!

Ist die Malware erstmal in die IT-Systeme gelangt, versuchen Opfer meist im Internet Hilfe zu finden. Dabei findet sich vermehrt weitere Schadsoftware unter Decknamen wie „Magic Cleaner“ oder „Combo Cleaner“. Diese Programme versprechen meist die Entfernung der Ransomware. Von solchen Angeboten ist ausnahmslos Abstand zu bewahren. Im Ernstfall können nur Expert:innen helfen. Auf keinen Fall sollte vorab das Lösegeld bezahlt werden.  

Schutz vor Ransomware

Um sich vor Ransomware zu schützen, sollten sowohl präventive Maßnahmen ergriffen als auch technische Voraussetzungen geschaffen werden. Es empfiehlt sich eine redundante Datenhaltung mit Netztrennung. Sollte ein Teil der Systeme infiltriert sein, könnte durch die Netztrennung eine Isolierung erreicht werden, welche nicht direkt den kompletten Geschäftsbetrieb lahmlegt. Weitere vorbeugende Maßnahmen: 

  • Klicken Sie nicht auf unsichere Links  
  • Öffnen Sie keine E-Mail-Anhänge von Unbekannten 
  • Verwenden Sie ausschließlich bekannte und geprüfte Downloadquellen 
  • Geben Sie nur so viele Daten Preis wie notwendig 
  • Benutzen Sie unter keinen Umständen unbekannte USB-Geräte 
  • Nutzen Sie Virenscanner und Inhaltsfilter für Ihre Mail-Server 
  • Nutzen Sie VPN-Dienste  

Was Betroffene tun sollten?

Die meisten Ransomware-Angriffe werden erst bemerkt, wenn der entsprechende Hinweis der Angreifenden auf den Bildschirmen erscheint. Um die Ausbreitung der Ransomware zu verhindern, sollte das betroffene System umgehend vom Netz getrennt werden. Sollten Sie kein internes Know-how für solche Angriffsarten haben, schalten Sie schnellstmöglich Expert:innen ein. Leider wird viel zu spät Unterstützung beschafft. Dabei ist Zeit meist der entscheidende Faktor. Verfallen Sie nicht in Panik und vermeiden Sie Lösegeldzahlungen.