Verdacht auf Ransomware: "Cyberangriff" auf die Verlagsgruppe Madsack

Die Verlagsgruppe Madsack kämpft eigenen Angaben nach mit den Folgen eines "Cyberangriffs". Ein Bericht deutet auf einen Befall mit der Ransomware Nefilim.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 32 Beiträge

Die Madsack-Gruppe gibt unter anderem die beiden hannoverschen Tageszeitungen "HAZ" und "Neue Presse" heruas.

(Bild: Madsack)

Update
Von
  • Axel Kannenberg

Die Verlagsgruppe Madsack ist offenbar von Ransomware befallen worden. Laut einem Medienbericht deutet eine interne Mail des Verlags auf eine Infektion mit dem Erpressungstrojaner Nefilim hin. Ein Sprecher von Madsack erklärte heise online auf Anfrage lediglich, dass es am Freitag "zu einem Cyberangriff auf die Computersysteme der Madsack Mediengruppe" gekommen sei.

Der Verlag habe Gegenmaßnahmen eingeleitet, es könne jedoch zu Beeinträchtigungen der Zeitungsproduktion für den Samstag kommen, erklärte der Sprecher weiter. Informationen zum Hintergrund des Angriffs lägen bislang nicht vor, alle Onlineportale der Verlagsgruppe stünden wie gewohnt zur Verfügung.

Dem Bericht von T-Online zu Folge spricht eine interne Mail des Gutenberg-Rechenzentrums, zu dessen Gesellschaftern die Madsack-Gruppe gehört, von einer "Großstörung", die "alle Standorte" und den "gesamten Konzern der Madsack Mediengruppe" erfasst habe. Diese Störung äußere sich zum Beispiel so, "dass Dateien von der Endpoint Protection erkannt werden, die zusätzlich mit der Endung .NEFILIM versehen sind. Diese Dateien sind infiziert und verschlüsselt."

Madsack-Angestellte sollten der Mail zufolge auf direkte Verbindungen in das Netzwerk des Verlages per LAN oder VPN verzichten. "Ziehen Sie notfalls den Netzwerkstecker und arbeiten Sie per WLAN", heißt demnach die Empfehlung an Beschäftigte in Verlagsbüros. Vermutlich sind separate Gäste-WLANs gemeint. Auch vom Austausch von Daten via Outlook solle man absehen. Rechner sollten mit Virenschutzprogrammen gescannt werden, der Trojaner werde erkannt und eliminiert.

Eine andere interne Mail, die heise online vorliegt, sprach lediglich von "massiven Netzwerkproblemen" und kündigte Beeinträchtigungen bei der Belieferung mit fertigen Seiten für die Zeitungsproduktion an. Es sei "ein schwieriger Tag". Eine zweite interne Mail, die heise online inzwischen vorliegt, wird deutlicher: Beschäftigte werden auf einen Trojaner-Angriff hingewiesen, der alle Standorte der Verlagsgruppe betreffe. Man solle auf Dateien mit .NEFILIM-Endung achten und bei deren Auftreten die Verlags-IT benachrichtigen.

Der Trojaner Nefilim ist laut einer Analyse von Trend Micro erstmals im März 2020 aufgefallen. Die Codebasis des Schädlings ähnelt demnach einer Version des Trojaners Nemty und wird wie dieser gerne von Kriminellen genutzt, die nicht nur mit der Verschlüsselung wichtiger Daten erpressen wollen, sondern auch noch Daten von den infizierten Rechner abziehen. Die werden dann auf Firmengeheimnisse und kompromittierende Inhalte durchsucht, was mit der Drohung einer Veröffentlichung weiteres Erpressungspotenzial eröffnen könnte.

Einfallstor für Nefilim sind laut Trendmicro oftmals unzureichend gesicherte Verwendungen des Fernzugriffsprotokoll RDP. Wie Bleeping Computer schreibt, verschlüsselt der Trojaner mit AES-128 und hängt an alle verschlüsselten Dateien die Endung .NEFILIM.

Zur Madsack Mediengruppe mit Hauptsitz in Hannover gehören Tageszeitungen in mehreren Bundesländern: "Hannoversche Allgemeine Zeitung", "Neue Presse" in Hannover, "Ostsee-Zeitung", "Lübecker Nachrichten", "Aller-Zeitung", "Schaumburger Nachrichten", "Wolfsburger Allgemeine Zeitung", "Peiner Allgemeine Zeitung", "Göttinger Tageblatt", "Eichsfelder Tageblatt", "Gelnhäuser Neue Zeitung", "Märkische Allgemeine", "Leipziger Volkszeitung", "Dresdner Neueste Nachrichten" und "Naumburger Tageblatt".

Erst im Dezember war die Funke Mediengruppe mit Hauptsitz in Essen, die auch zahlreiche Regionalzeitungen im Portfolio hat, Opfer eines schweren Trojaner-Befalls geworden. Das hatte zur Folge, dass Zeitungen zeitweise nur in Notausgaben erscheinen konnten. Der Konzern hatte im Hause wochenlang die Folgen des Angriffs gespürt.

[UPDATE: 23.04.2021, 19:20]

Informationen aus einer weiteren internen Mail im Text ergänzt.

(axk)