DE
DE EN FR
Startseite | Unsere Untersuchung des Harvest-Ransomware-Angriffs [Flash-Bericht]

Unsere Untersuchung des Harvest-Ransomware-Angriffs [Flash-Bericht]

Orlaith Traynor

4 min lesen - April 16, 2025

Dieser Blog ist eine Zusammenfassung unseres neuesten Flash-Berichts "Harvest Ransomware Attack". Sind Sie daran interessiert, diesen Bericht als Nichtkunde zu lesen? Setzen Sie sich mit uns in Verbindung, um Zugang zu diesem Inhalt.

Was hat sich bei Harvest SAS getan?

Harvest, ein französisches Fintech-Unternehmen, war das Ziel einer Ransomware-Angriff die von der entstehenden Gruppe durchgeführt werden Einige Waren ausführen.

Erntewurde in Frankreich gegründet und ist ein führendes Fintech-Unternehmen mit Hauptsitz in Paris. Das Unternehmen ist auf die Entwicklung und Gestaltung digitaler Lösungen und Software für Fachleute im Bereich der Vermögensverwaltung spezialisiert. Harvest konzentriert sich auf die Entwicklung von Plattformen, die die Vermögensverwaltung, den Aufbau von Portfolios und die Finanzanalyse rationalisieren. Zu den Dienstleistungen des Unternehmens gehören Software für die Vermögensverwaltung, CRM-Tools für Vermögenswerte und andere Lösungen im Zusammenhang mit der Zeichnung von Konten und der Produktverwaltung.

Harvest hat ein robustes Portfolio digitaler Plattformen und Dienstleistungen aufgebaut, das Sektoren wie Finanzen, Immobilien und Technologie unterstützt. Das Angebot umfasst Benchmark-Lösungen für die Vermögensverwaltung, leistungsstarke Business-Management-Tools und optimale Lösungen für die Analyse und Erstellung von Finanzangeboten.

Ein Überblick über den bisherigen Verlauf der Harvest SAS-Datenpanne

Am 10. April 2025 übernahm die Ransomware-Gruppe Run Some Wares die Verantwortung für die Kompromittierung des in Frankreich ansässigen Softwareunternehmens Harvest SAS über dessen Website harvest[.]eu.

Der Angriff wurde ursprünglich am 27. Februar entdeckt, wurde aber erst am 10. April gemeldet, als Harvest einen "Cybervorfall" bekannt gab, der seine internen Systeme betraf. Fast sofort brachten Cybersicherheitsanalysten den Angriff mit Run Some Wares in Verbindung, die sich später über eine ihrer Dark-Web-Leak-Seiten zu dem Angriff bekannten.

Ein Screenshot einer Veröffentlichung von Run Some Wares im Zusammenhang mit dem Group Harvest-Leck.

Wenige Tage nach dem Einbruch veröffentlichte Run Some Wares den Namen von Harvest zusammen mit einer Auswahl der gestohlenen Dateien auf ihrer Leak-Site. Dazu gehörten interne Dokumente und kundenbezogene Daten. Heute hat die Gruppe das gesamte Ausmaß des Datenlecks bekannt gegeben.

Was wurde bei diesem Verstoß aufgedeckt?

Der Ransomware-Angriff auf Harvest führte zur Exfiltration und Offenlegung einer breiten Palette hochsensibler Unternehmensdaten, was sich auf nahezu jeden Aspekt der Geschäftstätigkeit des Unternehmens auswirkte. Die Angreifer setzten eine doppelte Erpressungstaktik ein, indem sie sowohl interne Systeme verschlüsselten als auch Daten zur potenziellen Veröffentlichung stahlen.

Die durchgesickerte Verzeichnisstruktur zeigt eine Kompromittierung von:

  • Kerngeschäftsbereiche: Ordner wie 0. ERNÄHRUNG/, Laufende Projekte/, Agil/und SCRUM/ schlagen die Offenlegung von Projektplänen, Strategiedokumenten, Sitzungsnotizen und Organigrammen vor.
  • Finanz- und Buchhaltungsdaten: Verzeichnisse wie Buchhaltung & Lohnbuchhaltung, Compta & DEV & QA & Konzeption/und Back Office & Qualität/ enthalten wahrscheinlich Buchhaltungsunterlagen, Gehaltsabrechnungsdaten und Qualitätssicherungsdateien.
  • HR- und Personalakten: Ordner mit der Bezeichnung DSI & RH/, RH/, Personal und Vertraulichkeit/und Verzeichnisse, die nach E-Mail-Adressen von Mitarbeitern benannt sind, weisen auf die Offenlegung von Arbeitsverträgen, Beurteilungen, Gehaltsabrechnungen und anderen sensiblen Personaldokumenten hin.
  • Berechtigungsnachweise und Verschlüsselungsschlüssel: Verzeichnisse wie Clés de chiffrement BDD/, Zahlenangaben Veeam/, KeyPass/, keepass/und mdp/ deuten auf die Kompromittierung von Kennworttresoren, Verschlüsselungsschlüsseln und internen Anmeldeinformationen hin, was eine erhebliche Gefahr für die gesamte Infrastruktur darstellt.
  • Rechtliche und regulatorische Dokumentation: Ordner wie Juridique & Comptabilité/, Finanzen & Recht/und VERTRAULICHKEIT - WERTSCHÄTZUNG/ den Zugang zu rechtlichen Unterlagen, Verträgen, internen Prüfungen und Dokumenten im Zusammenhang mit der Einhaltung von Vorschriften oder Unternehmenstransaktionen vorschlagen.
  • Technisches und Entwicklungsvermögen: Das Vorhandensein von Maschine - Deep Learning/, IA Generativ/, SQL Server Management Studio/und oracle.sqldeveloper.* weist auf die potenzielle Offenlegung von proprietärem Quellcode, KI-Modellen, Skripten und Infrastrukturkonfigurationen hin.
  • Daten von Dritten und Kunden: Zahlreiche Prospekte verweisen auf externe Partner und Kunden, was das Risiko nachgelagerter Auswirkungen erhöht.
  • Interne Kommunikation: Auch E-Mail-Archive und interne Kommunikationsdateien wurden geleakt, was das Risiko von gezieltem Phishing und Social Engineering erhöht.

Ein Schnappschuss von Bedrohungsakteuren: Wer ist Run Some Wares?

Ein Screenshot der Ransomware-Seite der Gruppe auf TOR. Quelle: CybelAngels Flash-Bericht.

Run Some Wares, der Bedrohungsakteur, der hinter dem jüngsten Einbruch in Harvest steckt, ist eine relativ neue, aber schnell wachsende Ransomware-Gruppe.

Sie sind auch für diese Hauptmerkmale bekannt:

  • Anwendung des Modells der doppelten Erpressung (Verschlüsselung von Daten und Androhung öffentlicher Lecks)
  • Nutzung mehrerer .onion-Sites zur Weitergabe gestohlener Daten und zur Aushandlung von Lösegeld
  • Kein festes Angriffsmuster, aber häufige Angriffe auf den Finanz- und den Produktionssektor

Run Some Wares operiert hauptsächlich im Dark Web und nutzt spezielle Leak-Sites, um Daten von Opfern zu veröffentlichen und Unternehmen zu Lösegeldzahlungen zu zwingen. Ihre Infrastruktur zeichnet sich durch ihre operative Reife aus. Auf aktiven Websites werden bereits sensible Daten von Opfern aus aller Welt gespeichert.

CybelAngel-Analysten und andere Branchenbeobachter haben festgestellt, dass Run Some Wares trotz seines erst kürzlich erfolgten Auftretens schnell eine globale Reichweite erreicht hat. Ihre Angriffe erstrecken sich über verschiedene Regionen und Branchen, wobei der Schwerpunkt auf der Maximierung von Wirkung und Sichtbarkeit liegt.

Bis April 2025 hat sich Run Some Wares zu fünf größeren Angriffen bekannt:

  • Ernte (Frankreich): Ein führendes Fintech-Unternehmen, das auf Software für die Vermögensverwaltung spezialisiert ist. Der Verstoß wurde im April entdeckt.
  • Donna G. Rogers (USA): Eine Wirtschaftsprüfungsgesellschaft, die Ende Februar angegriffen wurde.
  • Thai Metal Aluminium Co (Thailand): Ein Produktionsunternehmen wurde im Februar angegriffen.
  • F&V Capital Management (USA): Ein Finanzdienstleistungsunternehmen, das im Februar angegriffen wurde.
  • Gilbert (USA): Ein Lieferkettenunternehmen, bei dem der Verstoß Ende Februar entdeckt wurde.

Gut zu wissen

Wissen Sie, ob Sie von diesem Leck betroffen sind? CybelAngel kann Sie von der Erkennung bis zur Behebung unterstützen. Innerhalb unserer Überwachung des Dark Web Service scannen wir unter anderem TOR, I2P, Discord, Telegram und IRC, um Ihre Daten zu schützen.

Kontakt aufnehmen

Wenn Sie kein Kunde sind, sich aber ein vollständiges Bild von diesem Bedrohungsakteur machen möchten, können Sie sich mit uns in Verbindung setzen, um Zugang zu diesem Bericht zu erhalten.

Kontakt