Türkischer Spitzen-Fussballclub von Hackern attackiert – Webseite lahmgelegt
Die Website von Trabzonspor Kulübü war am Donnerstag nicht erreichbar. Eine plausible Erklärung für das technische Versagen liefert die Ransomware-Bande Medusa. Sie hat am Vortag auf ihrer Leak-Site im Darknet eine Drohung gegen den bekannten türkischen Sportclub veröffentlicht.
Demnach haben die Cyberkriminellen den Fussballmeister von 2022, der in diesem Frühjahr in der Europa Conference League gegen den FC Basel verlor, gehackt. Und nun drohen sie mit der Veröffentlichung gestohlener Daten.
Eine Bestätigung seitens des Traditionsclubs aus der Hafenstadt im Nordosten der Türkei liegt nicht vor.
Die Erpresser bieten dem angeblichen Opfer mehrere Optionen: Es könne 10'000 US-Dollar bezahlen, um die Lösegeldfrist um einen Tag zu verlängern oder 1 Million Dollar, um alle erbeuteten Daten herunterzuladen oder zu löschen.
Trabzonspor ist einer der höchstdekorierten Vereine des Landes mit sieben Süper-Lig-Titeln. Er war der erste nicht in Istanbul ansässige Club, der die oberste Liga gewann.
Wie gefährlich sind die Angreifer?
Medusa gilt als eine von Hackern gesteuerte Ransomware, die erstmals im Juni 2021 beobachtet wurde und die erst kürzlich nach einer Reihe erfolgreicher Angriffe ins Rampenlicht rückte. Über die Hintermänner ist wenig bekannt.
Der Schweizer IT-Sicherheitsexperte Marc Ruef sagt, bei der Ransomware-Gang handle es sich voraussichtlich um «eine Gruppierung mit russischem Hintergrund».
Sicher ist, dass die unbekannten Kriminellen ihr Geschäft beherrschen: Medusa rangierte im März hinter den Gruppierungen LockBit und ALPHV auf Platz 3, was die Anzahl der weltweit publik gemachten Ransomware-Attacken betrifft.
Die Cyberkriminellen seien dafür bekannt, dass sie ungehindert und konsequent Bildungsinstitute angreifen, so Ruef. «Sie verstossen damit bewusst gegen einen Kodex, den sich viele Ransomware-Gruppierungen selber auferlegt haben.»
Im Mai attackierte Medusa ein süditalienisches Unternehmen, das für die Wasserversorgung zuständig ist, und verursachte gemäss Berichten technische Störungen. Zuvor hatte es auch eine Online-Universität auf Zypern erwischt.
Zu den früheren Opfern zählen die Tonga Communications Corporation (TCC), ein staatliches Telekommunikationsunternehmen des Inselstaates im Südpazifik, und das Öl- und Gasregulierungsunternehmen PetroChina Indonesia.
Verwechslungsgefahr
Gemäss Einschätzung des IT-Sicherheitsexperten handelt es sich nicht um die gleichen Cyberkriminellen, die hinter der älteren Schadsoftware MedusaLocker stecken.
Tatsächlich verwenden mehrere Bedrohungsakteure den aus der griechischen Mythologie stammenden Namen. Neben den beiden Ransomware-Banden existiert eine Android-Malware sowie ein auf der Linux-Schadsoftware Mirai basierendes Botnetz, also ein Online-Zusammenschluss von Rechnern, die mit einer gleichnamigen Malware infiziert wurden.
Bei der MedusaLocker-Gruppe wird vermutet, dass sie zwei Jahre älter ist als Medusa, da die ersten Berichte über ihre Aktivitäten bereits 2019 auftauchten. Dabei soll es sich um eine Ransomware-as-a-Service-Gruppe handeln, bei der mehrere kriminelle Partner («Affiliates») dieselbe Plattform nutzen, um Unternehmensopfer ins Visier zu nehmen.
Wie häufig sind Hackerangriffe auf Profi-Fussballclubs?
Das wissen wir nicht. Entsprechende Attacken sind in allen Wirtschaftssektoren ein Tabuthema. Und das gilt auch für professionell geführte Sportunternehmen.
Über Ransomware-Attacken gegen international bekannte Fussballclubs liegen sehr wenige Informationen vor.
- Im November 2020 informierte Manchester United über einen Cyberangriff, bei dem unverzüglich Massnahmen ergriffen worden seien, um betroffene Systeme zu identifizieren und abzuschalten. Allerdings sprachen die Verantwortlichen nicht explizit von einer Ransomware-Attacke.
- Bereits im Juli 2020 soll es einen anderen britischen Fussballverein getroffen haben. Die Verantwortlichen weigerten sich, das geforderte Lösegeld zu bezahlen. Durch die Verschlüsselungs-Attacke wurden die Videoüberwachung und die Drehkreuze des Stadions lahmgelegt, sodass es beinahe zu einer Spielabsage gekommen wäre.
- Der Vorfall veranlasste das britische National Cyber Security Centre (NCSC), eine öffentliche Warnung in Form eines Berichts herauszugeben, wonach Fussballmannschaften einem erhöhten Risiko von Ransomware-Angriffen und Phishing-Kampagnen ausgesetzt seien.
Der Hackerangriff auf den nicht namentlich genannten britischen Verein legte offen, dass die Unternehmensführung die IT-Sicherheitsrisiken unterschätzt hatte. Im NCSC-Bericht wird auf mehrere Versäumnisse hingewiesen:
- Das IT-System des Unternehmens sei «organisch gewachsen» und vor der Attacke seien nur wenige Sicherheitsmechanismen implementiert gewesen.
- Es habe keinen Notfallplan gegeben und es seien auch keine Notfallübungen durchgeführt worden.
- Es sei nur wenig in Cybersicherheit investiert worden. Der Club habe daraufhin einen neuen IT-Manager eingestellt und seine IT-Systeme und -Prozesse aufgerüstet, um das Risiko künftiger Angriffe zu minimieren.
Quellen
- malwarebytes.com: Ransomware review: March 2023
- cyborgsecurity.com: Medusa Ransomware
- therecord.media: Italian water supplier serving 500,000 people hit with ransomware attack (Mai 2023)
- ncsc.gov.uk: The Cyber Threat to Sports Organisations (PDF, 2020)
- cshub.com: IOTW: World’s Third Most Valuable Football Club Hit By Cyber Attack (November 2021)
- wikipedia.org: Trabzonspor
- wikipedia.org: Remote Desktop Protocol (RDP)
