Mutmasslich aus dem russischen Sprachraum stammende Cyberkriminelle haben angeblich eine zentrale Plattform der peruanischen Regierung gehackt. Auf der Darknet-Seite der Ransomware-Bande Rhysida veröffentlichten sie letzte Woche ein Ultimatum.
Die Gruppe fordert ein Lösegeld von 5 Bitcoins – das entspricht einem Wert von rund 480'000 US-Dollar. Als Beleg für den erfolgreichen Hackerangriff veröffentlichten sie Screenshots von Dateien, die angeblich vom staatlichen Online-Portal gob.pe gestohlen wurden.
Die peruanische Regierung übte sich in Schadensbegrenzung. In einer offiziellen Erklärung hiess es, das zentrale Online-Portal sei nicht kompromittiert worden und die für die Bürgerinnen und Bürger angebotenen Dienstleistungen seien die ganze Woche verfügbar gewesen. Die Hacker hätten sich aber Zugang zur Website einer regionalen Steuerverwaltung verschafft.
Die zuständigen peruanischen Bundesbehörden erklärten, sie würden den Vorfall untersuchen. Die Bevölkerung wurde aufgefordert, sich nur auf Informationen aus offiziellen Quellen innerhalb der Regierung zu verlassen und «Nachrichten zu vermeiden, die Verwirrung oder ungerechtfertigte Besorgnis hervorrufen könnten».
Ebenfalls Ende letzter Woche bestätigte eine regionale Steuerverwaltung, dass sie am frühen Morgen des 29. März mit einem Cyberangriff konfrontiert war. Die Verantwortlichen bestritten einen Datenabfluss.
Die Bevölkerung des Landes sei seit Oktober 2024 in höchster Alarmbereitschaft gegenüber Cyberbedrohungen, hält das IT-Newsportal Bleeping Computer fest. Dies, nachdem sich eine der grössten Banken des Landes öffentlich für einen Datendiebstahl entschuldigt hatte, bei dem möglicherweise Informationen von bis zu drei Millionen Kunden betroffen waren.
Der Name der Gruppe wie auch ihr Logo gehen auf die Tiergattung der Tausendfüssler zurück. Herkunft und Identität der Cyberkriminellen sind nicht öffentlich bekannt. Es gibt Hinweise, dass sie aus Russland respektive aus der Russischen Föderation stammen.
Cybersicherheits-Fachleute gehen davon aus, dass Rhysida Verbindungen zur Ransomware-Gruppe Vice Society hat, die bis Juni 2023 aktiv war und unter anderem die Westschweizer Gemeinde Rolle VD hackte.
Rhysida hat unter anderem auch das Finanzministerium des Wüstenstaates Kuwait sowie die Migrationsbehörde der Dominikanischen Republik gehackt.
Die Hintermänner gelten innerhalb der Ransomware-Branche als skrupellos. Sie haben auch schon Cyberattacken auf Kinderspitäler, Wohltätigkeitsorganisationen und Bibliotheken durchführen lassen.
Im Mai 2023 hackte Rhysida den Internet-Auftritt und das E-Mail-System der chilenischen Armee. Die Angreifer verschlüsselten deren Daten und forderten ein Lösegeld von 50 Bitcoin (ca. 1,9 Millionen US-Dollar).
Laut den US-Behörden verwenden die Hacker Phishing-E-Mails, um an Anmeldedaten ihrer Opfer zu gelangen. Organisationen, die Fernzugriffe über VPN-Dienste anbieten, sollten die Multi-Faktor-Authentifizierung (MFA) aktivieren, um solche Log-ins abzusichern.
Ende April hatte die Ransomware-Gruppe SafePay behauptet, eine auf Mineralienabbau spezialisierte peruanische Minengesellschaft gehackt zu haben.
