Sicherheitsvorfall beim Sicherheitsdienst: Ransomware "Ryuk" befällt Prosegur

Der Erpressungstrojaner Ryuk wütet(e) in Prosegurs Unternehmensnetzwerk. Das vollständige Ausmaß der Infektion ist derzeit noch unklar.

In Pocket speichern vorlesen Druckansicht 29 Kommentare lesen
Sicherheitsvorfall beim Sicherheitsdienst: Ransomware "Ryuk" greift Prosegur an

(Bild: pixabay)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Der in Madrid ansässige international tätige Sicherheitsdienstleister Prosegur ist – vermutlich am gestrigen Mittwochmorgen – einer Infektion mit der Ransomware "Ryuk" zum Opfer gefallen.

Prosegur ist eigenen Angaben zufolge in 25 Ländern auf fünf Kontinenten tätig. Das Unternehmen beschäftigt weltweit über 175.000 Mitarbeiter. Zu seinen Dienstleistungen zählen unter anderem Geld- und Werttransporte (Sicherheitslogistik) sowie die Planung, Installation und Wartung von Gefahrenmeldeanlagen.

In einem ersten Statement, dass Prosegur am gestrigen Mittwoch via Twitter veröffentlichte, war zunächst die Rede von einem nicht näher spezifierten Sicherheitsvorfall ("information security incident"). Man habe "alle notwendigen Sicherheitsmaßnahmen" eingeleitet um zu verhindern, dass der Vorfall die Dienstleistungen des Unternehmens beeinträchtige. Dazu gehöre unter anderem die Einschränkung der Kundenkommunikation, um die Verbreitung zu verhindern.

Diese verräterische Formulierung wurde einige Stunden später um einen neuen Tweet mit weiteren Details ergänzt: Prosegur bestätigte nun einen Angriff durch den Erpressungstrojaner Ryuk. Man behalte die eingeschränkte Kommunikation als Sicherheitsmaßnahme bei und arbeite daran, die (offenbar doch beeinträchtigten) Dienstleistungen so schnell wie möglich wieder verfügbar zu machen.


Prosegur gab in diesem zweiten Tweet an, maximale Sicherheitsmaßnahmen ergriffen zu haben, um die interne und externe Verbreitung des Schädlings zu verhindern. Dies lässt darauf schließen, dass der Dienstleister zumindest zum Zeitpunkt der Tweet-Veröffentlichung die Ryuk-Infektion innerhalb seines Netzwerks noch nicht (vollständig) im Griff hatte.

Derzeit gibt es keine Informationen darüber, wie stark sich Ryuk tatsächlich im Netzwerk des Sicherheitsdienstleisters ausgebreitet hat. Die Ransomware gelangt häufig im Schlepptau der Malware Emotet – etwa mittels zielgerichteter Spam-Mails an Unternehmensmitarbeiter – auf die Systeme.

In den sozialen Netzwerken berichteten einzelne Prosegur-Kunden bereits in den frühen Morgenstunden des gestrigen Mittwochs, dass sie weder über die mobile App noch über den Browser auf den Kundenbereich zugreifen konnten. Laut einer Meldung von cso.com war die Prosegur-Website am gestrigen Mittwochnachmittag für einige Zeit nicht erreichbar. Zum jetzigen Zeitpunkt trifft dies noch immer für einige Unterseiten von prosegur.com zu: Ihr Aufruf führt, ebenso wie der Aufruf von prosegur.de, zu einem "Out-of-Service"-Hinweis.

(Bild: Screenshot / prosegur.de)

Die spanischsprachige IT-News-Website Derecho de la Red will aus nicht namentlich genannten Quellen erfahren haben, dass Prosegurs Netzwerkprobleme sämtliche Länder beträfen. Mitarbeiter weltweit seien nach Hause geschickt worden, berichtete Derecho. Auch der (telefonische) Kundenservice sei betroffen.

[Update 28.11.19, 15:35:]

Einem neuen Tweet von Prosegur zufolge hat das Unternehmen das Einfallstor des Schadcodes mittlerweile identifiziert und die Gefahr gebannt ("Ryuk has been fully contained"). Ein Expertenteam sei dabei, den Vorfall zu untersuchen und man arbeite weiterhin daran, alle Dienstleistungen in vollem Umfang wieder für die Kunden verfügbar zu machen.

[/Update]

Weitere Informationen zu Ryuk:

(ovw)