Rechnungen, Identitätskarten und Buchungen von H-Hotels im Darkweb gelandet

4. Januar 2023 um 15:57
image
Hotel Hyperion in Basel. Foto: H-Hotels

Die Ransomware-Bande Play hat ihre Drohung wahr gemacht. Im Darkweb sind Kontoauszüge von Schweizer Banken, Ausweiskopien und weitere Datensätze der Hotelkette aufgetaucht.

Am 11. Dezember 2022 stellte H-Hotels einen Cyberangriff fest. Dazu bekannte sich die Ransomware-Gruppe Play und drohte mit der Veröffentlichung von Daten, falls bis zum 27. Dezember nicht auf ihre Forderungen eingegangen werde. Mit etwas Verspätung hat die Bande ihre Drohung am 4. Januar wahr gemacht.
Die Hotelkette bestätigte in ihrer letzten offiziellen Mitteilung zum Vorfall vom 20. Dezember: "Im Zuge der laufenden Ermittlungen scheint sich der Verdacht zu erhärten, dass von dem Datenraub auch personenbezogene Daten (z.B. Name, Anschrift, Mailadresse) betroffen sein könnten." Die Tätergruppe habe "entsprechende und hinsichtlich der Richtigkeit nicht überprüfbare Angaben gemacht", die auch eine Entwendung personenbezogener Daten nicht ausschliessen lasse.

Zahlreiche Dokumente aus der Schweiz

image
Kontoauszug einer Schweizer Bank.
H-Hotels beschäftigt rund 2500 Mitarbeitende und betreibt 60 Hotels an 50 Standorten im DACH-Raum, darunter auch 5 in der Schweiz – in Zürich, Basel, Solothurn, Engelberg und Locarno. Nicht erstaunlich deshalb, dass sich unter den erbeuteten Datensätzen auch Dokumente aus der Schweiz befinden, wie ein Blick von inside-it.ch zeigt. Darunter sind Kontoauszüge von mehreren Schweizer Banken oder bestätigte Kreditkartenanträge des Unternehmens, etwa bei Credit Suisse.
image
Buchungsbestätigung für H-Hotel in Berlin.

image
Kopie einer deutschen Identitätskarte.
Weiter sind im 6 Gigabyte grossen Datenpaket zahlreiche Firmendokumente und Informationen zu Lieferanten enthalten, darunter auch aktuelle aus dem Jahr 2022. Auch sensible Daten von Mitarbeitenden finden sich darin: Kopien von Identitätskarten und Krankenkassen-Ausweisen sowie Lohnausweise. Von Hotelgästen sind Buchungsbestätigungen und -verträge etwa für Gruppenreisen vorhanden. Nicht betroffen vom Diebstahl der Kriminellen scheinen bis jetzt besonders sensible Gästedaten wie Ausweiskopien oder Kreditkartenangaben zu sein.
image
Bekanntgabe von Play im Darkweb.
Die Ransomware-Bande behauptet auf ihrer Website im Darkweb allerdings, fürs Erste habe man mit 6 GB erst einen Teil der entwendeten Datensätze veröffentlicht. Erfolge keine Reaktion des Unternehmens, werde der "vollständige Dump" hochgeladen.

H-Hotels analysiert Datenpaket

Auf Anfrage von inside-it.ch schreibt die Medienstelle von H-Hotels zu den neusten Entwicklungen: "H-Hotels steht dazu im kontinuierlichen Austausch mit den zuständigen Datenschutzbehörden und wird entsprechend der Empfehlungen vorgehen." Die Aufarbeitung und die Reaktivierung aller Systeme seien weiter vorangeschritten. Aufgrund der laufenden Ermittlungen möchte das Unternehmen keine weiteren Details zum Vorgehen der Angreifer nennen. Auch zur Frage, ob eine Lösegeldforderung eingegangen sei, schreibt die Medienstelle: "Aufgrund der laufenden Untersuchungen bitten wir um Verständnis, hierzu keine weiteren Auskünfte erteilen zu können."
In einer nach unserer Anfrage heute publizierten weiteren offiziellen Stellungnahme heisst es: "Nachdem es im Zuge der Ermittlungsarbeiten vor Weihnachten erste konkrete Hinweise auf einen möglichen Datenraub auch von personenbezogenen Daten durch Cyberkriminelle gab, hatte H-Hotels mit Datum vom 20. Dezember die Öffentlichkeit, Partnerunternehmen und Mitarbeitende über einen möglichen Datendiebstahl informiert." Die bisherigen Hinweise hätten sich durch das Angebot der Daten der Cyberkriminellen im Darknet erhärtet.
Die von H-Hotels beauftragten IT-Forensiker und IT-Spezialisten würden das Datenpaket in den nächsten Tagen analysieren. "Entsprechend der Vorgaben der Datenschutzbehörden werden betroffene Personen informiert, sofern personenbezogene Daten entwendet wurden."

Zu den Play-Opfern gehört auch Rackspace

Play hat sich seit Jahresbeginn bereits wieder zu mehreren neuen Angriffen bekannt, darunter denjenigen auf das Suny Polytechnic Institute in Utica im US-Bundesstaat New York. Auch in diesem Fall wurden angeblich erbeutete Daten veröffentlicht. Die Gruppe steckt offenbar auch hinter dem Angriff von Anfang Dezember auf den Hosted-Exchange-Service Rackspace, wie mehrere US-Medien berichten.
Rackspace bestätigte gegenüber 'Cybersecurity Dive', dass Untersuchungen von Crowdstrike, des FBI und weiteren Security-Experten Play als Urheber der Attacke identifiziert hätten. Das Unternehmen wollte keine Auskunft geben, ob eine Lösegeldforderung eingegangen war oder Geld bezahlt wurde.
Nach dem Vorfall hatten tausende Kunden keinen Zugang zu ihren E-Mail-Services. Bei einem US-Gericht wurde eine erste Klage eingereicht, in der Rackspace vorgeworfen wird, seine Kundendaten nicht genügend gesichert zu haben.

Loading

Mehr erfahren

Mehr zum Thema

image

Weiterer Supply-Chain-Angriff auf Open-Source-Bibliothek

Cyberkriminelle wollten sich Zugang zu einem Open-Source-Projekt erschleichen. Das zeigt die Anfälligkeit von solchen Lösungen.

publiziert am 16.4.2024
image

Zero-Day-Lücke bedroht PAN-OS-Software von Palo Alto

Während drei Wochen konnten Hacker über eine kritische Schwachstelle in den betroffenen Systemen Remotecode ausführen. Der Hersteller empfiehlt dringende Massnahmen.

publiziert am 15.4.2024
image

Wo sich der Grossteil der Cybercrime-Aktivitäten abspielt

Eine Forschungsarbeit der Universität Oxford zeigt die globalen Cybercrime-Hotspots. Dies soll dem privaten wie öffentlichen Sektor helfen, Ressourcen gezielt einzusetzen.

publiziert am 12.4.2024
image

Podcast: Das Gesundheitswesen und die Cybersicherheit

Das Bundesamt für Gesundheit ist auf der Suche nach einem Dienstleister, der Unterstützung im Bereich Cybersicherheit bietet. In einer Ausschreibung haben wir mehrere Mängel festgestellt. In der aktuellen Podcast-Episode reden wir unter anderem darüber.

publiziert am 12.4.2024