Die Toyota Financial Services (TFS) wurden von der Medusa-Gruppe wohl erfolgreich angegriffen und drohen nun mit der Veröffentlichung der Daten am 26.11.2023. Laut Medusa kann das Toyota für 8 Millionen Dollar verhindern.
Bereits am 14.11.2023 vermeldete Toyota Financial Services Europe & Africa einen unbefugten Zugriff auf seine Systeme. Die Meldung dazu lautete: “Toyota Financial Services Europe & Africa hat kürzlich unbefugte Aktivitäten auf Systemen in einer begrenzten Anzahl von Standorten festgestellt. Wir haben bestimmte Systeme vom Netz genommen, um diese Aktivitäten zu untersuchen und das Risiko zu verringern, und wir haben auch begonnen, mit den Strafverfolgungsbehörden zusammenzuarbeiten.”
🔎 Die Medusa-Gruppe fordert 8 Millionen Dollar Lösegeld von Toyota Financial Services Europe & Africa (Bild: B2B-C-S).
Einige Systeme sollen immer noch nicht wieder laufen. In seiner Meldung meinte Toyota Financial Services Europe & Africa, dass man fieberhalft an der Lösung arbeite um alles so schnell wie möglich wieder in Betrieb zu nehmen.
Medusa-Gruppe fordert 8 Millionen Dollar Lösegeld
Es gibt zwar keinen Hinweis darauf, dass Toyota auch mit verschlüsselten Daten kämpft, aber bei der Medusa-Ransomware ist das höchstwahrscheinlich. Auf ihrer Leak-Seite fordert die Medusa-Gruppe 8 Millionen Dollar Lösegeld von Toyota Financial Services Europe & Africa. Wird die Summe nicht gezahlt, will die Gruppe am 26.11.2023 die erbeuteten Daten veröffentlichen. Laut Experten sollen sich in einem ersten Daten-Dump auch Personaldaten, sowie E-Mails und gehashte Passwörter finden. Eine komplette Dateiliste wird als Textdatei angeboten.
Aktuell gibt es keinen weitere Info dazu, ob TFS in irgendeiner Weise auf die Forderung eingehen will. Toyota Financial Services, eine Tochtergesellschaft der Toyota Motor Corporation, ist ein globales Unternehmen mit einer Präsenz in 90 % der Märkte, in denen Toyota seine Autos verkauft, und bietet seinen Kunden Autofinanzierungen an.
Medusa ist seit 2019 aktiv
Die Experten von Trend Micro kennen die Medusa bzw. MedusaLocker Ransomware und deren Aktivitäten seit 2019 die meist auf Windows-Rechner zielt. Ein interessantes Verhalten dieser Malware ist das Hochfahren im abgesicherten Modus vor der Ausführung und der Dateiverschlüsselung. Je nach Variante verwendet sie auch die BAT-Datei und die PowerShell. Normalerweise tritt auf dem infizierten Computer beim Booten ein Fehler auf, da die neueste Variante auch die Erweiterung von Bootmgr ändert und die Erweiterung “inprocess” anhängt.
Das Verhalten der Malware
- Löscht die Schattenvolumenkopie und das Backup
- Behält die Persistenz auf dem Zielcomputer bei
- Deaktiviert den Wiederherstellungsmodus
- Benennt bootmgr um, so dass der Rechner nicht mehr normal hochgefahren werden kann
- Beendet Prozesse
- Hält Dienste an
- Erzeugt eine Mutex
- Startet im abgesicherten Modus
Weiterhin werden die Dateien verschlüsselt und es wird ein Lösegeld in Bitcoin verlangt.
Mehr bei Toyota.eu