Kein wesentlicher Einfluss aufs Geschäftsjahr

Update: Ransomware-Attacke kostet Sopra Steria bis zu 50 Millionen Euro

Uhr
von Yannick Chavanne und Rodolphe Koller und Coen Kaat und Übersetzung: Fabian Kindle, René Jaun

Der IT-Dienstleister Sopra Steria ist im Oktober Opfer eines Ransomware-Angriffs geworden. Die Schadsoftware konnte eingedämmt werden. Der finanzielle Schaden beläuft sich auf bis zu 50 Millionen Euro - das Geschäftsjahr 2020 soll dadurch aber nur unwesentlich beeinträchtigt werden.

(Source: Michael Geiger / Unsplash)
(Source: Michael Geiger / Unsplash)

Update vom 26.11.2020: Die Ransomware-Attacke vom Oktober wird Sopra Steria zwischen 40 und 50 Millionen Euro kosten. 30 Millionen davon sind von einer Cyberversicherung abgedeckt, wie der französische IT-Dienstleister mitteilt.

Der Cyberangriff werde folglich die Geschäftszahlen für das vierte Quartal 2020 nicht wesentlich beeinträchtigen. Sopra Steria rechnet neu für das Geschäftsjahr 2020 mit einem organischen Umsatzrückgang von 4,5 bis 5 Prozent – zuvor lag die Prognose zwischen 2 und 4 Prozent.

Der freie Cashflow soll zwischen 50 und 100 Millionen Euro liegen. Zuvor wurde ein Betrag zwischen 80 und 120 Millionen Euro erwartet. Die geschätzte operative Marge liegt mit 6,5 Prozent weiterhin innerhalb des prognostizierten Bereichs von 6 bis 7 Prozent.

Den Angriff von 21. Oktober hätten die eigenen IT- und Cybersecurity-Teams rasch abgeblockt, schreibt das Unternehmen. Die Ransomware wurde in einem eingeschränkten Bereich des Unternehmensnetzwerks eingedämmt, um Kunden und Partner zu schützen. Der Zugang zu den Systemen und die Kundenverbindungen wurden schrittweise wiederhergestellt.

Es gäbe keine Anzeichen dafür, dass irgendwelche Daten abhanden gekommen seien oder dass die Informationssysteme der Kunden Schaden erlitten hätten.

Update vom 6. November 2020: Sopra Steria erholt sich vom Ransomware-Angriff

Sopra Steria scheint sich vom Ransomware-Angriff im Oktober zu erholen. Dem Unternehmen soll es gelungen sein, eine weitere Ausbreitung der Schadsoftware zu verhindern. Dies berichten mehrere französisch-sprachige Medien unter Berufung auf Guillaume Poupard, Generaldirektor der französischen Behörde für IT-Sicherheit, Agence nationale de la sécurité des systèmes d'information (ANSSI). Die vom IT-Dienstleister ergriffenen Massnahmen sollen demnach verhindert haben, dass sich die Schadsoftware weiter ausbreitete. Ausserdem seien die Installationen der Unternehmenskunden erhalten geblieben.

Zu spüren bekamen die Kunden den Angriff dennoch: Denn zur schnellen Schadensverhinderung schaltete Sopra Steria zahlreiche Server ab. Es werde einige Wochen dauern, um zur Normalität zurückzukehren, sagte das Unternehmen anlässlich der Präsentation seiner Quartalszahlen.

Korrigendum vom 29. Oktober 2020:

In der ursprünglichen Nachricht hiess es noch, Sopra Steria habe ein Lösegeld bezahlt. Sopra Steria hat keine Angaben dazu gemacht, ob Lösegeld bezahlt wurde.

Originalmeldung vom 28. Oktober 2020:

Der französische IT-Anbieter Sopra Steria ist Ziel eines Cyberangriffs geworden. Nun bestätigte das Unternehmen den Verdacht in einer Mitteilung: Sopra Steria hat das Lösegeld für Ryuk bezahlt. Eine neue Version der Ransomware, die immer mehr Opfer fordert.

Der Angriff wurde am 20. Oktober vom IT-Dienstleister entdeckt. Dieser machte zunächst keine Angaben dazu. Sopra Steria kündigte daraufhin an, dass es sich um eine Version von Ryuk handle, die Anbietern von Antivirus-Software noch unbekannt sei. Es wurde auch festgestellt, dass der Cyberangriff einige Tage vor seiner Entdeckung gestartet worden war. Sopra Steria fand keine Datenlecks.

Cybersicherheitsforscher haben seitdem mehr Informationen über die Vorgehensweise der Angreifer zur Verfügung gestellt. Sie vermuten einen Blitzangriff, bei dem Ryuk und die Zerologon-Schwachstelle kombiniert wurden. Le Mag IT zitiert einen Experten, der eine Kompromittierung des Windows Active Directory über den CVE-2020-1472-Fehler alias Zerologon anführt. Der Cybersicherheits-Blog DFIR Report erklärt, dass Cyberkriminelle bei dieser Art von Angriffen ihre Zugangs-Privilegien durch den Einsatz von Zerologon erhöhen können, und zwar weniger als zwei Stunden nach dem ersten Phishing-Angriff. Sie verwenden eine Vielzahl von Tools wie Cobalt Strike, AdFind, WMI und PowerShell, um ihr Ziel zu erreichen und Ryuk einzusetzen - und das alles in nur 5 Stunden.

Der Zerologon-Fehler

Kaspersky beschreibt Zerologon auf seinem französischen Blog als einen Fehler im Authentifizierungsverfahren des Netlogon Remote Protocol: "Das Protokoll identifiziert Benutzer und Rechner in Domänennetzwerken und wird verwendet, um die Kennwörter von Remote-Computern zu aktualisieren. Durch Ausnutzung dieser Schwachstelle kann sich ein Cyberkrimineller als Client-Computer ausgeben, das Kennwort eines Domain Controllers (ein Server, der das gesamte Netzwerk kontrolliert und Active Directory-Dienste ausführt) ändern und Admin-Rechte erhalten".

Microsoft veröffentlichte Anfang August Patches, die diese Sicherheitslücke schliessen.

Der Angriff auf die IT-Gruppe Sopra Steria erfolgt wenige Tage nach dem Angriff auf den deutschen Anbieter Software AG, der ebenfalls von einer Ransomware (namens Clop) getroffen wurde.

In einem Lagebericht stellt der Nachrichtendienst des Bundes fest, dass Ransomware ein ernstes Problem bleibt. Zudem warnt er vor Cyberangriffen auf die kritische Infrastruktur. Mehr darüber können sie hier nachlesen.

Webcode
DPF8_196070