Digital
Schweiz

Emil Frey Gruppe gehackt: Darknet-Leak betrifft Kundinnen und Kunden

Logistikzentrum der Emil Frey Gruppe. Der grösste Autohändler Europas ist von einer «Double Extortion Ransomware»-Attacke betroffen.
Logistikzentrum der Emil Frey Gruppe. Der grösste Autohändler Europas ist von einer «Double Extortion Ransomware»-Attacke betroffen.screenshot: youtube

Darknet-Leak betrifft Kundinnen und Kunden der Emil Frey Gruppe – das musst du wissen

Nach der Ransomware-Attacke auf den grössten Autohändler Europas drohten unbekannte Kriminelle mit der Veröffentlichung von Daten. Nun sind offenbar Kundinnen und Kunden in der Schweiz und in Deutschland betroffen.
02.02.2022, 19:4003.02.2022, 12:13
Mehr «Digital»

Unbekannte Internet-Kriminelle erpressen die Emil Frey Gruppe und drohen mit der Veröffentlichung von «fast 300 Gigabyte» an «vertraulichen Daten», die sie angeblich bei einem Hackerangriff im Januar erbeutet haben.

Dies geht aus einer Ankündigung auf der Leak-Site einer berüchtigten Ransomware-Gruppe hervor. Inzwischen wurde auch ein erster Datensatz über einen anonymen Filehoster veröffentlicht, wie watson-Recherchen zeigen.

Interne Daten geleakt

Gemäss unseren Recherchen ist der grösste Autohändler Europas von einer «doppelten Erpressung» in Zusammenhang mit einem Hackerangriff betroffen, IT-Sicherheitsexperten sprechen von «Double Extortion Ransomware».

Auf der nur über das Tor-Netzwerk erreichbaren Leak-Seite hiess es am Dienstag, «fast 300 GB» (Gigabyte) an «vertraulichen Daten» würden «bald» veröffentlicht.

Bild
screenshot: watson

Am Mittwoch machten die Unbekannten ihre Drohung teilweise wahr und veröffentlichten auf ihrer Leak-Site einen Link zu einem bekannten Filehoster. Darüber lässt sich eine im ZIP-Format komprimierte Datei mit einer Grösse von 225 Megabyte (MB) herunterladen. Name: «Fail.zip».

Es handelt sich dem Vernehmen nach um interne Dokumente. Mehrere sollen persönliche Daten von Kundinnen und Kunden aus der Schweiz und Deutschland enthalten.

watson geht nicht weiter auf den Inhalt ein.

Update: Die oben erwähnte Datei kann nicht mehr heruntergeladen werden. Der Filehoster schreibt: «Der zugehörige Benutzeraccount wurde wegen schwerwiegender Verletzung unserer Allgemeinen Geschäftsbedingungen gesperrt.»

Was sagt Emil Frey?

Unternehmenssprecher Peter Hug nahm am Mittwochabend auf Anfrage von watson per E-Mail Stellung:

«Nach der am 11. Januar 2022 stattgefunden Cyber-Attacke auf die Emil Frey Gruppe, ist die schnelle Wiederherstellung unserer IT-Systeme bereits weitgehend abgeschlossen, unsere Betriebe sind wieder operativ und alle Kunden können vollumfänglich bedient werden.

Die zentrale IT der Gruppe und deren technische Partner klären zur Zeit nach den geltenden Datenschutz-Gesetzen ab, ob im Rahmen der Cyber-Attacke eine personenbezogene Datenschutzverletzung stattgefunden hat. Je nach Resultat der Abklärungen werden wir die notwendigen Massnahmen treffen.

Sollten kriminell entwendete, personenbezogene Daten der Emil Frey Gruppe auf einschlägigen Plattformen auftauchen bzw. angeboten werden, gehen wir davon aus, dass gestohlene Daten und Informationen durch die Medien keine Verbreitung finden werden.»
Peter Hug, Emil Frey Gruppequelle: watson

Des Weiteren bitte er um Verständnis, dass «momentan keine weiteren Stellungnahmen» abgegeben würden.

Wer sind die Hacker?

Die kriminelle Vereinigung, die sich Hive nennt, gehört laut IT-Sicherheitsexperten zu den Grossen der Branche und gilt als eine der besonders aggressiven Banden. Sie bietet ihre Erpressungs-Software auch Dritten («Affiliates») an. Dieses Geschäftsmodell wird als «Ransomware as a Service» (RaaS) bezeichnet und bedeutet, dass Dritte mit den (anonymen) Hive-Hintermännern kooperieren können, um ein Unternehmen zu hacken und Lösegeld zu erpressen.

Zu den bekanntesten Opfern gehörte letztes Jahr der Elektronikhändler MediaMarkt. Nach einer Ransomware-Attacke im November musste das Unternehmen IT-Systeme abschalten und den Geschäftsbetrieb in den Niederlanden und Deutschland zum Teil unterbrechen. Laut Berichten betrug die ursprüngliche Lösegeldforderung 240 Millionen US-Dollar, sie wurde jedoch angeblich auf 50 Millionen reduziert.

Ob und wie viel bezahlt wurde, ist nicht bekannt. Auf der Darknet-Leak-Site von Hive gibts dazu keine Angaben.

Bild
screenshot: watson

Wie wurden die Daten erbeutet?

Die Vorgehensweise der Täter ist nicht bekannt.

Die Emil Frey Gruppe hatte am 11. Januar in einer kurzen Mitteilung über eine Ransomware-Attacke informiert.

Dabei handelt es sich mutmasslich – wie oben erwähnt – um eine «Double Extortion»-Ransomware-Attacke.

Es handelt sich um ein neueres Phänomen und eine besonders perfide Vorgehensweise der Ransomware-Banden: Nach einem erfolgreichen Angriff drohen sie, erbeutete Daten im Darknet zu veröffentlichen und wollen so erreichen, dass dem Opfer kein Ausweg bleibt, als Lösegeld zu zahlen.

Die Täter gehen in mehreren Phasen vor:

  1. In der ersten Angriffssequenz versuchen sie, sich über das Internet unbemerkt Zugriff zu verschaffen auf das geschützte Netzwerk des Opfers. Das gelingt ihnen, indem sie diverse Hacker-Methoden und Werkzeuge nutzen, vom raffinierten Phishing-Mail bis zum Ausnutzen bekannter Sicherheitslücken, die nicht geschlossen wurden.
  2. Nachdem die Hacker unbemerkt ins Netzwerk eingedrungen sind, spionieren sie die miteinander verbundenen Rechner aus. Ziel ist es, die für das Opfer wertvollsten Dateien zu bestimmen und diese zu «exfiltrieren». Das heisst, die Daten werden heimlich kopiert und übers Internet auf einen Server der Angreifer übertragen.
  3. In der letzten Phase der Attacke verschlüsseln die Angreifer im fremden Netzwerk die wertvollen Dateien und fordern ein Lösegeld. Das Opfer wird zusätzlich unter Druck gesetzt, indem mit der Veröffentlichung der erbeuteten Daten im Darknet gedroht wird. Gleichzeitig können die Angreifer natürlich auch versuchen, in einschlägigen Hacker-Foren (anonyme) Käufer zu finden.

Die Lösegeldsumme, die je nach Unternehmensgrösse mehrere Millionen Dollar betragen kann, ist nicht das schlimmste Problem: Wenn gestohlene vertrauliche Dokumente als Leak im Internet landen, kann geistiges Eigentum betroffen sein. Dies wiederum kann zu Reputationsschäden und Compliance-Problemen führen, warnen IT-Sicherheitsexperten.

Kommt hinzu, dass aus einer doppelten eine dreifache Erpressung («Triple Extortion») werden könnte. Dabei richten Kriminelle ihre Lösegeldforderungen zusätzlich auch an bekannte Kunden oder Lieferanten des ursprünglichen Opfers.

Was sollten Kundinnen und Kunden von Emil Frey beachten?

Da das Ausmass des Hackerangriffs derzeit nicht bekannt ist und wir nicht wissen, welche Kundendaten in kriminelle Hände gelangt sind, oder noch gelangen könnten, sollten potenziell Betroffene derzeit besondere Vorsicht walten lassen.

Konkret sollten Kundinnen und Kunden der Emil Frey Gruppe bei eintreffenden E-Mails und Online-Kontakten damit rechnen, dass es sich um gezielte Phishing-Attacken handelt. Und Hände weg von unbekannten Mail-Attachments!

Die Emil-Frey-Gruppe von Ex-SVP-Nationalrat Walter Frey ist seit 2017 Europas grösster Autohändler. In der Schweiz vertreibt die Gruppe mit einem Jahresumsatz von 11 Milliarden Franken Fahrzeuge von rund 30 Automarken, darunter BMW, Fiat, Mazda, Mercedes-Benz, Toyota und Volvo.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Ransomware – Angriff der Verschlüsselungstrojaner
1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
Wenn diese hässliche Fratze auf dem Bildschirm auftaucht, ist es zu spät ...
quelle: screenshot: youtube
Auf Facebook teilenAuf X teilen
Dramatische Landung – British Airways kippt fast um
Video: watson
Das könnte dich auch noch interessieren:
32 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Starcraft
02.02.2022 21:08registriert November 2015
Ich würde anstelle des Lösegeldes ein grosszügiges Kopfgeld auf das Ergreifen der Bande einsetzen.
406
Melden
Zum Kommentar
avatar
Salvatore_M
02.02.2022 20:12registriert Januar 2022
Che banditi! Was die Hacker machen, ist einfach so etwas von gemein! Es ist eine grosse Herausforderung, aber die Schweizer Unternehmen und Behörden müssen im IT-Schutz wirklich einen Schritt vorankommen. Ich meine heute sprechen wir von Emil Frey, aber wen wird es als nächsten verwütschen?
406
Melden
Zum Kommentar
avatar
Aschenmadlen
02.02.2022 22:03registriert Juli 2017
Das Ganze ist uns allen schon längst über den Kopf gewachsen. Die nächste Pandemie wird eine Digitale.
287
Melden
Zum Kommentar
32
Reddit-Aktie startet mit Kurssprung an der Börse

Die Online-Plattform Reddit ist an der Börse mit einem kräftigen Kurssprung gestartet. Im US-Handel am Donnerstag lag das Plus zeitweise bei mehr als 50 Prozent.

Zur Story