Medibank und Deutsche Bank vom gleichen Angreifer gehackt?

Sicherheit (Pexels, allgemeine Nutzung)[English]Aktuell schüttelt der Hack des australischen Gesundheitsunternehmen Medibank Down-Under mächtig durch. Denn der Angreifer bietet Millionen Patientendaten im Darknet an. Kurz vorher wurde der australische Telekom-Anbieter Optus gehackt und Millionen Kundendaten abgezogen. Und ganz aktuell bieten (angeblich) die gleichen Cyberkriminellen, die Medibank angegriffen haben, Daten der Deutschen Bank im Darknet an. Laut Berichten sind die Namen der Hacker, die aus Russland operieren, bekannt. Update: Die Deutsche Bank sieht keine Anzeichen für einen Hack.


Anzeige

Der Optus-Hack

Ich hatte es nicht im Blog, da Australien weit weg ist. Anfang Oktober 2022 musste der australische Telcom-Anbieter Optus eingestehen, dass die persönlichen Daten von 2,1 Millionen alter und bestehender Kunden in unbefugte Hände gefallen seien. The Hacker News hat hier über diesen Fall berichtet. Ein weiterer Bericht findet sich bei Bleeping Computer.

Der Hacker, der 11 Millionen Kundendaten abgezogen hatte, entschuldigte sich laut diesem Bericht zwar dafür, und hat laut eigenen Aussagen die Daten inzwischen gelöscht. Aber es wurden ja Auszüge veröffentlicht. Der Hacker konnte über eine ungesicherte API auf die Kundendaten zugreifen und versuchte die Firma zu erpressen.

Die australische Bundespolizei (AFP) hat in Sydney dann Anfang Oktober 2022 einen 19-Jährigen verhaftet, der (als Trittbrettfahrer) Optus-Kundendaten zu Erpressungszwecken verwendet hat. Der Verdächtige nutzte 10.200 Datensätze der von den Optus-Hackern erbeuteten Daten, und drohte den Opfern per SMS, dass ihre Daten an andere Hacker verkauft würden, wenn sie nicht innerhalb von zwei Tagen 2.000 AUD (1.300 $) zahlten. Da er ein Konto der Commonwealth Bank of Australia für das Lösegeld angab, wurde er identifiziert und verhaftet.

Der Medibank-Hack

Medibank ist ein australisches Gesundheitsunternehmen mit Sitz in Melbourne. Das Unternehmen bietet private Krankenversicherungen und Krankenversicherungslösungen an. Vorigen Monat gab es einen Ransomware-Angriff auf den Versicherer. Der Ransomware-Angriff des australischen Gesundheitsunternehmen Medibank hat ein regelrechtes Erdbeben in Australien ausgelöst und die Regierung plant, die Gesetzgebung in Sachen Datenschutz und Sicherheitsauflagen zu verschärfen. Bei diesem Sicherheitsvorfall konnten die Angreifer 9,7 Millionen Kundendaten des Krankenversicherers erbeuten.

Die Mitteilung des Anbieters findet sich hier und besagt, dass Kriminelle in einem Dark-Web-Forum Dateien mit Medibank-Kundendaten veröffentlicht haben. Zu diesen Daten gehören personenbezogene Daten wie Namen, Adressen, Geburtsdaten, Telefonnummern, E-Mail-Adressen, Medicare-Nummern für Kunden, in einigen Fällen Passnummern für unsere internationalen Studenten und einige Daten zu Gesundheitsleistungen.

Die australische Bundespolizei (AFP) geht davon aus, dass sich die Verantwortlichen für diese Cyberkriminalität in Russland aufhalten. In diesem Artikel bestätigt die AFP, dass man die Identität der Angreifer kenne. Man wolle von AFP mit den russischen Strafverfolgungsbehörden Gespräche über die mutmaßlich beteiligten Personen führen, heißt es. Das dürfte aber angesichts der aktuellen politischen Lage eher schwierig werden. Die Kollegen von Bleeping Computer haben hier noch einige Informationen zusammen gestellt.

Dieser Hack hat für mich eine besondere Brisanz, weil er zeigt, was bei zentraler Sammlung von Patientendaten passieren kann. Ich denke hier an meinen Blog-Beitrag gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen.

Deutsche Bank-Daten im Darknet

Wenn die Meldung stimmt, hat es auch einen erfolgreichen Angriff auf die Deutsche Bank gegeben, denn laut nachfolgendem Tweet bietet die gleiche Gruppe, die für den Medibank-Hack verantwortlich zeichnet, Zugangsdaten zu den Systemen der Deutsche Bank im Darknet an. Ergänzung: Lawrence Abrams von Bleeping Computer meint aber, dass es nicht die gleichen Hacker waren, die die Medibank angegriffen haben. Dieser Angriff scheint auf Reste der REvil-Gang zurückzugehen, die sich wohl nach Auflösung der Gruppe neu formiert haben. Was möglich ist (könnte aber auch ein Betrugsversuch sein): Der Access Broker, der der Ransomware-Gang den Zugang zur Medibank verkauft hat, bietet auch die nachfolgenden Zugangsdaten an (sicher ist das aber nicht).

Deutsche Bank Zugangsdaten im Darknet?


Anzeige

Der Meldung zufolge, behaupten die Cyberkriminellen, Zugangsdaten für die Bank-Netzwerke zu haben. In der Domain seien ca. 21.000 Maschinen (meist Windows) enthalten, und es wird eine EDR-Lösung von Symantec verwendet. Die Kriminellen wollen auch die internen Netzwerkfilter-Regeln erbeutet haben. Insgesamt schreibt man etwas von 16 Terabyte an Daten, die erbeutet wurden. Angeboten werden VDI und VPN-Zugänge mit Kennwörtern.

Update: Die Deutsche Bank sieht keine Anzeichen für einen Hack. Das erklärte die Bank jedenfalls gegenüber heise auf deren Anfrage – siehe diesen Artikel.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Medibank und Deutsche Bank vom gleichen Angreifer gehackt?

  1. Alzheimer sagt:

    Sowas wie beim Medibank-Hack ist für die "Spezialisten" der gematik-Gesellschafter bei der elektronische Patientenakte (ePA) selbstverständlich nieeeemals passieren – darauf können sich die Versicherten verlassen… naja, eher die sind schon von allen guten Geistern verlassen…

  2. Wil Ballerstedt sagt:

    Leider gehe ich davon aus, dass gematik & Co. den Hack der DB weitgehendst ignorieren werden.

    Täglich lesen wir von irgendwelchen Firmen, die gehackt werden. Sicher wird es Firmen geben, die vorausschauend ihre IT modernisieren aber die meisten … Zitat von heise.de:

    "Wie sieht es mit der Cybersecurity in Deutschland aus? Fazit: Es ist einiges verbesserungsbedürftig – und Unternehmen zahlen lieber, als wirksam vorzubeugen."

    Cyberangriffe: Firmen schützen sich nicht gut vor Ransomware – und zahlen lieber

  3. Karl sagt:

    "Wie sieht es mit der Cybersecurity in Deutschland aus? Fazit: Es ist einiges verbesserungsbedürftig – und Unternehmen zahlen lieber, als wirksam vorzubeugen."

    Was soll das eigentlich für eine Agenda sein immer wieder auf dieses "Deutschland" abzuheben, in der der Cyber so unsicher sei? Das was mir an Berichten unter die Nase kommt, betrifft Unternehmen und Behörden weltweit.
    Das Medien im deutschsprachugen Raum sich auf die regionalen Phänomene beziehen ist kaum verwunerlich. Das allerdings, wie der Kommentar @Wil intendiert, gesondert hervorzuheben, hat kaum eine belastbare Grundlage.

    • Andy sagt:

      Es ist naheliegend, über Deutschland zu reden.
      Wir machen uns auch besondere Probleme. Die Auswirkungen der in Deutschland eingeführten so genannten Hackerparagraphen auf meine Arbeit sind enorm. Und das geht auch anderen so, die Sicherheit gewährleisten sollen, deren Chefetage das Problem aber nicht versteht.
      Bevor ich (noch so kleine) eigene Sicherheitstests mache, die mir die Chefetage nicht explizit freigibt, nehme ich lieber einen Hack hin. Der kann mich nicht in den Knast bringen.
      Und die Liste der möglichen Schwachstellen ist immer lang und bleibt es so halt auch. Irgendwann ist der Laden dann halt "ganz überraschend" gehackt, weil man doch was übersehen hat und man keine umfassenden Tests drauf lassen durfte…

      • Ernst sagt:

        @Andy
        Völliger Unsinn, es existieren tausende Dienstleister, die mit autorisierten Tests Systeme prüfen. Was machst du falsch?

        • Olli sagt:

          Er hat nicht gekündigt – das macht er falsch.

          Diese "autorisierten Tests" müssen wie es dort steht autorisiert sein – und er hat doch geschrieben das seine Chefetage nichts kapiert und nichts freigibt – war das jetzt so unverständlich?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.