Rechnungen, Identitätskarten und Buchungen von H-Hotels im Darkweb gelandet

4. Januar 2023 um 15:57
image
Hotel Hyperion in Basel. Foto: H-Hotels

Die Ransomware-Bande Play hat ihre Drohung wahr gemacht. Im Darkweb sind Kontoauszüge von Schweizer Banken, Ausweiskopien und weitere Datensätze der Hotelkette aufgetaucht.

Am 11. Dezember 2022 stellte H-Hotels einen Cyberangriff fest. Dazu bekannte sich die Ransomware-Gruppe Play und drohte mit der Veröffentlichung von Daten, falls bis zum 27. Dezember nicht auf ihre Forderungen eingegangen werde. Mit etwas Verspätung hat die Bande ihre Drohung am 4. Januar wahr gemacht.
Die Hotelkette bestätigte in ihrer letzten offiziellen Mitteilung zum Vorfall vom 20. Dezember: "Im Zuge der laufenden Ermittlungen scheint sich der Verdacht zu erhärten, dass von dem Datenraub auch personenbezogene Daten (z.B. Name, Anschrift, Mailadresse) betroffen sein könnten." Die Tätergruppe habe "entsprechende und hinsichtlich der Richtigkeit nicht überprüfbare Angaben gemacht", die auch eine Entwendung personenbezogener Daten nicht ausschliessen lasse.

Zahlreiche Dokumente aus der Schweiz

image
Kontoauszug einer Schweizer Bank.
H-Hotels beschäftigt rund 2500 Mitarbeitende und betreibt 60 Hotels an 50 Standorten im DACH-Raum, darunter auch 5 in der Schweiz – in Zürich, Basel, Solothurn, Engelberg und Locarno. Nicht erstaunlich deshalb, dass sich unter den erbeuteten Datensätzen auch Dokumente aus der Schweiz befinden, wie ein Blick von inside-it.ch zeigt. Darunter sind Kontoauszüge von mehreren Schweizer Banken oder bestätigte Kreditkartenanträge des Unternehmens, etwa bei Credit Suisse.
image
Buchungsbestätigung für H-Hotel in Berlin.

image
Kopie einer deutschen Identitätskarte.
Weiter sind im 6 Gigabyte grossen Datenpaket zahlreiche Firmendokumente und Informationen zu Lieferanten enthalten, darunter auch aktuelle aus dem Jahr 2022. Auch sensible Daten von Mitarbeitenden finden sich darin: Kopien von Identitätskarten und Krankenkassen-Ausweisen sowie Lohnausweise. Von Hotelgästen sind Buchungsbestätigungen und -verträge etwa für Gruppenreisen vorhanden. Nicht betroffen vom Diebstahl der Kriminellen scheinen bis jetzt besonders sensible Gästedaten wie Ausweiskopien oder Kreditkartenangaben zu sein.
image
Bekanntgabe von Play im Darkweb.
Die Ransomware-Bande behauptet auf ihrer Website im Darkweb allerdings, fürs Erste habe man mit 6 GB erst einen Teil der entwendeten Datensätze veröffentlicht. Erfolge keine Reaktion des Unternehmens, werde der "vollständige Dump" hochgeladen.

H-Hotels analysiert Datenpaket

Auf Anfrage von inside-it.ch schreibt die Medienstelle von H-Hotels zu den neusten Entwicklungen: "H-Hotels steht dazu im kontinuierlichen Austausch mit den zuständigen Datenschutzbehörden und wird entsprechend der Empfehlungen vorgehen." Die Aufarbeitung und die Reaktivierung aller Systeme seien weiter vorangeschritten. Aufgrund der laufenden Ermittlungen möchte das Unternehmen keine weiteren Details zum Vorgehen der Angreifer nennen. Auch zur Frage, ob eine Lösegeldforderung eingegangen sei, schreibt die Medienstelle: "Aufgrund der laufenden Untersuchungen bitten wir um Verständnis, hierzu keine weiteren Auskünfte erteilen zu können."
In einer nach unserer Anfrage heute publizierten weiteren offiziellen Stellungnahme heisst es: "Nachdem es im Zuge der Ermittlungsarbeiten vor Weihnachten erste konkrete Hinweise auf einen möglichen Datenraub auch von personenbezogenen Daten durch Cyberkriminelle gab, hatte H-Hotels mit Datum vom 20. Dezember die Öffentlichkeit, Partnerunternehmen und Mitarbeitende über einen möglichen Datendiebstahl informiert." Die bisherigen Hinweise hätten sich durch das Angebot der Daten der Cyberkriminellen im Darknet erhärtet.
Die von H-Hotels beauftragten IT-Forensiker und IT-Spezialisten würden das Datenpaket in den nächsten Tagen analysieren. "Entsprechend der Vorgaben der Datenschutzbehörden werden betroffene Personen informiert, sofern personenbezogene Daten entwendet wurden."

Zu den Play-Opfern gehört auch Rackspace

Play hat sich seit Jahresbeginn bereits wieder zu mehreren neuen Angriffen bekannt, darunter denjenigen auf das Suny Polytechnic Institute in Utica im US-Bundesstaat New York. Auch in diesem Fall wurden angeblich erbeutete Daten veröffentlicht. Die Gruppe steckt offenbar auch hinter dem Angriff von Anfang Dezember auf den Hosted-Exchange-Service Rackspace, wie mehrere US-Medien berichten.
Rackspace bestätigte gegenüber 'Cybersecurity Dive', dass Untersuchungen von Crowdstrike, des FBI und weiteren Security-Experten Play als Urheber der Attacke identifiziert hätten. Das Unternehmen wollte keine Auskunft geben, ob eine Lösegeldforderung eingegangen war oder Geld bezahlt wurde.
Nach dem Vorfall hatten tausende Kunden keinen Zugang zu ihren E-Mail-Services. Bei einem US-Gericht wurde eine erste Klage eingereicht, in der Rackspace vorgeworfen wird, seine Kundendaten nicht genügend gesichert zu haben.

Loading

Mehr zum Thema

image

Crowdstrike-Desaster, Ransomware-Angriffe und ein Datenleck im Sport

Ein fehlerhaftes Crowdstrike-Update, Cyberangriffe auf Schweizer IT-Firmen, ein Breach bei Datasport: Das sorgte im letzten Jahr für Aufmerksamkeit im Bereich Cybersecurity.

publiziert am 30.12.2024
image

Vidymed leidet weiterhin unter Folgen des Cyberangriffs

Die Waadtländer Praxisgruppe wurde vor mehr als einer Woche attackiert. Krankenakten können immer noch nicht eingesehen werden.

publiziert am 20.12.2024
image

Medion: Es ist wohl doch ein Hack

Die Ransomware-Bande Black Basta droht mit der Veröffentlichung von Daten, darunter auch Daten aus der Schweiz. Medion spricht aber weiterhin nur von einer IT-Störung.

publiziert am 19.12.2024
image

KI-Modelle weisen Sicherheitslücken auf

Forschende der EPFL erreichten mit Jailbreak-Angriffen auf Claude, GPT-4 und weitere Modelle eine Erfolgsquote von 100%.

publiziert am 19.12.2024