Cyber-Angriff auf Steakhouse Financial abgewehrt, Kundenvermögen bleibt intakt
In einem dreisten Social-Engineering-Exploit kaperten Hacker am 30. März 2026 vorübergehend die Website von Steakhouse Financial und leiteten Benutzer auf eine bösartige Phishing-Seite weiter. Durch die Manipulation des Support-Personals von OVHcloud gelang es den Angreifern, wichtige Sicherheitsvorkehrungen zu umgehen und eine Schwachstelle auszunutzen, die es ihnen ermöglichte, sich als Kontoinhaber auszugeben und überzeugend persönliche Daten anzugeben, um den telefonischen Verifizierungsprozess zu bestehen. Dadurch wurde ein OVH-Supportmitarbeiter dazu verleitet, die hardwarebasierte Zwei-Faktor-Authentifizierung des Kontos zu deaktivieren und den Angreifern uneingeschränkten Zugriff zu gewähren.
Als die Hacker Zugriff erhielten, setzten sie schnell automatisierte Skripte ein, entfernten alle sekundären Authentifizierungsgeräte und aktivierten innerhalb von Sekunden ihr eigenes – ein klares Indiz für eine sorgfältig geplante Operation. Anschließend leiteten die Angreifer geschickt die Nameserver der Domain auf ihre eigenen Server um und konfigurierten die A-Einträge der Website so um, dass sie auf eine gefälschte Version der Steakhouse-Website verwiesen, die geschickt auf Hostinger gehostet wurde. Diese geklonte Website war mit einer Malware ausgestattet, die den Geldbeutel leerte und mit dem berüchtigten Inferno Drainer in Verbindung stand, einem Drainer-as-a-Service-Unternehmen.
Um die Phishing-Site weiter zu legitimieren, erwarben die Angreifer schnell TLS-Zertifikate von Let's Encrypt, wodurch die Site für Standard-Webbrowser praktisch nicht mehr von der authentischen Steakhouse-Website zu unterscheiden war. Allerdings haben Wallet-Erweiterungen von Phantom, MetaMask und Rabby die Website schnell als bösartig gekennzeichnet und unabhängig voneinander Alarm geschlagen.
Das Team von Steakhouse Financial wurde aktiv, als es um 08:47 UTC eine unbefugte E-Mail-Änderungsbenachrichtigung entdeckte, und kontaktierte umgehend OVH, um den Vorfall zu melden. Kurz darauf, um 09:59 UTC, ging die Phishing-Site online, was das Team dazu veranlasste, bis 10:34 UTC eine öffentliche Warnung an X herauszugeben. Die Security Alliance (SEAL) wurde pünktlich um 11:25 UTC rekrutiert, während der Angriff noch im Gange war.
Das Team arbeitete unermüdlich an mehreren Fronten und befasste sich mit der Wiederherstellung von Konten, der DNS-Forensik und der Stornierung von Übertragungen. Die Angreifer hatten einen ausgehenden Domaintransfer eingeleitet, aber die fünftägige Transfersperre von ICANN bot dem Team ein entscheidendes Zeitfenster, um den Transfer abzubrechen. Das Team kontaktierte direkt Hostinger, das anschließend bestätigte, dass das betreffende Konto eingefroren und geschlossen wurde. Um 12:56 UTC hatte das Team erfolgreich die Kontrolle über das OVH-Konto zurückerlangt und die DNS-Dienste waren gegen 13:55 UTC vollständig wiederhergestellt.
Anschließend bestätigte Steakhouse Financial, dass alle Domains bis zum 1. April sicher genutzt werden konnten. Das Unternehmen hat seitdem proaktive Maßnahmen ergriffen und ist zu einem Registrar migriert, der Hardware-Schlüssel-Multifaktor-Authentifizierung und Sperren auf Registrarebene unterstützt, sowie ein kontinuierliches DNS-Überwachungssystem implementiert, um alle Steakhouse-Domains in Echtzeit aufmerksam zu überwachen. Darüber hinaus wird ein umfassender Prozess zur Überprüfung der Lieferantensicherheit bei allen Lieferanten der Lieferkette etabliert.
Adrian Cachinero Vasiljevic, der für den Betrieb verantwortliche Partner von Steakhouse Financial, entschuldigte sich persönlich und räumte ein, dass die Identifizierung dieses Angriffsvektors in seiner Verantwortung liege, und versprach, die Bemühungen zur Verbesserung der Sicherheit künftig voranzutreiben. Der Vorfall ist eine deutliche Erinnerung an die sich entwickelnden Bedrohungen in der Kryptolandschaft und die Bedeutung robuster Sicherheitsmaßnahmen zum Schutz vor raffinierten Social-Engineering-Angriffen.