Ransomware-Gruppe Play droht grosser Hotelkette mit Datenleak

21. Dezember 2022, 12:06
image
Hotel H+ in Zürich. Foto: H-Hotels

Die Gruppe H-Hotels, die auch in der Schweiz Hotels betreibt, hat bis zum 27. Dezember Zeit, Lösegeld zu zahlen. Sonst wollen die Cyberkriminellen sensible Gästedaten veröffentlichen.

Kriminelle haben Mitte Dezember die deutsche Hotelkette H-Hotels angegriffen. Die verantwortliche Bande namens Play droht auf ihrer Website nun, die gestohlenen Daten – darunter auch Ausweiskopien von Hotelgästen – im Darknet zu veröffentlichen.
Laut einer Mitteilung haben die IT-Sicherheitsverantwortlichen der Hotelgesellschaft die Attacke am 11. Dezember bemerkt. Die Systeme seien sofort heruntergefahren und vom Internet getrennt worden. Damals hiess es noch, es gebe "keine Hinweise darauf, dass Cyberkriminelle relevante oder personenbezogene Daten entwenden konnten".
Vor einigen Tagen veröffentlichte Play jedoch ein Ultimatum für die Hotelkette, über welches 'Bleeping Computer' berichtete. Bis zum 27. Dezember hätte diese Zeit, um Lösegeld zu bezahlen, ansonsten würden entwendete Daten publik gemacht.
image
Screenshot: Blog von Play im Darknet.
Man arbeite "eng und unter Hochdruck mit IT-Forensikern und den bereits informierten Datenschutzbehörden zusammen, um die Auswirkungen aus den entwendeten Daten so gering wie möglich zu halten", so die neueste Stellungnahme von H-Hotels vom 20. Dezember. Wie hoch die Lösegeldforderung ist, ist derzeit noch unbekannt.
H-Hotels betreibt 60 Hotels an 50 Standorten im DACH-Raum, darunter auch 5 in der Schweiz – in Zürich, Basel, Solothurn, Engelberg und Locarno. Zurzeit beschäftigt die Hotelkette 2500 Mitarbeitende. Der laufende Hotelbetrieb sowie Buchungen in den Hotels seien sichergestellt, allerdings könnten aufgrund der Cyberattacke keine E-Mails beantwortet werden, so die Mitteilung

Auch Antwerpen wurde Opfer von Play

Die Gruppe Play ist ein neuer Name im Ransomware-Geschäft und hat in kurzer Zeit ihren Aktionsradius laufend erweitert. Diesen Monat hatte es die Bande offenbar auch auf die belgische Stadt Antwerpen abgesehen. Die dortige Cyberattacke brachte viele digitale Behördendienste zum Erliegen. Unter anderem war es etwa nicht mehr möglich, auf Online-Buchungsdienste oder auf Websites von Museen, Bildungseinrichtungen und Bibliotheken zuzugreifen, wie 'The Record' berichtet.
Play vermeldete im Darkweb schliesslich den Angriff auf die IT-Systeme von Antwerpen und gab der belgischen Stadt eine Deadline bis zum 19. Dezember, um Lösegeld zu bezahlen. Ansonsten würden rund 557 Gigabyte an Daten veröffentlicht werden.
image
Screenshot: Blog von Play im Darknet.
3 Tage nach der Deadline ist Antwerpen aus der Erpressungsliste des Kollektivs verschwunden. Normalerweise bedeutet das, dass die Opfer bezahlt haben oder entsprechende Verhandlungen noch im Gange sind.
Im Gespräch mit dem lokalen Nachrichtensender 'ATV' erklärte Bürgermeister de Wever am Sonntag: "Ich kann sagen, dass wir nicht verhandelt, das Lösegeld nicht bezahlt haben, und es auch niemand für uns getan hat."

Erstmals im Juni aktiv

Laut einem Bericht der Cybersecurity-Firma Trend Micro ist Play seit Juni 2022 aktiv. Nach dem Verschlüsseln von Dateien fügt die Gruppe die Erweiterung ".play" hinzu, woher sich auch der Name ableitet. Die Lösegeldforderung enthält ausserdem das einzelne Wort "Play" und die Kontakt-E-Mail-Adresse der Ransomware-Gruppe. Die Taktik der Gruppe ähnele der Ransomware Hive und Nokoyawa.
Die meisten Angriffe mit Play-Ransomware betrafen bisher Unternehmen in der Region Lateinamerika. Organisationen in Ungarn, Indien, den Niederlanden und Spanien wurden ebenfalls Ziel der Angriffe.

Loading

Mehr zum Thema

image

Cyberkriminelle erbeuten Kundendaten der Online-Apotheke DocMorris

Bei dem Cyberangriff haben unbekannte Täter 20'000 Kundenkonten kompromittiert. Die Online-Apotheke gehört zur Schweizer "Zur Rose"-Gruppe.

publiziert am 27.1.2023
image

Schwerer Schlag gegen eine der erfolgreichsten Ransomware-Banden

Die Gruppe Hive hatte unter anderen Emil Frey und Media Markt attackiert. Jetzt haben das FBI, Europol und weitere Behörden die Hive-Infrastruktur ausgeschaltet.

publiziert am 27.1.2023
image

Angeblicher Datendiebstahl: Unispital Lausanne gibt Entwarnung

Ein Hacker behauptete, im Besitz von 2 Millionen Datensätzen des Spitals zu sein. Doch das Datenpaket stammt offenbar aus Frankreich.

publiziert am 27.1.2023
image

Zwei Wochen nach der Cyberattacke: Britische Post verschickt wieder Päckli

Eine Ransomware-Bande hatte den internationalen Versand der Royal Mail lahmgelegt.

publiziert am 27.1.2023