Die Website von Trabzonspor Kulübü war am Donnerstag nicht erreichbar. Eine plausible Erklärung für das technische Versagen liefert die Ransomware-Bande Medusa. Sie hat am Vortag auf ihrer Leak-Site im Darknet eine Drohung gegen den bekannten türkischen Sportclub veröffentlicht.
Demnach haben die Cyberkriminellen den Fussballmeister von 2022, der in diesem Frühjahr in der Europa Conference League gegen den FC Basel verlor, gehackt. Und nun drohen sie mit der Veröffentlichung gestohlener Daten.
Eine Bestätigung seitens des Traditionsclubs aus der Hafenstadt im Nordosten der Türkei liegt nicht vor.
Die Erpresser bieten dem angeblichen Opfer mehrere Optionen: Es könne 10'000 US-Dollar bezahlen, um die Lösegeldfrist um einen Tag zu verlängern oder 1 Million Dollar, um alle erbeuteten Daten herunterzuladen oder zu löschen.
Trabzonspor ist einer der höchstdekorierten Vereine des Landes mit sieben Süper-Lig-Titeln. Er war der erste nicht in Istanbul ansässige Club, der die oberste Liga gewann.
Medusa gilt als eine von Hackern gesteuerte Ransomware, die erstmals im Juni 2021 beobachtet wurde und die erst kürzlich nach einer Reihe erfolgreicher Angriffe ins Rampenlicht rückte. Über die Hintermänner ist wenig bekannt.
Der Schweizer IT-Sicherheitsexperte Marc Ruef sagt, bei der Ransomware-Gang handle es sich voraussichtlich um «eine Gruppierung mit russischem Hintergrund».
Sicher ist, dass die unbekannten Kriminellen ihr Geschäft beherrschen: Medusa rangierte im März hinter den Gruppierungen LockBit und ALPHV auf Platz 3, was die Anzahl der weltweit publik gemachten Ransomware-Attacken betrifft.
Die Cyberkriminellen seien dafür bekannt, dass sie ungehindert und konsequent Bildungsinstitute angreifen, so Ruef. «Sie verstossen damit bewusst gegen einen Kodex, den sich viele Ransomware-Gruppierungen selber auferlegt haben.»
Im Mai attackierte Medusa ein süditalienisches Unternehmen, das für die Wasserversorgung zuständig ist, und verursachte gemäss Berichten technische Störungen. Zuvor hatte es auch eine Online-Universität auf Zypern erwischt.
Zu den früheren Opfern zählen die Tonga Communications Corporation (TCC), ein staatliches Telekommunikationsunternehmen des Inselstaates im Südpazifik, und das Öl- und Gasregulierungsunternehmen PetroChina Indonesia.
Gemäss Einschätzung des IT-Sicherheitsexperten handelt es sich nicht um die gleichen Cyberkriminellen, die hinter der älteren Schadsoftware MedusaLocker stecken.
Tatsächlich verwenden mehrere Bedrohungsakteure den aus der griechischen Mythologie stammenden Namen. Neben den beiden Ransomware-Banden existiert eine Android-Malware sowie ein auf der Linux-Schadsoftware Mirai basierendes Botnetz, also ein Online-Zusammenschluss von Rechnern, die mit einer gleichnamigen Malware infiziert wurden.
Bei der MedusaLocker-Gruppe wird vermutet, dass sie zwei Jahre älter ist als Medusa, da die ersten Berichte über ihre Aktivitäten bereits 2019 auftauchten. Dabei soll es sich um eine Ransomware-as-a-Service-Gruppe handeln, bei der mehrere kriminelle Partner («Affiliates») dieselbe Plattform nutzen, um Unternehmensopfer ins Visier zu nehmen.
Das wissen wir nicht. Entsprechende Attacken sind in allen Wirtschaftssektoren ein Tabuthema. Und das gilt auch für professionell geführte Sportunternehmen.
Über Ransomware-Attacken gegen international bekannte Fussballclubs liegen sehr wenige Informationen vor.
Der Hackerangriff auf den nicht namentlich genannten britischen Verein legte offen, dass die Unternehmensführung die IT-Sicherheitsrisiken unterschätzt hatte. Im NCSC-Bericht wird auf mehrere Versäumnisse hingewiesen: