Ransomware-Bande attackiert staatliche Ziele – jetzt hat es Peru erwischt
Mutmasslich aus dem russischen Sprachraum stammende Cyberkriminelle haben angeblich eine zentrale Plattform der peruanischen Regierung gehackt. Auf der Darknet-Seite der Ransomware-Bande Rhysida veröffentlichten sie letzte Woche ein Ultimatum.
Die Gruppe fordert ein Lösegeld von 5 Bitcoins – das entspricht einem Wert von rund 480'000 US-Dollar. Als Beleg für den erfolgreichen Hackerangriff veröffentlichten sie Screenshots von Dateien, die angeblich vom staatlichen Online-Portal gob.pe gestohlen wurden.
Regierung bestreitet Angriff
Die peruanische Regierung übte sich in Schadensbegrenzung. In einer offiziellen Erklärung hiess es, das zentrale Online-Portal sei nicht kompromittiert worden und die für die Bürgerinnen und Bürger angebotenen Dienstleistungen seien die ganze Woche verfügbar gewesen. Die Hacker hätten sich aber Zugang zur Website einer regionalen Steuerverwaltung verschafft.
Die zuständigen peruanischen Bundesbehörden erklärten, sie würden den Vorfall untersuchen. Die Bevölkerung wurde aufgefordert, sich nur auf Informationen aus offiziellen Quellen innerhalb der Regierung zu verlassen und «Nachrichten zu vermeiden, die Verwirrung oder ungerechtfertigte Besorgnis hervorrufen könnten».
Ebenfalls Ende letzter Woche bestätigte eine regionale Steuerverwaltung, dass sie am frühen Morgen des 29. März mit einem Cyberangriff konfrontiert war. Die Verantwortlichen bestritten einen Datenabfluss.
Die Bevölkerung des Landes sei seit Oktober 2024 in höchster Alarmbereitschaft gegenüber Cyberbedrohungen, hält das IT-Newsportal Bleeping Computer fest. Dies, nachdem sich eine der grössten Banken des Landes öffentlich für einen Datendiebstahl entschuldigt hatte, bei dem möglicherweise Informationen von bis zu drei Millionen Kunden betroffen waren.
Wer steckt hinter Rhysida?
Der Name der Gruppe wie auch ihr Logo gehen auf die Tiergattung der Tausendfüssler zurück. Herkunft und Identität der Cyberkriminellen sind nicht öffentlich bekannt. Es gibt Hinweise, dass sie aus Russland respektive aus der Russischen Föderation stammen.
Cybersicherheits-Fachleute gehen davon aus, dass Rhysida Verbindungen zur Ransomware-Gruppe Vice Society hat, die bis Juni 2023 aktiv war und unter anderem die Westschweizer Gemeinde Rolle VD hackte.
Rhysida hat unter anderem auch das Finanzministerium des Wüstenstaates Kuwait sowie die Migrationsbehörde der Dominikanischen Republik gehackt.
Die Hintermänner gelten innerhalb der Ransomware-Branche als skrupellos. Sie haben auch schon Cyberattacken auf Kinderspitäler, Wohltätigkeitsorganisationen und Bibliotheken durchführen lassen.
Im Mai 2023 hackte Rhysida den Internet-Auftritt und das E-Mail-System der chilenischen Armee. Die Angreifer verschlüsselten deren Daten und forderten ein Lösegeld von 50 Bitcoin (ca. 1,9 Millionen US-Dollar).
Laut den US-Behörden verwenden die Hacker Phishing-E-Mails, um an Anmeldedaten ihrer Opfer zu gelangen. Organisationen, die Fernzugriffe über VPN-Dienste anbieten, sollten die Multi-Faktor-Authentifizierung (MFA) aktivieren, um solche Log-ins abzusichern.
Ende April hatte die Ransomware-Gruppe SafePay behauptet, eine auf Mineralienabbau spezialisierte peruanische Minengesellschaft gehackt zu haben.
Die Männer seien Tage zuvor «von illegalen Bergleuten in Zusammenarbeit mit kriminellen Elementen» in der von Gewalt erschütterten nördlichen Provinz Patáz entführt worden. In der Region im Departement La Libertad herrsche wegen der unsicheren Lage seit mehr als einem Jahr der Ausnahmezustand.
Peru ist laut BBC-Bericht einer der weltweit grössten Goldproduzenten und fördert jährlich mehr als 100 Tonnen Gold – das entspreche etwa 4 Prozent der gesamten jährlichen weltweiten Produktion.
Quellen
- therecord.media: Peru denies it was hit by ransomware attack following Rhysida claims (5. Mai)
- cisa.gov: Rhysida Ransomware (April 2025)