Unser Hersteller MDaemon wurde am 16. Oktober das Ziel eines Ransomware-Angriffs, der das IT-System und die Webseite des Unternehmens betraf.
Wir stehen in direktem Kontakt mit dem Hersteller und aktualisieren diesen Artikel fortlaufend, um Sie jederzeit über den aktuellen Stand zu informieren. Wir empfehlen Ihnen, die Neuigkeiten per RSS-Feed zu abonnieren.
Stand: 28.11.2022 / 8:30 Uhr
Hier finden Sie die abschließende Stellungnahme "Incident Statement on Network Attack" des Herstellers.
Stand: 14.11.2022 / 8:00 Uhr
Die Webseite des Herstellers, das Bestellsystem und der Downloadbereich sind wieder vollumfänglich funktionstüchtig.
Stand: 6.11.2022 / 10:00 Uhr
Die Wiederherstellung der Systeme nimmt angesichts der Art des Angriffs und der Komplexität der Systeme etwas Zeit in Anspruch. MDaemon Technologies ist dabei, eine neue, saubere und betriebsbereite hybride Netzumgebung aufzubauen.
Der E-Mail-Dienst konnte inzwischen reaktiviert werden. Zudem hat MDaemon übergangsweise eine neue Website mit eingeschränkter Funktionalität (keine Downloads, keine Transaktionen) eingerichtet. Supportdienste und Ticketsystem sind jedoch betriebsbereit.
Das Lizenzaktivierungssystem sowie das System für befristete Lizenzen können im Einzelfall noch für Unterbrechungen sorgen. Davon abgesehen, funktioniert die Software reibungslos.
MDaemon ist bestrebt, die verbleibenden Dienste (Transaktionen und Lizenzaktivierungen) schnellstmöglich wiederherzustellen. Sobald dies der Fall ist, wird der Hersteller weitere Informationen zur Verarbeitung der Lizenzen veröffentlichen (z.B. was mit Renewals passiert, die während der Unterbrechung abgelaufen sind usw.).
Stand 21.10.2022 / 15:00 Uhr
Die Laufzeiten und auch die Lizenzanzahl werden derzeit von dem Hersteller MDaemon Technologies temporär angepasst:
D.h. jede Installation, die sich in den letzten Tagen bei dem Lizenzserver gemeldet hat, bekommt für die Lizenzen eine Wartungslaufzeit von 731 Tagen. Außerdem wird überprüft, wie viele Benutzerkonten aktuell eingerichtet sind und die Lizenzierung wird auf +10 für die einzelnen Module angepasst. Sobald der ursprüngliche Lizenzserver des Herstellers wieder vollständig zur Verfügung steht, werden diese Lizenzinformationen wieder automatisiert angepasst.
Die Meldung beim Aktivieren ist demnach derzeit normal:
Stand 19.10.2022 / 18:00 Uhr / zuletzt inhaltlich aktualisiert 20.10.2022 um 12:00 Uhr
Der AV-Aktualisierungsdienst wurde wie erwähnt wiederhergestellt und auch das License Response System ist wieder in Betrieb. Dies ermöglicht es den aktiven MDaemon- und SecurityGateway-Installationen, mit dem Aktivierungsserver zu kommunizieren.
Sollte es Probleme mit dem MDaemon Connector geben und Outlook-Clients keine Verbindung aufbauen, gehen Sie bitte wie folgt vor:
Bitte in MDaemon unter "Hilfe -> MDaemon-Produkte registrieren..." den Button "Aktualisieren" klicken:
Anschließend klicken Sie "Einstellungen -> MDaemon Connector..."
Wählen Sie hier unter "MC-Server-Einstellungen" den Unterpunkt "Einstellungen" aus.
Aktivieren Sie die Option "Unterstützung für MDaemon Connector aktivieren".
Bestätigen Sie mit OK.
Öffnen Sie das Menü "Sicherheit" -> "AntiVirus"..."
Stellen Sie sicher, dass die Option "AntiVirus-Prüfung" aktiviert ist:
Sollte es Probleme mit MDaemon ActiveSync und öffentlichen Ordnern oder Kontakten geben, gehen Sie bitte wie folgt vor:
Klicken Sie in MDaemon auf "Einstellungen -> ActiveSync..." und wechseln Sie auf den Reiter "Anpassung"
Im Reiter "Anpassen" klicken Sie auf die Option "Globale Voreinstellungen für Client-Einstellungen".
In dem dann folgenden Fenster empfiehlt es sich vorerst die Einstellungen wie auf dem Screenshot abgebildet zu übernehmen.
Dadurch werden allen Benutzern zunächst wieder alle freigegebenen und öffentlichen Ordner angezeigt, sowie die öffentlichen Kontakte wieder in die Client-Kontakte synchronisiert.
Individuelle Anpassungen können im Nachhinein wieder über "Benutzerkonten -> *Benutzer auswählen* -> Benutzerkonten-Editor -> ActiveSync -> Client-Einstellungen" angepasst werden.
Kontaktieren Sie uns zudem bei Fragen oder weiteren Problemen telefonisch oder per E-Mail.
Stand 19.10.2022 / 3:00 Uhr
Die Virendefinitionen für Cyren AV werden wieder erfolgreich in MDaemon geladen und installiert.
Stand 18.10.2022 / 16:00 Uhr
FAQ vom Hersteller:
Was hat den Ausfall des Systems und der Website verursacht?
Soweit MDaemon Technologies es beurteilen kann, wurden sie von einer Ransomware-Gruppe angegriffen, die Teil einer größeren Ransomware-as-a-Service (RaaS)-Kampagne ist.
Welche Maßnahmen ergreift MDaemon Technologies, um gegen den Angriff vorzugehen?
MDaemon hat den Vorfall an die der US-Regierung unterstellten “Cybersecurity & Infrastructure Security Agency” (CISA) und dem FBI gemeldet. Sie arbeiten gerade mit Hochdruck daran, bestehende Kunden durch die Wiederherstellung des Softwarelizenz-Aktivierungssystems zu unterstützen. Weitere Systeme werden nach der Relevanz ihrer Auswirkungen angegangen.
Verfügt MDaemon Technologies über Backups, um die Wiederherstellung des Dienstes zu unterstützen?
Ja. MDaemon ist aktuell jedoch nicht in der Lage, das gesamte Ausmaß des Angriffs sowie dessen Auswirkungen auf die Systeme einzuschätzen. Daher werden die betroffenen Systeme mit Bedacht wiederhergestellt, um zu vermeiden, dass unerwünschte und bisher unentdeckte Komplikationen auftreten.
Sind Kundendaten vom Angriff betroffen?
Nach der derzeitigen Einschätzung nein. Es scheint sich lediglich um einen Angriff auf verschiedene Systeme zu handeln.
Wie lange wird meine Software noch funktionieren?
Die Software kommuniziert in regelmäßigen Abständen mit dem MDaemon-Aktivierungsserver, um sicherzustellen, dass es sich um eine gültige Lizenz handelt. Zwischen den Checks läuft die Software 30 Tage lang weiter. Die Länge des Zeitraums hängt also davon ab, wann die Software das letzte Mal mit dem MDaemon-Server kommuniziert hat. Die Wiederherstellung des Aktivierungssystems hat für MDaemon oberste Priorität.
Kann ich eine neue Version installieren oder Lizenzen zu einer bestehenden Software hinzufügen?
Aktuell nicht. Neue Lizenzanfragen und Upgrades sind derzeit nicht möglich.
Inwiefern sind die MDaemon Antivirus-Updates von diesem Angriff betroffen?
MDaemon steht im Austausch mit dem Technologiepartner Cyren, um festzustellen, ob eine vorübergehende Aktualisierung möglich ist, bis das Aktivierungssystem wiederhergestellt ist.
Was geschieht mit Trials während dieser Zeit?
Ein Trial mit einer aktiven 30-Tage-Testversion sollte weiterhin funktionieren. Es sind jedoch keine neuen Trials verfügbar, da die Testlizenz nicht aktiviert werden kann.
Kann ich eine neue Lizenz bestellen?
Aktuell nicht. MDaemon muss zunächst sein Aktivierungs- und Lizenzierungssystem wiederherstellen – dies hat für sie oberste Priorität. Sobald das System wiederhergestellt ist, werden Softwarebestellungen und -updates für Partner möglich sein, die das XML-Bestellsystem verwenden. Bestellungen, die über die Website von MDaemon Technologies aufgegeben werden, sollen im nächsten Schritt wiederhergestellt werden.
Betrifft dieser Angriff auch MDaemon-Software-Installationen bei Kunden?
Nein. Dieser Angriff betrifft nur den Hersteller MDaemon Technologies.