Digital
Ransomware

Hackerbande Play steckt hinter Angriff auf Walliser Gemeinde Saxon

Flagge des Kanton Wallis.
Unbekannte haben eine Walliser Vormundschaftsbehörde gehackt und Daten gestohlen.Bild: Shutterstock

Hackerbande Play steckt auch hinter Angriff auf Westschweizer Gemeinde Saxon

Nach CH Media ist auch die Walliser Gemeinde Saxon von einer Ransomware-Attacke der «Play»-Bande betroffen. Im Darknet wird mit der Veröffentlichung vertraulicher Daten gedroht.
04.05.2023, 06:5704.05.2023, 13:36
Mehr «Digital»

Auf der Leak-Site der Hacker- und Erpresserbande Play ist am Mittwoch ein Drohschreiben veröffentlicht worden, das die Walliser Gemeinde Saxon betrifft.

Damit scheint klar, wer hinter dem am vergangenen Freitag publik gemachten Cyberangriff steckt.

Die unbekannten Kriminellen drohen mit der Veröffentlichung gestohlener Daten im Darknet. Es handle sich um «Private und persönliche vertrauliche Daten, Finanzen, Personalwesen, Verträge, Mitarbeiterunterlagen».

Das Ausmass des Datendiebstahls ist nicht bekannt.

Die Hackerbande Play steckt auch hinter der Ransomware-Attacke auf die Unternehmen CH Media und NZZ.

Polizei bestätigte Angriff

Der unbekannten Täterschaft sei es gelungen, in das Informatiksystem der Vormundschaftsbehörde (SOC) der Gemeinde Saxon einzudringen, hatte die Kantonspolizei Wallis am 28. April informiert.

SOC Saxon-Direktor Pascal Fournier sagte auf Anfrage der Nachrichtenagentur Keystone-SDA, es sei das erste Mal, dass seine Behörde von einem Cyberangriff betroffen sei. Sein Amt ist für die Gemeinden Saxon, Fully, Leytron, Riddes und Isérables zuständig.

Gemäss der damaligen Medienmitteilung starteten die Angreifer den eigentlichen Verschlüsselungsangriff am Samstagabend der Vorwoche (22. April). Wie lange sie sich zuvor im fremden Netzwerk aufgehalten und heimlich Daten «exfiltriert», also gestohlen hatten, ist nicht klar.

Die Abteilung Cyberkriminalität der Kantonspolizei versucht, bei ihren Ermittlungen auch herauszufinden, wie die Angreifer in das IT-System eindringen konnten. Die Staatsanwaltschaft habe eine Untersuchung eingeleitet.

Schnelle Verschlüsselung und doppelte Erpressung

Die «Play»-Ransomware (auch «PlayCrypt» genannt) wird von einer mutmasslich aus Russland stammenden Gruppierung entwickelt. Im Juni 2022 lanciert, war sie seitdem für zahlreiche hochkarätige Angriffe verantwortlich. Der Name stammt von der Erweiterung «.play», die nach der automatisierten Verschlüsselung von Opfer-Dateien hinzugefügt wird.

Wie die meisten Ransomware-Gruppen führt Play sogenannte doppelte Erpressungsangriffe (Double Extortion) durch, bei denen die Angreifer zunächst heimlich Daten aus den Opfernetzwerken exfiltrieren, bevor sie diese verschlüsseln. Sie drohen auf ihrer Leak-Site im Darknet auch damit, «Partner und Kunden» ihrer Opfer direkt zu benachrichtigen.

Play ist dafür bekannt, Schwachstellen in der Server-Software von Microsoft Exchange auszunutzen. Die technisch versierten Hacker gehörten auch zu den ersten Ransomware-Entwicklern, die «intermittierende Verschlüsselung» einsetzten. Bei dieser Verschlüsselungsmethode werden nur Teile der Opferdateien verschlüsselt, sodass mehr Daten in der gleichen Zeit unbrauchbar gemacht werden können.

Während sich die Cyberkriminellen anfänglich auf Organisationen in Lateinamerika, insbesondere Brasilien, konzentrierten, weitete sie ihre Angriffe bald auch auf Europa aus.

IT-Sicherheitsforscher schliessen anhand der Auswertung von digitalen Spuren darauf, dass Play relativ enge Verbindungen zu anderen berüchtigten Ransomware-Banden hat.

Quellen

Mit Material der Nachrichtenagentur Keystone-SDA

(dsc)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Verkanntes Genie oder Bald-Fussgänger? Dieser Typ füllt Pflanzenöl in sein Auto
Video: watson
Das könnte dich auch noch interessieren:
1 Kommentar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
1
Endlich mit Tieren sprechen – dank KI machen wir dabei Fortschritte

Die Vorstellung wirkt verlockend: Wie Dr. Dolittle mit Tieren sprechen zu können. Oder wenigstens in groben Zügen verstehen, was sie mit ihren Lauten mitteilen. Von Ersterem sind wir noch weit entfernt, bei Letzterem wurden in den letzten Jahren aber erstaunliche Fortschritte erzielt. Vor allem dank des Einsatzes von KI.

Zur Story