Sensible Daten im Netz: Die Hacker, die das Luxemburger Energieunternehmen Encevo angegriffen haben, haben offenbar Kundendaten im Internet veröffentlicht. „Seit der Attacke gab es eine Veröffentlichung gestohlener Daten im sogenannten Darknet“, teilte das Unternehmen am Montag auf seiner Webseite mit. „Nach derzeitigem Kenntnisstand sind Stammdaten wie Namen, Vornamen, Adressdaten und, falls abgespeichert, E-Mail-Adressen und Telefonnummern betroffen, sowie Bankverbindungen für bestimmte Kundengruppen.“ Encevo war in der Nacht vom 22. auf den 23. Juli Opfer einer Attacke der Ransomware-Software BlackCat geworden. Die Hacker griffen dabei das Firmensystem von außen an, kopierten Daten und blockierten Computersysteme.
Die betroffenen Kunden werden bald informiert. „Das ist auf jeden Fall geplant“, sagt eine Encevo-Sprecherin gegenüber dem Tageblatt am Mittwochabend. „Unsere Teams aus verschiedenen Abteilungen, IT und Datenforensik-Experten sind noch dabei zu ermitteln und tun alles Mögliche, um die gehackten Daten weiter zu analysieren“, schreibt Encevo auf seiner Website. Menschen, deren persönlichen Daten entdeckt werden, werden individuell informiert.
Encevo versorgt mit seinen Tochterunternehmen Creos und Enovos rund 300.000 Kunden in Luxemburg mit Strom und 49.000 mit Gas. Encevo schreibt, dass die zuständigen Behörden – die Polizei, die nationale Datenschutzkommission (CNPD), das Luxembourg Institute of Regulation (ILR) und die Regierung – informiert worden seien. Außerdem versichert die Firma, dass die Versorgung mit Strom und Gas nicht betroffen sei. Auf eine Lösegeldforderung ging Encevo laut eigenen Angaben nicht ein. „Die Cyberkriminellen forderten von uns die Zahlung eines Lösegelds“, schreibt das Unternehmen. „Wir sind dieser Forderung nicht nachgekommen, da wir generell keine Geschäfte mit Kriminellen machen, um deren Machenschaften nicht zu unterstützen.“ Dies sei auch der allgemeine Rat der zuständigen Behörden in solchen Situationen.
150 Gigabyte an Daten von Encevo?
Die Hackersoftware „BlackCat“, auch als „AlphV“ bekannt, hat sich laut Medienberichten auf spezialisierten Portalen in einem Post im Darkweb zum Hack bekannt. Sie geben dort an, 150 Gigabyte an Daten von Encevo abgegriffen zu haben. Darunter Verträge, Übereinkünfte, Rechnungen, E-Mails und Kopien von Pässen.
Im Gespräch mit dem Tageblatt erklärt ein Sprecher des IT-Sicherheitsunternehmens Cyble, wie „BlackCat“ vorgeht. „BlackCat ist bekannt dafür, auf ungepatchte Sicherheitslücken wie beispielsweise Exchange-Server über einen Remote-Desktop-Server zuzugreifen.“ Dafür würden geklaute Zugangsdaten benutzt, die über Malware oder Logdateien anderer Hacker bezogen würden. Die Software selbst sei in der Programmiersprache Rust geschrieben, es werde vermutet, dass das Programm vor allem Verbindungen zu den Ransomware-Gruppen BlackMatter und DarkSide habe, aber offenbar auch von anderen Akteuren gemietet werden könne. Die Gruppen nutzen verschiedene Erpressungsmethoden, bei denen zuerst die Daten gestohlen und dann die betroffenen Rechner verschlüsselt werden. „Wenn das Opfer das Lösegeld nicht zahlt, werden die Daten veröffentlicht“, erklärt der Cyble-Experte. Laut IT-Kreisen hat die Gruppe bis zu 2,5 Millionen US-Dollar Lösegeld von anderen Firmen gefordert.
Neu sei, dass die Gruppen die Daten im Internet durchsuchbar machten, erklärt der Experte gegenüber dem Tageblatt. Am 14. Juni hätte die Ransomware-Gruppe sogar eine Internet-Domain geschaffen, bei der nach Sozialversicherungsnummern, Geburtstagen und E-Mail-Adressen von Mitarbeitern einer gehackten Organisation gesucht werden konnte. „Die Angreifer haben das genutzt, um die betroffene Organisation zu verunglimpfen.“ Ebenfalls neu sei, dass E-Mail-Kommunikation der gehackten Unternehmen geleakt würden. Die amerikanische Bundespolizei FBI habe ein offizielles Profil über die BlackCat-Ransomware veröffentlicht. Die Behörde empfiehlt den Opfern dabei, dass sie, falls möglich, das verlangte Lösegeld nicht bezahlen und die Fälle melden.
Sie müssen angemeldet sein um kommentieren zu können