Support schließen
Wir wurden leider Opfer einer Ransomware, die unsere Systeme sehr tiefgehend mit einem noch unbekannten Algorithmus verschlüsselt hat. Betroffen von der Nichterreichbarkeit sind daher aktuell folgende Systeme:
Nicht betroffen sind:
Erreichbarkeit:
Mittlerweile sind wir wieder per E-Mail (info@blackcat-networks.de) erreichbar. Sie können uns auch unter den Rufnummern 0800-2246388 oder aus dem Ausland unter +49-7731-9552791 erreichen. Wir haben momentan aufgrund der Notlage nicht immer die Kapazitäten, persönlich den Anruf entgegen zu nehmen. Sie können auf dem Anrufbeantworter eine Nachricht hinterlassen. Diese wird uns per E-Mail weitergeleitet, wird zeitnah abgehört und bearbeitet.
Hosted Exchange Kunden:
Ihr Outlook hat in der Regel den aktuellsten Datenbestand bis zur letzten erfolgreichen Synchronisation lokal auf Ihrer Festplatte gespeichert. Bitte exportieren Sie den vorhandenen Datenbestand über die Export-Funktion von Outlook in eine lokale .pst Datei (Outlook Datendatei). Anschließend können Sie ein anderes Postfach in Ihrem Outlook einrichten und die gerade exportierte .pst Datei in Outlook einbinden. So bleiben Sie per E-Mail erreichbar und können mit Ihrem bisherigen Datenbestand weiterarbeiten.
Nach wie vor gibt es keine Fortschritte bei der Ermittlung der Täter. Durch die aktuell bekannte Weltlage verdichte sich bei mir der Verdacht, dass es bei diesem Angriff (in Zusammenhang mit den vielen anderen Angriffen auf viel größere Unternehmen zur gleichen Zeit) vordergründig darum ging, so viel wirtschaftlichen Schaden wie möglich anzurichten, und nicht um Lösegeld zu fordern. Meiner persönlichen Meinung nach sind diese Angriffe politisch motiviert.
Der verursachte Schaden ist nach der ersten Schätzung am Anfang tatsächlich höher ausgefallen. Durch diesen Angriff wurden nicht nur Systeme softwareseitig unbrauchbar gemacht. Es wurde auch absichtlich eine erhöhte Last auf den Systemen produziert, so dass ein Teil unserer Server ebenfalls hardwareseitig beschädigt wurde (Netzteile, Systemboards, eine handvoll Festplatten).
Es wurden mittlerweile Daten veröffentlicht. Die Erpresserbande hat mir einen Link zukommen lassen, in dem sie darlegen und beweisen, dass Daten veröffentlicht wurden. Tatsächlich befinden sich Daten zum Herunterladen unter dem mir vorliegenden Link. Doch diese Daten stammen nicht von jemandem, der mit uns unter Vertrag steht. Ob also tatsächlich Daten abgeflossen sind, und in welchem Umfang, ist also noch immer nicht klar.
Die veröffentlichten Daten haben eine Größe von ca. 5 GB und sind von jemandem, der bei uns nicht unter Vertrag steht. Exchange Datenbanken wurden nicht veröffentlicht. Persönlich glaube ich auch nicht, dass noch mehr Daten veröffentlicht werden. Uns wäre auch aufgefallen, wenn Daten im Bereich von Terabyte abgeflossen wären. Das hätte einen extrem hohen Netzwerkverkehr im Rechenzentrums-Netzwerk verursacht, den wir nicht feststellen konnten.
Wie geht es weiter mit Hosted Exchange?
Aktuell stehen wir wirklich vor einem kompletten Scherbenhaufen. Der Hosted Exchange Dienst wird – so wie es aktuell aussieht – auch nicht mehr zum Laufen kommen. Das System ist in den letzten 12 Jahren mit den Kunden und Anforderungen gewachsen. Die Dokumentationen zu diesen fortlaufenden Weiterentwicklungen liegen ebenfalls verschlüsselt im Rechenzentrum. Mir ist es aktuell nicht möglich, diese Entwicklung der letzten 12 Jahre aus dem Kopf heraus in kürzester Zeit zu rekonstruieren. Sobald wir die Daten unserer Buchhaltung wieder rekonstruiert haben, werden wir unseren Hosted Exchange Kunden eine Kündigung rückwirkend zum 30.04.2023 aussprechen, da wir seit dem 20. Mai keine Dienstleistungen mehr erbringen können. Eine Verrechnung der Dienstleistung über diesen Zeitraum hinweg wird nicht mehr stattfinden. Wie schon immer, ist mir Fairness sehr wichtig. Auch wenn ein Vertrag noch nicht gekündigt wurde, können wir kein Geld für etwas verlangen, für das wir keine Dienstleistung erbringen.
Wir konnten mit den Erpressern verhandeln. Der erpresste Geldbetrag wurde von 1,75 Mio. € auf 1,2 Mio. € reduziert. Das liegt leider weit jenseits unserer finanziellen Mittel. Nach einem realistischen Angebot teilten die Erpresser mit, dies sei zu wenig, man besteht auf die 1,2 Mio. €.
Ein regulärer Weg ist, dass die Erpresser eventuell erbeutete Daten tatsächlich veröffentlichen. Ob tatsächlich, und wenn ja, welche Daten erbeutet wurden, kann zum aktuellen Zeitpunkt nicht sicher festgestellt werden.
Im Fall der Exchange Kunden schätzen wir die Hürden, die Daten aus einem Leak auszulesen, als sehr hoch ein. Die Exchange Datenbank an sich wurde verschlüsselt im Exchange System abgespeichert. Um an die Daten der Postfächer zu gelangen, muss man also zuerst die Datenbank entschlüsseln. Anschließend benötigt man ein funktionierendes Exchange System, in dem man die Datenbank einbinden kann. Das erfordert enorm viel Zeit und Know-How. Aufgrund dieser hohen Hürden glauben wir nicht daran, dass mit Hilfe normaler Mittel brauchbare Daten aus einem eventuellen Leak extrahiert werden können.
Aus diesem Grund dennoch die eindringliche Bitte: Bitte ändern Sie alle Ihre Kennwörter! Sollten Daten veröffentlicht werden, so kann dadurch vermieden werden, dass weitere Systeme, die mit uns nicht in Verbindung stehen, kompromittiert werden.
Der Vorfall zieht sich weiter hin.
Wir vermuten, dass nur die eigentlichen Daten verschlüsselt wurden. Von einer Änderung/Manipulation der Daten gehen wir aktuell nicht aus, da die Datendateien an sich verschlüsselt werden, nicht jedoch deren Inhalt.
Solche Erpresser-Gruppen agieren oftmals so, dass Daten parallel zur Verschlüsselung auch entwendet und an einen anderen Ort kopiert werden können. Wir können aktuell nicht ausschließen, dass das nicht auch in diesem Fall geschehen ist. Ebenfalls bauen solche Erpresser Druck auf, indem sie drohen, entwendete Daten im Darknet zu veröffentlichen, wenn man nicht den geforderten Geldbetrag bezahlt. Auch eine solche Veröffentlichung von Daten können wir aktuell nicht ausschließen.
Bitte ändern Sie alle Ihre Kennwörter! Sollten Daten veröffentlicht werden, so kann dadurch vermieden werden, dass weitere Systeme, die mit uns nicht in Verbindung stehen, kompromittiert werden.
Eine Meldung an die zuständige Landesdatenschutzbehörde ist bereits erfolgt.
Wir sind in Verhandlungen mit der Erpresser-Gruppe gegangen, ob der erpresste Betrag auch geringer sein kann. Der anfangs geforderte Betrag ist von uns nicht finanzierbar, da er vollkommen überzogen ist.
Gleichzeitig haben wir ein darauf spezialisiertes Unternehmen damit beauftragt, die wichtigsten Systeme wiederherzustellen. Dieses unternehmen kann hier leider keine Garantie für eine Wiederherstellung geben. Die Ransomware, die verwendet wird, ist sehr aggressiv und komplex zu entschlüsseln, wenn man den Masterkey nicht hat. Die Chance für eine Entschlüsselung ist bestenfalls 50 %.
Wie lange unsere Systeme offline sein werden, können wir zu diesem Zeitpunkt leider nicht sagen. Ob es uns gelingen wird, die Systeme in diesem Funktionsumfang überhaupt wieder online zu bekommen, ist noch nicht absehbar.
Hinweis an unsere Hosted Exchange Kunden:
Sichern Sie die Daten, die sich zurzeit in Ihrem Outlook (oder anderem E-Mail Client) befinden. In der Regel legt Ihr E-Mail Client eine lokale Kopie Ihrer Daten auf Ihrem Computer an. Sichern Sie diese! Diese dienen Ihnen als lokales Backup Ihrer E-Mails für den Transfer der Daten an einen anderen Ort. Ändern Sie anschließend ggf. den MX-Record Ihrer Domain, damit E-Mails wieder korrekt (an einen anderen Ort) zugestellt werden können.
Wir wurden leider Opfer einer Ransomware, die unsere Systeme sehr tiefgehend mit einem noch unbekannten Algorithmus verschlüsselt hat. Aus diesem Grund sind alle unsere Systeme aktuell nicht erreichbar.
Die Lösegeldforderung, die uns hierzu erreicht hat, ist von uns in dieser Höhe leider nicht tragbar und würde sowohl beruflich, privat und auch finanziell eine Insolvenz bedeuten.
Wir arbeiten mit Hochdruck an einer Lösung und stehen mit Fachleuten für eine Entschlüsselung in Verbindung.
Wie schnell Sie auf Ihre wichtigen Daten wieder Zugriff haben, können wir aktuell leider nicht absehen. Sollten Sie dies lesen und Erfahrung haben im Bereich der Entschlüsselung durch Ransomware, bitten wir Sie, telefonisch Kontakt mit uns aufzunehmen. Aktuell sind wir nur telefonisch erreichbar.
Wir entschuldigen uns vielmals für diese Situation. Sollte sich in dieser Sache Neues ergeben, finden Sie Updates auf dieser Seite.