Digitale Ermächtigung bringt auch erhebliche Schwachstellen mit sich, wie jüngste Cyber-Angriffe auf Personen des öffentlichen Lebens zeigten

[datensicherheit.de, 26.04.2024] Die zunehmende Nutzung Sozialer Medien durch Staatsoberhäupter und prominente Persönlichkeiten habe die Art und Weise ihrer Kommunikation und Interaktion mit der Öffentlichkeit stark verändert. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4 erläutert hierzu: „Für Öffentlichkeitsarbeit, Engagement und sogar politische Ankündigungen sind Plattformen wie ,Twitter’, ,Instagram’ und ,WeChat’ zu wichtigen Instrumenten geworden. Diese digitale Ermächtigung bringt jedoch auch erhebliche Schwachstellen mit sich, wie die jüngsten Cyber-Angriffe auf Personen des öffentlichen Lebens gezeigt haben.“

Foto: KnowBe4

Dr. Martin J. Krämer rät zu Schulungen, um Anzeichen von Cyber-Sicherheitsverletzungen frühzeitig zu erkennen und angemessen darauf zu reagieren

Böswillige Akteure können Cyber-Plattformen für Manipulation missbrauchen

Der Hacker-Angriff auf das „Instagram“-Account der italienischen Premierministerin, Giorgia Meloni, sei ein aktuelles Beispiel, welches die potenziellen Cyber-Gefahren verdeutliche. „Dabei ist nicht nur der unberechtigte Zugriff ein Problem“, so Dr. Krämer. Er könne auch zu groß angelegten Desinformationskampagnen führen: „Böswillige Akteure können diese Plattformen zur Verbreitung von Unwahrheiten oder zur Manipulation der öffentlichen Meinung missbrauchen. Wie aktuell diese Bedrohungen auch in Deutschland sind, zeigt die Warnung des BSI und von Google-Sicherheitsforschern, dass Elite-Hacker mit Verbindungen zu russischen Geheimdiensten im vergangenen Monat mehrere deutsche Parteien ins Visier genommen haben, um in deren Netzwerke einzudringen und Daten zu stehlen.“

Für Staats- und Regierungschefs gehe das Cyber-Risiko über die persönliche Sicherheit hinaus und betreffe auch die Nationale Sicherheit und die internationalen Beziehungen. Ein gehacktes Social-Media-Account könne nicht nur zur Verbreitung von Desinformation, sondern auch zur Provokation internationaler Zwischenfälle oder zur Manipulation diplomatischer Beziehungen genutzt werden. „Die Sicherheit dieser digitalen Plattformen ist daher nicht nur ein persönliches oder unternehmerisches, sondern auch ein nationales und internationales Anliegen“, unterstreicht Dr. Krämer.

Entwicklung von speziellen Richtlinien zur Cyber-Sicherheit erforderlich

Die Entwicklung von Richtlinien zur Cyber-Sicherheit, um den besonderen Bedürfnissen und Risiken von Personen des öffentlichen Lebens gerecht zu werden, sei von entscheidender Bedeutung. „Diese Richtlinien sollten die Bedeutung einer umfassenden Sicherung sowohl der persönlichen Konten als auch der elektronischen Geräte deutlich hervorheben.“ Ein wirksamer Cyber-Sicherheitsansatz erfordere ständige Aufmerksamkeit und regelmäßige Anpassungen der Sicherheitspraktiken. Dazu gehörten die Verwendung starker Passwörter, der Einsatz von Multi-Faktor-Authentifizierung (MFA) und die konsequente Überwachung von Konto-Aktivitäten, um die digitale Sicherheit kontinuierlich zu gewährleisten.

„Bei der Sicherheit geht es jedoch nicht nur darum, unberechtigten Zugriff zu verhindern, sondern auch darum, die freigegebenen Inhalte zu verwalten“, betont Dr. Krämer. Die unbeabsichtigte Preisgabe sensibler Daten, wie die Veröffentlichung des Personalausweises des französischen Präsidenten, Emmanuel Macron, zeige, wie selbst scheinbar harmlose Informationen zu potenziellen Waffen werden könnten. „Dies macht deutlich, dass nicht nur Mitarbeiter und Sicherheitsteams, sondern auch der Einzelne selbst in digitaler Kompetenz und ,Awareness’ geschult werden muss.“

Digitale Hygiene mittels proaktiver Cyber-Schutzmaßnahmen

Auf dem Weg in die Zukunft brauchten Staats- und Regierungschefs und alle Personen mit Zugang zu kritischen Informationen robuste Sicherheitsprotokolle und einen umsichtigen Umgang mit digitalen Spuren. „In unserem Zeitalter steht unglaublich viel auf dem Spiel. Die Folgen eines mangelnden Schutzes digitaler Daten gehen weit über den Einzelnen hinaus und können die globale Stabilität und das Vertrauen in öffentliche Institutionen massiv beeinträchtigen.“

Durch die Förderung einer Kultur der „digitalen Hygiene“ und das Ergreifen proaktiver Maßnahmen, um Online-Plattformen zu schützen, könnten Einzelpersonen und Organisationen die Möglichkeiten, die Soziale Medien bieten, besser nutzen und gleichzeitig die damit verbundenen Risiken verringern. Dr. Krämer stellt klar: „So können Soziale Medien ein Instrument positiven Engagements bleiben, anstatt zu einer Belastung zu werden, die den Geschichtsverlauf negativ beeinflusst.“

Bewusstsein für Cyber-Sicherheitsbedrohungen schärfen!

Regelmäßige Sicherheitsschulungen spielten in diesem Zusammenhang eine entscheidende Rolle, indem sie das Bewusstsein für Cyber-Sicherheitsbedrohungen schärften und die erforderlichen Kenntnisse und Fähigkeiten vermittelten, um diesen Herausforderungen wirksam begegnen zu können.

Solche Schulungsprogramme böten den Teilnehmern praktische Erfahrungen mit den neuesten Sicherheitswerkzeugen und -verfahren: So könnten sie lernen, Anzeichen von Sicherheitsverletzungen frühzeitig zu erkennen und angemessen darauf zu reagieren. „Darüber hinaus fördern sie eine Atmosphäre der ständigen Wachsamkeit und des gegenseitigen Austauschs bewährter Sicherheitspraktiken, was die Widerstandsfähigkeit gegenüber Cyber-Angriffen erheblich stärkt“, so Dr. Krämer abschließend.

Weitere Informationen zum Thema:

news nine, Siddharth Shankar, 19.03.2024
Italian Prime Minister’s Instagram Hacked: Learn How to Protect Your Account

get tot text, 21.02.2024
Emmanuel Macron reveals his identity card and becomes the laughing stock of Internet users: Femme Actuelle Le MAG

Beispielhafte Meldung dreier neuer, aggressiver DDoS-Wellen

[datensicherheit.de, 24.04.2024] Check Point warnt in einer aktuellen Stellungnahme abermals vor DDoS-Attacken und meldet beispielhaft drei neue, aggressive -Wellen: „Wellenartige DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und Raffinesse zugenommen und werden sowohl von staatlich gesponserten Akteuren als auch von ,Hacktivisten’ durchgeführt, die Botnets und modernste Tools einsetzen.“ Diese Cyber-Kriminellen entwickelten sich ständig weiter und nutzten fortschrittliche Techniken, um Schwachstellen auszunutzen, was die Angriffsfläche für Unternehmen weltweit vergrößere.

Massive Layer-7-Web-DDoS-Attacken mit groß angelegten Angriffen auf der Netzwerkebene (L3/4) kombiniert

Check Point® Software Technologies Ltd. hat nun nach eigenen Angaben „eine steigende Anzahl von Vorfällen beobachtet, bei denen massive Layer-7-Web-DDoS-Angriffe mit groß angelegten Angriffen auf der Netzwerkebene (L3/4) kombiniert werden“.

Derartig ausgeklügelte Angriffe zeichneten sich durch ihre Hartnäckigkeit und Dauer aus. Sie umfassten koordinierte Angriffe über mehrere Vektoren der Netzwerk- und Anwendungsebene. Anhand der folgenden von Check Point beobachteten Beispiele lasse sich ein Bild der aktuellen Bedrohungslage skizzieren.

1. Beispiel für abgewehrte DDoS-Tsunami-Angriffe: Nationalbank in EMEA-Region

Eine große Nationalbank mit Sitz in der EMEA-Region sei innerhalb weniger Tage mit mindestens zwölf separaten Angriffswellen konfrontiert gewesen – in der Regel zwei bis drei pro Tag. „Um darzustellen, wie massiv die Angriffe ausfielen, empfiehlt sich die Heranziehung des RPS (Request per Second). RPS ist ein wichtiger Parameter für die Bewertung von Schwere, Auswirkungen und Umfang von DDoS-Angriffen und bezeichnet die Anzahl der Anfragen pro Sekunde.“

Bei dieser Bank überschritten demnach mehrere Angriffswellen die Schwelle von einer Million RPS. „Eine erreichte einen Spitzenwert von fast drei Millionen RPS. Zum Vergleich: Diese Bank hat normalerweise einen Datenverkehr von weniger als 1.000 RPS.“

Gleichzeitig hätten die Angreifer mehrere volumetrische Angriffe auf der Netzwerkebene mit über 100 Gbit/s gestartet. Bei diesen Angriffen sei eine Vielzahl unterschiedlicher Angriffsvektoren verwendet worden, darunter HTTPS-Flood, UDP-Fragmentierungsangriffe, TCP-Handshake-Verletzungen, SYN-Floods und mehr.

2. Beispiel: DDoS-Angriffswelle auf Versicherungsgesellschaft

Eine Versicherungsgesellschaft sei innerhalb weniger Tage mit mehreren groß angelegten Angriffswellen konfrontiert worden, wobei mehrere Wellen Spitzenwerte von über einer Million RPS erreicht hätten. „Die größte dieser Wellen erreichte 2,5 Millionen Anfragen pro Sekunde. Der typische Datenverkehr für das Unternehmen liegt bei mehreren hundert Anfragen pro Sekunde, so dass diese Angriffe die Anwendungsinfrastruktur bei Weitem überfordern würden.“

Darüber hinaus hätten die Angreifer einige der Angriffswellen mit volumetrischen Angriffen auf der Netzwerkebene kombiniert, „die über 100 Gbit/s erreichten“. Die Angriffe hätten ausgeklügelte Angriffsvektoren wie Web-DDoS-Tsunami-Angriffe (HTTP/S-Floods), DNS-Floods, DNS-Verstärkungsangriffe, UDP-Floods, UDP-Fragmentierungsangriffe, NTP-Floods, ICMP-Floods und mehr umfasst.

Einer der Angriffe sei z.B. mit mehreren Wellen über einen Zeitraum von drei Stunden erfolgt, wobei mehrere Spitzen den Schwellenwert von einer Million Anfragen pro Sekunde (RPS) erreicht hätten und einige über 2,5 Millionen RPS gestiegen seien.

3. Beispiel für DDoS-Attacken: Europäisches Telekommunikationsunternehmen

Abbildung: Check Point

Visuelle Darstellung eines Angriffs mit einer Spitzenwelle von über 1,5 Millionen RPS

Ein europäisches Telekommunikationsunternehmen sei wiederholt das Ziel staatlich unterstützter Angriffsgruppen gewesen. „In dieser Woche wurde es mit einer anhaltenden Web-DDoS-Attacke von etwa einer Million RPS fast ununterbrochen für zwei Stunden angegriffen, wobei der Spitzenverkehr 1,6 Mio. RPS erreichte.“

Schutz vor aggressiven DDoS-Wellen

Moderne DDoS-Angriffsprofile hätten sich weiterentwickelt und kombinierten mehrere Vektoren, um sowohl die Netzwerk- als auch die Anwendungsebene anzugreifen. Diese ausgeklügelten Angriffe nutzten Verschlüsselung und innovative Techniken wie dynamische IP-Adressierung, um legitimen Datenverkehr zu imitieren, „was sie äußerst effektiv und schwer zu erkennen macht“. Herkömmliche Abwehrmethoden seien oft unzureichend, insbesondere bei Angriffen auf Layer 7, da sie verschlüsselten Datenverkehr nicht effektiv untersuchen könnten.

Eine „cloud“-basierte, automatisierte DDoS-Abwehrinfrastruktur sei daher unabdinglich. Sie zeichne sich dadurch aus, dass sie vielschichtige Angriffe dieser Art nahtlos abfange und Unterbrechung der Arbeitsprozesse verhindere. Da die Bedrohungen sehr vielfältig ausfielen, brauche es daher bestenfalls eine Reihe automatisierter Schutzmodule.

Diese neue Welle von Cyber-Bedrohungen unterstreiche die Notwendigkeit adaptiver und umfassender Verteidigungsstrategien, „die solche Angriffe antizipieren und entschärfen können, um ununterbrochene Dienste und den Schutz kritischer Infrastrukturen zu gewährleisten“.

Weitere Informationen zum Thema:

CHECK POINT, 23.04.2024
Protecting Against DDoS Tsunami Attacks

datensicherheit.de, 25.03.2024
Hacktivisten: Erfolgreiche DDoS-Attacken stärken Fan-Basis im CyberSpace / Zunahme des Hacktivismus im Namen von Ideologien und politischen Zielen

datensicherheit.de, 24.02.2023
DDoS-Attacken: Tipps zum Erkennen und Abwehren / Patrycja Schrenk erläutert, wie DDoS-Attacken erkannt werden können, und welche Möglichkeiten es zur Abwehr gibt

[datensicherheit.de, 26.03.2024] „Wenn Sie bei Phishing sofort an E-Mails denken, sind Sie nicht allein. Allerdings sind diese nur eine von vielen Möglichkeiten, wie Phishing-Angriffe ablaufen können“, so Alexander Koch, „VP Sales EMEA“ bei Yubico, in seiner aktuellen Stellungnahme zum Thema „Quishing“. Aufgrund der relativ geringen Kosten und der hohen Erfolgsquote nutzten Cyber-Kriminelle diese Betrugsform sehr häufig. Während die meisten Phishing-Angriffe immer noch per E-Mail erfolgten, gebe es seit einiger Zeit bereits auch Betrugsversuche per Textnachricht oder sogar per Telefonanruf. „Aktuell ist jedoch eine neue Art von Phishing-Angriffen zu beobachten, und sie kommt aus einer unerwarteten Quelle: QR-Codes“, warnt Koch.

QR-Code-Phishing nutzt physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken

QR-Code-Phishing, auch „Quishing“ genannt, nutze physische oder digitale QR-Codes, um Benutzer auf gefälschte Websites zu locken, die darauf abzielten, sensible Informationen zu stehlen oder ein Gerät mit Malware zu infizieren.

Koch erläutert: „Quishing nutzt eine weit verbreitete Technologie, was ein gewisses Grundvertrauen bei den Opfern mit sich bringt.“

Wie bei anderen Arten von Phishing werde genau dieses Vertrauen ausgenutzt, indem die Angreifer entweder neue, physische QR-Codes platzierten, oder gefälschte QR-Codes als Teil eines E-Mail- oder Text-Phishing-Angriffs versendeten.

Quishing-Angriff ähnelt prinzipiell bekannten Phishing-Attacken – nur eben unter Verwendung einer neuen Technologie

Koch beschreibt ein mögliches Gefahren-Szenario: „An der Tür einer Bank ist ein QR-Code angebracht. Wenn der QR-Code gescannt wird, wird der Benutzer aufgefordert, sich bei seinem Bankkonto anzumelden, um beispielsweise an einem Gewinnspiel teilzunehmen. Die legitim wirkende Website, auf die der Nutzer verwiesen wird, ist jedoch in Wirklichkeit betrügerisch, und alle eingegebenen persönlichen Daten und Kontoinformationen sind nun kompromittiert.“

Auch gerade digital sei Quishing schwer zu erkennen und gefährlich. Beispielweise erhalte ein Nutzer eine E-Mail von seinem Lieblingseinzelhändler mit einem QR-Code, um sich vermeintlich für ein neues Treueprogramm anzumelden. „Wenn der Benutzer den Code auf seinem Computerbildschirm scannt, wird er aufgefordert, seine persönlichen Daten einzugeben, einschließlich des Namens, Adresse, Benutzername und Passwort.“ Diese E-Mail enthalte aber ebenfalls einen gefälschten QR-Code und sei ein Phishing-Angriff, der allen anderen Formen von Phishing-Angriffen ähnele, nur eben unter Verwendung einer neuen Technologie. Diese Daten könnten nun verwendet werden, um auf die Website des Einzelhändlers und alle dort gespeicherten Informationen, einschließlich der Kreditkartendaten, zuzugreifen.

„Wenn dieses Passwort auf anderen Websites wiederverwendet wird, was 39 Prozent der Internetnutzer leider immer noch tun, könnte es in weiteren Fällen für Betrug verwendet werden“, betont Koch. Darüber hinaus könnten die persönlichen Daten auf dem Schwarzmarkt verkauft werden, um von Dritten für künftige kriminelle Handlungen genutzt zu werden.

Aktivierung phishing-resistenter MFA zum Schutz gegen QR-Code-Phishing

QR-Codes selbst könnten zwar nicht gekapert werden, aber es sei sehr einfach, einen neuen und betrügerischen QR-Code-Aufkleber über eine legitime Quelle zu legen oder digital über E-Mail an Nutzer heranzutreten. Koch rät: „Es ist daher wichtig zu prüfen, ob die Quelle seriös ist. QR-Codes aus einer unbekannten Quelle sollte nicht vertraut werden. QR-Codes, die per E-Mail zugestellt werden, sollten immer mit äußerster Vorsicht behandelt werden!“

Nutzer sollten, wo immer möglich, Konten mit Multi-Faktor-Authentifizierung (MFA) aktivieren, um den Erfolg von Phishing-Angriffen zu erschweren. Zwar sei jede Form von MFA besser als die Verwendung eines Benutzernamens und eines Passworts, aber nicht jede MFA sei gleich. „Effektiven Schutz bieten phishing-resistente MFA-Optionen wie gerätegebundene Passkeys – also Hardware-Sicherheitsschlüssel“, so Koch.

Abschließend empfiehlt er: „Für Websites, die noch keine phishing-sicheren Methoden unterstützen, sollten Nutzer einen seriösen Passwort-Manager wie ,1Password’ verwenden, um starke Anmeldedaten für jede Website zu erstellen und die Anmeldung auf verschiedenen Geräten zu erleichtern.“

Weitere Informationen zum Thema:

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen

datensicherheit.de, 06.09.2022
Gefährlicher Trend: HTML-Phishing bei Cyber-Kriminellen zunehmend beliebter / HTML-Anhänge bei Phishing-Attacken häufig so gestaltet, dass sie wie Seiten offizieller Unternehmenswebsites aussehen

Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

[datensicherheit.de, 21.02.2024] Strafverfolgungsbehörden bekämpfen Ransomware-Gruppierungen auf einem „Schlachtfeld“, auf dem sich Zerschlagung und Auferstehung cyber-krimineller Vereinigungen abscheinend zyklisch wiederholen. In der Vergangenheit konnten schon viele Gruppen erfolgreich bekämpft werden – welche dann aber kurz darauf unter anderem Namen mit angepassten Techniken ihre Aktivitäten wieder aufnehmen konnten. Anlässlich der Zerschlagung der „LockBit“-Gruppe erinnert Richard Cassidy, „Field CISO“ bei Rubrik, in seinem Kommentar daran, dass jede Zerschlagung eine willkommene Nachricht sei – „aber der Zyklus endet nicht, solange die grundlegenden Probleme nicht gelöst werden“. Zu diesen zählen demnach: Die finanziellen Anreize für Ransomware-Gruppierungen, die relative Anonymität von Transaktionen mit „Krypto-Währungen“ sowie die unzähligen regelmäßig bekannt werdenden, jedoch nicht behobenen Schwachstellen. Insbesondere die Gruppierung „LockBit“ dürfte laut Cassidys Einschätzung der Strafverfolgung finanziell überlegen sein: Dadurch sei diese Gruppe bestens mit dem Geld ausgestattet, um sich neu aufzustellen und notfalls unter anderem Namen weiterzumachen.

Richard Cassidy: Der Zyklus von Zerschlagung und Wiederauftreten bei Ransomware-Gruppierungen wird auf unabsehbare Zeit weitergehen…

Der Kampf gegen Ransomware-Gruppierungen ist noch lange nicht gewonnen

Cassidy betont: „Zweifellos ist die Nachricht, dass die Aktivitäten von ,LockBit’ zerschlagen wurden, eine willkommene Entwicklung auf dem Schlachtfeld der Ransomware. Aber der Kampf ist noch lange nicht gewonnen. Auch wenn die Operationen von ,LockBit’ für einen unbestimmten Zeitraum beeinträchtigt sind, sollten wir die Anpassungsfähigkeit der Gruppe nicht unterschätzen.“

Diese cyber-kriminellen Gruppierungen hätten stets eine bemerkenswerte Fähigkeit bewiesen, sich an die Maßnahmen der Strafverfolgung anzupassen, ihre Taktiken weiterzuentwickeln und ihre Operationen fortzusetzen – manchmal unter einem neuen Namen.

Die Vergangenheit zeigte, wie widerstandsfähig Ransomware-Gruppen sind

Cassidy berichtet: „Wir konnten in der Vergangenheit sehen, wie widerstandsfähig Ransomware-Gruppen sind, die von den Strafverfolgungsbehörden zerschlagen wurden. Darunter waren zum Beispiel ,Hive’, ,ALPHV/BlackCat’ und der Wandel von ,DarkSide’ zu ,BlackMatter’, die zeigen, dass die Gruppierungen von Cyber-Kriminellen in der Lage sind, sich zu erholen, sich umzubenennen sowie in neue oder bestehende Netzwerke zu integrieren und dabei die Unterstützung durch das Ransomware-as-a-Service-Ökosystem zu nutzen.“

Man müsse sich fragen, ob die finanziellen Ressourcen von Gruppen wie „LockBit“ nicht umfangreicher sind als jener, mit ihrer Zerschlagung beauftragten Strafverfolgungsbehörden. „LockBit“ sei durch den Erfolg ihrer Aktivitäten finanziell extrem gut aufgestellt und habe unter anderem allein von US-Organisationen rund 91 Millionen US-Dollar eingetrieben. Dadurch hätten sie die wirtschaftliche Macht, sich neu zu gruppieren und neue Taktiken, Techniken und Verfahren zu entwickeln, um aus den Fehlern, die zu ihrer Zerschlagung geführt haben, zu lernen und sich anzupassen sowie ihren Ansatz – falls notwendig – neu zu erfinden.

Zyklische Zerschlagung und erneutes Aufleben der Ransomware-Gruppen verweist auf großes Problem

„Die zyklischen Zerschlagungen durch die Strafverfolgung und das erneute Aufleben dieser Ransomware-Gruppen zeigen das große Problem im ,Ökosystem’ der Cyber-Kriminalität auf“, so Cassidy. Das grundlegende Problem seien die Triebkräfte hinter Ransomware-Angriffen.

Dazu zählten die finanziellen Anreize, die relative Anonymität von Transaktionen mit „Krypto-Währungen“ und die regelmäßig bekannt werdenden, aber nicht behobenen Schwachstellen. Cassidy prognostiziert abschließend: „Bis diese Probleme gelöst wurden, können wir davon ausgehen, dass der Zyklus von Zerschlagung und Wiederauftreten auf unabsehbare Zeit weitergehen wird.“

Weitere Informationen zum Thema:

Deutschlandfunk, 21.02.2024
Internationale Aktion / Hackernetzwerk LockBit zerschlagen / Internationale Ermittler haben das weltweit agierende Hacker-Netzwerk LockBit zerschlagen

Cybersecurity and Infrastructure Security Agency, 14.06.2023
UNDERSTANDING RANSOMWARE THREAT ACTORS: LockBit

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 23.01.2024]
Lockbit-Gruppe: Ransomware-Angriff per RaaS auf Subway / Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kom mentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022]
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

[datensicherheit.de, 31.01.2024] Check Point liefert in einer aktuellen Meldung ein Update zum Thema „Quishing“: Demnach wurde eine neue Kampagne entdeckt, bei der QR-Codes so verwendet werden, dass die Phishing-Attacke sich dem Gerät des Nutzers anpasst, um glaubwürdiger zu erscheinen.

Bedrohliche Zunahme an QR-Code-Phishing

„Check Point Research“ (CPR), die „Threat Intelligence“-Abteilung bei der Check Point® Software Technologies Ltd., hatte nach eigenen Angaben bereits festgestellt, dass QR-Code-Phishing (sogenanntes Quishing) als Betrugsversuch zwischen August und September 2023 um 587 Prozent in der Häufigkeit gestiegen ist.

Bedrohung durch verseuchten QR-Code

Nun legten die Hacker nach: Die Attacken funktionierten nun als bedingtes Routing, wodurch sie sich automatisch an das Gerät des Nutzers, seinen Browser und die Bildschirmgröße anpassten. Zugrunde liege indes die alte Quishing-Technik, nämlich ein verseuchter Code. Im kürzlich entdeckten Fall sollten die Anwender eine Beitragsübersicht prüfen und dafür den QR-Code mit dem angeblichen Link einlesen.

QR-Codes nicht blind vertrauen!

Angesichts der Tatsache, dass seit Jahren die meisten Cyber-Attacken mit Phishing als Vorhut beginnen, sollten Privat-Anwender laut Check Point künftig sehr genau hinschauen, welchen QR-Code sie scannen, während Unternehmen auf jeden Fall eine Sicherheitsarchitektur benötigten, „die auch QR-Codes prüfen kann und dabei Maschinenlernen und Künstliche Intelligenz zur Analyse einsetzt“.

Weitere Informationen zum Thema:

CHECK POINT, Jeremy Fuchs, 23.01.2024
Conditional QR Code Routing Attacks

Richard Werner kommentiert Medienberichte zu jüngster Ransomware-Attacke einer der gefährlichsten RaaS-Akteure

[datensicherheit.de, 23.01.2024] Laut aktuellen Medienberichten soll „Lockbit“ – eine RaaS-Gruppe („Ransomware as a Service“) – wieder zugeschlagen haben: Das neueste Opfer ist demnach die Frenchise-Kette Subway. Daten seien gestohlen worden und mit denen werde das Unternehmen nun erpresst. „Überraschend ist das nicht“, kommentiert Richard Werner, „Business Consultant“ bei Trend Micro. „Lockbit“ gehöre zu den gefährlichsten aktuelle aktiven RaaS-Gruppen. Ihre Opfer seien primär in den USA und Europa zu finden – diese bestünden zu etwa 70 Prozent aus kleinen und mittelständischen Unternehmen (unter 500 Mitarbeiter). Pro Halbjahr seien zwischen 500 und 800 einzelne Opfer identifizierbar. „Dabei ist allerdings zu bemerken, dass wir nur die Opfer kennen, die sich zunächst weigern zu zahlen“, so Werner und erläutert ein paar Hintergründe zur Methode:

Foto: Trend Micro

Richard Werner rät prinzipiell zur Minimierung persönlicher Daten

Ransomware-Angriff – Methode der Doppelten Erpressung

Ein Ransomware-Angriff läuft laut Werner im Endeffekt so ab: „Die Täter breiten sich innerhalb des Opfer-Unternehmens aus und verschlüsseln alle im Zugriff befindlichen Systeme. Anschließend wird das Opfer mit der Verfügbarkeit der IT erpresst.“ Diese Methode wirke heutzutage nicht mehr annähernd so zuverlässig, wie noch vor vier oder fünf Jahren, denn die Opfer könnten heutzutage auf erfahrene Cyber-Verteidigungen zurückgreifen:

„Verschiedene Erkennungstechnologien sorgen dafür, dass die Täter, wenn überhaupt, nur noch Teilbereiche eines Unternehmens übernehmen können, bevor sie auffliegen. Backup-Systeme stellen auch diese wieder her.“

So sei dann das Argument der „Verschlüssler“ in vielen Fällen gar nicht mehr so groß, wie sie es gerne hätten. Hier nun komme die Komponente „Datendiebstahl“ ins Spiel: Das betroffene Unternehmen werde damit bedroht, diese Daten zu veröffentlichen. „Sind Kundendaten betroffen oder sogar Geschäftsgeheimnisse, ist ein Anreiz geschaffen, zu zahlen. Die Namen der so bedrohten Opfer sind diejenigen, die wir, wie oben beschrieben, identifizieren und damit statistisch erfassen können.“

Empfehlung an Ransomware-Opfer, kein Lösegeld zu zahlen

Gestohlene Daten könnten aber nicht zurückgekauft werden. „Anders als bei materiellen Gütern wechselt der Besitz der Güter nicht. Sie werden einfach nur kopiert.“ Dies bedeute, dass die gestohlenen Daten im Besitz der Täter verblieben.

„Zahlt man, um eine Veröffentlichung zu verhindern, beweist man damit lediglich, dass es sich hier um wertvolle, interessante Informationen handelt, nicht um irrelevanten Datenmüll.“

Für das Opfer sei es sinnvoller festzustellen, welche Daten entwendet wurden und die Eigentümer über den Verlust zu informieren. „Denn das muss ohnehin geschehen, will man nicht bis in alle Zukunft erpressbar bleiben oder sich den Klagen Geschädigter gegenübersehen.“

Große Menge gestohlener Daten für Normalmenschen ein Problem – Datensparsamkeit generell empfohlen

Weltweit scheine nur etwa ein Siebtel der Unternehmen (ca. 14%) aufgrund der sogenannten Zweifachen Erpressung zu zahlen. Dies müsse nicht einmal mit dieser Methode zusammenhängen, sondern könne auch bedeuten, „dass das Opfer eigentlich für die Entschlüsselung zahlt und deshalb die Erpressung mit den Daten zurückgenommen wird“.

Nur: „Die große Menge gestohlener Daten, über die – wie hier bei Subway auch – gesprochen wird, ist letztlich ein Verkaufsargument. Die Spekulation über mögliche Skandale oder wertvolle Inhalte soll vor allem Kaufinteressenten identifizieren.“ Denn damit werde das Geld gemacht, wenn das Opfer nicht zahlt. Die große Menge an gestohlenen Daten sei nun wiederum für uns Normalmenschen ein Problem. Denn an irgendeiner Stelle seien wir betroffen: „Eine geklaute Telefonnummer kann ein ,Enkeltrick’ werden. Auf die entwendete E-Mail-Adresse folgt ein Phishing-Angriff. An die physische Adresse werden Fake-Pakete gesendet und was mit Zahlungsinformationen passieren kann, muss niemandem erklärt werden.“

Werner unterstreicht abschließend: „All diese Daten kommen von solchen Diebstählen und je mehr davon passieren, desto genauer ist das Bild, welches über einzelne Personen gezeichnet werden kann.“ Eine Minimierung der persönlichen Daten wäre wünschenswert – außerdem, dass diese nicht ständig irgendwo eingesammelt und gespeichert werden, wenn man dann nicht in der Lage ist, sie sicher zu schützen. „Wenn es doch bloß sowas wie ein Gesetz dafür geben würde…“

Weitere Informationen zum Thema:

heise online, Dirk Knop, 22.01.2024
Datenklau: Lockbit erpresst Subway / Die Online-Bande Lockbit behauptet, bei der Fastfood-Kette Subway eingebrochen zu sein und sensible Daten kopiert zu haben

TREND MICRO, Trend Micro Research, 08.02.2022
LockBit

datensicherheit.de, 11.11.2022
LockBit 3.0: BlackBerry kommentiert Cyber-Angriff auf Continental / Cyber-Angriff auf den Dax-Konzern nur ein Beispiel der Aktivitäten rund um die RaaS-Gruppe LockBit

datensicherheit.de, 28.06.2022
LockBit 3.0: Cyber-Kriminelle starten erstes Ransomware-Bug-Bounty-Programm / Tenable kommentiert Anpassungen Cyber-Krimineller an wachsenden Verfolgungsdruck

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

[datensicherheit.de, 05.12.2023] Varonis wirf in einer aktuellen Stellungnahme einen Blick zurück in den November 2014: Demnach hatte sich damals „der bis dato größte Datendiebstahl auf ein Unternehmen“ ereignet –Cyber-Angreifer erbeuteten dabei im Grunde den gesamten Datenbestand von Sony Pictures Entertainment (SPE). Insgesamt sollen bis zu 100 Terabyte an Daten exfiltriert worden sein – von pikanten E-Mails über personenbezogene Daten etlicher Mitarbeiter und Künstler bis zu kompletten Filmen und Episoden von Erfolgsserien wie „Game of Thrones“. Es sei damit recht schnell deutlich geworden, dass es sich hierbei in erster Linie um einen politischen Akt gehandelt habe, in dessen Zentrum die Film-Komödie „The Interview“ stehe.

Sony-Mitarbeiter in einer Weise betroffen, wie es bei früheren Cyber-Vorfällen noch nicht der Fall war

„Ich koordinierte als FBI-Mitarbeiter einen Großteil der Analysen und Berichte über den Sony-Vorfall, und unsere Büros in St. Louis und Los Angeles waren eng mit Sony in Kontakt und taten alles, was sie konnten, um die Mitarbeitenden zu unterstützen“, berichtete Charles Garzoni, jetzt „Deputy CISO and Staff VP of Cyber Defense Operations“ bei Centene, im Rahmen des „Varonis Data-First-Forums“.

Die Bedrohung habe sich dabei nicht nur auf den Diebstahl und die Veröffentlichung der Daten beschränkte, sondern habe sich teilweise auch direkt gegen Angestellte und ihre Familien gerichtet. „Die Mitarbeitenden von Sony waren in einer Weise betroffen, wie es bei früheren Cyber-Vorfällen nicht der Fall war“, so Garzoni. So hätten die Angreifer etwa angegeben zu wissen, auf welche Schule die Kinder gehen, und mit Bombenanschlägen gedroht.

Erster Cyber-Angriff mit weitreichenden Auswirkungen auf die reale Welt

Dieser Angriff auf Sony sei somit der erste Fall, in dem ein Cyber-Angriff auf die reale Welt übergegriffen habe. Zudem sei es der wohl erste Angriff gewesen, „bei dem der Diebstahl nicht das Ziel war, sondern eher Mittel zum eigentlichen Zweck – den Angriff auf das politische System und die Meinungsfreiheit“. Garzoni erläuterte: „Bei ATPs denken wir vor allem an den Diebstahl Geistigen Eigentums. Die Angreifer versuchen sich dabei möglichst unauffällig zu verhalten, um möglichst viele Informationen zu entwenden.“

Der besagte Angriff auf Sony liege aber anders: „Hier gab es ein anderes Land, das uns wegen unserer Meinungsfreiheit angegriffen hat. Und das hatte gravierende Auswirkungen auf die Nationale Sicherheit: Wie sollen wir als Land darauf reagieren? Welche Konsequenzen werden wir einem Nationalstaat auferlegen, der einen Cyber-Angriff auf ein Unternehmen verübt, weil es einen Film produziert hat?“

US-Präsident klassifizierte Angriff als Cyber-Vandalismus

Der damalige US-Präsident Barack Obama habe diesen Angriff nicht als kriegerischen Akt bezeichnet, sondern als „Cyber-Vandalismus“, der allerdings Konsequenzen nach sich ziehen würde. So seien beispielsweise weitere Sanktionen gegen Nordkorea verhängt worden. „Das war insofern etwas entmutigend, als dass wir sofort eine klare Linie hätten ziehen sollen. Wir hätten deutlich machen müssen: Tut das nicht!“, meinte Garzoni.

Matt Radolac, „Vice President, Incident Response and Cloud Operations“ bei Varonis, stimmte ihm hierbei zu: „Die Bewertung als Cyber-Krieg ist sicherlich zu hoch, allerdings ist die Einstufung als Cyber-Vandalismus zu schwach. Zumal der Präsident in dieser Zeit gesagt hat, dass ein Angriff auf ein amerikanisches Unternehmen ein Angriff auf Amerika ist.“

Grundlegende Maßnahmen zur Cyber-Hygiene fehlten offenbar

„Für mich ist das Interessanteste an dem Angriff auf Sony nicht einmal die Datenschutz-Verletzung selbst, sondern eher das, was im Vorfeld passiert ist“, sagte Mario DiNatale, „CISO“ des US-amerikanischen Rückversicherers OdysseyRe, und berichtete: „Unmittelbar vor dem Einbruch wurde der Direktor für Informationssicherheit, Jason Spaltrow, einem SOX-Audit unterzogen. Und die SOX-Auditoren sagten: ,Sie haben keine komplexen Passwörter. Sie verschlüsseln Ihre Daten nicht. Sie verwenden keine MFA. Wenn Sie jetzt eine Bank wären, müssten Sie schließen.‘ Und seine Antwort lautete: ‚Ich gebe nicht zehn Millionen aus, um eine Sicherheitslücke von einer Million Dollar zu beseitigen.‘ Aus wirtschaftlicher Perspektive mag das stimmen, aber diese Aussage zeugt von mangelnder Ethik und schlechtem Urteilsvermögen.“

Wären ein paar grundlegende Maßnahmen zur Cyber-Hygiene umgesetzt worden, hätte dieser Angriff wahrscheinlich verhindert werden können. „Das Ergebnis waren geleakte Filme, geleakte interne Memos, alle Arten von wirklich marken- und geschäftsschädigenden Informationen von Sony, die allesamt hätten vermieden werden können.“ Bei den Empfehlungen aus dem Audit habe es sich um einige ziemlich grundlegende Dinge gehandelt. Spaltrow unterstrich: „Hätte der Sicherheitsverantwortliche etwas weniger arrogant und etwas ethischer gehandelt, wäre das alles nicht passiert.“

Cyber-Angriff auf Sony erregte Aufmerksamkeit – jedoch fehlen bis heute umfassende Reaktionen

Dieser Cyber-Angriff auf Sony, seine wirtschaftlichen und politischen Folgen hätten nun die Cybersecurity-Welt nachhaltig verändert. Der Wert von Daten, seien sie Geistiges Eigentum, vertrauliche Nachrichten oder persönliche Informationen, seien durch ihn in das kollektive Bewusstsein gedrungen – nicht nur bei Cybersecurity-Experten.

Allerdings habe er nicht zu umfassenden Maßnahmen geführt – sei es auf Regierungsebene oder auf Seiten der Unternehmen. Andernfalls hätte es nicht die ständige Zunahme von Attacken auf Unternehmensdaten gegeben, wie die in den Folgejahren immer weiter zunehmenden Ransomware-Angriffe.

Weitere Informationen zum Thema:

Varonis auf YouTube, 21.09.2023
Blockbuster Breaches | Varonis Data-First Forum

Die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen 2023 ist laut WithSecure drastisch gestiegen

[datensicherheit.de, 25.11.2023] Fast die Hälfte der 60 durch WithSecure beobachteten Ransomware-Gruppen sind nach eigenen Angaben „neu auf dem Markt“ – diese zeichnen demnach bereits für ein Viertel der Leaks verantwortlich. Die Art der Ransomware-Angriffe habe sich ebenfalls stark verändert.

In den ersten neun Monaten 2023 bereits mehr Leaks durch Ransomware-Angriffe als im gesamten Jahr 2022

Ransomware ist offensichtlich seit vielen Jahren ein fortwährendes Sicherheitsproblem – hauptsächlich aufgrund der Fähigkeit von cyber-kriminellen Gruppen, sich kontinuierlich neu zu erfinden. Laut einer neuen Untersuchung von WithSecure (ehem. F-Secure Business) ist die Anzahl neuer Ransomware-Gruppen in den ersten drei Quartalen dieses Jahres, 2023, „drastisch gestiegen“. Diese seien extrem aktiv: „Schon in den ersten neun Monaten des laufenden Jahres gab es mehr Leaks durch Ransomware-Angriffe als im gesamten Jahr 2022.“

WithSecure warnt daher: „Ransomware ist zu einer beträchtlichen Einnahmequelle für Cyber-Kriminelle auf Kosten von Menschen, Organisationen und sogar Regierungen weltweit geworden.“ Obwohl ihre Verbreitung seit einigen Jahren konstant geblieben sei, hätten sich andere Aspekte der Bedrohung geändert.

In den letzten Jahren hätten mehrere Ransomware-Gruppen Berühmtheit erlangt, „indem sie Multi-Point-Ransomware-Angriffe durchgeführt haben“. Hierbei würden mehrere Methoden eingesetzt, um Opfer dazu zu zwingen, „ein Lösegeld zu zahlen, um die Kontrolle über ihre Daten zurückzugewinnen“. Zahlten die Opfer nicht, würden diese gestohlenen Daten online zum Verkauf angeboten, was die Erpressungssumme weiter in die Höhe treibe.

Neue Ransomware-Gruppen folgen Handbüchern etablierter Betreiber

Eine kürzliche Analyse der veröffentlichten Daten deute darauf hin, dass im Jahr 2023 viele neue Gruppen in diesem Bereich aktiv geworden seien. „Von den 60 Multi-Point-Ransomware-Gruppen, deren Aktivitäten WithSecure in den ersten neun Monaten des Jahres 2023 verfolgt hat, sind 29 neu.“ Diese erstmals 2023 in Erscheinung getretenen Banden zeichneten bereits für fast ein Viertel der Datenlecks verantwortlich.

Der Threat-Intelligence-Analyst Ziggy Davies erklärt, dass diese neuen Gruppen größtenteils den Handbüchern etablierter Betreiber folgten, „jedoch eine entscheidende Rolle bei der Aufrechterhaltung der Ransomware-Angriffe spielen, denen Organisationen gegenüberstehen“.

Davies führt weiter aus: „Code und andere Aspekte einer bestimmten Cybercrime-Operation werden oft anderswo verwendet, da Gruppen und ihre Mitglieder häufig die gleichen Ressourcen recyceln, wenn sie ihre Zusammenarbeit ändern. Viele der neuen Gruppen, die wir in diesem Jahr gesehen haben, haben klare Verbindungen zu älteren Ransomware-Operationen.“ Zum Beispiel wiesen „Akira“ und mehrere andere Gruppen viele Ähnlichkeiten mit der mittlerweile aufgelösten „Conti“-Gruppe auf und seien wahrscheinlich ehemalige „Conti“-Partner.

Ransomware bleibt effektiv – indes aber vorhersehbar

Die Analyse habe auch mehrere bemerkenswerte Erkenntnisse über Multi-Point-Ransomware-Angriffe im Jahr 2023 ergeben, darunter die folgenden:

• „In den ersten drei Quartalen des Jahres 2023 gab es einen Anstieg von 50 Prozent bei Datenlecks durch Ransomware-Gruppen im Vergleich zum gleichen Zeitraum des Vorjahres.“
• „,Lockbit’ machte den größten Anteil an den Leaks aus (21%).“
• „Die fünf Gruppen mit den meisten Leaks (,8Base’, ,Alphv/BlackCat’, ,Clop’, ,LockBit’ und ,Play’) machten über 50 Prozent des Gesamtvolumens aus.“
• Etwa 25 Prozent der in der Analyse enthaltenen Leaks stammten von Ransomware-Gruppen, die 2023 ihren Betrieb aufgenommen hatten.“
• „Nur sechs der 60 Gruppen haben im Jahr 2023 (bis dato) jeden Monat Opfer veröffentlicht.“

Während Cyber-Kriminelle anscheinend mehr Interesse an Ransomware zeigten als je zuvor, böten diese Gruppen den Verteidigern einige Vorteile: „Sie recyclen häufig die Handbücher der anderen.“

„Ransomware bleibt für Cyber-Kriminelle eine effektive Einnahmequelle, daher halten sie sich hauptsächlich an das grundlegende Handbuch, anstatt wirklich etwas Neues oder Unerwartetes zu entwickeln. Das macht sie ziemlich vorhersehbar, was für Verteidiger gut ist, da sie wissen, worauf sie sich einlassen“, so Davies abschließend.

Weitere Informationen zum Thema:

WITHsecure, Adam Pilkey, 16.11.2023
2023’s ransomware rookies are a remix of Conti and other classics

datensicherheit.de, 22.03.2023
Ransomware: Jede Lösegeld-Zahlung an Angreifer finanziert neun zukünftige Attacken / Neue Untersuchungen von Trend Micro über Ransomware-Branche publiziert

datensicherheit.de, 08.02.2023
Cyber-Versicherungen im Umbruch: Ransomware-Lösegeld-Forderungen bedrohen Unternehmen / Versicherer können Kosten der Ransomware-Schadensregulierung bald nicht mehr tragen

[datensicherheit.de, 24.10,2023] Die Check Point® Software Technologies Ltd. warnt in einer Stellungnahme vor einer neue Variante des Phishings – vor sogenanntem Quishing (QR-Code-Phishing). Eigentlich harmlose QR-Codes eignen sich demnach hervorragend, um bösartige Absichten zu verschleiern: „Hinter einem üblichen QR-Code-Bild kann sich ein schädlicher Link verbergen, was kaum ersichtlich ist.“ Da Anwender daran gewöhnt seien, QR-Codes zu scannen, werde ein solcher Code in einer E-Mail oft nicht als Bedrohung erkannt.

QR-Code-Phishing, um Zugangsdaten zu stehlen

Aus diesem Grund raten die Sicherheitsforscher, „sehr genau auf den Absender zu achten, wenn eine E-Mail einen QR-Code enthält“. Im Zweifelsfall sollte man lieber die jeweilige Website direkt aufrufen.

Bei einem entdeckten Angriff hätten die Hacker einen QR-Code erstellt, „der zu einer Seite führt, auf der Anmeldeinformationen gesammelt werden“. Der angebliche Grund sei, dass die Microsoft-Multi-Faktor-Authentifizierung ablaufe und man sich deshalb erneut authentifizieren solle.

Entgegen der Behauptung des Textes, von Microsoft Security zu stammen, gehöre die Absenderadresse einer anderen Quelle. „Sobald der Benutzer den QR-Code scannt, wird er auf eine Seite geleitet, die wie die Website von Microsoft aussieht, aber in Wirklichkeit nur dazu dient, seine Zugangsdaten zu stehlen.“

Bekämpfung von QR-Code-Phishing-Angriffen als Herausforderung

Der Angriff funktioniert laut Check Point folgendermaßen: „Ein Bild mit dem Text wird erstellt, um einige Sprachanalyse-Tools zu umgehen.“ Als Gegenmaßnahme komme oft eine optische Zeichenerkennung (OCR) zum Einsatz (OCR wandelt Bilder in Text um, um ihn lesbar zu machen).

Die Hacker hätten jedoch eine andere Möglichkeit gefunden, dies zu umgehen, nämlich einen QR-Code. Diese Angriffe zu bekämpfen, sei komplizierter. Die OCR müsse in eine Funktion zur QR-Code-Erkennung integriert, in die URL übersetzt und durch URL-Analysetools analysiert werden.

Man könne zwar nicht immer wissen, in welche Richtung die Hacker als nächstes gehen werden. Allerdings verfügten die Verteidiger über grundlegende Werkzeuge, um diese zu bekämpfen, wie die Befolgung des Inline-Verschlüsselungsverfahrens sowie das Umhüllen von URLs und Emulations-Tools oder die Öffnungsverschlüsselung.

[datensicherheit.de, 11.10.2023] Kriminelle Hacker sollen laut Medienberichten eine große Menge interner Daten der Hotelkette Motel One veröffentlicht haben – darunter umfangreiche Übernachtungslisten der vergangenen Jahre mit Millionen von Namen, einschließlich des Hotelgründers, Dieter Müller. Motel One gilt als eine der größten Hotelketten Europas. Nun wurde diese Opfer einer Ransomware-Attacke, bei der die Hacker versucht haben sollen, Geld zu erpressen. Die Hacker-Gruppe „ALPHV“ veröffentlichte demnach die erbeuteten Daten im sogenannten Darknet – darunter etwa 24 Millionen Dateien und etwa sechs Terabyte an Informationen, darunter Text- und Datenbankdateien, „Excel“-Tabellen und PDF-Dateien. Die Verbraucherkanzlei Dr. Stoll & Sauer rät nach eigenen Angaben Verbrauchern generell, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check.

Ransomware-Angriffe nehmen derzeit zu – Motel One nur ein Beispiel

MotelOne habe den Vorfall nach einem Bericht der „Süddeutschen Zeitung“ vom 6. Oktober 2023 gemeinsam mit IT-Sicherheitsexperten untersucht und am 30. September 2023 öffentlich bestätigt, Ziel eines Hacker-Angriffs gewesen zu sein.

Die Hacker hätten Adressdaten von Kunden und Kreditkartendaten abgegriffen. Das Unternehmen habe aber betont, dass der Geschäftsbetrieb zu keinem Zeitpunkt gefährdet gewesen sei.

Hacker-Gruppe ALPHV soll sich zu Angriff auf Motel One bekannt haben

Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was über das Datenleck bei Motel One bisher bekannt ist:

• Die Hacker-Gruppe „ALPHV“, welche sich zu diesem Angriff bekannt habe, „verlangte von Motel One ein Lösegeld in Höhe von 50 Millionen Euro“. Motel One habe die Zahlung des Lösegelds aber abgelehnt – weshalb daraufhin die Daten im Darknet veröffentlicht worden und nun frei zugänglich seien.
• Unter den gehackten Daten sollen sich fast vollständige Listen zu den Übernachtungen, Rechnungsadressen, Geburtsdaten der Kunden, interne Geschäftszahlen, Mobilnummern der Angestellten befinden. Betroffen seien Daten teilweise bis ins Jahr 2016 zurück. Dies betreffe hauptsächlich die Übernachtungslisten. Die betroffenen Daten stammen laut Motel One von Gästen aus den Jahren 2016 bis 2023. Die Daten von Mitarbeitern seien offenbar aus den Jahren 2019 bis 2023. „Warum Motel One diese Listen so lang speichert, ist bislang unbekannt.“
• Die Tragweite des Datenlecks könnte erheblich sein, da es potenziell Millionen Menschen betreffe, „die in den vergangenen acht Jahren in einem Motel One übernachtet haben“. Die veröffentlichten Listen enthielten Namen, Aufenthaltsdaten und Zimmernummern, was es Dritten ermögliche, detaillierte Reiseprofile zu erstellen. „Nicht jeder will seine Daten über Reisen veröffentlicht wissen.“ Bei Geschäftsverbindungen könne dies ebenso kompromittierend sein wie bei privaten Reisen.
• Ransomware-Angriffe seien ein wachsendes Problem – und Motel One sei nicht das einzige betroffende Unternehmen. Die Erpresser professionalisierten sich – und die Dunkelziffer solcher Vorfälle sei hoch. Motel One plane einen Börsengang in den nächsten Jahren und habe einen erheblichen Unternehmenswert, einschließlich der Immobilientochter. „Da wollte sich die Hacker-Gruppe offensichtlich bedienen.“
• Das Ausmaß des Datenlecks werfe Fragen zur internen IT-Sicherheit von Motel One auf – und es gebe laut „Süddeutscher Zeitung“ Hinweise darauf, dass ein Computer am Standort Ulm als Einfallstor für die Hacker gedient haben könnte. „Es scheint, als ob Motel One verbesserungswürdige IT-Sicherheitspraktiken hatte, da Passwörter für Hotel-Systeme in den veröffentlichten Daten gefunden wurden.“
• Motel One habe Strafanzeige gestellt und arbeite mit Datenschutzbehörden und IT-Sicherheitsexperten zusammen, um den Vorfall zu untersuchen. Es gebe jedoch noch viele offene Fragen, und das Ausmaß des Schadens sei noch nicht vollständig bekannt.

Was das Datenleck bei Motel One für betroffene Verbraucher bedeutet:

Dieser Hacker-Angriff sei ein ernstzunehmender Vorfall nicht nur für Motel One, sondern vor allem für die Verbraucher. Das Datenschutzrecht gebe Betroffenen mehrere Möglichkeiten an die Hand zu reagieren:

• Die EU-Datenschutzgrundverordnung (DSGVO) schreibe vor, dass Betroffene eines Datenlecks informiert werden müssten, insbesondere bei hohen Risiken. Betroffene hätten auch das Recht auf Schadenersatz, „wenn ihnen durch einen DSGVO-Verstoß ein materieller oder immaterieller Schaden entstanden ist“.
• Motel One habe nach eigenen Angaben alle betroffenen Kunden und Mitarbeiter informiert. Das Unternehmen habe auch Maßnahmen ergriffen, um die Sicherheit der Daten zu erhöhen.
• Motel One werde von einigen Seiten kritisiert, weil das Unternehmen den Hacker-Angriff erst drei Wochen nach Bekanntwerden des Datenlecks öffentlich gemacht habe.
• Betroffene Kunden sollten ihre Kreditkartendaten sperren und eine neue Karte beantragen. Außerdem sollten sie ihre Passwörter für Online-Konten ändern, „die mit dem Motel-One-Konto verknüpft sind“.
• Kunden, deren Kreditkartendaten gestohlen wurden, sollten sich auch bei ihrer Bank melden und eine Sperrung der Karte beantragen. „Außerdem sollten sie ihre Bankkonten auf ungewöhnliche Aktivitäten überprüfen.“
• Die gestohlenen Daten könnten von Kriminellen für verschiedene Zwecke missbraucht werden: So könnten sie zum Beispiel für Identitätsdiebstahl, Phishing-Angriffe oder Online-Betrug genutzt werden.

Sollte Motel One gegen datenschutzrechtliche Bestimmungen verstoßen haben, könnten Betroffene Schadensersatzansprüche erheben

Fazit der Kanzlei Dr. Stoll & Sauer: „Das Datenleck bei Motel One ist für betroffene Verbraucher eine ernste Angelegenheit.“ Sensible personenbezogene Daten seien für jedermann einsehbar. Dieser Kontrollverlust über die eigenen Daten könne einen immateriellen Schaden darstellen. „Hat Motel One gegen datenschutzrechtliche Bestimmungen verstoßen, so können Betroffene Ansprüche auf Schadensersatz erfolgreich geltend machen.“ Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestünden Ansprüche auf Schadensersatz nur dann, „wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist“.

Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyber-Kriminelle gezielte Phishing-Angriffe gegen Verbraucher initiieren. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer eines Datenlecks wie bei Motel One geworden sind, zur kostenlosen Erstberatung im Online-Check. „Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern.“

Tipps für Opfer einer Phishing-Attacke ggf. in Folge des Angriffs auf Motel One:

Phishing bleibe eine beliebte Betrugsmasche unter Cyber-Kriminellen und scheine ein lukratives kriminelles Geschäftsmodell zu sein. Im April 2023 habe das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails gewarnt, „die Opfer mit angeblichen Zollgebühren lockten“. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

• Sofort sollten die Zugangsdaten für Online-Bankgeschäfte geändert werden.
• Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
• Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
• Unbedingt Strafanzeige erstatten.

Weitere Informationen zum Thema:

Süddeutsche Zeitung, 10.10.2023
Nach Hacker-Angriff: Motel-One-Kunden sollten wachsam sein

Süddeutsche Zeitung, 09.10.2023
Motel One / Wie man einen Hack auf gar keinen Fall kommunizieren sollte

Süddeutsche Zeitung, 07.10.2023
Etliche Motel-One-Kundendaten im Darknet veröffentlicht

Dr. Stoll & Sauer, 04.05.2023
Gericht bejaht Ansprüche auf Schadensersatz bei DSGVO-Verstoß / EuGH stärkt Verbraucherrechte beim Datenschutz