Ransomware: Angriffe auf KaDeWe und Meindl, Kriminelle geben auf

Das Luxuskaufhaus KaDeWe, aber auch der Schuhhersteller Meindl gehören zu den Geschädigten jüngst bekannt gewordener Ransomware-Angriffe durch die Gruppe "Play". Wie die Kriminellen auf ihrer Darknet-Seite angeben, haben sie beim Berliner Warenhaus über 1 TByte vertrauliche Daten kopiert, darunter finanzielle Information und personenbezogene Daten der KaDeWe-Kunden und -Mitarbeiter. Das KaDeWe hat noch bis zum 19. November Zeit, auf die Forderungen der Erpresser einzugehen, danach droht die Veröffentlichung des Datensatzes.

Bei Meindl ist die Frist zur Lösegeldzahlung derweil schon verstrichen und Play hat einen Teil der illegal kopierten Dateien im Darknet veröffentlicht. Auch hier haben sie personenbezogene Daten, Kundendokumente und finanzielle Informationen entwendet, sagen die Kriminellen.

Auch die Gruppierung "Lockbit3" ist nicht untätig. So haben sich die Kriminellen an Aten vergriffen, einem der größten Hersteller für KVM- und IPMI-Produkten zur Fernsteuerung von Servern. Der taiwanische Konzern hat noch bis zum 28. November Zeit, auf die Forderungen der Gangster einzugehen. Sollten diese Zugriff auf Code-Repositories haben und sogar Hintertüren in IPMI-Firmware einbauen können, wären die Auswirkungen fatal. Aten war in den vergangenen Monat durch Sicherheitslücken in BMC-Chips aufgefallen, die durch den Hersteller Supermicro verbaut wurden.

Lockbit3 hatte sich in der letzten Woche offenbar mit ihrem Opfer Boeing hinter den Kulissen einen Schlagabtausch geliefert und schlußendlich deren Daten früher als geplant veröffentlicht.

Nicht viel Neues gibt es hingegen bei der Südwestfalen-IT. Nachdem der Dienstleister und seine Partnerkommunen eine Lösegeldzahlung an die Bande "Akira" in der vergangenen Woche abgelehnt hatten, laufen die Aufräum- und Umbauarbeiten. In einigen Kommunen können Steuern und Abgaben nicht mehr eingezogen werden, so etwa im Märkischen Kreis. Wie die Kreisverwaltung mitteilt, sollen alle ab dem 16. Oktober fälligen Zahlungen manuell durch die Bürger angewiesen werden; die Not-Homepage des Kreises ist derweil wegen eines Verstoßes gegen die ICANN-Vergaberichtlinien offline. Die Stadt Bergisch-Gladbach musste gar einen Kredit aufnehmen, um Ausfälle durch ausbleibende Gewerbesteuerzahlungen zu kompensieren.

Cl0p-Ransomware mittels SysAid-0Day verteilt

Wie unter anderem Microsoft auf X (ehemals Twitter) vermeldet, greift die Cybergang "Lace Tempest" mittels des neuesten Exploits für SysAid gezielt Firmen an, um die Cl0p-Ransomware zu installieren. Nach einem erfolgreichen Einbruch mittels CVE-2023-47246 laden die Kriminellen eine Web-Shell auf dem Zielserver hoch und laden dann ihre Malware namens "Gracewire" – eine Variante der Ransomware Cl0p – nach.

RansomedVC gibt's dran

Der Betreiber der Ransomware "RansomedVC" hingegen hängt seine eine kriminelle Karriere offenbar an den Nagel. Nachdem der Kriminelle über seine Web-Seite Käufer für sein illegales Unternehmen gesucht, aber offenbar nicht gefunden hatte, beugt er sich dem Ermittlungsdruck. Nach eigener Aussage seien sechs seiner Mitverschwörer mittlerweile festgenommen worden, die anderen knapp 100 "Affiliates" habe er aus seinen Diensten entlassen.

In den Einlassungen des Cybergangsters blitzen schlechtes Gewissen, aber auch Frustration gegenüber seinen in Sicherheitsdingen offenbar unbedarften Kooperationspartnern durch. Deren "OpSec" habe zu wünschen übrig gelassen, so der Ransomware-Betreiber. RansomedVC hatte im September und Oktober dieses Jahres unter anderem einen Einbruch bei Sony für sich reklamiert, was nicht unwidersprochen blieb.

(cku)