DoppelPaymer Gang Lecks Dateien von Illinois AG nach Lösegeld Verhandlungen brechen unten

Cyber Security News

Die bei der Ransomware-Attacke am 10. April gestohlenen Informationen wurden auf einem Dark-Web-Portal veröffentlicht und beinhalten private Dokumente, die nicht als Teil der öffentlichen Aufzeichnungen veröffentlicht wurden.

Die als DoppelPaymer identifizierte Ransomware-Bande hat eine umfangreiche Sammlung von Dateien des Illinois Office of the Attorney General (OAG) auf einem von der cyberkriminellen Gruppe kontrollierten Server geleakt. Der Schritt kam, nachdem die Lösegeldverhandlungen zwischen den beiden Parteien nach einem Ransomware-Angriff Anfang des Monats, am 10. April, gescheitert waren.

Die durchgesickerten Dateien enthalten nicht nur öffentliche Informationen aus Gerichtsverfahren, die vom Illinois OAG bearbeitet werden, sondern auch private Dokumente, die nicht Teil der öffentlichen Aufzeichnungen sind, so das Sicherheitsforschungsunternehmen Recorded Future, das das Leck in einem Beitrag auf seinem Nachrichtenportal The Record detailliert beschrieben hat. Die Dateien enthalten persönlich identifizierbare Informationen über staatliche Gefangene, ihre Beschwerden und Fälle, nach dem Beitrag.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

Das Illinois OAG hat am 13. April öffentlich zugegeben, dass sein Netzwerk einige Tage zuvor kompromittiert worden war, ging aber nicht näher darauf ein, um welche Art von Angriff es sich handelte oder welche Art von Informationen betroffen waren.

“In den frühen Morgenstunden des Samstags wurde entdeckt, dass das Netzwerk des Büros kompromittiert wurde”, heißt es in einer Erklärung auf der Website des Büros. “Seitdem arbeiten Mitarbeiter der Informationstechnologie und Ermittler des Büros des Generalstaatsanwalts eng mit den Strafverfolgungsbehörden des Bundes zusammen, um das Ausmaß zu bewerten, in dem das Netzwerk kompromittiert wurde.”

Am 21. April übernahm DoppelPaymer die Verantwortung für den Angriff und veröffentlichte mehrere Dateien, die aus dem internen Netzwerk des Illinois OAG gestohlen wurden, als Teaser für einen weiteren Datendump in dieser Woche, nachdem die Verhandlungen über die Zahlung des Lösegelds aus unklaren Gründen ins Stocken geraten waren, so der Beitrag.

Historisch gesehen neigen die meisten DopplePaymer-Verhandlungen jedoch dazu, zu scheitern und in eine Sackgasse zu geraten, nachdem die Opfer erkennen, dass die Zahlung des Lösegelds rechtliche Komplikationen mit sich bringt, so der Beitrag.

Diese Komplikationen sind darauf zurückzuführen, dass das US-Finanzministerium im Dezember 2019 Evil Corp, die Cybercrime-Gruppe, die hinter DoppelPaymer steht, auf die Liste der vom Ausland sanktionierten Unternehmen gesetzt hat.

Dieser Schritt, der jegliche Zahlungen an diese Angreifer strikt untersagt, erfolgte, nachdem das Justizministerium zwei Mitglieder der Evil Corp nach einer massiven bundesweiten Razzia gegen die Gruppe angeklagt hatte, die sich auf ihren mutmaßlichen Anführer konzentrierte.

“Während das Finanzministerium offen ist, einige Transaktionen zu genehmigen, wenn die Opfer sich melden und um Genehmigung bitten, scheint es, dass die Staatsanwaltschaft von Illinois dies nicht getan hat”, so der Beitrag.

DoppelPaymer, das auf der Ransomware BitPaymer basiert, tauchte 2019 als bedeutende cyberkriminelle Bedrohung auf und wurde seither für eine Reihe von hochkarätigen Angriffen verwendet. Visser Precision, ein Zulieferer von SpaceX und Tesla, Los Angeles County und Kia Motors wurden alle Opfer von Angriffen der Gruppe.

Die Angreifer von DoppelPaymer begannen ihre Aktivitäten zunächst mit dem Sperren und Verschlüsseln von Dateien in den Netzwerken der Opfer, gingen aber später dazu über, Drohungen mit der Weitergabe gestohlener Daten nach Angriffen als Druckmittel bei Ransomware-Verhandlungen einzusetzen – und diese Drohungen auch wahr zu machen.

Der Vorfall beim Illinois OAG folgt auf einen ähnlichen Angriff und ein anschließendes Datenleck durch die Babuk-Ransomware-Gang von Bedrohungsakteuren, die Anfang dieser Woche behauptete, mehr als 250 Gigabyte an Daten vom Washington D.C. Metropolitan Police Department (MPD) gestohlen zu haben. Die Bedrohungsakteure haben bereits Daten aus dem Angriff – darunter Polizeiberichte, interne Memos sowie Fahndungsfotos und persönliche Daten von Verhafteten – online veröffentlicht und angekündigt, weitere Daten freizugeben, wenn die Lösegeldforderungen nicht erfüllt werden.

Nehmen Sie an der Threatpost-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” teil – einem LIVE-Roundtable-Event am Mi, 12. Mai um 14:00 Uhr EDT. Gesponsert von Zoho ManageEngine, moderiert Threatpost-Moderatorin Becky Bracken eine Expertenrunde, die die besten Abwehrstrategien für diese Bedrohungen des Jahres 2021 diskutiert. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der lebhaften Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com