Malware: Ransomware verunstaltet zahlreiche Print-Zeitungen

"Ihre Wolfsburger Allgemeine Zeitung kommt heute in ein wenig veränderter Form zu Ihnen", erklärte Chefredakteur Christoph Oppermann den Lesenden der Wochenend-Ausgabe. Grund dafür sei ein Cyberangriff auf die Computersysteme, die zur Herstellung der Zeitung genutzt würden. Neben der WAZ sind etliche weitere Regionalzeitungen der Madsack Mediengruppe betroffen. "Dank einer konzernweit sehr pragmatischen Zusammenarbeit konnten dennoch die meisten unserer Titel heute in annähernd vollem Umfang erscheinen", erklärte ein Unternehmenssprecher der Nachrichtenagentur dpa.

"Von Einschränkungen betroffen sind hauptsächlich die Lokalteile, unsere Online-Inhalte stehen wie gewohnt zur Verfügung. Wir haben unsere Leserinnen und Leser auf den jeweiligen Titelseiten über die Umstände informiert", sagte der Sprecher. Den fehlenden Inhalten und der ungewohnten Darstellung begegne man mit einer Aufhebung der Bezahlschranke am Wochenenende, erklärte Oppermann.

Nefilim-Ransomware im Madsack-Rechenzentrum

Laut einer E-Mail des Gutenberg-Rechenzentrums, dessen Gesellschafter unter anderem das Medienhaus Madsack ist, soll eine Ransomware für den Ausfall verantwortlich sein. Das geht aus einem Bericht des Onlinemagazins T-Online hervor, dem die E-Mail vorliegt. Darin heißt es, dass es sich bei dem Vorfall um eine "Großstörung" handele, die "alle Standorte" und den "gesamten Konzern der Madsack Mediengruppe" betreffe.

"Dies äußert sich zum Beispiel so, dass Dateien von der Endpoint Protection erkannt werden, die zusätzlich mit der Endung .NEFILIM versehen sind. Diese Dateien sind infiziert und verschlüsselt", heißt es in der E-Mail. Die Nefilim-Ransomware ist mindestens seit März 2020 aktiv und setzt auf die sogenannte Double Extortion. Dabei erpressen die Kriminellen ihre Opfer nicht nur mit den verschlüsselten Daten, sondern drohen zudem, eine Kopie der erbeuteten Daten zu veröffentlichen.

Die E-Mail fordert die Angestellten dazu auf, keine direkte Verbindung in das Netzwerk des Verlages per LAN oder VPN aufzubauen. Angestellte in den "Räumlichkeiten der Verlage sollen bitte nicht ihre Rechner im Netzwerk nutzen. Ziehen Sie notfalls den Netzwerkstecker und arbeiten Sie per WLAN", heißt es.

Auch auf einen Datenaustausch per Outlook solle verzichtet werden. Zudem werden die Angestellten aufgefordert, ihren Rechner mit dem installierten Virenscanner auf Schadsoftware zu überprüfen. Der Trojaner wird den Angaben zufolge vom Virenschutzprogramm erkannt und eliminiert.