Kriminelle haben Mitte Dezember die deutsche Hotelkette H-Hotels angegriffen. Die verantwortliche Bande namens Play droht auf ihrer Website nun, die gestohlenen Daten – darunter auch Ausweiskopien von Hotelgästen – im Darknet zu veröffentlichen.

Laut einer Mitteilung haben die IT-Sicherheitsverantwortlichen der Hotelgesellschaft die Attacke am 11. Dezember bemerkt. Die Systeme seien sofort heruntergefahren und vom Internet getrennt worden. Damals hiess es noch, es gebe "keine Hinweise darauf, dass Cyberkriminelle relevante oder personenbezogene Daten entwenden konnten".

Vor einigen Tagen veröffentlichte Play jedoch ein Ultimatum für die Hotelkette, über welches 'Bleeping Computer' berichtete. Bis zum 27. Dezember hätte diese Zeit, um Lösegeld zu bezahlen, ansonsten würden entwendete Daten publik gemacht.

Man arbeite "eng und unter Hochdruck mit IT-Forensikern und den bereits informierten Datenschutzbehörden zusammen, um die Auswirkungen aus den entwendeten Daten so gering wie möglich zu halten", so die neueste Stellungnahme von H-Hotels vom 20. Dezember. Wie hoch die Lösegeldforderung ist, ist derzeit noch unbekannt.

H-Hotels betreibt 60 Hotels an 50 Standorten im DACH-Raum, darunter auch 5 in der Schweiz – in Zürich, Basel, Solothurn, Engelberg und Locarno. Zurzeit beschäftigt die Hotelkette 2500 Mitarbeitende. Der laufende Hotelbetrieb sowie Buchungen in den Hotels seien sichergestellt, allerdings könnten aufgrund der Cyberattacke keine E-Mails beantwortet werden, so die Mitteilung

Die Gruppe Play ist ein neuer Name im Ransomware-Geschäft und hat in kurzer Zeit ihren Aktionsradius laufend erweitert. Diesen Monat hatte es die Bande offenbar auch auf die belgische Stadt Antwerpen abgesehen. Die dortige Cyberattacke brachte viele digitale Behördendienste zum Erliegen. Unter anderem war es etwa nicht mehr möglich, auf Online-Buchungsdienste oder auf Websites von Museen, Bildungseinrichtungen und Bibliotheken zuzugreifen, wie 'The Record' berichtet.

Play vermeldete im Darkweb schliesslich den Angriff auf die IT-Systeme von Antwerpen und gab der belgischen Stadt eine Deadline bis zum 19. Dezember, um Lösegeld zu bezahlen. Ansonsten würden rund 557 Gigabyte an Daten veröffentlicht werden.

3 Tage nach der Deadline ist Antwerpen aus der Erpressungsliste des Kollektivs verschwunden. Normalerweise bedeutet das, dass die Opfer bezahlt haben oder entsprechende Verhandlungen noch im Gange sind.

Im Gespräch mit dem lokalen Nachrichtensender 'ATV' erklärte Bürgermeister de Wever am Sonntag: "Ich kann sagen, dass wir nicht verhandelt, das Lösegeld nicht bezahlt haben, und es auch niemand für uns getan hat."

Laut einem Bericht der Cybersecurity-Firma Trend Micro ist Play seit Juni 2022 aktiv. Nach dem Verschlüsseln von Dateien fügt die Gruppe die Erweiterung ".play" hinzu, woher sich auch der Name ableitet. Die Lösegeldforderung enthält ausserdem das einzelne Wort "Play" und die Kontakt-E-Mail-Adresse der Ransomware-Gruppe. Die Taktik der Gruppe ähnele der Ransomware Hive und Nokoyawa.

Die meisten Angriffe mit Play-Ransomware betrafen bisher Unternehmen in der Region Lateinamerika. Organisationen in Ungarn, Indien, den Niederlanden und Spanien wurden ebenfalls Ziel der Angriffe.