Verschlüsselungstrojaner MediaMarkt und Saturn offenbar von Ransomware betroffen

Die Elektronikhändler sind »Ziel eines Cyberangriffs geworden«, heißt es offiziell. Angeblich hat ein Verschlüsselungstrojaner Tausende Server lahmgelegt. Europol gab derweil mehrere Festnahmen mutmaßlicher Erpresser bekannt.
MediaMarkt-Filiale in Berlin

MediaMarkt-Filiale in Berlin

Foto: Sean Gallup / Getty Images

Die Elektronikmärkte von MediaMarkt und Saturn sind offenbar in ganz Deutschland und den Niederlanden von einer Attacke mit einem Verschlüsselungstrojaner betroffen. Eine Unternehmenssprecherin bestätigte dem SPIEGEL: »Die MediaMarktSaturn Retail Group ist Ziel eines Cyberangriffs geworden. In der Nacht von Sonntag auf Montag führte eine Gruppe eine Cyberattacke durch. Betroffen sind alle Landesgesellschaften von MediaMarktSaturn.«

In Screenshots von internen Nachrichten, die auf Twitter verbreitet wurden, ist von einem »Kryptovirus« die Rede, der 3100 Server befallen und Dateien verschlüsselt habe. Das gelte auch für das Warenwirtschaftssystem und das Kassensystem, heißt es: Entsprechend könnten die Märkte von MediaMarkt und Saturn zwar öffnen und verkaufen, jedoch ohne die Ausstellung von Verkaufsdokumenten. Die Angaben decken sich mit Berichten niederländischer Medien, die sich ebenfalls auf interne Unternehmenskommunikation berufen, möglicherweise dieselben. Der SPIEGEL konnte die Echtheit der Screenshots bisher allerdings nicht belegen. Die Information zu den Verkaufsdokumenten ist nicht korrekt, zumindest nicht generell.

Die Sprecherin teilte weiter mit: »Wir arbeiten derzeit intensiv mit internen und externen Experten sowie den zuständigen Behörden zusammen, um die entstandenen Schäden schnellstmöglich zu analysieren und zu identifizieren. Die Onlineshops sind nicht betroffen. Für unsere Kunden besteht derzeit kein Handlungsbedarf.«

MediaMarkt und Saturn gehören zum Ceconomy-Konzern, die Gruppe betreibt in 13 europäischen Ländern insgesamt rund 1000 Märkte der beiden Elektronikhandelsketten.

Europol meldet Festnahmen von mutmaßlichen Ransomware-Tätern

Auf den Darknet-Seiten von einigen der zuletzt aktivsten Ransomware-Gruppen ist bisher kein Hinweis auf den Vorfall zu finden. Dort veröffentlichen die Täter häufig die Namen und auch interne Daten der Opfer, um diese zusätzlich unter Druck zu setzen.

Europol konnte am Montag aber immerhin einen Schlag gegen besonders aktive Täter vermelden : Demnach wurden vergangene Woche in Rumänien zwei Verdächtige festgenommen, die mithilfe der von ihren Entwicklern vermieteten Ransomware REvil (alias Sodinokibi) 5000 Systeme infiziert haben sollen. Fünf weitere Verdächtige wurden demnach seit Februar festgenommen. Zusammengenommen sollen die sieben mutmaßlichen Täter versucht haben, ihre Opfer um insgesamt mehr als 200 Millionen Euro zu erpressen.

Hinweis: In einer früheren Version dieses Artikels hieß es, angeblich sei in den Märkten derzeit nur eine Bezahlung mit Bargeld möglich und ohne die Ausstellung von Verkaufsdokumenten. Das ist nicht richtig, zumindest in der Filiale im Berliner Hauptbahnhof funktionierte auch die Kartenzahlung inklusive der Ausstellung eines Verkaufsbelegs. Mitarbeiter bestätigten aber, keinen Zugriff auf den Server zu haben. Wir haben die Meldung entsprechend geändert.

pbe
Die Wiedergabe wurde unterbrochen.