

Ransomware-Gruppe Play droht grosser Hotelkette mit Datenleak
21. Dezember 2022 um 12:06Die Gruppe H-Hotels, die auch in der Schweiz Hotels betreibt, hat bis zum 27. Dezember Zeit, Lösegeld zu zahlen. Sonst wollen die Cyberkriminellen sensible Gästedaten veröffentlichen.
Kriminelle haben Mitte Dezember die deutsche Hotelkette H-Hotels angegriffen. Die verantwortliche Bande namens Play droht auf ihrer Website nun, die gestohlenen Daten – darunter auch Ausweiskopien von Hotelgästen – im Darknet zu veröffentlichen.
Laut einer Mitteilung haben die IT-Sicherheitsverantwortlichen der Hotelgesellschaft die Attacke am 11. Dezember bemerkt. Die Systeme seien sofort heruntergefahren und vom Internet getrennt worden. Damals hiess es noch, es gebe "keine Hinweise darauf, dass Cyberkriminelle relevante oder personenbezogene Daten entwenden konnten".
Vor einigen Tagen veröffentlichte Play jedoch ein Ultimatum für die Hotelkette, über welches 'Bleeping Computer' berichtete. Bis zum 27. Dezember hätte diese Zeit, um Lösegeld zu bezahlen, ansonsten würden entwendete Daten publik gemacht.
Screenshot: Blog von Play im Darknet.
Man arbeite "eng und unter Hochdruck mit IT-Forensikern und den bereits informierten Datenschutzbehörden zusammen, um die Auswirkungen aus den entwendeten Daten so gering wie möglich zu halten", so die neueste Stellungnahme von H-Hotels vom 20. Dezember. Wie hoch die Lösegeldforderung ist, ist derzeit noch unbekannt.
H-Hotels betreibt 60 Hotels an 50 Standorten im DACH-Raum, darunter auch 5 in der Schweiz – in Zürich, Basel, Solothurn, Engelberg und Locarno. Zurzeit beschäftigt die Hotelkette 2500 Mitarbeitende. Der laufende Hotelbetrieb sowie Buchungen in den Hotels seien sichergestellt, allerdings könnten aufgrund der Cyberattacke keine E-Mails beantwortet werden, so die Mitteilung
Auch Antwerpen wurde Opfer von Play
Die Gruppe Play ist ein neuer Name im Ransomware-Geschäft und hat in kurzer Zeit ihren Aktionsradius laufend erweitert. Diesen Monat hatte es die Bande offenbar auch auf die belgische Stadt Antwerpen abgesehen. Die dortige Cyberattacke brachte viele digitale Behördendienste zum Erliegen. Unter anderem war es etwa nicht mehr möglich, auf Online-Buchungsdienste oder auf Websites von Museen, Bildungseinrichtungen und Bibliotheken zuzugreifen, wie 'The Record' berichtet.
Play vermeldete im Darkweb schliesslich den Angriff auf die IT-Systeme von Antwerpen und gab der belgischen Stadt eine Deadline bis zum 19. Dezember, um Lösegeld zu bezahlen. Ansonsten würden rund 557 Gigabyte an Daten veröffentlicht werden.
Screenshot: Blog von Play im Darknet.
3 Tage nach der Deadline ist Antwerpen aus der Erpressungsliste des Kollektivs verschwunden. Normalerweise bedeutet das, dass die Opfer bezahlt haben oder entsprechende Verhandlungen noch im Gange sind.
Im Gespräch mit dem lokalen Nachrichtensender 'ATV' erklärte Bürgermeister de Wever am Sonntag: "Ich kann sagen, dass wir nicht verhandelt, das Lösegeld nicht bezahlt haben, und es auch niemand für uns getan hat."
Erstmals im Juni aktiv
Laut einem Bericht der Cybersecurity-Firma Trend Micro ist Play seit Juni 2022 aktiv. Nach dem Verschlüsseln von Dateien fügt die Gruppe die Erweiterung ".play" hinzu, woher sich auch der Name ableitet. Die Lösegeldforderung enthält ausserdem das einzelne Wort "Play" und die Kontakt-E-Mail-Adresse der Ransomware-Gruppe. Die Taktik der Gruppe ähnele der Ransomware Hive und Nokoyawa.
Die meisten Angriffe mit Play-Ransomware betrafen bisher Unternehmen in der Region Lateinamerika. Organisationen in Ungarn, Indien, den Niederlanden und Spanien wurden ebenfalls Ziel der Angriffe.
Loading
Der Okta-Hack weitet sich aus
Zuerst war nur von einer kleinen Anzahl Betroffenen die Rede. Jetzt wird klar, dass Daten von allen Kunden gestohlen wurden, die den Support von Okta genutzt haben.
Google eröffnet Safety Engineering Center in Malaga
In Spanien wurde das dritte europäische Cybersicherheitszentrum von Google eröffnet. Zudem hat der Konzern ein neues Securiy-Ausbildungsprogramm angekündigt.
ETH entwickelt digitales Emblem für humanitäres Recht im Cyberspace
Das Emblem soll in Systeme des Roten Kreuzes und weiterer Organisationen integriert werden. Es soll zeigen, dass eine digitale Infrastruktur Anrecht auf Schutz hat.
Internationale Anti-Cybercrime-Operation führt zu Verhaftungen in der Ukraine
Trotz des Krieges gelang es den Polizeibehörden von 7 Ländern, darunter auch der Schweiz, mögliche Mitglieder einer ukrainischen Hackerbande zu identifizieren.