Ende Mai berichtete watson über einen Hackerangriff der berüchtigten Ransomware-Bande ALPHV, alias «BlackCat». Diese hatte im Südosten Österreichs zugeschlagen.
Die damaligen Erklärungen der verantwortlichen Regierungsvertreter, wonach es keine Hinweise auf einen grösseren Datendiebstahl gebe, sind Makulatur. Die Internet-Erpresser haben am Donnerstag auf ihrer Leak-Site im Darknet damit begonnen, gestohlene Daten zugänglich zu machen.
Der österreichische IT-Sicherheitsexperte Sebastian Bicchi konnte die geleakte Daten sichten. Er informierte am Freitag bei Twitter über die ersten Erkenntnisse. Und diese bestätigen die früher geäusserten Befürchtungen.
Bicchi, der Geschäftsführer einer IT-Sicherheitsfirma ist, warnte die österreichischen Bürgerinnen und Bürger:
Dass die geleakten Daten tatsächlich aus dem Angriff stammen, sei sehr wahrscheinlich, zitiert futurezone.at den Sicherheitsexperten. Wenn man den Forderungen der Bande nicht nachkomme, sei es sehr wahrscheinlich, dass in den nächsten Tagen weitere Daten veröffentlicht würden.
Unter den Daten befinden sich laut Bicchi E-Mails, Corona-Tests, Reisepass-Daten, schriftliche Genehmigungen (Visa) sowie politische Positionspapiere und ein grosser Ordner mit Dateien zur österreichischen Hypo-Bank.
Insgesamt soll ALPHV 250 Gigabyte (GB) an Daten aus den IT-Systemen des Landes Kärnten heimlich exfiltriert haben. Davon sind nun 5,6 GB geleakt worden.
Pikant: Unter den geleakten Daten sollen sich auch Reisepass-Kopien des Landeshauptmannes von Kärnten, Peter Kaiser, befinden, Covid-Testergebnisse und Mail-Archive. Letzteres ist brisant, da in Outlook-Archivdateien vertrauliche Informationen enthalten sein können, die wiederum für weitere kriminelle Aktivitäten missbraucht werden könnten.
Kleiner Trost für die Betroffenen: Der von den Kriminellen veröffentlichte Link, der zu einem beim Filehoster Mega gespeicherten Datenpaket führte, wurde bereits gesperrt.
Üblicherweise erfolgten die Veröffentlichungen schrittweise, um den Druck auf die Betroffenen zu erhöhen. Solche Leaks würden von den Erpressern verwendet, um zu beweisen, dass sie tatsächlich im Besitz der Daten seien.
Die Verantwortlichen des Landes Kärnten hatten nach Bekanntwerden des Hackerangriffs öffentlich erklärt, sie würden sich weigern, das geforderte Lösegeld zu bezahlen (5 Mio. Euro, ursprünglich war von 5 Mio. Dollar die Rede).
Das Land Kärnten könne die Echtheit der geleakten Daten vorerst nicht bestätigten, sagte ein Sprecher der Kärntner Landesregierung am Freitag laut futurezone.at. Die Daten würden von Fachleuten gesichtet, auf viele Dateiten habe man aber gar nicht zugreifen können, wie es weiter hiess.
Der Kärtner Regierungssprecher erzählte, dass die Kriminellen Anfang Woche nicht nur ein Ultimatum für das Bezahlen der geforderten Lösegeldsumme übermittelten. Sie hätten auch mit Denial-of-Service-Attacken (DDos) gedroht, falls die Forderungen der Gruppe nicht erfüllt würden.
Mittlerweile seien solche Server-Überlastungsangriffe im Gang, erklärte der Sprecher am Freitagnachmittag. Die IT-Systeme, die inzwischen wieder online seien, habe man jedoch «gut abgesichert». Tatsächlich war der Internet-Auftritt des Landes Kärnten aber am Freitagabend unerreichbar.
Der Kärntner Regierungssprecher gab sich standhaft: Man werde der Lösegeldforderung nicht nachgeben.
ALPHV gehört zu den aktivsten und gefährlichsten Gruppierungen, die «Ransomware as a Service» (RaaS) anbieten. Die Kriminellen werden in Russland vermutet, sie arbeiten nur mit russischsprachigen «Partnern» zusammen, wie ein hochrangiges Mitglied in einem früheren Interview erklärte.
In einer im April veröffentlichten FBI-Warnung hiess es, dass die US-Bundespolizei bis März mindestens 60 Ransomware-Angriffe durch die Gruppe verfolgt habe.