Preloader

Adresse

2310 North Henderson Ave., Dallas, TX 75206

Telefonnummer

+1 (214) 646-3262

Email Addressе

sales@cy-napea.com

Blog Details

Feuer im Eis: Die digitale Belagerung von Pergamon Status durch Direwolf und die Verteidigung, die alles verändert hätte.

Feuer im Eis: Die digitale Belagerung von Pergamon Status durch Direwolf und die Verteidigung, die alles verändert hätte.

Wenn Eis auf Feuer trifft – Die Ransomware-Belagerung von Pergamon Status Diş Ticaret AŞ

Pergamon Status Diş Ticaret AŞ wurde im April 2001 gegründet und ist seit dem 12. November 2014 unter dem Ticker PSDTC an der Borsa İstanbul gelistet. Das Unternehmen mit Sitz in İzmir beschäftigt 22 Mitarbeiter und ist im Großhandel mit langlebigen und nicht langlebigen Konsumgütern tätig.

Pergamon_Status5
 

Laut mehreren Finanzdatenplattformen beträgt die Marktkapitalisierung im Juli 2025 zwischen 740 und 855 Millionen TRY (≈ 15,8 bis 18,2 Millionen EUR). Der gemeldete Umsatz der letzten zwölf Monate beläuft sich auf 32,58 Mio. TRY (≈ 958.000 EUR), bei einem Nettoertrag von 36,23 Mio. TRY (≈ 1,07 Mio. EUR) und einem Aktienkurs von 106,50 TRY (≈ 3,13 EUR).

Mit über 130.000 abgewickelten Zollmeldungen, 976 Käufern und 19 Lieferanten gilt Pergamon Status als eine tragende Säule im türkischen Außenhandelsnetz. Zu den bedeutenden Partnern zählen Keller & Kalmbach GmbH, Würth Industrie Service GmbH & Co KG sowie Artistic Fabric Mills (Private) Ltd.

Im Mai 2025 tauchte Direwolf auf – ein neuer Akteur in der Welt der Ransomware, berüchtigt für seine Doppel-Erpressungstaktik. Die Gruppe verschlüsselt Netzwerke mit den Algorithmen ChaCha20 und Curve25519, stiehlt sensible Daten und droht mit deren Veröffentlichung über ein Tor-basiertes Leak-Portal, wenn keine Zahlung in Kryptowährung erfolgt.

Zwischen dem 27. Mai und 8. Juli 2025 beanspruchte Direwolf öffentlich 21 Opfer mit einer durchschnittlichen Zeitspanne von 13,1 Tagen zwischen Angriff und Veröffentlichung der Daten. Im Fall von Pergamon Status wurden rund 50 GB an Oracle-Datenbanken, Finanzberichten, Export- und Importprotokollen, Steuerunterlagen und ISO-zertifizierten Audits extrahiert. Ein Beispieldatensatz wurde am 20. Juli veröffentlicht, die vollständige Datenveröffentlichung ist für den 30. Juli 2025 geplant.

Die Sicherheitsabteilung von Pergamon Status entdeckte die Verschlüsselung am 20. Juli um 12:55 UTC, was das rasante Vorgehen von Direwolf unterstreicht – ein blitzartiger digitaler Überfall auf einen der wichtigsten türkischen Handelsakteure.

 

Die lautlose Infiltration – Wie das Eis zu knacken begann

Am 20. Juli 2025 veröffentlichte die Ransomware-Gruppe Direwolf auf ihrem Leak-Portal im Tor-Netzwerk eine Dateiliste mit gestohlenen Unternehmensdokumenten und leitete damit offiziell ihre Erpressungskampagne gegen Pergamon Status Diş Ticaret AŞ ein. Die Sicherheitsabteilung des Unternehmens entdeckte die Verschlüsselung der internen Dateien um 12:55 UTC, als bereits erheblicher Schaden angerichtet worden war.

Die nachfolgenden Schritte stellen eine rekonstruierte Angriffskette dar – basierend auf den bekannten Taktiken, Techniken und Vorgehensweisen (TTPs) von Direwolf:

  • 15. Juli 2025, 03:20 UTC (geschätzt): Über 800 fehlgeschlagene RDP-Anmeldeversuche aus einem anonymisierten IP-Bereich – vermutlich erste Brute-Force-Angriffe über sogenannte Bulletproof Hosting-Dienste.

  • 15.–18. Juli (geschätzt): Aufklärung durch Scans offener RDP-Ports und SMB/CIFS-Shares, um die Netzwerkstruktur von Pergamon Status zu kartieren.

  • 18. Juli (geschätzt): Einsatz von Credential-Dumping-Tools ähnlich Mimikatz, gefolgt von Pass-the-Hash-Techniken zur Privilegieneskalation in der Windows-Domäne.

  • 18.–20. Juli (geschätzt): Laterale Bewegung zu kritischen Systemen – darunter der SAP S/4HANA-Logistikserver und zentrale Oracle-Datenbank – ohne von signaturbasierten Antivirenlösungen erkannt zu werden.

  • Frühe Morgenstunden am 20. Juli (geschätzt): Exfiltration von etwa 50 GB sensibler Daten über verschlüsselte HTTPS-Tunnel zu einem versteckten Tor-Service mit einer geschätzten Spitzenrate von 500 Mbps, abgeschlossen in rund vier Stunden.

  • 20. Juli, 00:45 UTC (geschätzt): Aktivierung der Verschlüsselungsprozesse durch maßgeschneiderte ChaCha20-Poly1305-Routinen auf den File-Servern.

  • 20. Juli, 00:52 UTC (geschätzt): Verbreitung der howl.txt-Datei – die digitale Kriegserklärung von Direwolf – in allen betroffenen Netzwerkverzeichnissen.

Als Pergamon Status den Angriff erkannte, waren bereits sämtliche zentralen Dokumente verschlüsselt und entwendet. Die Uhr tickte: Innerhalb von 48 Stunden sollte ein Lösegeld gezahlt werden, andernfalls drohte die vollständige Veröffentlichung hochsensibler Unternehmensdaten am 30. Juli.

Pergamon_Status2
 

Nach dem Sturm – Splitter eines zerrissenen Netzwerks

Als am Morgen des 20. Juli 2025 die erste howl.txt-Lösegeldforderung auf den Servern von Pergamon Status auftauchte, war es bereits zu spät. Die Systeme standen still, die Daten waren verschlüsselt, und die Leak-Seite von Direwolf präsentierte öffentlich den ersten Dateiauszug – ein digitales Trommelfeuer, das die Firma in die Knie zwang.

Innerhalb weniger Stunden breitete sich der Schock in alle Richtungen aus:

  • Bestellprozesse kamen zum Stillstand(geschätzt): Das unternehmenseigene SAP S/4HANA-System, das monatlich zehntausende Lieferungen für Zahnarztpraxen und Labore steuert, war lahmgelegt.

  • Kommunikation mit Partnern geriet ins Chaos(geschätzt): Pergamon Status richtete improvisierte Hotlines und Notfall-E-Mail-Adressen ein, um die Unsicherheit bei 976 Kunden abzufangen.

  • Incident-Response-Teams wurden aktiviert(geschätzt): Externe Sicherheitsexperten – mutmaßlich aus dem DACH-Raum – reisten an, führten forensische Analysen durch und unterstützten die interne IT bei der Schadensbegrenzung.

  • Regulatorische Prozesse wurden eingeleitet(geschätzt): Nach türkischem Datenschutzrecht (KVKK) muss ein solcher Vorfall innerhalb von 72 Stunden der BTK sowie betroffenen Parteien gemeldet werden.

Doch die Spuren von Direwolf blieben:
Versteckte Administrator-Konten, verschlüsselte Snapshots in falsch konfigurierten Backup-Verzeichnissen und ein tickender Countdown auf dem Tor-Portal. Das Unternehmen stand vor der Gretchenfrage – zahlen und schweigen oder kämpfen und offenlegen?

Mit dem 30. Juli als Stichtag für die vollständige Datenveröffentlichung geriet Pergamon Status unter immensen Druck: der mögliche Reputationsverlust gegen die direkte finanzielle Belastung eines Lösegelds. Ein Spiel auf Zeit, das niemand freiwillig spielt – und das viele nie vergessen.

Pergamon_Status3
 

Die Abrechnung – Was das Eis Pergamon wirklich kostete

Als die Ransomware-Angreifer von Direwolf ihre Forderungen stellten, begann die stille Bilanzierung eines digitalen Albtraums. Zwar ist die genaue Summe unbekannt, doch anhand von Branchendaten und Direwolf-typischen Erpressungsmustern lässt sich der geschätzte finanzielle Schaden für Pergamon Status Diş Ticaret AŞ auf mehrere Millionen Euro beziffern.

Lösegeldforderung

Direwolf verlangt von früheren Zielen im Schnitt etwa $500.000, was einem Gegenwert von ca. €460.000 entspricht. Pergamon Status dürfte eine ähnliche Forderung erhalten haben, sofern keine individuelle Verhandlung stattfand.

Incident Response & Wiederherstellungskosten

Laut Cloudwards.net lagen die durchschnittlichen Kosten für Wiederherstellung und Notfallmaßnahmen nach einem Ransomware-Angriff bei rund $2,73 Millionen – etwa €2.510.000. Darin enthalten: IT-Forensik, Infrastruktur-Reparaturen, juristische Beratung und Kommunikation.

Betriebsunterbrechung

Die Systeme von Pergamon Status könnten bis zu 24 Tage beeinträchtigt gewesen sein. Bei einem geschätzten Tagesumsatz von €2.600 summiert sich der Schaden durch ausgefallene Lieferungen, Leerlauf und entgangene Erlöse auf etwa €62.400.

Regulierung & Rechtsberatung

Bei Verstößen gegen das türkische Datenschutzgesetz KVKK können Bußgelder und externe Beratungskosten entstehen. Eine konservative Schätzung: etwa 2 % des Jahresumsatzes, also rund €20.000.

Gesamtschaden (geschätzt)

≈ €3.052.400

Selbst im günstigsten Fall – wenn Backups einspringen und die Lösegeldforderung erfolgreich reduziert wird – dürfte der direkte Schaden bei über €1 Million liegen. Hinzu kommt das Risiko langfristiger Reputationsverluste und rechtlicher Auseinandersetzungen mit Kunden, Behörden und Partnern.

Pergamon_Status4
 

Die letzte Verteidigungslinie – Wie Cy-Napea® die Belagerung verhindert hätte

Der Rauch hing noch über dem zerstörten Netzwerk von Pergamon Status, als ein neuer Held eintraf: Cy-Napea®, die glänzende Festung von Aurora Consolidated Ltd. Aus den Feuern zahlloser Cyber-Schlachten geboren, war Cy-Napea® bereit, jede Datenader mit seinem vereinten SaaS-Arsenal zu schützen — Erweiterter Bedrohungsschutz, EDR/XDR/MDR, unveränderbare Backups und mehr. Während Direwolf seinen Schatten über İzmir legte, boten diese digitalen Bollwerke neue Hoffnung.

In der tiefsten Nacht, als der erste Phishing-Pfeil einschlug, erwachte Cy-Napea®’s Awareness-Training zur Cybersicherheit zum Leben. Mitarbeiter, einst ahnungslos, agierten nun wie Wächter:

  • Ein Sachbearbeiter im Einkauf zögerte bei einer gefälschten Lieferrechnung.

  • Ein Logistikkoordinator erkannte sofort die Merkmale eines fingierten IT-Support-Anrufs.

  • Die Belegschaft mobilisierte über den Notfallkanal, meldete die verdächtige Aktivität — bevor auch nur eine einzige Zugangsdaten verloren ging.
    Die menschliche Firewall zündete — und schloss die Lücke lange bevor Direwolf seine Krallen setzen konnte.

Im Posteingangsgraben war Cy-Napea®’s Erweiterte E-Mail-Sicherheit in voller Aktion. KI-gesteuerte Filter legten ein digitales Netz aus:

  • Bösartige Links zerfielen zu harmlosen Schemen

  • Täuschungsversuche wurden mit grellen Warnsignalen versehen

  • Die gefälschte "dringende Aktualisierung" eines vermeintlichen Spediteurs erreichte niemanden — Direwolfs Köder blieb unberührt, sein Haken zerbrach in der Luft.

Als ein Angreifer die Mauern durchbrach, wurden Cy-Napea®’s EDR/XDR/MDR-Systeme aktiv. Ungewöhnliche Prozesse — Echos der ChaCha20-Verschlüsselung — wurden in Echtzeit erkannt. Infizierte Hosts wurden durch automatisierte Playbooks isoliert. Threat-Hunter, geleitet von Cy-Napea®’s tiefgreifender Telemetrie, folgten jedem Schritt der Eindringlinge — und kappten die Exfiltrationskanäle, lange bevor 50 GB sensibler Daten das offene Netz erreichten.

Und in jenen seltenen Nächten, an denen Verschlüsselung ungepatchte Server überrollte, drehte Cy-Napea® mit Unveränderbaren Backups und Wiederherstellung per Klick die Uhr zurück.
Air-gapped Snapshots blinkten auf, SAP- und Oracle-Systeme wurden in Sekundenschnelle wiederhergestellt.
Was Wochen der Panik hätte bedeuten können, wurde zu Stunden flackernder Bildschirme und ausgelassener Jubelrufe.

Pergamon_Status1
 

Disclaimer: 

Diese Analyse beruht auf öffentlich zugänglichen Daten zum Direwolf-Angriff auf Pergamon Status (Ransomware.live, HookPhish), marktüblichen Schadensschätzungen (Trustwave, Cloudwards.net), sowie Produktinformationen von Cy-Napea®. Reale Vorfälle können in Umfang und Wirkung abweichen.

 

Quellen

Tags:
Share:
Cy-Napea® Team
Author

Cy-Napea® Team

Abonnieren Sie unseren Newsletter

Seien Sie einer der Ersten, der von den neuesten Cyber-Bedrohungen erfährt

shape
https://www.facebook.com/cynapea
https://www.linkedin.com/company/cy-napea
Ihr Erlebnis auf dieser Website wird durch die Zulassung von Cookies verbessert. Erfahren Sie mehr

These cookies are essential for the website to function properly.

These cookies help us understand how visitors interact with the website.

These cookies are used to deliver personalized advertisements.