LG Electronics: Cybercrime-Gruppe stiehlt 40 GB Quellcode

<p>Die berüchtigte Cybercrime-Gruppe Maze hat diesmal LG Electronics getroffen. Sie behauptet, rund 40 GB an Informationen von Servern von LG Electronics entwendet und diese mit Ransomware infiziert zu haben. Als Beleg veröffentlichte sie im Dark Web Screenshots, darunter Aufnahmen des Windows-Explorers mit einigen Python-Dateien und einer Liste von Dateien, die mutmaßlich zur Firmware des für AT&amp;T bestimmten LG G8X gehören, der internationalen 4G-LTE-Version des LG V50S ThinQ. LG Electronics hat dazu bislang keine offizielle Stellungnahme abgegeben, und auch das genaue Ausmaß des Schadens ist noch nicht bestätigt. Möglicherweise führt LG Electronics im Hintergrund Verhandlungen mit der Gruppe, um die Veröffentlichung der Daten zu verhindern. Das wäre angesichts ihrer skrupellosen Methoden nicht überraschend.<br /> <br /> Maze ist sowohl der Name einer Ransomware, die erstmals etwa im Mai vergangenen Jahres (2019) entdeckt wurde, als auch der Cybercrime-Organisation, die sie einsetzt. Charakteristisch für diese Gruppe ist, dass sie Dateien zunächst exfiltriert, bevor sie diese per Ransomware verschlüsselt. Wenn sich das Opfer dann weigert, auf die Geldforderungen einzugehen, veröffentlicht die Gruppe die gestohlenen Daten sowie technische Informationen wie IP-Adressen von Servern, die weitere Angriffe durch andere Hacker ermöglichen können, um den Schaden zu maximieren. In manchen Fällen setzt sie die Opferorganisation sogar zusätzlich unter Druck, indem sie deren Kunden bedroht. Wird etwa ein Krankenhaus angegriffen und zahlt es nicht, drohen die Täter damit, den einzelnen Patienten ihre medizinischen Daten per E-Mail offenzulegen. So treiben sie die Opfer in die Lage, am Ende trotz vorhandener Backups doch zahlen zu müssen. Maze war die erste Gruppe, die mit dieser Methode begann, und nach und nach übernahmen auch andere Ransomware-Kriminelle diese Strategie. Ende vergangenen Jahres gab das FBI in den USA deshalb sogar eine Warnung an heimische Unternehmen heraus. ( https://m.etnews.com/20200105000060 )<br /> <br /> Maze behauptet gegenüber betroffenen Organisationen außerdem, über den Preis lasse sich jederzeit verhandeln, und bei Zahlung werde sogar ein umfassender Sicherheitsbericht geliefert, der helfen solle, weitere Ransomware-Schäden zu verhindern. Doch auf die Aussagen solcher Kriminellen ist kaum Verlass. Als das Sicherheitsunternehmen Emsisoft am 18. März in einem Blogbeitrag öffentlich an Ransomware-Gruppen appellierte, „zumindest in der aktuellen Lage Angriffe auf medizinische Einrichtungen einzustellen“ ( https://blog.emsisoft.com/en/35921 ), erklärte Maze zwar, man werde Angriffe auf medizinische Einrichtungen aussetzen, bis sich die COVID-19-Lage beruhigt habe. Tatsächlich soll die Gruppe jedoch genau zu dem Zeitpunkt dieser Ankündigung bereits eine medizinische Einrichtung in Großbritannien erpresst haben. In Wirklichkeit war im ersten Quartal dieses Jahres das mit Abstand heißeste Schlagwort in der Ransomware-Szene „Corona“. Für solche Kriminellen ist selbst eine Zeit, in der weltweit viele Menschen sterben und soziale Unruhe sowie Angst zunehmen, nichts weiter als eine gute Gelegenheit, Geld zu verdienen.<br /> <br /> p.s.<br /> Zur Erinnerung: Als diese Gruppe Ransomware mit koreanischsprachigen Nachrichten in Südkorea verbreitete, hatte sie die Zeichenkette „Kim Jong Un is my God“ eingefügt. ( https://blog.alyac.co.kr/2461 ) Soll das bloß provozieren? Dabei gibt es weltweit mehr als genug Menschen und Organisationen, die Ransomware-Kriminelle am liebsten in Stücke reißen würden, sobald ihre Identität auffliegt …</p>