Ransomware-Bande BlackCat setzt auf neue Erpressungsstrategie

15. Juni 2022, 12:08
image
Foto: Hannah Troupe / Unsplash

Durch die Veröffentlichung von Daten im Clearweb wollen die Cyberkriminellen den Druck auf ihre Opfer erhöhen. Ob sich der Schritt auszahlen wird, ist unklar.

Die Ransomware-Bande BlackCat (oder auch bekannt als Alphv) setzt auf eine neue Methode, um Druck auf ihre Opfer auszuüben und diese zur Zahlung von Lösegeld zu be­we­gen. Wie 'Bleeping Computer' berichtet, haben die Cyber­kriminellen, die erst kürzlich die Landesverwaltung des öster­reichischen Bundeslandes Kärnten angegriffen haben, mit der Veröffentlichung von angeblich gestohlenen Daten aus einem Spa-Hotel in den USA begonnen.
Die Kriminellen behaupten, insgesamt 112 Gigabyte an Daten gestohlen zu haben, darunter auch Informationen von Mitarbeitenden. Aussergewöhnlich war dabei gemäss 'Bleeping Computer', dass die Bande die Daten nicht über ihre normale Tor-Datenleck-Site im Darknet veröffentlicht hat, sondern eine spezielle Website aufschaltete, auf der Mitarbeitende und die Kundschaft überprüfen können, ob ihre persönlichen Daten vom Angriff betroffen sind.
Auf der Website können Informationen über die Hotelgäste und deren Aufenthalte sowie die persönlichen Daten von über 1500 Mitarbeitenden eingesehen werden. Während die Gästedaten nur Namen, Ankunftsdatum und Aufenthaltskosten enthalten, umfassen diejenigen der Angestellten auch sensible Informationen wie Sozialversicherungsnummern, Geburtsdaten, Telefonnummern und E-Mail-Adressen.

Mehr Druck aufbauen

Die Cyberkriminellen gingen gemäss 'Bleeping Computer' gar so weit, dass sie für jeden Mitarbeitenden ein eigenes Datenpaket erstellt haben, in dem sämtliche Dateien im Zusammenhang mit ihrer Beschäftigung im Hotel enthalten sind. Da die Website im Clear Web gehostet wird, kann sie auch von Suchmaschinen indiziert werden, und die offengelegten Informationen werden höchstwahrscheinlich zu den Suchergebnissen hinzugefügt, was die Situation für die Opfer möglicherweise noch verschlimmern könnte.
Das Ziel dieses Vorgehens dürfte sein, die Angestellten und Gäste so einzuschüchtern, dass sie das Hotel dazu auffordern, ihre Daten aus dem Internet zu entfernen, was wohl nur durch die Zahlung eines Lösegelds möglich ist. Brett Callow, Sicherheitsanalytiker bei Emsisoft und Entdecker der neuen Erpressungsstrategie, sagte gegenüber 'Bleeping Computer', dass die Taktik zwar innovativ sei, es aber noch zu früh sei, um zu sagen, ob sie sich wirklich auszahlen wird.
"Alphv hofft zweifellos, dass diese Taktik die Wahrscheinlichkeit erhöht, dass sie mit ihren Angriffen Geld verdienen. Wenn Unternehmen wissen, dass Informationen über ihre Kunden und Mitarbeiter auf diese Weise veröffentlicht werden, sind sie vielleicht eher bereit, die Forderung zu zahlen, um dies zu verhindern – und um zu vermeiden, dass sie möglicherweise mit Sammelklagen konfrontiert werden", so der Analytiker.

250 Gigabyte Daten in Kärnten erbeutet

Vor einer solchen Veröffentlichung, wie sie das amerikanische Spa-Hotel erfahren hat, dürfte man ich auch im österreichischen Bundesland Kärnten fürchten. Nach dem Bekanntwerden des Angriffs durch die Ransomware-Bande bestätigte der Landeshauptmann Peter Kaiser, dass "zumindest 250 Gigabyte Daten" gestohlen wurden. Zu 80% handle es sich dabei um Daten der Mitglieder der Landesregierung, hiess es weiter.
Unter anderem sollen sich darunter aber auch die Reisepassdaten von 120 Personen, 80'000 Stammdatenblätter von Niederlassungs- und Aufenthaltsbewilligungen sowie 4000 Kontaktdaten befinden. Die Landesregierung war zuletzt vermehrt Kritik ausgesetzt, was den Umgang mit den Informationen zu den mutmasslich geleakten Daten betraf. Dem Bundesland wurde vorgeworfen, dass mehrere Tage gebraucht wurden, um die Echtheit der Daten einzuschätzen.
In der Schweiz hatte sich Alphv/BlackCat im Februar 2021 zum Angriff auf Swissport bekannt. Auch in diesem Fall wurden Daten veröffentlicht. Wie Swissport im Rahmen unserer Artikelserie "Ransomware-Report Schweiz" erklärte, ist man immer noch mit der Aufarbeitung des Vorfalls beschäftigt.

Loading

Mehr zum Thema

image

Google will ChatGPT-Konkurrenz öffentlich zugänglich machen

OpenAI hat mit Microsoft den Kampf um die Zukunft des Internets eröffnet, nun zieht Google nach. Das bedeutet ein Umdenken im Suchmaschinenkonzern.

publiziert am 3.2.2023
image

APIs bei Twitter werden kostenpflichtig

Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.

publiziert am 3.2.2023
image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

Podcast: Was hinter dem Zürcher Datenskandal steckt

In dieser Podcast-Episode arbeiten wir den Zürcher Datenskandal auf. Wie konnte es dazu kommen, was ist genau geschehen und was muss passieren, damit das nie mehr passiert?

publiziert am 3.2.2023