In der Erpressungskampagne gegen Snowflake-Kunden fordern Cyberkriminellen von bis zu 10 Unternehmen Lösegeldzahlungen zwischen 300.000 und 5 Millionen US-Dollar. Das berichten Sicherheitsexperten, die die Attacken untersuchen.
Die HackerGruppe UNC5537 nutzte gestohlene Login-Daten, um in die Snowflake-Konten von bis zu 165 Kunden einzudringen und sensible Daten abzugreifen. Laut Austin Larsen von der Sicherheitsfirma Mandiant ist die Kampagne nun in eine “neue Phase” getreten.
Daten werden online versteigert – Sicherheitsforscher bedroht
Die erbeuteten Informationen werden von den Cyberkriminellen illegal auf Darknet-Foren zum Verkauf angeboten. Ziel ist es, die betroffenen Unternehmen durch den drohenden Datenklau unter Druck zu setzen und zur Zahlung stattlicher Lösegelder zu bewegen. “Wir gehen davon aus, dass die Täter weiterhin versuchen werden, die Opfer zu erpressen”, so Larsen.
Das Vorgehen der Bande ist skrupellos. Mitglieder aus Nordamerika und der Türkei sollen sogar Todesdrohungen gegen IT-Sicherheitsforscher ausgesprochen haben, die ihre Aktivitäten untersuchten. In einem Fall wurden durch Künstliche Intelligenz sogar gefälschte Nacktbilder eines Forschers erstellt, um ihn zu schikanieren.
Mehrere Fälle bereits bekannt
Während Snowflake nach eigenen Angaben derzeit keine unerlaubten Zugriffe mehr auf seine Server feststellt und die interne Untersuchung bald abschließen will, haben bereits einige Kundenunternehmen den Datendiebstahl eingeräumt. So wurden Ticketmaster-Mutterkonzern Live Nation und der Technologiekonzern Pure Storage bereits Opfer der Erpressungskampagne. Auch der Autozulieferer Advanced Auto Parts untersucht mögliche Vorfälle im Zusammenhang mit Snowflake.
Angesichts der komplexen und höchst lukrativen Attacken haben Sicherheitsexperten dringende Warnungen für Unternehmen herausgegeben. Jeder müsse nun überprüfen, ob er möglicherweise von UNC5537 ins Visier genommen wurde und seine Sicherheitsvorkehrungen dringend verstärken.