Digital
Ransomware

Trabzonspor Kulübü: Ransomware-Bande Medusa droht mit Daten-Leak

Der türkische Fussballclub Trabzonspor soll von einer Ransomware-Attacke betroffen sein. Unbekannte Kriminelle drohen mit der Veröffentlichung gestohlener Daten. Die Club-Website war am 25. Mai 2023 n ...
Heissblütige Supporter von Trabzonspor. Die Medusa-Bande will den Club gehackt haben. Bild: watson / Keystone

Türkischer Spitzen-Fussballclub von Hackern attackiert – Webseite lahmgelegt

Ransomware-Attacken auf Sportunternehmen sind ein Tabuthema. Nun hat es den türkischen Süper-Lig-Vertreter Trabzonspor erwischt. Die mutmasslichen Täter gehören einer aggressiven Bande an, wie der IT-Sicherheitsexperte Marc Ruef erklärt.
25.05.2023, 10:1825.05.2023, 13:42
Mehr «Digital»

Die Website von Trabzonspor Kulübü war am Donnerstag nicht erreichbar. Eine plausible Erklärung für das technische Versagen liefert die Ransomware-Bande Medusa. Sie hat am Vortag auf ihrer Leak-Site im Darknet eine Drohung gegen den bekannten türkischen Sportclub veröffentlicht.

Demnach haben die Cyberkriminellen den Fussballmeister von 2022, der in diesem Frühjahr in der Europa Conference League gegen den FC Basel verlor, gehackt. Und nun drohen sie mit der Veröffentlichung gestohlener Daten.

Der türkische Fussballclub Trabzonspor wurde angeblich gehackt. Die Ransomware-Bande Medusa hat auf ihrer Leak-Site im Darknet eine entsprechende Mitteilung veröffentlicht.
Auf der Darknet-Seite der Erpresserbande wird ein Timer angezeigt. Demnach wollen die Hacker in sieben Tagen Daten veröffentlichen, die sie erbeutet haben.Screenshot: watson

Eine Bestätigung seitens des Traditionsclubs aus der Hafenstadt im Nordosten der Türkei liegt nicht vor.

Die Erpresser bieten dem angeblichen Opfer mehrere Optionen: Es könne 10'000 US-Dollar bezahlen, um die Lösegeldfrist um einen Tag zu verlängern oder 1 Million Dollar, um alle erbeuteten Daten herunterzuladen oder zu löschen.

«Sie gelten in Bezug auf erfolgreiche Kompromittierungen als eine der effizientesten und erfolgreichsten Gruppierungen.»
Marc Ruef, IT-Sicherheitsexperte

Trabzonspor ist einer der höchstdekorierten Vereine des Landes mit sieben Süper-Lig-Titeln. Er war der erste nicht in Istanbul ansässige Club, der die oberste Liga gewann.

Wie gefährlich sind die Angreifer?

Medusa gilt als eine von Hackern gesteuerte Ransomware, die erstmals im Juni 2021 beobachtet wurde und die erst kürzlich nach einer Reihe erfolgreicher Angriffe ins Rampenlicht rückte. Über die Hintermänner ist wenig bekannt.

Der Schweizer IT-Sicherheitsexperte Marc Ruef sagt, bei der Ransomware-Gang handle es sich voraussichtlich um «eine Gruppierung mit russischem Hintergrund».

Sicher ist, dass die unbekannten Kriminellen ihr Geschäft beherrschen: Medusa rangierte im März hinter den Gruppierungen LockBit und ALPHV auf Platz 3, was die Anzahl der weltweit publik gemachten Ransomware-Attacken betrifft.

Die Cyberkriminellen seien dafür bekannt, dass sie ungehindert und konsequent Bildungsinstitute angreifen, so Ruef. «Sie verstossen damit bewusst gegen einen Kodex, den sich viele Ransomware-Gruppierungen selber auferlegt haben.»

«Der klassische Einbruch geschieht durch eine fehlerhafte Konfiguration in RDP. Hierbei handelt es sich um einen Standarddienst für Fernzugriffe auf Windows-Systeme. Das Vorgehen ist auf technischer Ebene durch Forscher gut analysiert und dokumentiert worden.»

Im Mai attackierte Medusa ein süditalienisches Unternehmen, das für die Wasserversorgung zuständig ist, und verursachte gemäss Berichten technische Störungen. Zuvor hatte es auch eine Online-Universität auf Zypern erwischt.

Zu den früheren Opfern zählen die Tonga Communications Corporation (TCC), ein staatliches Telekommunikationsunternehmen des Inselstaates im Südpazifik, und das Öl- und Gasregulierungsunternehmen PetroChina Indonesia.

Verwechslungsgefahr

Gemäss Einschätzung des IT-Sicherheitsexperten handelt es sich nicht um die gleichen Cyberkriminellen, die hinter der älteren Schadsoftware MedusaLocker stecken.

«Leider herrscht seit jeher Wildwuchs in Bezug auf die Namenskonventionen von Akteuren, Ransomware und Malware. Unterschiedliche Sicherheitsfirmen und Forscher vergeben verschiedene Namen, Gruppierungen überlappen sich manchmal, benennen sich um oder sind nicht eindeutig identifizierbar.»
Marc Ruef

Tatsächlich verwenden mehrere Bedrohungsakteure den aus der griechischen Mythologie stammenden Namen. Neben den beiden Ransomware-Banden existiert eine Android-Malware sowie ein auf der Linux-Schadsoftware Mirai basierendes Botnetz, also ein Online-Zusammenschluss von Rechnern, die mit einer gleichnamigen Malware infiziert wurden.

Bei der MedusaLocker-Gruppe wird vermutet, dass sie zwei Jahre älter ist als Medusa, da die ersten Berichte über ihre Aktivitäten bereits 2019 auftauchten. Dabei soll es sich um eine Ransomware-as-a-Service-Gruppe handeln, bei der mehrere kriminelle Partner («Affiliates») dieselbe Plattform nutzen, um Unternehmensopfer ins Visier zu nehmen.

Wie häufig sind Hackerangriffe auf Profi-Fussballclubs?

Das wissen wir nicht. Entsprechende Attacken sind in allen Wirtschaftssektoren ein Tabuthema. Und das gilt auch für professionell geführte Sportunternehmen.

Über Ransomware-Attacken gegen international bekannte Fussballclubs liegen sehr wenige Informationen vor.

  • Im November 2020 informierte Manchester United über einen Cyberangriff, bei dem unverzüglich Massnahmen ergriffen worden seien, um betroffene Systeme zu identifizieren und abzuschalten. Allerdings sprachen die Verantwortlichen nicht explizit von einer Ransomware-Attacke.
  • Bereits im Juli 2020 soll es einen anderen britischen Fussballverein getroffen haben. Die Verantwortlichen weigerten sich, das geforderte Lösegeld zu bezahlen. Durch die Verschlüsselungs-Attacke wurden die Videoüberwachung und die Drehkreuze des Stadions lahmgelegt, sodass es beinahe zu einer Spielabsage gekommen wäre.
  • Der Vorfall veranlasste das britische National Cyber Security Centre (NCSC), eine öffentliche Warnung in Form eines Berichts herauszugeben, wonach Fussballmannschaften einem erhöhten Risiko von Ransomware-Angriffen und Phishing-Kampagnen ausgesetzt seien.

Der Hackerangriff auf den nicht namentlich genannten britischen Verein legte offen, dass die Unternehmensführung die IT-Sicherheitsrisiken unterschätzt hatte. Im NCSC-Bericht wird auf mehrere Versäumnisse hingewiesen:

  • Das IT-System des Unternehmens sei «organisch gewachsen» und vor der Attacke seien nur wenige Sicherheitsmechanismen implementiert gewesen.
  • Es habe keinen Notfallplan gegeben und es seien auch keine Notfallübungen durchgeführt worden.
  • Es sei nur wenig in Cybersicherheit investiert worden. Der Club habe daraufhin einen neuen IT-Manager eingestellt und seine IT-Systeme und -Prozesse aufgerüstet, um das Risiko künftiger Angriffe zu minimieren.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Plötzlich regnet es Plüschtiere – diese türkischen Fussballfans werden dein Herz erwärmen
Video: watson
Das könnte dich auch noch interessieren:
0 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Fedpol-Chefin warnt: Verbrecher-Chats können nicht zeitnah ausgewertet werden
Nachdem der Messenger-Dienst Sky ECC, ein «WhatsApp für Verbrecher», von Ermittlern gehackt wurde, liegen sehr viele Daten zur Auswertung vor. Ein Rennen gegen die Zeit.

Dank des im Jahr 2021 von Europol geknackten verschlüsselten Kommunikationsdienstes für Kriminelle Sky ECC laufen in der Schweiz zurzeit rund 60 Ermittlungen. «Es geht um Kokain, Cannabis, synthetische Drogen und Waffen», sagt Fedpol-Chefin Nicoletta della Valle.

Zur Story