Die größten Cyber-Raubzüge der Geschichte: Die Angriffe auf Bybit, MGM und Sony – Auswirkungen, Gemeinsamkeiten, Schadenshöhe und Cybersicherheitspotenziale
Die Gemeinsamkeiten wie auch die Differenzen sind beeindruckend. In unserer unregelmäßigen Serie „Die größten Cyberangriffe“ werfen wir einen Blick auf die größten Angriffe der Geschichte. Im heutigen Beitrag analysieren wir die Angriffe auf Bybit, MGM und Sony. Wir fassen zusammen, was passiert ist, wie es geschehen konnte, wie es entdeckt wurde, welcher Schaden entstanden ist und was die Konsequenzen waren. Anschließend untersuchen wir, welche Maßnahmen sinnvoll gewesen wären, um dem entgegenzuwirken, und ob mit mehr Wachsamkeit etwas hätte erreicht werden können.
Am Ende ziehen wir Bilanz, vergleichen die Fälle und erwägen, was man hätte besser machen können. Natürlich auch unter dem Aspekt der weiteren Sensibilisierung für die Cybersicherheit. Beginnen wir mit dem jüngsten Vorfall, dem Angriff auf Bybit im Februar 2025:
Der Angriff auf ByBit mit einem Schaden von 1,5 Milliarden USD
Im Februar 2025 wurde Bybit, eine führende Kryptowährungsbörse mit Sitz in Dubai, Opfer des bisher größten Angriffs auf eine solche Börse, als Ethereum im Wert von 1,5 Milliarden US-Dollar von Cyberkiminellen gestohlen wurden. Der Angriff wird der Lazarusgruppe zugeschrieben, einer von Nordkorea gesteuerten Organisation für Cyberkriminalität, die dafür bekannt ist, digitale Finanzsysteme ins Visier zu nehmen [1].
Die Übeltäter verschafften sich mittels einer hochentwickelten und mehrstufigen Operation Zugang, die mit der Kompromittierung der Safe-Wallet-Benutzeroberfläche begann, wahrscheinlich über eine Schwachstelle in der Wertschöpfungskette oder durch Social Engineering. Sie schleusten ein bösartiges Skript ein, das Transaktionsdaten in Echtzeit manipulierte, ohne interne Überwachungssysteme auszulösen. Der Angreifer bettete insbesondere einen ,Delegatecall’ in die Transaktionslogik ein [2], der unbefugte Vertragsaktualisierungen und die Umleitung von Geldern auf vom Angreifer kontrollierte Wallets ermöglichte. Die visuellen Transaktionsdaten, die dem Signierungs-Team von Bybit vorgelegt wurden, schienen legitim zu sein, aber sobald sie autorisiert waren, wurden die Vermögenswerte umgeleitet. Die Hacker veranlassten dann sofortige Abhebungen und verwischten den Weg der Gelder mithilfe von Chain-Hopping-Techniken. Die Ermittlungen ergaben eine Beteiligung der Lazarusgruppe, basierend auf einer Verhaltensanalyse und forensischen Blockchain-Analysen [1].
Am 21. Februar 2025 entdeckte Bybit im Rahmen einer Routinetransaktion den Übergriff. Umgehend wurden Sicherheitswarnungen ausgelöst, was dazu führte, dass die kompromittierten Wallets isoliert und weitere nicht autorisierte Abhebungen gestoppt wurden. innerhalb von Minuten wurden Notfallprotokolle eingeleitet [1].
Der finanzielle Schaden war gewaltig: 1,5 Milliarden US-Dollar an Ether wurden gestohlen. Trotzdem blieb Bybit zahlungsfähig. Innerhalb von 72 Stunden sicherte sich die Börse 447.000 ETH an Notfallliquidität von Partnern wie Binance und Galaxy Digital, wodurch eine Aussetzung von Kundenabhebungen vermieden und der Betrieb stabilisiert werden konnte. Der Kurs von Ethereum fiel nach dem Einbruch um 24 % und Bitcoin fiel unter USD 90.000, was die marktweite Besorgnis widerspiegelt [1].
Unter Verwendung der Schadenstaxonomie von Bada et al. [3] können die Folgen wie folgt bewertet werden:
5 – Finanzieller Schaden: Größter registrierter Krypto-Diebstahl, sofortiges Liquiditätsproblem, langfristige Finanzkontrolle.
4 – Operativer Schaden: Die Cold-Wallet-Infrastruktur wurde vorübergehend deaktiviert, und die Transaktionsgenehmigungen wurden überarbeitet.
4 – Reputationsschaden: Globale Wahrnehmung und Vertrauensverluste – trotz schneller Eindämmung.
2 – Rechtlicher und regulatorischer Schaden: Zu erwartende behördliche Untersuchungen und verstärkte Aufsicht, obwohl bis März 2025 keine formellen Strafen angekündigt wurden.
Bybit reagierte mit umfassenden strukturellen Änderungen. In Zusammenarbeit mit dem Wallet-Anbieter wurde das Multisignatur-Kontrollsytem umgestaltet und manuelle Überprüfungsebenen bei sensiblen Prozessen implementiert, ein Bonusprogramm zur Rückgewinnung von Geldern gestartet und ein Proof-of-Reserves-Audit innerhalb von drei Tagen abgeschlossen. CEO Ben Zhou kommunizierte transparent über Livestreams und veröffentlichte Updates, um die Interessengruppen zu beruhigen.
Der Angriff richtete sich eindeutig gegen die Entwickler der Plattform, und unsere Erfahrung zeigt, dass die IT-Abteilungen nicht wesentlich besser sensibilisiert sind als der Rest des Unternehmens. Wir sind der Ansicht, dass Initiativen zur Sensibilisierung für Cybersicherheit, einschließlich Phishing- und Smishing-Simulationen, Schulungen zu Social Engineering sowie zur Erkennung von Anomalien für Transaktionen in Echtzeit die Wahrscheinlichkeit einer erfolgreichen Schnittstellenmanipulation verringern oder die Verantwortlichen vor der Ausführung hätten alarmieren können. Ein Phishing-Warnmechanismus hätte möglicherweise vorgelagerte Angriffsvektoren wie auf Mitarbeiter ausgerichtete Exploits entschärfen können.
Zusammenfassend lässt sich sagen, dass der Vorfall bei Bybit zeigt, wie wichtig mehrschichtige Abwehrmaßnahmen, sofortiges und kompetentes Krisenmanagement und finanzielle Widerstandskraft sind, um bei Cyberangriffen auf kritische Finanzinfrastruktur durch staatlich gesponserte Akteure zu reagieren. Schutz und Wiederherstellung standen bei Bybit also voll im Vordergrund, aber wie sieht es mit der Identifizierung und Prävention aus?
Der 100-Millionen-USD-Angriff auf MGM im Jahr 2023
Im September 2023 wurde MGM Resorts International, ein globaler Hotel- und Casinokonzern, Opfer eines Cyberangriffs, der seinen Betrieb erheblich störte und sensible Kundendaten offenlegte. Der Angriff wird der Gruppe ALPHV (BlackCat) zugeschrieben, die mit Scattered Spider zusammenarbeitete, einer auf Social Engineering-Angriffe spezialisierten Gruppe [4][5].
Die Angreifer drangen mit Hilfe von Vishing und Phishing, zwei Social Engineering-Techniken in das Netzwerk von MGM ein. Zunächst kontaktierten den IT-Helpdesk und gaben sich als interne Mitarbeiter aus und brachten die Support-Mitarbeiter dazu, Zugangsdaten zu übermitteln. Von dort aus verschafften sich die Angreifer unbefugt Zugriff zu internen Systemen und setzten Malware ein, um den Betrieb zu stören. Der Angriff ging von finanziell motivierten Bedrohungsakteuren aus, die vermutlich in der westlichen Hemisphäre, womöglich in den USA oder in Großbritannien, ansässig sind [5].
MGM wurde am oder kurz vor dem 10. September 2023 auf die Sicherheitsverletzung aufmerksam, als ungewöhnliche Netzwerkaktivitäten festgestellt wurden und interne Systeme auszufallen begannen. Daraufhin ergriff das Unternehmen sofortige Maßnahmen und schaltete die betroffenen Systeme ab, um die Bedrohung einzudämmen [4].
Die finanziellen Folgen waren auch hier enorm. MGM meldete einen prognostizierten Verlust von 100 Millionen USD beim bereinigten EBITDA für seine Geschäftstätigkeit in Las Vegas für das dritte Quartal 2023, und zusätzlich 10 Millionen USD an direkten Kosten für die Cybersicherheit [4].
Wir haben den Vorfall gemäß der Schadenstaxonomie von Bada et al. [3] klassifiziert, wie wir es auch beim Bybit-Hack getan haben. Die Folgen waren wie folgt:
- 4 – Finanzieller Schaden: Verluste in Höhe von 100 Millionen US-Dollar plus weitere Aufwendungen und zukünftige Belastungen.
- 4 – Operativer Schaden: Unterbrechung des Betreiebs von Spielautomaten, Hotel-Check-in und weiteren digitalen Diensten. Sehen Sie sich das Video an, in dem alle Spielautomaten ausgefallen sind 😉 [6]
- 4 – Reputationsschaden: Öffentliche und mediale Berichterstattung über eine erhebliche Schwachstelle bei einer führenden Hotelkette.
- 3 – Rechtlicher und regulatorischer Schaden: Offenlegung personenbezogener Daten, einschließlich Führerschein-, Sozialversicherungs- und Reisepassnummern von Kunden vor 2019, mit regulatorischen und rechtlichen Auswirkungen.
MGM hat die für Gäste zugänglichen Systeme wiederhergestellt, jedoch, um künftige Risiken zu minimieren, die Monitoring-Funktionen verbessert und eine forensische Untersuchung in Zusammenarbeit mit den Behörden, einschließlich des FBI, eingeleitet. Außerdem wurden die Zugangskontrollprozesse und die Sicherheitsprotokolle der Mitarbeiter überarbeitet.
Regelmäßige Phishing- und Vishing-Simulationen, obligatorische Mitarbeiterschulungen und die Einführung von Schnellwarnsystemen hätten ein erhöhtes Sicherheitsbewusstsein schaffen und dazu beitragen können, den eigentlichen Angriff zu erkennen und zu verhindern oder sein Ausmaß zu verringern.
Der Vorfall bei MGM zeigt, wie ein einziger gut ausgeführter Social Engineering-Angriff zu einer veritablen Cybersicherheitsverletzung führen und existenzgefährdende Auswirkungen haben kann. Zum Glück für MGM, es gibt immer wieder Leute, sie sich dem Glücksspiel zuwenden.
Der weithin bekannte 100-Millionen-USD-Angriff auf Sony im Jahr 2014
Ende 2014 war Sony Pictures Entertainment (SPE) das Ziel einer der bekanntesten Cyberattacken der jüngeren Geschichte. Die Angreifer, die sich selbst als „Guardians of Peace“ (Wächter des Friedens) bezeichneten, drangen in die Systeme von Sony ein, stahlen große Mengen an Daten und setzten zerstörerische Malware ein, die erhebliche Teile der IT-Infrastruktur des Unternehmens unbrauchbar machte [7].
Die Angreifer verschafften sich durch einen Mix aus Spear-Phishing-E-Mails und Netzwerkausnutzung Zugang zum System. Forensischen Erkenntnissen zufolge, die in späteren Untersuchungen angeführt wurden, wurde der erstmalige Zugriff wahrscheinlich dadurch erlangt, dass ein Mitarbeiter durch einen Trick dazu gebracht wurde, einen bösartigen E-Mail-Anhang zu öffnen, der Malware installierte und sich so die Cyberkriminellen im Netzwerk festsetzten. Von dort aus erweiterten sie ihr Vorgehen und bewegten sich schrittweise über die Systeme hinweg, bis sie schließlich eine Wiper-Malware namens Destover, einsetzten, die Dateien und Boot-Datensätze in den Windows-basierten Systemen von Sony zerstörte. Die US-Behörden schrieben den Angriff Nordkorea zu, angeblich als Vergeltung für die von Sony geplante Veröffentlichung von The Interview, einem satirischen Film über ein geplantes Attentat auf den Führer des Landes [8][9].
Sony hat die Sicherheitsverletzung viel zu spät bemerkt: Am 24. November 2014 zeigten die Computer der Mitarbeiter eine Nachricht der Angreifer an, begleitet von der Grafik eines roten Skeletts (wie im Film!). Gleichzeitig wurden die internen Systeme unzugänglich, und bei der forensischen Untersuchung wurde eine massive Datenexfiltration entdeckt [7].
Die Schätzungen des finanziellen Schadens variieren, aber die Verluste übersteigen wahrscheinlich 100 Millionen US-Dollar, einschließlich der Kosten für Ermittlungen, Abhilfemaßnahmen, Rechtsansprüche, behördliche Maßnahmen, Produktivitätsverluste, Ausfallskosten und andere Faktoren [7].
Anhand unserer Taxonomie [3] lassen sich die Schäden wie folgt klassifizieren:
- 4 – Finanzieller Schaden: Ermittlungen, gerichtliche Vergleiche und stillgelegte Projekte führten zu Verlusten in Höhe von über 100 Millionen US-Dollar.
- 4 – Operativer Schaden: Die internen Systeme von Sony waren wochenlang weitgehend lahmgelegt, was die Produktivität beeinträchtigte und mehrere Geschäftsprozesse zum Stillstand brachte.
- 4 – Rufschädigung: Interne E-Mails und unveröffentlichte Filme wurden veröffentlicht, was dem öffentlichen Image von Sony und den Beziehungen zur Branche schadete.
- 3 – Rechtlicher und regulativer Schaden: Die Offenlegung persönlicher Daten löste behördliche Untersuchungen und Klagen von Mitarbeitern aus.
Nach dem Angriff führte Sony striktere Zugriffskontrollen ein, überarbeitete die Verfahren zur Reaktion auf Vorfälle, setzte Endpunkt-Erkennungssysteme ein und arbeitete eng mit Cybersicherheitsfirmen und den US-Strafverfolgungsbehörden zusammen. Das Unternehmen überprüfte auch die Risiken, denen Dritte ausgesetzt sind, und begann mit einer langfristigen Erneuerung der Sicherheit seiner Infrastruktur.
Es ist offensichtlich: Ein stärkeres Bewusstsein für Cybersicherheit, einschließlich Phishing-Simulationen, Mitarbeiterschulungen in Bezug auf verdächtige Nachrichten und Tools für eine schnelle Alarmierung (wie ein Phishing-Meldebutton), hätte die Sicherheitsverletzung wahrscheinlich verhindern oder zumindest die Ausweitung verzögern können, indem Sicherheitsteams früher alarmiert gewesen wären.
Der Angriff auf Sony aus dem Jahr 2014 hat gezeigt, was ausgeklügelte staatlich gesponserte Akteure anrichten können.
Schlussfolgerungen und vergleichende Analyse
Aus meiner Sicht zeigen die drei Fälle – Sony (2014), MGM (2023) und Bybit (2025) – wiederkehrende Muster bei Angriffen durch Cyberkriminelle in verschiedenen Branchen.
Schaden/Auswirkung auf das jeweilige Unternehmen
- Sony: Schwere Rufschädigung und operativer Schaden mit Verlusten von über 100 Mio. USD und Geschäftsunterbrechungen.
- MGM: Finanzieller Verlust (+ / – 100 Millionen USD), Betriebsunterbrechung und behördliche Überprüfung, obwohl der Kernbetrieb innerhalb weniger Wochen wieder aufgenommen werden konnte.
- Bybit: Erheblicher finanzielle Verluste (Schaden von 1,5 Milliarden. USD), aber rasche Erholung des Geschäftsbetriebs dank einer Liquiditätshilfe.
Wenn man sich nur diese drei Vorfälle ansieht, könnte man den Eindruck gewinnen, dass die Erfolgsaussichten im Laufe der Zeit zwar gestiegen sind, aber immer noch große Schäden und Verluste zu verzeichnen sind. Aber aus diesen drei Fällen eine solche Schlussfolgerung zu ziehen, wäre in jedem Fall unseriös.
Cyberkriminelle Gruppierungen und Zugriffsmethoden
- Sony: Staatlich gesponsert (Nordkorea), Zugriff über Spear-Phishing und interne Ausnutzung.
- MGM: Social Engineering durch die Scattered Spider Group, die sich bei Anrufen beim IT-Helpdesk als Mitarbeiter ausgab.
- Bybit: Lazarusgruppe, Ausnutzung der Wallet-Infrastruktur durch Code-Injection und mögliche Kompromittierung der Sicherheitskette.
Hätten die Vorfälle mit einem besseren Sicherheitsbewusstsein verhindert werden können?
Unserer Auffassung nach, ja. Bei allen Vorfällen war ein Element der menschlichen Mitwirkung oder ein missachtetes Sicherheitsverhalten ausschlaggebend. Ein gesundes Sicherheitsbewusstsein, Schulungen zur Erkennung von Phishing/Vishing und Echtzeit-Warnmechanismen hätten die Angriffsketten frühzeitig unterbrechen und die Auswirkungen erheblich begrenzen können.
Wir sehen, dass die meisten Unternehmen zwar ein Bewusstsein für Cybersicherheit entwickeln, aber das erfolgt nicht immer auf die beste Art und Weise. Kaum ein Verantwortlicher für IT-Sicherheit handelt nach dem Credo „Awareness for Cybersecurity Awareness!“ (sinngemäß: Sensibilisierung für Cybersicherheit). – Wie Simon Sinek sagte: Start with why! (sinngemäß: Frage warum!) [10]
Liebe Grüße, Palo Stacho
References
[1] https://cointelegraph.com/learn/articles/how-the-bybit-hack-happened
[3] Taxonomy: https://academic.oup.com/cybersecurity/article/4/1/tyy006/5133288 and harm rating by the authors: 0 – No Harm: No discernible impact; operations and business continuity remain fully intact. 1 – Minor Harm: Negligible impact; no disruption to business continuity. 2 – Moderate Harm: Limited impact; business continuity is partially affected, but core operations remain functional. 3 – Substantial Harm: Significant impact; business continuity is noticeably disrupted, with reduced operational capacity.4 – Severe Harm: Major impact; widespread disruption to business continuity across multiple functions. 5 – Catastrophic Harm: Critical impact; business continuity is compromised and the organization’s operational viability is at risk.
[5] https://www.bbc.com/news/technology-66803401
[6] Youtube – MGM Slots down: https://www.youtube.com/watch?v=uh9Tyz9X3Vo
[10] Youtube – Simon Sinek TEDxPugetSound “Start with why” https://www.youtube.com/watch?v=u4ZoJKF_VuA&t=9s
