Angeblicher Ransomware-Vorfall bei Europcar: Vermeintliche Beute-Daten offenbar KI-generiert

Ende Januar 2024 wurden in einem Untergrund-Webforum vorgebliche Daten von rund 50 Millionen Europcar-Kunden angeboten

[datensicherheit.de, 06.02.2024] Ende Januar 2024 sollen in einem Untergrund-Webforum angebliche Daten von rund 50 Millionen Europcar-Kunden angeboten worden sein. Udo Schneider, „Security Evangelist Europe“ bei Trend Micro, führt in seinem Kommentar hierzu aus: „Europcar reagierte schnell und bestritt, dass es sich um eine echte Datei handele. Weder seien die Daten in sich konsistent, noch seien insbesondere die E-Mail-Adressen bei Europcar überhaupt bekannt.“ Während Europcar die Vermutung geäußert habe, dass diese Daten mittels generativer KI (z.B. „ChatGPT“) erzeugt worden seien, seien andere Sicherheitsforscher indes der Meinung, dass hier keine KI am Werk gewesen sei. „Allen gemeinsam ist jedoch die Meinung, dass diese Daten maschinell generiert wurden“, berichtet Schneider. Auch im Webforum sei dann schnell der Verdacht aufgekommen, dass die zum Kauf angebotenen Daten nicht authentisch seien – „was schließlich dazu führte, dass der Verkäufer im Forum gesperrt wurde“.

Foto: Trend Micro

Udo Schneider: Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht?

Daten-Raub als Geschäftsmodell Organisierter Cyber-Kriminalität

„So interessant die Geschichte auf den ersten Blick auch sein mag, ein Blick ,hinter die Geschichte’ offenbart weitere interessante Aspekte“, erläutert Schneider: Ein Narrativ im Ransomware-Umfeld der letzten Jahre sei die vermeintliche „Ehre“ der Cyber-Kriminellen: Wenn man für die Entschlüsselung zahlt, gebiete es diese „Ehre“ dieser Kriminellen, auch den Schlüssel herauszugeben – nur sei „Ehre“ hierbei wirklich nicht das richtige Wort.

Schneider betont: „Die Herausgabe des Schlüssels gegen Lösegeld hat nichts mit Ehre zu tun. Das ist schlicht und einfach der Geschäftstrieb von Kriminellen: Würde es sich herumsprechen, dass trotz Zahlung kein Schlüssel herausgegeben wurde, wäre das geschäftsschädigend, also reiner Eigennutz und keine ,Ehre’.“

Angeblicher Daten-Diebstahl zeigt: Cyber-Kriminelle betrügen sich doch auch gegenseitig

Auch die Meinung, dass Kriminelle sich untereinander nicht betrügen würden, sei eher einem verklärten Robin-Hood-Narrativ geschuldet als den Tatsachen: Denn im besagten Fall habe ein Krimineller versucht, andere Kriminelle zu betrügen. Man könne nur hoffen, dass es noch keine Käufer gab. „Und nur weil den Käufern der Weg über die offizielle Justiz versperrt ist, heißt das noch lange nicht, dass keine Konsequenzen zu befürchten sind.“

In der Vergangenheit hätten ähnliche Aktionen zu sehr unrühmlichen Ergebnissen geführt. Das „Doxing“ („die virtuelle Entlarvung des Betrügers durch Hacken des E-Mail-Accounts, Veröffentlichung der echten Adresse, Persoscans, Veröffentlichung von Referenzpersonen usw.“) sei dabei nur der Anfang. „,Doxing’-Informationen sind das, was man in den Foren sieht. Was ein möglicherweise betrogener Krimineller mit diesen Informationen in der realen Welt anstellt, sieht man nicht … vielleicht zum Glück.“

Unternehmen sollten unbedingt ihre eigenen Daten kennen

Der vielleicht interessantere Aspekt aus Sicht der Verteidigung sei aber die Reaktion von Europcar: „Europcar machte schnell und sehr deutlich klar, dass die Daten nicht echt waren.“ Dieser Vorfall zeige aber auch, dass Kriminelle sehr wohl gefälschte Daten produzierten – sei es, um diese zu verkaufen (wie in diesem Fall) oder auch, um potenzielle Opfer damit zu erpressen. Schneider kommentiert: „Und genau hier wird es spannend. Stellen Sie sich vor, ein Unternehmen erhält (z.B. nach einem Ransomware-Vorfall) eine weitere Erpressungsnachricht à la ,Wir haben Ihre Daten! Anbei ein Beispiel. Wenn Sie nicht wollen, dass diese veröffentlicht werden …‘.“

Laut Schneider stellt sich dann die entscheidende Frage: „Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht? Je länger der Entscheidungsprozess dauert, desto nervöser kann das Management werden.“ Diese Nervosität erhöht aber u.U. die Wahrscheinlichkeit, dass gezahlt wird – „nur so als Fail-safe-Lösung“.

Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, als Teil der Risikobetrachtung

Daraus ergäben sich zwei wichtige Schlussfolgerungen für die Verteidigerseite. Erstens müsse dieses Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, in die Risikobetrachtung einbezogen werden. Zweitens sollten dementsprechend auch risikomindernde Maßnahmen bzw. Verifikationsmaßnahmen (Prozesse, Zugriffsrechte, Personen) im Vorfeld definiert werden.

Ansonsten könne es sehr schnell passieren, dass z.B. das beauftragte „Incident Response Team“ die Daten nicht schnell genug verifizieren kann, „weil z.B. die Datenbanken technisch nicht zugänglich sind“. Ein weiterer Aspekt gerade bei personenbezogenen Daten sei sicherlich die DSGVO: „Wie kann man in so einem Fall personenbezogene Daten verifizieren, ohne gegen die DSGVO zu verstoßen?“ Beides seien Dinge, die man „im Vorfeld“ relativ einfach definieren könne: Im Falle eines Falles könne dann der entsprechende Prozess geordnet durchlaufen werden. „Ist der Prozess nicht definiert, bricht oft das große Chaos und die Panik aus – mit dem Effekt, dass die Aussage, ob die Daten mit denen erpresst wird, nicht zeitnah getroffen werden kann“, warnt Schneider. Dies wiederum erhöhe die Wahrscheinlichkeit, dass die Erpressungs-Opfer zahlten.

Tipps zur Vorbereitung auf echten bzw. vorgeblichen Daten-Raubzug:

1. Mentale Vorbereitung auf den Fall der Fälle
„Bereiten Sie sich darauf vor, mit (angeblich) gestohlenen Daten erpresst zu werden!“

2. Technisch-organisatorische Vorbereitung auf den Erpressungsfall
„Definieren Sie vorab Prozesse, mit denen ,Incident Responder’ im Falle eines Falles schnell (technisch) und rechtlich sauber auf Daten (lesend) zugreifen können, um die Authentizität eines Dumps zu verifizieren!“

Weitere Informationen zum Thema:

golem.de, Marc Stöckel, 31.01.2024
Daten womöglich von ChatGPT / Cyberangriff auf Europcar entpuppt sich als Fälschung

heise online, Dirk Knop, 31.01.2024
Europcar: Das Datenleck, das keines war / In einem Untergrundforum bietet jemand rund 50 Millionen Datensätze angeblich von Europcar an. Sie sind offenbar gefälscht.