

Ransomware-Gruppe Play droht grosser Hotelkette mit Datenleak
21. Dezember 2022, 12:06Die Gruppe H-Hotels, die auch in der Schweiz Hotels betreibt, hat bis zum 27. Dezember Zeit, Lösegeld zu zahlen. Sonst wollen die Cyberkriminellen sensible Gästedaten veröffentlichen.
Kriminelle haben Mitte Dezember die deutsche Hotelkette H-Hotels angegriffen. Die verantwortliche Bande namens Play droht auf ihrer Website nun, die gestohlenen Daten – darunter auch Ausweiskopien von Hotelgästen – im Darknet zu veröffentlichen.
Laut einer Mitteilung haben die IT-Sicherheitsverantwortlichen der Hotelgesellschaft die Attacke am 11. Dezember bemerkt. Die Systeme seien sofort heruntergefahren und vom Internet getrennt worden. Damals hiess es noch, es gebe "keine Hinweise darauf, dass Cyberkriminelle relevante oder personenbezogene Daten entwenden konnten".
Vor einigen Tagen veröffentlichte Play jedoch ein Ultimatum für die Hotelkette, über welches 'Bleeping Computer' berichtete. Bis zum 27. Dezember hätte diese Zeit, um Lösegeld zu bezahlen, ansonsten würden entwendete Daten publik gemacht.
Screenshot: Blog von Play im Darknet.
Man arbeite "eng und unter Hochdruck mit IT-Forensikern und den bereits informierten Datenschutzbehörden zusammen, um die Auswirkungen aus den entwendeten Daten so gering wie möglich zu halten", so die neueste Stellungnahme von H-Hotels vom 20. Dezember. Wie hoch die Lösegeldforderung ist, ist derzeit noch unbekannt.
H-Hotels betreibt 60 Hotels an 50 Standorten im DACH-Raum, darunter auch 5 in der Schweiz – in Zürich, Basel, Solothurn, Engelberg und Locarno. Zurzeit beschäftigt die Hotelkette 2500 Mitarbeitende. Der laufende Hotelbetrieb sowie Buchungen in den Hotels seien sichergestellt, allerdings könnten aufgrund der Cyberattacke keine E-Mails beantwortet werden, so die Mitteilung
Auch Antwerpen wurde Opfer von Play
Die Gruppe Play ist ein neuer Name im Ransomware-Geschäft und hat in kurzer Zeit ihren Aktionsradius laufend erweitert. Diesen Monat hatte es die Bande offenbar auch auf die belgische Stadt Antwerpen abgesehen. Die dortige Cyberattacke brachte viele digitale Behördendienste zum Erliegen. Unter anderem war es etwa nicht mehr möglich, auf Online-Buchungsdienste oder auf Websites von Museen, Bildungseinrichtungen und Bibliotheken zuzugreifen, wie 'The Record' berichtet.
Play vermeldete im Darkweb schliesslich den Angriff auf die IT-Systeme von Antwerpen und gab der belgischen Stadt eine Deadline bis zum 19. Dezember, um Lösegeld zu bezahlen. Ansonsten würden rund 557 Gigabyte an Daten veröffentlicht werden.
Screenshot: Blog von Play im Darknet.
3 Tage nach der Deadline ist Antwerpen aus der Erpressungsliste des Kollektivs verschwunden. Normalerweise bedeutet das, dass die Opfer bezahlt haben oder entsprechende Verhandlungen noch im Gange sind.
Im Gespräch mit dem lokalen Nachrichtensender 'ATV' erklärte Bürgermeister de Wever am Sonntag: "Ich kann sagen, dass wir nicht verhandelt, das Lösegeld nicht bezahlt haben, und es auch niemand für uns getan hat."
Erstmals im Juni aktiv
Laut einem Bericht der Cybersecurity-Firma Trend Micro ist Play seit Juni 2022 aktiv. Nach dem Verschlüsseln von Dateien fügt die Gruppe die Erweiterung ".play" hinzu, woher sich auch der Name ableitet. Die Lösegeldforderung enthält ausserdem das einzelne Wort "Play" und die Kontakt-E-Mail-Adresse der Ransomware-Gruppe. Die Taktik der Gruppe ähnele der Ransomware Hive und Nokoyawa.
Die meisten Angriffe mit Play-Ransomware betrafen bisher Unternehmen in der Region Lateinamerika. Organisationen in Ungarn, Indien, den Niederlanden und Spanien wurden ebenfalls Ziel der Angriffe.
Loading
Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris
Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.
Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden
Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.
Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung
Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.
Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli
Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.