Telekommunikationsriese AT&T meldete vor kurzem der Börsenaufsicht SEC einen großen Datenverlust. Von fast 110 Millionen AT&T-Kunden soll ein Hacker die Metadaten von Anrufprotokollen inklusive Telefonnummern gestohlen haben. Laut Experten hat AT&T wohl über 370.000 Dollar für die Löschung der Daten an den Hacker bezahlt.
Laut der eigenen Meldung von AT&T wurden bereits im April die Metadaten von Telefonmitschnitten und die Telefonnummern von einem Hacker gestohlen. Dabei sollen fast 110 Millionen Kunden betroffen sein, da der Hack wohl volle 6 Monate ablief. Das Lösegeld soll sich auf 5,7 Bitcoin belaufen haben, was etwa 370.000 US-Dollar entspricht.
AT&T zahlte wohl “Lösch”-Geld
Laut dem Experten Chris Janczewski von den TRM Labs, ein Blockchain-Analyseunternehmen, hat AT&T wohl bezahlt. Er verfolgte eine entsprechenden Zahlung von AT&T an die Hackerkonten. Das Geld wurde wohl gleich an Bitcoin-Mixer und Glücksspieldienste weitergeleitet. AT&T hat die Zahlung weder bestätigt noch dementiert.
Danach sollen die Hacker ein Video verbreitet haben, welches die Löschung der gestohlenen Daten zeigt. Allerdings gab es auch früher schon Hackergruppen die solche Beweise verschickt haben und die Daten trotzdem weiter gespeichert hatten, wie etwa LockBit.
Wo wurden die AT&T-Daten gestohlen?
AT&T schrieb in seiner Meldung, “dass Kundendaten von illegal von unserem Arbeitsplatz auf einer Cloud-Plattform eines Drittanbieters heruntergeladen wurden”. Die Experten gehen daher davon aus, dass der Hack der Snowflake-Plattform etwas damit zu tun hat. Dabei wurde laut Mandiant die Malware FROSTBITE genutzt – ein neuer Infostealer.
Seit mindestens April 2024 hat UNC5537 gestohlene Anmeldeinformationen genutzt, um auf über 100 Snowflake-Kunden zuzugreifen. Der Bedrohungsakteur kompromittierte systematisch Kunden, lud Daten herunter, erpresste die Opfer und bot die Daten der Opfer in cyberkriminellen Foren zum Verkauf an. Zeitlich passt das genau zu der Attacke auf AT&T.