Ransomware-Bande BlackCat setzt auf neue Erpressungsstrategie

15. Juni 2022, 12:08
image
Foto: Hannah Troupe / Unsplash

Durch die Veröffentlichung von Daten im Clearweb wollen die Cyberkriminellen den Druck auf ihre Opfer erhöhen. Ob sich der Schritt auszahlen wird, ist unklar.

Die Ransomware-Bande BlackCat (oder auch bekannt als Alphv) setzt auf eine neue Methode, um Druck auf ihre Opfer auszuüben und diese zur Zahlung von Lösegeld zu be­we­gen. Wie 'Bleeping Computer' berichtet, haben die Cyber­kriminellen, die erst kürzlich die Landesverwaltung des öster­reichischen Bundeslandes Kärnten angegriffen haben, mit der Veröffentlichung von angeblich gestohlenen Daten aus einem Spa-Hotel in den USA begonnen.
Die Kriminellen behaupten, insgesamt 112 Gigabyte an Daten gestohlen zu haben, darunter auch Informationen von Mitarbeitenden. Aussergewöhnlich war dabei gemäss 'Bleeping Computer', dass die Bande die Daten nicht über ihre normale Tor-Datenleck-Site im Darknet veröffentlicht hat, sondern eine spezielle Website aufschaltete, auf der Mitarbeitende und die Kundschaft überprüfen können, ob ihre persönlichen Daten vom Angriff betroffen sind.
Auf der Website können Informationen über die Hotelgäste und deren Aufenthalte sowie die persönlichen Daten von über 1500 Mitarbeitenden eingesehen werden. Während die Gästedaten nur Namen, Ankunftsdatum und Aufenthaltskosten enthalten, umfassen diejenigen der Angestellten auch sensible Informationen wie Sozialversicherungsnummern, Geburtsdaten, Telefonnummern und E-Mail-Adressen.

Mehr Druck aufbauen

Die Cyberkriminellen gingen gemäss 'Bleeping Computer' gar so weit, dass sie für jeden Mitarbeitenden ein eigenes Datenpaket erstellt haben, in dem sämtliche Dateien im Zusammenhang mit ihrer Beschäftigung im Hotel enthalten sind. Da die Website im Clear Web gehostet wird, kann sie auch von Suchmaschinen indiziert werden, und die offengelegten Informationen werden höchstwahrscheinlich zu den Suchergebnissen hinzugefügt, was die Situation für die Opfer möglicherweise noch verschlimmern könnte.
Das Ziel dieses Vorgehens dürfte sein, die Angestellten und Gäste so einzuschüchtern, dass sie das Hotel dazu auffordern, ihre Daten aus dem Internet zu entfernen, was wohl nur durch die Zahlung eines Lösegelds möglich ist. Brett Callow, Sicherheitsanalytiker bei Emsisoft und Entdecker der neuen Erpressungsstrategie, sagte gegenüber 'Bleeping Computer', dass die Taktik zwar innovativ sei, es aber noch zu früh sei, um zu sagen, ob sie sich wirklich auszahlen wird.
"Alphv hofft zweifellos, dass diese Taktik die Wahrscheinlichkeit erhöht, dass sie mit ihren Angriffen Geld verdienen. Wenn Unternehmen wissen, dass Informationen über ihre Kunden und Mitarbeiter auf diese Weise veröffentlicht werden, sind sie vielleicht eher bereit, die Forderung zu zahlen, um dies zu verhindern – und um zu vermeiden, dass sie möglicherweise mit Sammelklagen konfrontiert werden", so der Analytiker.

250 Gigabyte Daten in Kärnten erbeutet

Vor einer solchen Veröffentlichung, wie sie das amerikanische Spa-Hotel erfahren hat, dürfte man ich auch im österreichischen Bundesland Kärnten fürchten. Nach dem Bekanntwerden des Angriffs durch die Ransomware-Bande bestätigte der Landeshauptmann Peter Kaiser, dass "zumindest 250 Gigabyte Daten" gestohlen wurden. Zu 80% handle es sich dabei um Daten der Mitglieder der Landesregierung, hiess es weiter.
Unter anderem sollen sich darunter aber auch die Reisepassdaten von 120 Personen, 80'000 Stammdatenblätter von Niederlassungs- und Aufenthaltsbewilligungen sowie 4000 Kontaktdaten befinden. Die Landesregierung war zuletzt vermehrt Kritik ausgesetzt, was den Umgang mit den Informationen zu den mutmasslich geleakten Daten betraf. Dem Bundesland wurde vorgeworfen, dass mehrere Tage gebraucht wurden, um die Echtheit der Daten einzuschätzen.
In der Schweiz hatte sich Alphv/BlackCat im Februar 2021 zum Angriff auf Swissport bekannt. Auch in diesem Fall wurden Daten veröffentlicht. Wie Swissport im Rahmen unserer Artikelserie "Ransomware-Report Schweiz" erklärte, ist man immer noch mit der Aufarbeitung des Vorfalls beschäftigt.

Loading

Mehr zum Thema

image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022