Ein bekannter IT-Sicherheitsexperte spricht von einem neuen Tiefpunkt. Und bezieht sich dabei auf die Methoden der berüchtigten Ransomware-Bande ALPHV.
Die unbekannten Täter, die mutmasslich aus Russland (oder einem russischsprachigen Land) stammen, haben kürzlich Dokumente im Darknet veröffentlicht, die angeblich von Brustkrebspatientinnen aus den USA stammen.
Offenbar versucht die kriminelle Vereinigung, die auch als BlackCat bekannt ist, eine medizinische Einrichtung in Pennsylvania zu erpressen. Um ihrer Drohung Nachdruck zu verleihen, haben die Täter auf der Leak-Site im Darknet erste sensitive Dokumente publiziert. Es soll sich unter anderem um klinische Aufnahmen handeln, die dem Lehigh Valley Health Network im Nordosten der USA gestohlen wurden.
Betroffen ist ein Verband aus 13 Spitälern und weiteren Gesundheitseinrichtungen mit Sitz in Pennsylvania. Die Patientenfotos sollen in Zusammenhang mit Strahlentherapie zur Bekämpfung bösartiger Krebszellen erstellt worden sein.
watson hat einen entsprechenden Bericht des amerikanischen Online-Mediums The Record am Dienstagmorgen verifiziert. Die Leak-Site der ALPHV-Bande war vorübergehend eingeschränkt erreichbar. Dies könnte auf eine grosse Zahl von gleichzeitigen Zugriffsversuchen hindeuten.
An ihr Opfer gerichtet, schreiben die Erpresser:
Der IT-Sicherheitsexperte Max Smeets von der ETH Zürich reagierte am Montag mit einem zornigen Tweet, nachdem die Kriminellen am 4. März auf ihrer Leak-Site erste Dateien mitsamt der Drohung publiziert hatten.
Der Malware-Analyst Ryan Chapman twitterte:
ALPHV zählt zu den aktivsten und gefährlichsten Gruppierungen, die «Ransomware as a Service» (RaaS) anbieten. Die Kriminellen hatten zuletzt auch dem Schweizer Finanzinstitut Finaport massiv zugesetzt und grössere Mengen an gestohlenen Daten über das Darknet zugänglich gemacht.
Spezialität der Bande ist die doppelte und dreifache Erpressung, im Fachjargon «Double Extortion» respektive «Triple Extortion» genannt. Das bedeutet, dass die Kriminellen neben der Verschlüsselung von Dateien im fremden Netzwerk auch damit drohen, die zuvor heimlich kopierten Daten auf einer sogenannten Leak-Site zu veröffentlichen. Damit nicht genug, versuchen sie ihre zahlungsunwilligen Opfer mit Server-Überlastungsangriffen (DDoS) unter Druck zu setzen.
Mitte Februar leakten die Kriminellen sechs Gigabyte an Daten, die sie angeblich der irischen Munster Technological University gestohlen hatten. Sie enthielten vertrauliche Informationen, einschliesslich medizinischer Diagnosen des Personals und Bankkontoinformationen von Studenten.
