Neues zum Save.TV- und UseNeXt.de-Hack: Ransomware-Gang als Drahtzieher

Save.TV und UseNeXt.de sind nach einem Hack des Dienstleisters Omniga wieder online. Jetzt ist klar: Die Ransomware "Ragnar Locker" kopierte Daten von Omniga.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag

(Bild: Evdokimov Maxim/Shutterstock.com)

Von

Ende April 2020 waren Save.TV, ein Online-Recorder für TV-Sendungen, sowie der für den Usenet-Zugang verwendbare Dienst UseNeXT.de vorübergehend offline. Der Grund: Dienstleister Omniga, der beide Plattformen betreut, war Opfer eines Hacks geworden.

Omniga räumte nun ein, dass das Unternehmensnetzwerk im Zuge dieses Vorfalls mit Ransomware infiziert wurde – und dass die verantwortliche Gang versuchte, das Unternehmen mit kopierten Daten zu erpressen. Weil es die Zahlung verweigerte, landeten einige Daten im Zuge der Erpressung im Darknet. Laut den Ergebnissen einer forensischen Analyse befanden sich darunter aber wohl keine Daten von Endkunden, also Nutzern von Save.TV oder UseNeXT.

Nach dem Vorfall, über den heise Security Ende April ausführlich berichtete, sind die Websites beider betroffenen Dienste inzwischen wieder online. Wenn auch, wie Kommentare im Blog des Autors dieser Meldung nahelegen, die verfügbaren Funktionen zumindest bei Save.TV teilweise noch eingeschränkt sind. Potenziell betroffenen Nutzern raten die Anbieter dazu, Kennwörter zu ändern und ihre Bankkonten auf ungewöhnliche Aktivitäten (z.B. unbefugte Abbuchungen) zu kontrollieren.

In den vergangenen Tagen gingen dem Autor dieses Artikels Informationen von Sicherheitsforschern zu, laut denen im Zuge des Hacks eine Infektion des Omniga-Netzwerks durch die Ransomware "Ragnar Locker" erfolgt sei. Laut Analysen von Sophos verwendet Ragnar Locker unter anderem die Virtualisierungssoftware VirtualBox, um, verborgen in einer eigens zu diesem Zweck heimlich installierten Windows-XP-VM, einer Entdeckung durch Sicherheitssoftware zu entgehen. Die Infektion von Dateien auf dem Host beziehungsweise auf den Netzwerkfreigaben erfolgt (bei entsprechend konfigurierten Shared Folders) aus der virtuellen Maschine heraus.

So oder ähnlich sieht eine vom Ragnar Locker nach der Verschlüsselung eingeblendete Erpresserbotschaft aus.

(Bild: malware.wikia.org)

Offenbar versuchte die Ransomware-Gang, Omniga gleich doppelt zu erpressen: Sie forderte nicht nur Lösegeld für die Entschlüsselung der Dateien, sondern drohte zudem auch, abgegriffene Daten bei Nicht-Zahlung zu veröffentlichen. Omniga verweigerte die Zahlung – eine Vorgehensweise, die Sicherheitsexperten allgemein befürworten. Denn eine Zahlung ist keine Garantie dafür, dass die Daten nicht trotzdem veröffentlicht werden und befeuert zudem weitere Beutezüge (oder auch Nachforderungen) der Kriminellen. Die Strategie der doppelten Erpressung ist indes schon fast zur Regel geworden.

Dass die Hacker daraufhin begannen, die kopierten Dateien schrittweise zu veröffentlichen, belegen nicht nur der heise-Security-Redaktion vorliegende Screenshots aus einem Darknet-Forum – auch eine Sprecherin von Omniga bestätigte auf Nachfrage, dass Daten kopiert und mindestens eine Teilmenge veröffentlicht wurde. Man habe die im Darknet veröffentlichten Daten analysiert.

Bezugnehmend auf den aus dieser Analyse resultierenden Forensik-Bericht sagte sie, dass davon ausgegangen werden könne, "dass sich die vom Hack betroffenen Datenarten auf Emails, Vertragsunterlagen und Dokumente in Verwaltungsverzeichnissen [von Omniga] beschränken, jedoch keine Datenbankexporte beinhalten". Es seien "nach bis heute andauerndem Kenntnisstand keine sensiblen Kundendaten" entwendet worden, "weder aus den kundenspezifischen Verzeichnissen noch aus den von den einzelnen Shops verwendeten Technologien." Kurz zusammengefasst: Endkundendaten von Save.TV und/oder UseNeXT sind wohl nicht betroffen.

Die der Redaktion vorliegenden Screenshots von Datenauszügen der Erpresser scheinen die Angaben des Unternehmens zu bestätigen. Allerdings zeigen sie durchaus auch Auszüge sensibler Daten direkter Omniga-Kunden, etwa in Gestalt von Bank- und Kreditkartendaten. Primär scheinen sich die geleakten Dokumente auf Omniga-interne Vorgänge wie Budget-Planungen fürs Marketing, Personalressourcen-Planung und ähnliches zu beziehen. Die vorliegenden Screenshots zeigen aber auch einen KeePass-Speicher, dessen einfaches Masterpasswort geknackt wurde. Dadurch wurden alle dort gespeicherten Online-Zugänge von Omniga-Mitarbeitern mit Zugangsdaten und Passwörtern im Klartext aufgedeckt. Zudem hatten die Angreifer augenscheinlich Zugriff auf die Domain-Controller und die Active Directory-Datenstruktur von Omniga.

Lesen Sie auch

(ovw)