Die erst seit Juni 2022 aktive ATP-Gruppe Play will gleich drei gewichtige Unternehmen attackiert haben: BMW Group France, das Chemieunternehmen Schirm und CH Media, wodurch auch die Neue Züricher Zeitung betroffen war. Alle Unternehmen finden sich auf der Leak-Seite von Play und haben einen Countdown von wenigen Tagen, bis erste Daten veröffentlicht werden sollen.
Nur weil eine Gruppe ein Unternehmen auf seiner Leak-Seite führt, heißt das nicht 100-prozentig, dass das Unternehmen auch wirklich gehackt wurde. Bei der noch recht neuen, aber sehr aktiven APT-Gruppe Play sind zumindest einige bekannte Unternehmen auf seiner Leak-Seite zu finden. So ist zum Beispiel der Counter für die Erpressung von BMW Group France bereits abgelaufen und es gibt einen Downloadlink für 5 GByte an Daten die aus einem größeren gestohlenen Datenpaket stammen sollen. Da ein Download der gestohlenen Daten illegal wäre, muss man abwarten, ob Spezialisten die Daten untersuchen oder BMW selbst die Daten als authentisch einstuft.
Daten von BMW Frankreich echt?
Die APT-Gruppe behauptet Daten von BMW Group France, CH Media und Schirm Chemie gestohlen zu haben und verlangen Lösegeld (Bild: B2B-C-S).
Dass es beim BMW Frankreich einen Cyber-Vorfall gegeben haben soll, berichtet auch das Online-Magazin CSO Deutschland. Bei den erbeuteten Daten soll es sich um private, persönliche und vertrauliche Daten, Verträge, Finanzinformationen und Kundendokumente der Vertriebstochter von BMW Group France handeln. Die APT-Gruppe Play gibt auf seiner Seite an, dass man in Kürze den kompletten Datendump freigeben will, da anscheinend kein Lösegeld bezahlt wurde.
Das Portal Cybernews will mit einem BMW-Verantwortlichen gesprochen haben. Dort ist von einem Cyber-Vorfall die Rede, aber laut dem Sprecher muss man erst noch prüfen, ob wirklich Daten abgeflossen sind.
CH-Media und NZZ angegriffen und gestört
Die Attacke auf Teile des Netzwerls der Neuen Züricher Zeitung und von CH Media sind seit längerem bekannt. Die Auswirkungen der Attacke war bereits Ende März für viele Leser, Zuhörer und Zuschauer zu bemerken. Denn nach Informationen von Blick.ch waren von der Attacke der Radiosender FM1 betroffen, sowie die Online-Plattform FM1 Today, der Fernsehsender TVO und andere Redaktionen des CH-Media-Verlags. Da die NZZ-Mediengruppe an CH Media beteiligt ist, gab es diese Kettenreaktion über das NZZ-Netzwerk. Während einige Ausgaben der NZZ nicht vollständig erscheinen konnten, war auch dass ePaper mit beeinträchtigt.
Play attackierte wohl auch Schirm Chemie
Ebenfalls sehr aktuell für die Play-Gruppe den Chemie-Hersteller Schirm auf seiner Leak-Seite auf. Der Countdown soll am 21.04.23 ablaufen und dann sollen die ersten Daten online verfügbar sein. Die Gruppe behautet, dass die Daten vertrauliche Informationen zu Angestellten und Kunden enthalten sollen, Verträge und Finanzinformationen. Eine Lösegeldsumme wird aber auch hier nicht genannt.
Die Schirm GmbH, die seit 2018 zur südafrikanischen AECI-Gruppe gehört, beschreibt ihr Geschäft auf der Webseite folgendermaßen: „Als Produktionsdienstleister und Lohnfertiger für die chemische und verwandte Industrien haben wir jahrzehntelange Erfahrung in der Synthese, Formulierung und Konfektionierung von Fein-, Spezial- und Agro-Chemikalien.“
Hintergrund der Gruppe PLAY
Laut Fortinet ist die Gruppe Play noch recht neu im Geschäft. Der Neuling im Ransomware-Spiel wurde erstmals im Juni 2022 entdeckt. Play ist der Name der Gruppe und auch der Name der ausführbaren Ransomware-Datei. Wie viele andere Betreiber hat Play die Methode der doppelten Erpressung eingeführt, bei der Endpunkte und/oder andere wertvolle Infrastrukturen innerhalb einer Organisation verschlüsselt und dann damit gedroht wird, exfiltrierte Daten von diesen Maschinen im Internet freizugeben, wenn kein Lösegeld gezahlt wird. Verschlüsselte Daten haben zusätzlich die Dateierweiterung „.PLAY“.
Red./sel
Passende Artikel zum Thema
[starbox id=USER_ID] <🔎> ff7f00