Auf der Leak-Site der Hacker- und Erpresserbande Play ist am Mittwoch ein Drohschreiben veröffentlicht worden, das die Walliser Gemeinde Saxon betrifft.
Damit scheint klar, wer hinter dem am vergangenen Freitag publik gemachten Cyberangriff steckt.
Die unbekannten Kriminellen drohen mit der Veröffentlichung gestohlener Daten im Darknet. Es handle sich um «Private und persönliche vertrauliche Daten, Finanzen, Personalwesen, Verträge, Mitarbeiterunterlagen».
Das Ausmass des Datendiebstahls ist nicht bekannt.
Die Hackerbande Play steckt auch hinter der Ransomware-Attacke auf die Unternehmen CH Media und NZZ.
Der unbekannten Täterschaft sei es gelungen, in das Informatiksystem der Vormundschaftsbehörde (SOC) der Gemeinde Saxon einzudringen, hatte die Kantonspolizei Wallis am 28. April informiert.
SOC Saxon-Direktor Pascal Fournier sagte auf Anfrage der Nachrichtenagentur Keystone-SDA, es sei das erste Mal, dass seine Behörde von einem Cyberangriff betroffen sei. Sein Amt ist für die Gemeinden Saxon, Fully, Leytron, Riddes und Isérables zuständig.
Gemäss der damaligen Medienmitteilung starteten die Angreifer den eigentlichen Verschlüsselungsangriff am Samstagabend der Vorwoche (22. April). Wie lange sie sich zuvor im fremden Netzwerk aufgehalten und heimlich Daten «exfiltriert», also gestohlen hatten, ist nicht klar.
Die Abteilung Cyberkriminalität der Kantonspolizei versucht, bei ihren Ermittlungen auch herauszufinden, wie die Angreifer in das IT-System eindringen konnten. Die Staatsanwaltschaft habe eine Untersuchung eingeleitet.
Die «Play»-Ransomware (auch «PlayCrypt» genannt) wird von einer mutmasslich aus Russland stammenden Gruppierung entwickelt. Im Juni 2022 lanciert, war sie seitdem für zahlreiche hochkarätige Angriffe verantwortlich. Der Name stammt von der Erweiterung «.play», die nach der automatisierten Verschlüsselung von Opfer-Dateien hinzugefügt wird.
Wie die meisten Ransomware-Gruppen führt Play sogenannte doppelte Erpressungsangriffe (Double Extortion) durch, bei denen die Angreifer zunächst heimlich Daten aus den Opfernetzwerken exfiltrieren, bevor sie diese verschlüsseln. Sie drohen auf ihrer Leak-Site im Darknet auch damit, «Partner und Kunden» ihrer Opfer direkt zu benachrichtigen.
Play ist dafür bekannt, Schwachstellen in der Server-Software von Microsoft Exchange auszunutzen. Die technisch versierten Hacker gehörten auch zu den ersten Ransomware-Entwicklern, die «intermittierende Verschlüsselung» einsetzten. Bei dieser Verschlüsselungsmethode werden nur Teile der Opferdateien verschlüsselt, sodass mehr Daten in der gleichen Zeit unbrauchbar gemacht werden können.
Während sich die Cyberkriminellen anfänglich auf Organisationen in Lateinamerika, insbesondere Brasilien, konzentrierten, weitete sie ihre Angriffe bald auch auf Europa aus.
IT-Sicherheitsforscher schliessen anhand der Auswertung von digitalen Spuren darauf, dass Play relativ enge Verbindungen zu anderen berüchtigten Ransomware-Banden hat.
Mit Material der Nachrichtenagentur Keystone-SDA
(dsc)
