Die Ransomware-Bande Play hat ihre Drohung wahr gemacht. Im Darkweb sind Kontoauszüge von Schweizer Banken, Ausweiskopien und weitere Datensätze der Hotelkette aufgetaucht.
Am 11. Dezember 2022 stellte H-Hotels einen Cyberangriff fest. Dazu bekannte sich die Ransomware-Gruppe Play und drohte mit der Veröffentlichung von Daten, falls bis zum 27. Dezember nicht auf ihre Forderungen eingegangen werde. Mit etwas Verspätung hat die Bande ihre Drohung am 4. Januar wahr gemacht.
Die Hotelkette bestätigte in ihrer letzten offiziellen Mitteilung zum Vorfall vom 20. Dezember: "Im Zuge der laufenden Ermittlungen scheint sich der Verdacht zu erhärten, dass von dem Datenraub auch personenbezogene Daten (z.B. Name, Anschrift, Mailadresse) betroffen sein könnten." Die Tätergruppe habe "entsprechende und hinsichtlich der Richtigkeit nicht überprüfbare Angaben gemacht", die auch eine Entwendung personenbezogener Daten nicht ausschliessen lasse.
Zahlreiche Dokumente aus der Schweiz
Kontoauszug einer Schweizer Bank.
H-Hotels beschäftigt rund 2500 Mitarbeitende und betreibt 60 Hotels an 50 Standorten im DACH-Raum, darunter auch 5 in der Schweiz – in Zürich, Basel, Solothurn, Engelberg und Locarno. Nicht erstaunlich deshalb, dass sich unter den erbeuteten Datensätzen auch Dokumente aus der Schweiz befinden, wie ein Blick von inside-it.ch zeigt. Darunter sind Kontoauszüge von mehreren Schweizer Banken oder bestätigte Kreditkartenanträge des Unternehmens, etwa bei Credit Suisse.
Buchungsbestätigung für H-Hotel in Berlin.
Kopie einer deutschen Identitätskarte.
Weiter sind im 6 Gigabyte grossen Datenpaket zahlreiche Firmendokumente und Informationen zu Lieferanten enthalten, darunter auch aktuelle aus dem Jahr 2022. Auch sensible Daten von Mitarbeitenden finden sich darin: Kopien von Identitätskarten und Krankenkassen-Ausweisen sowie Lohnausweise. Von Hotelgästen sind Buchungsbestätigungen und -verträge etwa für Gruppenreisen vorhanden. Nicht betroffen vom Diebstahl der Kriminellen scheinen bis jetzt besonders sensible Gästedaten wie Ausweiskopien oder Kreditkartenangaben zu sein.
Bekanntgabe von Play im Darkweb.
Die Ransomware-Bande behauptet auf ihrer Website im Darkweb allerdings, fürs Erste habe man mit 6 GB erst einen Teil der entwendeten Datensätze veröffentlicht. Erfolge keine Reaktion des Unternehmens, werde der "vollständige Dump" hochgeladen.
H-Hotels analysiert Datenpaket
Auf Anfrage von inside-it.ch schreibt die Medienstelle von H-Hotels zu den neusten Entwicklungen: "H-Hotels steht dazu im kontinuierlichen Austausch mit den zuständigen Datenschutzbehörden und wird entsprechend der Empfehlungen vorgehen." Die Aufarbeitung und die Reaktivierung aller Systeme seien weiter vorangeschritten. Aufgrund der laufenden Ermittlungen möchte das Unternehmen keine weiteren Details zum Vorgehen der Angreifer nennen. Auch zur Frage, ob eine Lösegeldforderung eingegangen sei, schreibt die Medienstelle: "Aufgrund der laufenden Untersuchungen bitten wir um Verständnis, hierzu keine weiteren Auskünfte erteilen zu können."
In einer nach unserer Anfrage heute publizierten weiteren offiziellen Stellungnahme heisst es: "Nachdem es im Zuge der Ermittlungsarbeiten vor Weihnachten erste konkrete Hinweise auf einen möglichen Datenraub auch von personenbezogenen Daten durch Cyberkriminelle gab, hatte H-Hotels mit Datum vom 20. Dezember die Öffentlichkeit, Partnerunternehmen und Mitarbeitende über einen möglichen Datendiebstahl informiert." Die bisherigen Hinweise hätten sich durch das Angebot der Daten der Cyberkriminellen im Darknet erhärtet.
Die von H-Hotels beauftragten IT-Forensiker und IT-Spezialisten würden das Datenpaket in den nächsten Tagen analysieren. "Entsprechend der Vorgaben der Datenschutzbehörden werden betroffene Personen informiert, sofern personenbezogene Daten entwendet wurden."
Zu den Play-Opfern gehört auch Rackspace
Play hat sich seit Jahresbeginn bereits wieder zu mehreren neuen Angriffen bekannt, darunter denjenigen auf das Suny Polytechnic Institute in Utica im US-Bundesstaat New York. Auch in diesem Fall wurden angeblich erbeutete Daten veröffentlicht. Die Gruppe steckt offenbar auch hinter dem Angriff von Anfang Dezember auf den Hosted-Exchange-Service Rackspace, wie mehrere US-Medien berichten.
Rackspace bestätigte gegenüber 'Cybersecurity Dive', dass Untersuchungen von Crowdstrike, des FBI und weiteren Security-Experten Play als Urheber der Attacke identifiziert hätten. Das Unternehmen wollte keine Auskunft geben, ob eine Lösegeldforderung eingegangen war oder Geld bezahlt wurde.
Nach dem Vorfall hatten tausende Kunden keinen Zugang zu ihren E-Mail-Services. Bei einem US-Gericht wurde eine erste Klage eingereicht, in der Rackspace vorgeworfen wird, seine Kundendaten nicht genügend gesichert zu haben.