Datenleck bei Shimano: 4,5 TB Daten von russischen Hackern gestohlen

Datenleck bei Shimano: 4,5 TB Daten von russischen Hackern gestohlen

Der Komponenten-Gigant Shimano scheint das nächste prominente Opfer von Cyberkriminalität geworden zu sein. Wie einschlägige Medien berichten, wurden insgesamt 4,5 Terabyte Daten von einer bekannten russischen Hacker-Gruppe gestohlen.

Den vollständigen Artikel ansehen:
Datenleck bei Shimano: 4,5 TB Daten von russischen Hackern gestohlen

Denkt, ihr unter den gestohlenen Daten sind Entwicklungspläne für den MTB-Bereich?

 

[tufkad]

Die Hacker kennen nämlich auch die Unternehmenszahlen. D.h. die verlangen bei einem Unternehmen das im Jahr 1 Mio. Gewinn macht keine 10 Mio. Lösegeld. Man kann da schon einen halbwegs erträglichen Deal machen.

Ich bin sehr beruhigt, dass das scheinbar ganz umgängliche Leute sind
Dass sie selbst in Zeiten der ausgeprägten Staatenfeindschaften einem noch entgegenkommen. Auch nicht selbstverständlich.

 

[getriebesand]

Okay, aber könnte man so einen " IOCs (digitalen Fingerabdruck) " auch fälschen?

 

[gabarinza]

Ich bin sehr beruhigt, dass das scheinbar ganz umgängliche Leute sind
Dass sie selbst in Zeiten der ausgeprägten Staatenfeindschaften einem noch entgegenkommen. Auch nicht selbstverständlich.

Wie ich schon schrieb, das sind nicht irgendwelche locker organisierten Hacker, sondern das sind Unternehmen. Die werden, genau wie ein was weiß ich Stahlbauer oder Fliesenleger ihre Kosten kennen, den Aufwand den sie hatten in das System zu kommen usw. Und dann wollen sie einen gewissen Ertrag.
Deshalb kann man mit denen auch "vernünftig" verhandeln. Die wollen als seriöses Gegenüber gelten. Weil wenn sich rumspricht dass Unternehmen Lösegeld zahlen, und dann keine Leistung bekommen ist das schlecht fürs Geschäft.
Und in der Regel wollen die Firmen so schnell wie möglich wieder an ihre Daten. Man darf nicht vergessen dass es da nicht nur um irgendwelche Dateien in der Ablage geht, sondern da stehen Produktionsanlagen still. Die komplette Unternehmenskommunikation ist tot, was eher schlecht ist wenn du mehrere Standorte hast. Daher wissen die Hacker genauso wie die Unternehmen recht genau was das eine gegen das andere kostet.
Und in v.a. Russland, Nordkorea, und was ich von meinem Kumpel weiß neuerdings auch Nigeria, können die ungefährdet schalten und walten. Oder glaubst du die russische Staatsanwaltschaft wird tätig wenn ein russ. Unternehmen ein westliches Unternehmen erpresst und dadurch Wertschöpfung im eigenen Land erwirtschaftet?

 

[getriebesand]

Wie ich schon schrieb, das sind nicht irgendwelche locker organisierten Hacker, sondern das sind Unternehmen. Die werden, genau wie ein was weiß ich Stahlbauer oder Fliesenleger ihre Kosten kennen, den Aufwand den sie hatten in das System zu kommen usw. Und dann wollen sie einen gewissen Ertrag.
Deshalb kann man mit denen auch "vernünftig" verhandeln. Die wollen als seriöses Gegenüber gelten. Weil wenn sich rumspricht dass Unternehmen Lösegeld zahlen, und dann keine Leistung bekommen ist das schlecht fürs Geschäft.
Und in der Regel wollen die Firmen so schnell wie möglich wieder an ihre Daten. Man darf nicht vergessen dass es da nicht nur um irgendwelche Dateien in der Ablage geht, sondern da stehen Produktionsanlagen still. Die komplette Unternehmenskommunikation ist tot, was eher schlecht ist wenn du mehrere Standorte hast. Daher wissen die Hacker genauso wie die Unternehmen recht genau was das eine gegen das andere kostet.
Und in v.a. Russland, Nordkorea, und was ich von meinem Kumpel weiß neuerdings auch Nigeria, können die ungefährdet schalten und walten. Oder glaubst du die russische Staatsanwaltschaft wird tätig wenn ein russ. Unternehmen ein westliches Unternehmen erpresst und dadurch Wertschöpfung im eigenen Land erwirtschaftet?

Zahlen diese Unternehmen auch Steuern?

 

[gabarinza]

Zahlen diese Unternehmen auch Steuern?

Wenn das was mein Kumpel sagt richtig ist, dann gilt das für manche russische Hackergruppen. Die betreiben das quasi wie jemand anderes einen Fahrradhandel.
Und in Norkorea sind es halb- oder ganzstaatliche Gruppen. Das macht es für die Strafverfolgung halt umso schwerer, und für die Hacker umso leichter. Wird schon ein Unterschied sein, ob man das von Deutschland, oder von Russland oder Nordkorea aus startet.

 

[ralphi911]

Denkt, ihr unter den gestohlenen Daten sind Entwicklungspläne für den MTB-Bereich?

Shimano entwickelt doch nichts mehr im MTB-Bereich, oder habe ich etwas verpasst?

 

[Enrgy]

Zahlen diese Unternehmen auch Steuern?

ich denke mal, die bezahlen mit dem Zwang, nicht so einfach aussteigen zu können...

 

[Ammerseestern]

Die meisten Hacks bekommen wir gar nicht mit, entweder, weil sie abgewehrt wurden, oder weil nicht darüber berichtet wird.
Und aus welcher Richtung ein Hack kam sehen IT Experten am Vorgehen.
Wie gut die Hackerszene in einem Land ist hat auch damit zu tun, wie engagiert die dortigen Strafverfolgungsbehörden in der Angelegenheit sind.
Wenn man also mehr von Hacks aus zB Russland hört als aus der Schweiz oder Dänemark, hat das ganz banale Gründe.

 

[FKMOD]

Waren das nun die bösen Hacker und keine guten Hacker des / eines totalitären demokratischen Überwachungsstaates?

 

[Hummelbummel]

Was für ein unqulifizierter Post. Du hast dich ganz offensichtlich noch nie auch nur ansatzweise ernsthaft mit dem Thema beschäftigt. @Slo0p hat es ja völlig richtig geschrieben, die IT-Systeme sind kompliziert und Cybersecurity wird durch den Mensch komplex. Ich empfehle dir social engineering als Google Suchbegriff, dann Verstehst du auch das auch die Besten "Entwicker" der Welt nicht alles verhindern können. ;-)

Ja klar, und wer hat die komplizierten IT System entwickelt? Und dann ist wieder der User schuld... Und ja ich muß mich beruflich damit auseinandersetzen. Niemand erwartet 100% Sicherheit, aber nicht unerhebliche Teile der IT Welt haben auch im 21. Jahrhundert ein mangelhaftes Sicherheitsverständnis, genauso wie viele traditionelle Firmen null Interesse haben, sich damit auseinander zu setzen.
Müsst Microsoft, Google und co. Haftung dafür übernehmen das ihre System so leicht gehackt werden können, wäre die Sicherheitsarchitektur eine andere.

 

[Pixelfuchs]

Folgende Anmerkungen sind allgemeiner Natur und beziehen sich nicht auf den konkreten Fall.

Im Grunde ist IT-Sicherheit immer ein Zielkonflikt. Von den Zielen: Kosten, Sicherheit und Funktionalität/Bedienbarkeit kann man nicht alle gleichzeitig erreichen. Je nach Unternehmen werden die Ziele unterschiedlich gewichtet. Wobei das nicht immer ein bewusster Entscheidungsprozess ist bzw. das KnowHow für eine bewusste Entscheidung auch teilweise fehlt. In der Vergangenheit herrschte zu oft der Glaube "Warum sollte uns jemand angreifern?" und IT-Sicherheit wurde wirtschaftlichen Interessen oder Funktionen untergeordnet. Nach einem solchen Vorfall und der schmerzhaften Lernerfahrung fallen Entscheidungen aber meist ganz anders aus.

Es hilft dabei auch nich auf einzelne Gruppen (Benutzer, IT´ler, Entscheider,....) zu schimpfen. Sicherheit ist immer eine Kulturfrage des gesamten Unternehmens und jeder trägt einen Teil zu einer sicheren IT bei. Man kann sogar noch weiter gehen und sagen, dass uns Sicherheit in einer digitalisierten Welt, alle etwas angeht. In der Regel verwenden Angreifer in einem solchen Angriff nicht ihre eigenen Systeme, sondern übernehmen Drittsysteme oder bauen sich ein hübsches Botnet mit dem schlecht gesicherten PC von Lieschen Müller oder dem superpraktischen und billigen Smarthome-Gadget von Onkel Heinz zusammen und fahren darüber ihre Angriffe. Einen einzelnen Angreifer kann man nämlich als Verteidiger leicht aussperren, einen Angriff, der über x verschiedene Rechner erfolgt hingegen nicht. In dem Sinne kann sich jede/r ja mal selbst hinterfragen, wie es mit der Sicherheit der eigenen privaten IT bestellt ist und ob IT-Sicherheit ein Kaufkriterium ist.

Dennoch bleibt immer ein Restrisiko. Ein Angreifer mit ausreichend Zeit und Ressourcen schafft es immer in ein IT-Netzwerk einzudringen. Das liegt einfach daran, dass wir alle Menschen sind und Fehler machen. Trotz Qualitätssicherung lässt sich das nicht vermieden. Dieser Fehler kann dann genau die Lücke sein, die ein Angreifer nutzt.

 

[LetzRoll]

...ganz einfach, es kann JEDEN treffen! Es gibt keine 100% Sicherheit ob physisch oder digital spielt gar keine Rolle. Es ist alles nur eine Frage des Aufwandes oder monetären Ressourcen die der Angreifer investiert...

Ich hatte mal nen Kollegen, der hat dee hat auf nen "DHL" Link geklickt in ner Spammail geklickt. Die IT durfte dann 4h aufräumen.
Ratet wer am nächsten Tag wieder auf eine anderen DHL E Mail Link geklickt hat?

Aber man muss auch sagen: es werden nicht gerne Dinge gemacht, die kein Geld bringen und der Schaden ein relativ abstraktes Szenario ist. Dazu gehört nun mal IT Sicherheit. Das ist so wie mit dem klimaschutz.

 

[piilu]

Shimano hat aber auch echt Pech in den letzten Jahren

 

[Ammerseestern]

Ich hatte mal nen Kollegen, der hat dee hat auf nen "DHL" Link geklickt in ner Spammail geklickt. Die IT durfte dann 4h aufräumen.
Ratet wer am nächsten Tag wieder auf eine anderen DHL E Mail Link geklickt hat?

Es gibt eine kostenfreie Google Schulung, in der sie für jedermann verständlich erklären, wie man auf sowas nicht reinfällt:
https://safety.google/intl/de_de/stories/lena-rohou/
Daran kann man in verschiedenen Städten vor Ort teilnehmen, oder online. Ich war bei einer vor Ort Veranstaltung. Kann es weiterempfehlen.

 

[scratch_a]

Aber es ist schon verwunderlich, wie viele große Konzerne bisher gehackt wurden und das in relativ kurzer Zeit.

Meine Vermutung ist, dass es eben auch mit dem Krieg in der Ukraine zu tun hat, siehe unten.

Wenn du von Profis gehackt wirst, dann siehts du morgens beim starten des Rechners ein Fenster mit "you have been hacked by".
Da ist dann auch gleich ein Chatfenster um mit den Hackern Kontakt aufzunehmen. Da kannst du dann auch per drag and drop eine deiner verschlüsselten Dateien reinkopieren, was dann als Beweis quasi entschlüsselt wird.
Und wenn es sich um Lockbit handelt dann ist das ein russisches Unternehmen, vergleichbar einer Gmbh hierzulande. Die zahlen Steuern an den russischen Staat, haben Personal-, Buchaltungs-, usw. -abteilungen. Das sind richtige Unternehmen. Außerdem werden sie vom russischen Staat geschützt, da kann Interpol oder so anklopfen, sinnlos.
Warum ich das weiß? Ein Freund von mir hat eine Firma für Cybersicherheit. Der verhandelt auch das Lösegeld im Auftrag von Versicherungen.
Sein wichtigster Tip: Ab dem Zeitpunkt wo das Fenster auftaucht nichts mehr machen. Im Idealfall die Versicherung anrufen, und die den Rest erledigen lassen.
Die Hacker kennen nämlich auch die Unternehmenszahlen. D.h. die verlangen bei einem Unternehmen das im Jahr 1 Mio. Gewinn macht keine 10 Mio. Lösegeld. Man kann da schon einen halbwegs erträglichen Deal machen.
Und angeblich auf keinen Fall die Server neu starten. Dann wirkt der Schlüssel irgendwie ein zweites Mal und selbst die Hacker bekommen das nicht mehr entschlüsselt.
Wie wird gehackt? Meist über einen Mitarbeiter. Oder auch krasse Geschichte. Bei einer Firma wurden vor Weihnachten auf dem Parkplatz Geschenke, u.a. USB-Sticks verschenkt. Die MA haben die dankbar genommen, und bei nächster Gelegenheit am Firmenrechner angesteckt, é voila.
Grundätzlich kann man sagen, wenn die Hacker in ein System wollen dann kommen die da rein.

Eine recht ähnlich glaubwürdige Geschichte habe ich auch erzählt bekommen.
Die Hacker haben angeblich per Online-Meeting mit der Firma über den Preis verhandelt. Waren auch russische Hacker, die für den Staat Geld eintreiben mussten.
Wird in Zukunft nicht einfacher

 

[AchseDesBoesen]

Meine Vermutung ist, dass es eben auch mit dem Krieg in der Ukraine zu tun hat, siehe unten.



Eine recht ähnlich glaubwürdige Geschichte habe ich auch erzählt bekommen.
Die Hacker haben angeblich per Online-Meeting mit der Firma über den Preis verhandelt. Waren auch russische Hacker, die für den Staat Geld eintreiben mussten.
Wird in Zukunft nicht einfacher

Diese Russen: Kriegen Shimano gehackt, aber die Ukraine nicht in den Griff. Was ist da los? Muss man sich Sorgen machen?

 

[scratch_a]

Was sollen solche Kommentare?

 

[Bern_aus_S]

Das glaube ich gerne. Aber es ist schon verwunderlich, wie viele große Konzerne bisher gehackt wurden und das in relativ kurzer Zeit. Da frag ich mich ganz plump: kriegen die es denn nicht geschissen?
Oder sind die Kosten für eine umfangreiche IT-Sicherheit so viel höher, als z.B. die Lösegelder, die die Hacker verlangen?


B-Tight hat mal musikalisch erklärt, wer an allem Schuld ist. Aber das kann ich hier unmöglich weiter ausführen.

Der Hack muß nicht immer über eine Leitung von außen kommen.

Einer der größten Gefahren ist das Putzteam. Keiner hat so leicht Zugang zur Rechner und co.
Alle Schlüssel, nicht Sicherheitsüberprüft usw.
Nicht daß da sich die Putzfrau hinsetzt und in das System eindringt. Geht viel einfacher, da ne Tastatur tauschen oder Monitorkabel ersetzen usw.

Der zweite Schwachpunkt sind die Mitarbeiter selber, am besten die die noch per Remote arbeiten.
Da wird viel Aufwand betrieben um hier den ein oder Angestellten zu finden, dessen persönlichen Probleme usw man ausnützen kann.

 

[cluso]

Wenigstens ein paar Kommentare hier die wissen um was es geht.

100% sichere Systeme gibt es nicht. Wie ein Vorposter schon richtig geschrieben hat, es ist immer eine Schnittmenge aus Kosten und Nutzen sowohl für Angreifer wie für Angegriffene.

Bei vielen Unternehmen und Behörden hat das ganze häufig nicht den notwendigen Stellenwert. Die Systeme werden wenn überhaupt nur halbherzig gewartet.

Die Mitarbeiter nicht oder schlecht geschult und IT-Sicherheit kommt "von denen aus der IT" das geht mit nichts an. Und zur Schulung gehören nicht irgendwelche bunten Filmchen und Quize die die MA durchklicken können, sondern eine ordentliche Awareness-Schulung mit nem Simulierten Hackerangriff...das fruchtet..

@IT-Kollegen lasst euch da mal Budget von eurem Chef geben. Das ist sinnvoller angelegt als die xte Powerpoint-Schulung.

Vor ein paar Jahren gab es wohl von vielen Versicherungsgesellschaften "Cyber-Versicherungen" für Unternehmen. Eine Cashcow...viel Einnahmen wenig Risiko. Diese Angebote sind bis auf wenige wieder vom Markt verschwunden. Die Risiken und Kosten für die Versicherer sind zu groß.

Übrigens es ist nicht immer die Meldung auf dem Startscreen "Ich bin der böse Hacker überweise mir xxx Geld." Ich weiß von einem Unternehmen die wurden gehackt und der Angreifer hat schön die Kommunikation mitgelesen. Als es dann um die Abrechnung mit einem Lieferanten in China ging hat sich Kollege Bösewicht eingeschaltet und eine Email gesendet mit "wir haben unsere Kontodaten geändert, bitte überweise die 200.000 Euro doch auf unser neues Konto blabla..." Geld wurde gezahlt und das ganze wurde erst sichtbar als sich der Lieferant wirklich gemeldet hat.

In diesem Sinne.

 

[demlak]

Was ich immer nicht verstehe bei solchen Meldungen: Warum baut man ein Konstrukt auf, bei dem einzelne User so viele Daten erreichen können. Aufsplitten der Rechtestruktur macht es für Angreifer nicht nur schwer, sondern auch unattraktiv.

Egal ob nun per Maillink, per USB-stick, etc.. wenn der geknackte Rechner nur minimal pfuschen könnte, entsteht auch nur minimaler schaden..

Wenn der Rechner aber überall hinkommt.. tja..

Mittlerweile haben alle geschnallt, das funktionierende Backups lebenswichtig sind...

Bwahahahahahahahahahaha...

 

[der-gute]

Voll toll, das es hier News und Diskussionsfäden für diese ganzen IT Nerds gibt.
Endlich auchma ordentlich mitdiskutieren können

 

[cluso]

Was ich immer nicht verstehe bei solchen Meldungen: Warum baut man ein Konstrukt auf, bei dem einzelne User so viele Daten erreichen können. Aufsplitten der Rechtestruktur macht es für Angreifer nicht nur schwer, sondern auch unattraktiv.

Egal ob nun per Maillink, per USB-stick, etc.. wenn der geknackte Rechner nur minimal pfuschen könnte, entsteht auch nur minimaler schaden..

Wenn der Rechner aber überall hinkommt.. tja..


Bwahahahahahahahahahaha...

Das muss nicht mal so sein, will aber nicht ausschliessen dass die alle als Admin arbeiten. Wobei das bei einem Unternehmen dieser Größe eher unwahrscheinlich ist.

Kurzes Szenario:

Editorial: Der Angriff war sicherlich auf Shimano abgestimmt und es wurden auch entsprechende Personen als Ziel auserkoren. Stichwort Spear-Phishing.

Mitarbeiter bei Shimano erhält Email (vermutlich mit gefälschtem Mailheader) mit präpariertem Anhang.
Anhang wird gestartet und System 1 ist infiziert.

Je nach Stellung des MAs bekommt man so schon sehr viele Daten in den Zugriff.
Ansonsten kann der Rechner als Sprungturm genutzt werden um die Server zu finden und zu infiltirieren.
Bei einem Server ist evtl. eine 0-Day-Lücke (auch Hacker lesen CVS) offen durch die "man" reinkommt.

Das ganze noch in Kombination mit einer Privilige Elevation und das Netz steht dir offen.
Bist auf nem Server und hast Credentials dann ist eh alles zu spät. Da braucht es keinen "magischen Rechner" der alle Zugriffe hat.

Was vielleicht hätte auffallen können ist der Datentraffic nach "draussen". Wobei dann aber wieder die Frage ist in welchem Zeitraum die 4,5TB gesammelt wurde und ob das nicht im Grundrauschen untergegangen ist.

So und jetzt weg von IT-Nerd-Themen zurück zu den Bike-Nerd-Sachen. Nicht das sich @der-gute noch unwohl fühlt.

 

[Raphnex]

Passt ja…
Hatte gestern noch einen Vortrag dazu und da hieß es, dass mit diesen Angriffen mittlerweile global mehr Geld verdient wird als mit dem globalen Drogenhandel.

Zudem wird im Durchschnitt erst 240Tage später festgestellt, dass man gehackt wurde.

Wenn dies beides so wirklich stimmt….
Krass und Omg!

 

[gabarinza]

Passt ja…
Hatte gestern noch einen Vortrag dazu und da hieß es, dass mit diesen Angriffen mittlerweile global mehr Geld verdient wird als mit dem globalen Drogenhandel.

Zudem wird im Durchschnitt erst 240Tage später festgestellt, dass man gehackt wurde.

Wenn dies beides so wirklich stimmt….
Krass und Omg!

Ja klar, es dauert bis die ganzen Daten abgeflossen sind. Soll ja keiner anhand des gestiegenen Traffics merken. Außerdem muss wirklich alles verschlüsselt werden, und man muss sich ein Bild über die wirtschaftliche Leistungsfähigkeit des Unternehmens machen.
Die wissen schon sehr genau was sie tun.

 

[gt2]

Passt ja…
Hatte gestern noch einen Vortrag dazu und da hieß es, dass mit diesen Angriffen mittlerweile global mehr Geld verdient wird als mit dem globalen Drogenhandel.

Zudem wird im Durchschnitt erst 240Tage später festgestellt, dass man gehackt wurde.

Wenn dies beides so wirklich stimmt….
Krass und Omg!

…ich auch, und da wurde der Shimano-Hack sogar erwähnt …