Deutsche Presse-Agentur ist von Ransomware-Angriff auf IT-Dienstleister betroffen

Der Ransomeware-Angriff auf einen deutschen IT-Dienstleister hat für die Deutsche Presse-Agentur (DPA) schwerwiegendere Konsequenzen wie bisher vermutet. Anscheinend könnten die Täter Gehaltsabrechnungen und weitere sensible Daten von rund 1500 Angestellten ergattert haben.

Die Attacke auf den IT-Dienstleister in Nordrhein-Westfalen ereignete sich bereits am 6. Oktober, berichtet "Spiegel.de". Der IT-Dienstleister sei etwa für den Druck und Versand von Lohnabrechnungen zuständig. Nach einem internen Schreiben der DPA, das "Spiegel.de" vorliege, seien Informationen zu festen Angestellten und Rentenempfängern potenziell betroffen. Im schlimmsten Fall könnten die Täter Zugriff auf Steuernummern, Kranken- und Sozialversicherungen sowie Bankdaten abgegriffen haben. Inzwischen sei das Fachkommissariat Cybercrime des Hamburger Landeskriminalamts (LKA) eingeschalten worden und untersuche den Fall. Die DPA habe selbst ebenfalls einen Krisenstab gebildet, der sich diesem Fall annehme. Laut "Spiegel.de" hätten die DPA-Geschäftsleitung und ein LKA-Experte am 24. Oktober die Mitarbeitenden über das Ausmass unterrichtet. Es besteht das Risiko, dass diese Daten für Phishing-Versuche oder Identitätsdiebstähle genutzt werden.

Bei der Attacke handelt es sich um einen Fall von Ransomware. Typischerweise verschlüsselt die Täterschaft die Systeme des Opfers und versucht dann ein Lösegeld zu erpressen, mit dem Versprechen, die Daten wieder freizugeben. Die Zahlung eines Lösegelds garantiert jedoch nicht, dass die Täter ihrem Versprechen auch nachkommen.

Nach Informationen von "Spiegel.de" soll die Hackergruppe "Black Basta" für den Cyberangriff verantwortlich sein. Die Gruppe habe einen Kryptotrojaner in die IT-Infrastruktur des Dienstleisters eingeschleust. Den Angreifern sei es bislang nicht gelungen, sich direkten Zugang zu DPA-Systemen zu verschaffen. Die Angreifer hätten jedoch Server und Systeme des Dienstleisters verschlüsseln und den Besitzer auszusperren können.

Deutsche Medienhäuser vermehrt Ziel von Cyberangriffen

Im Oktober wurde bereits die Tageszeitung "Heilbronner Stimme" Opfer eines Ransomware-Angriffs. Laut "Spiegel.de" fand der Angriff in der Nacht auf den 14. Oktober statt. Dabei legten die Angreifer die IT-Infrastruktur lahm und verschlüsselten die Systeme. Die Zeitung konnte erst am 18. Oktober wieder gedruckte Exemplare ausliefern - und dies auch nur mit erheblichem Mehraufwand. Die "Heilbronner Stimme" habe 80 neue Hardwaregeräte anschaffen müssen, wie "swr.de" schreibt. Gemäss Chefredaktor Uwe Ralf Heer, werde es noch ein halbes Jahr dauern, bis alles wieder normal läuft, berichtet "swr.de" weiter.

Black Basta

Die ersten Attacken, die eindeutig Black Basta zugeordnet werden konnten, fanden Anfang April statt. Laut "Bleepingcomputer.com" verlangte die Gruppe in einem Fall über 2 Millionen US-Dollar von ihrem Opfer. Es wird vermutet, dass es sich bei Black Basta nicht um eine komplett neue Organisation handelt, sondern um Mitglieder einer früheren Ransomware-Bande. Es gebe Ähnlichkeiten zu Conti in der Vorgehensweise und in der Kommunikation der Mitglieder. Auch die Leaking-Seiten würden sich ähnlich sehen. Conti stellte im Juni 2022 den Betrieb ein und nahm die letzten zwei Tor-Server vom Netz, berichtete "Bleepingcomputer". Es wurde vermutet, dass Conti aus Russland operierte. Nach dem Leak von Chatnachrichten im Februar wurde die Gruppe ebenfalls verdächtigt, Verbindungen zum russischen Geheimdienst FSB zu besitzen.

Black Basta stehle zuerst Firmendaten und Dokumente, bevor sie die Systeme verschlüsseln würden. Die Angriffe der Gruppe fokussieren sich bislang auf die Vereinigten Staaten von Amerika und Deutschland. Black Basta habe sich jedoch auch schon Ziele in der Schweiz ausgesucht, wie der "Check Point Blog" berichtet. Auf dem "Black Basta Blog" oder der "Basta News"-Tor-Seite publiziert die Gruppe laut "Bleepingcomputer" eine Liste aller Opfer, die keine Zahlungen geleistet haben. Black Basta würde dann langsam damit beginnen, die Daten zu veröffentlichen und die Opfer zur Lösegeldzahlung erpressen.

Im Ransomware-Report vom Juli, berichtete Malwarebytes bereits über Black Basta und führte 35 Angriffe auf diese Gruppe zurück, wie Sie hier lesen können.

Wenn Sie mehr zu Datenschutz und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.