Ransomware-Attacke: Hosted Exchange von United Hoster offline
Beim Cloud-Service-Anbieter United Hoster aus Stuttgart kam es am Wochenende zu einem Ransomware-Befall. In der Folge ist das Hosted Exchange offline.
(Bild: Black_Kira/Shutterstock.com)
Seit vergangenem Samstag ist das Hosted Exchange von United Hoster aus Stuttgart nicht mehr verfügbar. Ursache ist nach Unternehmensangaben ein Ransomware-Angriff. Der Anbieter will seine IT-Systeme zur Wiederherstellung nun neu aufsetzen.
"Im Rahmen einer internen Untersuchung wurde festgestellt, dass ein Angreifer eine unbekannte Schwachstelle in Microsoft Exchange ausgenutzt hat, um Zugriff auf den Exchange Server zu erlangen", erklärte ein Unternehmenssprecher auf Anfrage von heise online. Bei diesem unbefugten Zugriff sei eine Ransomware auf dem Server platziert worden, die eine umfassende Verschlüsselung der Server, insbesondere der Maildatenbanken, verursachte.
Ransomware-Angriff: Daten verschlüsselt, aber nicht abgeflossen
"Gemäß unseren Analysen sowie unserer permanenten Überwachung gibt es, nach aktuellem Kenntnisstand, keinen Hinweis auf Datenabfluss", ergänzte der Sprecher. Bislang sei keine Lösegeldforderung eingegangen, was das Unternehmen als weiteres Indiz werte, dass keine Daten abgeflossen seien.
Das IT-Team habe unverzüglich Gegenmaßnahmen ergriffen. Das Unternehmen habe den "Datenschutzbeauftragten informiert, innerhalb er von der DSGVO vorgesehenen Fristen eine Meldung an die zuständige Landesdatenschutzaufsichtsbehörde abgegeben und Strafanzeige bei der Polizei erstattet. Mit den Ermittlungsbehörden arbeiten wir eng und vertrauensvoll zusammen", ergänzte der Unternehmenssprecher.
Die Kunden seien über den Vorfall informiert worden. Ihnen sei "eine alternative Lösung für Mails bereitgestellt" worden. Seit dem Ausfall ankommende Mails würden in einem vorgelagerten System in der Warteschleife gespeichert und nach der Bereitstellung der alternativen Mail-Lösung dorthin zugestellt. Worin die Alternative besteht, etwa im direkten Hosting bei Microsoft Online, wie es andere Hosted Exchange-Anbieter in der Vergangenheit bei derartigen Vorfällen gemacht haben, bleibt jedoch unklar.
United Hoster baue derzeit eine neue Microsoft-Exchange-Umgebung auf, in die die Kunden schließlich migriert werden sollen, damit sie wieder den vollen Funktionsumfang erhalten. Genaue Angaben zur Anzahl betroffener Kunden oder Postfächer will das Unternehmen nicht machen, das gehöre zum Geschäftsgeheimnis. Wann United Hoster mit der Wiederherstellung der Dienste in der neuen Struktur rechnet, ist ebenfalls unklar.
Welche Exchange-Sicherheitslücke die Angreifer missbrauchen konnten, benannte der Unternehmenssprecher nicht. Im Dezember vergangenen Jahres kam es beim großen Hosted-Exchange-Anbieter Rackspace zu einem Cyberangriff. Deren Kunden wurden zur schnellen Abhilfe zu Microsoft 365 migriert. Damals wurden teilweise Exchange-Sicherheitslücken aus dem ProxyNotShell-Umfeld für den Einbruch missbraucht, um die Play-Ransomware zu installieren.
(dmk)
