Unbekannte Internet-Kriminelle erpressen die Emil Frey Gruppe und drohen mit der Veröffentlichung von «fast 300 Gigabyte» an «vertraulichen Daten», die sie angeblich bei einem Hackerangriff im Januar erbeutet haben.
Dies geht aus einer Ankündigung auf der Leak-Site einer berüchtigten Ransomware-Gruppe hervor. Inzwischen wurde auch ein erster Datensatz über einen anonymen Filehoster veröffentlicht, wie watson-Recherchen zeigen.
Gemäss unseren Recherchen ist der grösste Autohändler Europas von einer «doppelten Erpressung» in Zusammenhang mit einem Hackerangriff betroffen, IT-Sicherheitsexperten sprechen von «Double Extortion Ransomware».
Auf der nur über das Tor-Netzwerk erreichbaren Leak-Seite hiess es am Dienstag, «fast 300 GB» (Gigabyte) an «vertraulichen Daten» würden «bald» veröffentlicht.
Am Mittwoch machten die Unbekannten ihre Drohung teilweise wahr und veröffentlichten auf ihrer Leak-Site einen Link zu einem bekannten Filehoster. Darüber lässt sich eine im ZIP-Format komprimierte Datei mit einer Grösse von 225 Megabyte (MB) herunterladen. Name: «Fail.zip».
Es handelt sich dem Vernehmen nach um interne Dokumente. Mehrere sollen persönliche Daten von Kundinnen und Kunden aus der Schweiz und Deutschland enthalten.
watson geht nicht weiter auf den Inhalt ein.
Update: Die oben erwähnte Datei kann nicht mehr heruntergeladen werden. Der Filehoster schreibt: «Der zugehörige Benutzeraccount wurde wegen schwerwiegender Verletzung unserer Allgemeinen Geschäftsbedingungen gesperrt.»
Unternehmenssprecher Peter Hug nahm am Mittwochabend auf Anfrage von watson per E-Mail Stellung:
Des Weiteren bitte er um Verständnis, dass «momentan keine weiteren Stellungnahmen» abgegeben würden.
Die kriminelle Vereinigung, die sich Hive nennt, gehört laut IT-Sicherheitsexperten zu den Grossen der Branche und gilt als eine der besonders aggressiven Banden. Sie bietet ihre Erpressungs-Software auch Dritten («Affiliates») an. Dieses Geschäftsmodell wird als «Ransomware as a Service» (RaaS) bezeichnet und bedeutet, dass Dritte mit den (anonymen) Hive-Hintermännern kooperieren können, um ein Unternehmen zu hacken und Lösegeld zu erpressen.
Zu den bekanntesten Opfern gehörte letztes Jahr der Elektronikhändler MediaMarkt. Nach einer Ransomware-Attacke im November musste das Unternehmen IT-Systeme abschalten und den Geschäftsbetrieb in den Niederlanden und Deutschland zum Teil unterbrechen. Laut Berichten betrug die ursprüngliche Lösegeldforderung 240 Millionen US-Dollar, sie wurde jedoch angeblich auf 50 Millionen reduziert.
Ob und wie viel bezahlt wurde, ist nicht bekannt. Auf der Darknet-Leak-Site von Hive gibts dazu keine Angaben.
Die Vorgehensweise der Täter ist nicht bekannt.
Die Emil Frey Gruppe hatte am 11. Januar in einer kurzen Mitteilung über eine Ransomware-Attacke informiert.
Dabei handelt es sich mutmasslich – wie oben erwähnt – um eine «Double Extortion»-Ransomware-Attacke.
Es handelt sich um ein neueres Phänomen und eine besonders perfide Vorgehensweise der Ransomware-Banden: Nach einem erfolgreichen Angriff drohen sie, erbeutete Daten im Darknet zu veröffentlichen und wollen so erreichen, dass dem Opfer kein Ausweg bleibt, als Lösegeld zu zahlen.
Die Täter gehen in mehreren Phasen vor:
Die Lösegeldsumme, die je nach Unternehmensgrösse mehrere Millionen Dollar betragen kann, ist nicht das schlimmste Problem: Wenn gestohlene vertrauliche Dokumente als Leak im Internet landen, kann geistiges Eigentum betroffen sein. Dies wiederum kann zu Reputationsschäden und Compliance-Problemen führen, warnen IT-Sicherheitsexperten.
Kommt hinzu, dass aus einer doppelten eine dreifache Erpressung («Triple Extortion») werden könnte. Dabei richten Kriminelle ihre Lösegeldforderungen zusätzlich auch an bekannte Kunden oder Lieferanten des ursprünglichen Opfers.
Da das Ausmass des Hackerangriffs derzeit nicht bekannt ist und wir nicht wissen, welche Kundendaten in kriminelle Hände gelangt sind, oder noch gelangen könnten, sollten potenziell Betroffene derzeit besondere Vorsicht walten lassen.
Konkret sollten Kundinnen und Kunden der Emil Frey Gruppe bei eintreffenden E-Mails und Online-Kontakten damit rechnen, dass es sich um gezielte Phishing-Attacken handelt. Und Hände weg von unbekannten Mail-Attachments!
Die Emil-Frey-Gruppe von Ex-SVP-Nationalrat Walter Frey ist seit 2017 Europas grösster Autohändler. In der Schweiz vertreibt die Gruppe mit einem Jahresumsatz von 11 Milliarden Franken Fahrzeuge von rund 30 Automarken, darunter BMW, Fiat, Mazda, Mercedes-Benz, Toyota und Volvo.