Hat ATP-Gruppe Play BMW FR, Schirm Chemie, CH Media gehackt?

Hat ATP-Gruppe Play BMW FR, Schirm Chemie, CH Media gehackt?

Beitrag teilen

Die erst seit Juni 2022 aktive ATP-Gruppe Play will gleich drei gewichtige Unternehmen attackiert haben: BMW Group France, das Chemieunternehmen Schirm und CH Media, wodurch auch die Neue Züricher Zeitung betroffen war. Alle Unternehmen finden sich auf der Leak-Seite von Play und haben einen Countdown von wenigen Tagen, bis erste Daten veröffentlicht werden sollen.

Nur weil eine Gruppe ein Unternehmen auf seiner Leak-Seite führt, heißt das nicht 100-prozentig, dass das Unternehmen auch wirklich gehackt wurde. Bei der noch recht neuen, aber sehr aktiven APT-Gruppe Play sind zumindest einige bekannte Unternehmen auf seiner Leak-Seite zu finden. So ist zum Beispiel der Counter für die Erpressung von BMW Group France bereits abgelaufen und es gibt einen Downloadlink für 5 GByte an Daten die aus einem größeren gestohlenen Datenpaket stammen sollen. Da ein Download der gestohlenen Daten illegal wäre, muss man abwarten, ob Spezialisten die Daten untersuchen oder BMW selbst die Daten als authentisch einstuft.

Daten von BMW Frankreich echt?

Die APT-Gruppe behauptet Daten von BMW Group France, CH Media und Schirm Chemie gestohlen zu haben und verlangen Lösegeld (Bild: B2B-C-S). 

Dass es beim BMW Frankreich einen Cyber-Vorfall gegeben haben soll, berichtet auch das Online-Magazin CSO Deutschland. Bei den erbeuteten Daten soll es sich um private, persönliche und vertrauliche Daten, Verträge, Finanzinformationen und Kundendokumente der Vertriebstochter von BMW Group France handeln. Die APT-Gruppe Play gibt auf seiner Seite an, dass man in Kürze den kompletten Datendump freigeben will, da anscheinend kein Lösegeld bezahlt wurde.

Das Portal Cybernews will mit einem BMW-Verantwortlichen gesprochen haben. Dort ist von einem Cyber-Vorfall die Rede, aber laut dem Sprecher muss man erst noch prüfen, ob wirklich Daten abgeflossen sind.

CH-Media und NZZ angegriffen und gestört

Die Attacke auf Teile des Netzwerls der Neuen Züricher Zeitung und von CH Media sind seit längerem bekannt. Die Auswirkungen der Attacke war bereits Ende März für viele Leser, Zuhörer und Zuschauer zu bemerken. Denn nach Informationen von Blick.ch waren von der Attacke der Radiosender FM1 betroffen, sowie die Online-Plattform FM1 Today, der Fernsehsender TVO und andere Redaktionen des CH-Media-Verlags. Da die NZZ-Mediengruppe an CH Media beteiligt ist, gab es diese Kettenreaktion über das NZZ-Netzwerk. Während einige Ausgaben der NZZ nicht vollständig erscheinen konnten, war auch dass ePaper mit beeinträchtigt.

Play attackierte wohl auch Schirm Chemie

Ebenfalls sehr aktuell für die Play-Gruppe den Chemie-Hersteller Schirm auf seiner Leak-Seite auf. Der Countdown soll am 21.04.23 ablaufen und dann sollen die ersten Daten online verfügbar sein. Die Gruppe behautet, dass die Daten vertrauliche Informationen zu Angestellten und Kunden enthalten sollen, Verträge und Finanzinformationen. Eine Lösegeldsumme wird aber auch hier nicht genannt.

Die Schirm GmbH, die seit 2018 zur südafrikanischen AECI-Gruppe gehört, beschreibt ihr Geschäft auf der Webseite folgendermaßen: “Als Produktionsdienstleister und Lohnfertiger für die chemische und verwandte Industrien haben wir jahrzehntelange Erfahrung in der Synthese, Formulierung und Konfektionierung von Fein-, Spezial- und Agro-Chemikalien.”

Hintergrund der Gruppe PLAY

Laut Fortinet ist die Gruppe Play noch recht neu im Geschäft. Der Neuling im Ransomware-Spiel wurde erstmals im Juni 2022 entdeckt. Play ist der Name der Gruppe und auch der Name der ausführbaren Ransomware-Datei. Wie viele andere Betreiber hat Play die Methode der doppelten Erpressung eingeführt, bei der Endpunkte und/oder andere wertvolle Infrastrukturen innerhalb einer Organisation verschlüsselt und dann damit gedroht wird, exfiltrierte Daten von diesen Maschinen im Internet freizugeben, wenn kein Lösegeld gezahlt wird. Verschlüsselte Daten haben zusätzlich die Dateierweiterung “.PLAY”.

Red./sel

 

Passende Artikel zum Thema

Robotik, KI oder Firmenwagen – wo Manager Cybergefahren sehen

Deutsche und Schweizer C-Level Manager sehen besonders für das Home-Office Handlungsbedarf, um dort in der Zukunft sensible Daten besser zu ➡ Weiterlesen

Ohne Notfallplan ist der Datenverlust vorprogrammiert

In der Umfrage des Uptime Institute geben 60 Prozent der Unternehmen an, dass sie in den letzten drei Jahren einen ➡ Weiterlesen

Win 11 Copilot+ Recall: Microsoft baut auf Druck IT-Security ein

Kurz nachdem Microsoft Chef Satya Nadella Copilot+ Recall für Windows 11 vorgestellt hatte, haben Experten in Sachen IT-Security vernichtende Urteile ➡ Weiterlesen

CISOs unter Druck: Sollen Cyberrisiken herunterspielen

Die Studienergebnisse zum Umgang mit Cyberrisiken in Unternehmen haben es in sich. Die Trend Micro-Studie zeigt: Drei Viertel der deutschen ➡ Weiterlesen

APT-Gruppen: Viele Router als Teil riesiger Botnetze 

In einem Blogbeitrag analysiert Trend Micro wie Pawn Storm (auch APT28 oder Forest Blizzard) und andere APT-Akteure Router kompromittieren und ➡ Weiterlesen

Microsofts Copilot+ Recall: Gefährliche Totalüberwachung?

Microsoft sieht es als Superservice, Security-Experten als Super-GAU: Microsofts Copilot+ Recall für Windows 11 zeichnet alle 5 Sekunden die Tätigkeiten ➡ Weiterlesen

Ransomware: 97 Prozent der Betroffen sucht Rat bei Behörden

Enorm viele Unternehmen wenden sich bei einer Cyberattacke an behördliche Einrichtungen. Der aktuelle Sophos State of Ransomware Report bestätig, dass ➡ Weiterlesen

KI unterstützt sicheres Datenmanagement

Heutzutage nutzen Cyberkriminelle Künstliche Intelligenz (KI), um ihre Angriffe noch wirkungsvoller zu gestalten. Um diese Attacken effektiv abzuwehren, ist es ➡ Weiterlesen

[starbox id=USER_ID] <🔎> ff7f00