Angriffwarnung: datacarry zielt auf Camomilla🇮🇹 - IT
Introduction
Die Ransomware-Gruppe datacarry hat sich zu einem Cyberangriff auf Camomilla bekannt, ein italienisches Damenmodeunternehmen, das 1999 gegründet wurde und zwischen 100 und 250 Mitarbeiter beschäftigt. Der am 6. Dezember 2025 entdeckte Angriff betrifft ein Einzelhandelsunternehmen mit einem Jahresumsatz von 25 Millionen Euro. Der Vorfall, der gemäß der XC-Classify-Methodik als SIGNAL eingestuft wurde, gefährdet potenziell Kundendaten, E-Commerce-Transaktionen und sensible personenbezogene Daten. Dieser Angriff erfolgt inmitten einer Zunahme von Cyberbedrohungen, die die Mode- und E-Commerce-Branche in Italien ins Visier nehmen, wo der Schutz personenbezogener Daten eine große regulatorische Herausforderung im Rahmen der DSGVO darstellt.
Die Angreifer von datacarry nutzen eine doppelte Erpressungsmethode, die in der Cyberkriminalität besonders gefürchtet ist. Die Gruppe, die erstmals im Mai 2025 beobachtet wurde, weitete ihre Aktivitäten rasch auf ganz Europa und darüber hinaus aus. Opfer wurden in Lettland, Belgien, der Türkei, Südafrika, der Schweiz, Dänemark und Großbritannien identifiziert. Unsere Analyse verifizierter Daten zeigt, dass die Gruppe systematisch Informationen vor der Verschlüsselung exfiltriert und anschließend droht, diese über ein Portal im Tor-Netzwerk zu veröffentlichen. Diese Strategie zwingt betroffene Organisationen zu Verhandlungen, selbst wenn sie über funktionierende Backups verfügen, da der Verlust sensibler Daten oft ein größeres Reputations- und Rechtsrisiko darstellt als eine Betriebsunterbrechung.
Analyse détaillée
Die Vielfalt der von datacarry angegriffenen Branchen verdeutlicht einen opportunistischen Ansatz: Versicherungen, Gesundheitswesen, Immobilien, Einzelhandel und Luft- und Raumfahrt gehören zu den betroffenen Sektoren. Diese Vielseitigkeit lässt vermuten, dass der Angreifer Sicherheitslücken gegenüber branchenspezifischer Spezialisierung priorisiert. Die Untersuchung der kompromittierten Dateien zeigt, dass die Gruppe wahrscheinlich klassische Angriffsmethoden wie gezieltes Phishing, die Ausnutzung ungepatchter Schwachstellen in exponierten Systemen oder die Kompromittierung privilegierter Konten nutzt. Die Geschwindigkeit ihres Auftretens und ihre länderübergreifende Verbreitung deuten auf eine strukturierte Organisation hin, die möglicherweise nach einem Ransomware-as-a-Service-Modell (RaaS) operiert, wobei Partner die Schadsoftware verbreiten.
Camomilla🇮🇹 ist ein etablierter Akteur im italienischen Damenmode-Einzelhandel mit über 25 Jahren Erfahrung. Das 1999 gegründete Unternehmen beschäftigt mittlerweile zwischen 100 und 250 Mitarbeiter und erwirtschaftet einen Jahresumsatz von 25 Millionen Euro. Das Geschäftsmodell kombiniert stationären Einzelhandel mit einer E-Commerce-Plattform, die zwar ein strategischer Wachstumstreiber ist, aber gleichzeitig auch eine erhebliche Angriffsfläche für Cyberkriminelle darstellt. Das Unternehmen sammelt und verarbeitet täglich Kundendaten, darunter persönliche Kontaktdaten, Kaufhistorie, Zahlungsinformationen und Verhaltenspräferenzen für personalisiertes Marketing.
Die Kompromittierung eines Einzelhändlers dieser Größe legt mehrere Kategorien kritischer digitaler Assets offen. Kundendatenbanken enthalten typischerweise vollständige Namen, Lieferadressen, Telefonnummern und E-Mail-Adressen von Zehntausenden italienischen und europäischen Verbrauchern. E-Commerce-Transaktionsmanagementsysteme, die zwar die PCI-DSS-Standards für Bankdaten erfüllen, können Kaufmetadaten offenlegen, die für gezielte Phishing-Kampagnen oder Identitätsdiebstahl missbraucht werden können. Die potenziellen Auswirkungen erstrecken sich auch auf interne Betriebsdaten: Lieferantenbeziehungen, Geschäftsstrategien, Personalinformationen und geistiges Eigentum im Zusammenhang mit Modekollektionen.
Die gemäß der XC-Classify-Methodik als SIGNAL eingestufte Offenlegung deutet auf eine nachgewiesene Bedrohung hin, die erhöhte Wachsamkeit erfordert. Detaillierte technische Daten zum genauen Umfang der exfiltrierten Informationen werden derzeit noch analysiert. Diese Kritikalitätsstufe spiegelt die Sensibilität der von einem Einzelhandelsunternehmen verarbeiteten personenbezogenen Daten sowie deren bestätigte Präsenz auf dem Datenleckportal wider. Die Daten legen nahe, dass der Angriff wahrscheinlich auf die IT-Infrastruktur abzielte, die die E-Commerce-Plattform und die CRM-Systeme (Customer Relationship Management) hostet – kritische Punkte für jeden modernen Omnichannel-Händler.
Der genaue zeitliche Ablauf des Angriffs ist noch nicht vollständig dokumentiert. Die öffentliche Bekanntgabe erfolgte am 6. Dezember 2025 durch das Bekennerschreiben der Gruppe auf der Webseite des Datenlecks. Es ist wahrscheinlich, dass die anfängliche Infiltrationsphase dieser Ankündigung um mehrere Wochen vorausging. In dieser Zeit etablierten die Angreifer ihre Persistenz, führten eine laterale Aufklärung der Systeme durch und exfiltrierten die Zieldaten. Dieser typische Zeitablauf bei doppelten Erpressungsoperationen lässt den Opfern nur ein begrenztes Zeitfenster zur Reaktion, bevor die gestohlenen Informationen tatsächlich veröffentlicht werden – in der Regel zwischen 7 und 14 Tagen, wie bei verschiedenen Ransomware-Gruppen beobachtet wurde.
Einzelhandelsunternehmen in Italien unterliegen strengen regulatorischen Bestimmungen zum Schutz personenbezogener Daten. Die DSGVO verpflichtet zur Meldung an die Aufsichtsbehörden (in Italien: Garante per la protezione dei dati personali) innerhalb von 72 Stunden nach Entdeckung einer Datenschutzverletzung. Für Camomilla🇮🇹 löst diese Verletzung möglicherweise die Pflicht aus, direkt mit den betroffenen Personen zu kommunizieren, wenn das Risiko für deren Rechte und Freiheiten hoch ist. Dies erscheint angesichts der Art der von einem Modehändler verarbeiteten Daten wahrscheinlich.
Über die DSGVO hinaus verschärft die in italienisches Recht umgesetzte NIS2-Richtlinie die Cybersicherheitsanforderungen für mittelständische Unternehmen in systemrelevanten oder wichtigen Branchen. Obwohl der Einzelhandel nicht systematisch als besonders kritischer Sektor eingestuft wird, können Einzelhändler, die bestimmte Umsatzschwellen überschreiten oder große digitale Plattformen nutzen, Meldepflichten und die Einhaltung technischer Vorschriften unterliegen. Die finanziellen Folgen eines solchen Angriffs umfassen potenzielle Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes, Kosten für die technische Behebung von Sicherheitslücken, Benachrichtigungskosten und die Überwachung betroffener Personen. Hinzu kommt der Vertrauensverlust bei den Kunden, der zwar schwer zu beziffern, aber für eine Modemarke strategisch verheerend ist.
Der italienische Einzelhandel war in den letzten Jahren von mehreren ähnlichen Vorfällen betroffen, was zu erhöhter Wachsamkeit geführt hat. Der Camomilla-Angriff könnte eine Kettenreaktion auslösen, die Logistikpartner, Zahlungsdienstleister und Technologieanbieter betrifft, die Systemverbindungen mit der Marke nutzen. Wettbewerber sollten diesen Vorfall als Weckruf verstehen: Angriffe auf den Einzelhandel folgen oft Wellen von Angriffen auf ähnliche Organisationen, wobei Cyberkriminelle bewährte Angriffsmethoden wiederverwenden.
Dank des XC-Audit-Protokolls ist dieser Angriff auf der Polygon-Blockchain zertifiziert. Dies garantiert im Gegensatz zu herkömmlichen, intransparenten zentralisierten Systemen eine unveränderliche und nachvollziehbare Rückverfolgbarkeit. Jedes Beweisstück, das Datacarry im Zusammenhang mit dem Camomilla-Vorfall sammelt, wird mit einem Zeitstempel versehen und mittels eines kryptografischen Hashs auf dieser dezentralen Infrastruktur gespeichert. So kann jeder Beteiligte die Authentizität und Chronologie der Informationen überprüfen, ohne auf eine zentrale Instanz angewiesen zu sein.
Questions Fréquentes
When did the attack by datacarry on Camomilla🇮🇹 occur?
The attack occurred on December 6, 2025 and was claimed by datacarry. The incident can be tracked directly on the dedicated alert page for Camomilla🇮🇹.
Who is the victim of datacarry?
The victim is Camomilla🇮🇹 and operates in the retail sector. The company is located in Italy. Visit Camomilla🇮🇹's official website. To learn more about the datacarry threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Camomilla🇮🇹?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Camomilla🇮🇹 has been claimed by datacarry but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
Dieser Blockchain-Ansatz bietet im Bereich der Cyber-Threat-Intelligence mehrere entscheidende Garantien. Erstens verhindert er jegliche nachträgliche Änderung von Vorfallsdaten und wahrt somit die Integrität der Beweise für mögliche Gerichtsverfahren oder behördliche Prüfungen. Zweitens legt er ein nachvollziehbares Datum für die Entdeckung und Dokumentation der Bedrohung fest – ein entscheidendes Element, um gegenüber Datenschutzbehörden die gebotene Sorgfalt nachzuweisen. Schließlich ermöglicht die inhärente Transparenz der Polygon-Blockchain Sicherheitsforschern, Cyberversicherern und Aufsichtsbehörden die unabhängige Überprüfung von Vorfallmetadaten. Dies fördert eine koordinierte Reaktion auf Basis nachvollziehbarer Fakten anstelle einseitiger Aussagen.