Hat ATP-Gruppe Play BMW FR, Schirm Chemie, CH Media gehackt?

Hat ATP-Gruppe Play BMW FR, Schirm Chemie, CH Media gehackt?
Anzeige

Beitrag teilen

Die erst seit Juni 2022 aktive ATP-Gruppe Play will gleich drei gewichtige Unternehmen attackiert haben: BMW Group France, das Chemieunternehmen Schirm und CH Media, wodurch auch die Neue Züricher Zeitung betroffen war. Alle Unternehmen finden sich auf der Leak-Seite von Play und haben einen Countdown von wenigen Tagen, bis erste Daten veröffentlicht werden sollen.

Nur weil eine Gruppe ein Unternehmen auf seiner Leak-Seite führt, heißt das nicht 100-prozentig, dass das Unternehmen auch wirklich gehackt wurde. Bei der noch recht neuen, aber sehr aktiven APT-Gruppe Play sind zumindest einige bekannte Unternehmen auf seiner Leak-Seite zu finden. So ist zum Beispiel der Counter für die Erpressung von BMW Group France bereits abgelaufen und es gibt einen Downloadlink für 5 GByte an Daten die aus einem größeren gestohlenen Datenpaket stammen sollen. Da ein Download der gestohlenen Daten illegal wäre, muss man abwarten, ob Spezialisten die Daten untersuchen oder BMW selbst die Daten als authentisch einstuft.

Anzeige

Daten von BMW Frankreich echt?

Die APT-Gruppe behauptet Daten von BMW Group France, CH Media und Schirm Chemie gestohlen zu haben und verlangen Lösegeld (Bild: B2B-C-S). 

Dass es beim BMW Frankreich einen Cyber-Vorfall gegeben haben soll, berichtet auch das Online-Magazin CSO Deutschland. Bei den erbeuteten Daten soll es sich um private, persönliche und vertrauliche Daten, Verträge, Finanzinformationen und Kundendokumente der Vertriebstochter von BMW Group France handeln. Die APT-Gruppe Play gibt auf seiner Seite an, dass man in Kürze den kompletten Datendump freigeben will, da anscheinend kein Lösegeld bezahlt wurde.

Das Portal Cybernews will mit einem BMW-Verantwortlichen gesprochen haben. Dort ist von einem Cyber-Vorfall die Rede, aber laut dem Sprecher muss man erst noch prüfen, ob wirklich Daten abgeflossen sind.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

CH-Media und NZZ angegriffen und gestört

Die Attacke auf Teile des Netzwerls der Neuen Züricher Zeitung und von CH Media sind seit längerem bekannt. Die Auswirkungen der Attacke war bereits Ende März für viele Leser, Zuhörer und Zuschauer zu bemerken. Denn nach Informationen von Blick.ch waren von der Attacke der Radiosender FM1 betroffen, sowie die Online-Plattform FM1 Today, der Fernsehsender TVO und andere Redaktionen des CH-Media-Verlags. Da die NZZ-Mediengruppe an CH Media beteiligt ist, gab es diese Kettenreaktion über das NZZ-Netzwerk. Während einige Ausgaben der NZZ nicht vollständig erscheinen konnten, war auch dass ePaper mit beeinträchtigt.

Play attackierte wohl auch Schirm Chemie

Ebenfalls sehr aktuell für die Play-Gruppe den Chemie-Hersteller Schirm auf seiner Leak-Seite auf. Der Countdown soll am 21.04.23 ablaufen und dann sollen die ersten Daten online verfügbar sein. Die Gruppe behautet, dass die Daten vertrauliche Informationen zu Angestellten und Kunden enthalten sollen, Verträge und Finanzinformationen. Eine Lösegeldsumme wird aber auch hier nicht genannt.

Die Schirm GmbH, die seit 2018 zur südafrikanischen AECI-Gruppe gehört, beschreibt ihr Geschäft auf der Webseite folgendermaßen: “Als Produktionsdienstleister und Lohnfertiger für die chemische und verwandte Industrien haben wir jahrzehntelange Erfahrung in der Synthese, Formulierung und Konfektionierung von Fein-, Spezial- und Agro-Chemikalien.”

Hintergrund der Gruppe PLAY

Laut Fortinet ist die Gruppe Play noch recht neu im Geschäft. Der Neuling im Ransomware-Spiel wurde erstmals im Juni 2022 entdeckt. Play ist der Name der Gruppe und auch der Name der ausführbaren Ransomware-Datei. Wie viele andere Betreiber hat Play die Methode der doppelten Erpressung eingeführt, bei der Endpunkte und/oder andere wertvolle Infrastrukturen innerhalb einer Organisation verschlüsselt und dann damit gedroht wird, exfiltrierte Daten von diesen Maschinen im Internet freizugeben, wenn kein Lösegeld gezahlt wird. Verschlüsselte Daten haben zusätzlich die Dateierweiterung “.PLAY”.

Red./sel

 

Passende Artikel zum Thema

Firefly schützt Maschinenidentitäten in Cloud-nativen Workloads

Venafi, der Erfinder und führende Anbieter von Maschinenidentitäts-Management, stellt Firefly vor. Die Lösung unterstützt hochgradig verteilte Cloud-native Umgebungen. Als Teil ➡ Weiterlesen

PLAY-Gruppe: IT-Service der schweizer Polizei gehackt und Daten erbeutet

Stimmen die Informationen der PLAY-Gruppe, dann will sie 900 GByte Daten erbeutet haben bei Xplain, einem schweizer IT- und Software-Service, ➡ Weiterlesen

Neue Studie: Web-Shells sind Top-Einfallsvektor

Die Zahl von Angriffen über Web-Shells ist in den ersten drei Monaten 2023 überdurchschnittlich stark angestiegen. Das zeigt der Cisco ➡ Weiterlesen

QR-Code Phishing-Sicherheitstest-Tool

KnowBe4 bietet ab sofort ein ergänzendes QR-Code-Phishing-Sicherheitstest-Tool an, das Benutzer identifiziert, die Opfer von QR-Code-Phishing-Angriffen werden. Das kostenlose Tool (QR ➡ Weiterlesen

Ransomware-Report: LockBit zielt auf macOS

LockBit, die aktuell aktivste Ransomware-Gruppe, weitete seine Aktivitäten im April auf macOS-Geräte aus. Weiterhin werden Schwachstellen der Druckersoftware PaperCut aktiv ➡ Weiterlesen

China-Malware: Volt Typhoon zielt auf kritische USA Infrastruktur

Microsoft hat die Malware Volt Typhoon untersucht und festgestellt das diese von einem staatlich geförderten Akteur mit Sitz in China ➡ Weiterlesen

SOCs: Anstieg gefundener Cyberangriffe um das 1,5-fache

In seinem neuen Managed Detection and Response Analyst Report von Kaspersky gibt es einige wichtige Erkenntnisse: So stieg die Anzahl ➡ Weiterlesen

Cloud-Firewall mit Schutz für Virtual WAN

Ein weltweit führender Anbieter von Cyber-Sicherheitslösungen gibt die allgemeine Verfügbarkeit seiner branchenführenden Next-Generation Cloud Firewall bekannt, die ab Werk in ➡ Weiterlesen

[starbox id=USER_ID] <🔎> ff7f00