Neue Gruppe fordert Lösegeld und droht Victorias Geheimnisse aufzudecken

Neue Gruppe fordert Lösegeld und droht Victorias Geheimnisse aufzudecken

Joachim Mai 2020

Die Lösegeldforderung „Nefilim“ droht, sensible Daten durchsickern zu lassen, wenn die Forderungen nicht erfüllt werden.

Eine Serie von Lösegeldanschlägen in der vergangenen Woche betraf die medizinische Versorgung, Hunderttausende von Paketzustellungen während der Pandemie – und sogar einen Wäschehersteller. Die Angreifer drohen damit, sensible Daten durchsickern zu lassen, wenn die Unternehmen die geforderten Zahlungen nicht leisten.

ITNews berichtete, dass der australische Logistikgigant Toll Group in diesem Jahr bereits den zweiten Lösegeldanschlag in diesem Jahr erlitten hat, mit einer Art von Lösegeld, die als „Nefilim“ bekannt ist.

Die Toll Group hatte ihr IT System Bitcoin Code abgeschaltet, nachdem sie „ungewöhnliche Aktivitäten“ festgestellt hatte. Das Unternehmen, das für die Zustellung von mehreren hunderttausend Paketen pro Tag verantwortlich ist, bestätigte, dass der Lösegeldanschlag von Nefilim in keinem Zusammenhang mit dem Anfang des Jahres verübten Anschlag steht.

Die Toll Group geht hart vor und versichert den Medien, dass sie das Lösegeld nicht zahlen würde, wie beim ersten Angriff Anfang 2020. Sie geht zu manuellen Prozessen über, um das System wieder in Gang zu bringen.

Lösegeldforderungen via Bitcoin Code

Drohung, „geheime“ Informationen preiszugeben

Sky News berichtete, dass Beyonce und Victorias heimlicher Wäschehersteller aus Sri Lanka, MAS Holdings, ebenfalls angegriffen wurde, wobei neueste Informationen darauf hindeuten, dass die versuchte Erpressung ebenfalls aus Nefilim stammt.

Die kriminelle Gruppe behauptet, 300 GB an privaten Akten gestohlen und einige der angeblich gestohlenen Dokumente als Beweismittel online gestellt zu haben.

Sky News berichtete, dass die Hacker möglicherweise versuchen könnten, den Bruch auszunutzen, um die Geschäftspartner des Unternehmens ins Visier zu nehmen. MAS Holdings lehnte es ab, sich dazu zu äußern, ob sie ihre Partner alarmiert habe oder ob ihre Daten betroffen seien. In einer E-Mail sagte das Unternehmen:

„MAS überprüft ständig seine Sicherheitslage, und gelegentlich versuchen Bedrohungsakteure, in unser Netzwerk einzudringen. Bei der Bewältigung solcher Bedrohungen wenden wir auch bewährte Praktiken an, die den Branchenstandards entsprechen“.

Und am 29. April berichtete Cointelegraph über einen Lösegeldanschlag, der auf das Parkview Medical Center in Colorado abzielte, wodurch die technische Infrastruktur, die die Patientendaten behielt, nicht mehr funktionsfähig war.

Wachsender Trend zu Lösegeldforderungen

Im Gespräch mit Cointelegraph gab Brett Callow, Bedrohungsanalytiker bei Emsisoft, weitere Einzelheiten zu dem Angriff bekannt:

„Exfiltrieren von Datenlieferanten die Cyberkriminalitätsgruppen mit zusätzlichen Druckmitteln, um Zahlungen zu erpressen und sie mit zusätzlichen Monetarisierungsoptionen hinzuzufügen. Sollte das Unternehmen nicht zahlen, können die gestohlenen Daten verkauft, gehandelt oder für Spear-Phishing-Angriffe auf andere Organisationen eingesetzt werden. Tatsächlich können die Akteure dies tun, unabhängig davon, ob das Unternehmen zahlt oder nicht“.

Laut Callow hat die Analyse ergeben, dass es klare Beweise dafür gibt, dass die bei diesen Angriffen gestohlenen Daten an die Konkurrenten der Zielfirma verkauft wurden, dass sie im Dark Web verkauft und gehandelt wurden, dass sie zum Speer-Phishing und für Identitätsdiebstahl verwendet wurden.

Cyberkriminelle ließen Daten als Beweis für den Angriff durchsickern

Cyberkriminelle behaupteten, sie hätten 300 GB an privaten Dateien von MAS Holdings erhalten, und als Beweismittel hätten sie bereits einige gestohlene Dokumente online veröffentlicht.

Callow glaubt, dass diese Art von Lösegeldforderungen in der Welt der Cyberkriminalität einen „wachsenden Trend“ zeigt:

„Die erste Gruppe, die Daten gestohlen und veröffentlicht hat, war Ende letzten Jahres Maze. Seitdem haben mehrere andere Gruppen die gleiche Strategie verfolgt, so dass es sich um eine Strategie handelt, die offensichtlich funktioniert. In einem Fall forderte die Maze-Gruppe 2 Millionen Dollar: 1 Million Dollar für die Entschlüsselung der Daten und zusätzlich 1 Million Dollar für die Vernichtung der gestohlenen Kopie. Die Höhe der Forderung wird von Opfer zu Opfer und von Fall zu Fall unterschiedlich sein“.

Emsisoft offenbarte jedoch einen erheblichen Rückgang der erfolgreichen Lösegeld-Angriffe, zumindest in den Vereinigten Staaten, im Q1 2020.