Eine Ransomware-Gruppe mit mutmaßlichen Verbindungen zur berüchtigten russischsprachigen REvil-Bande hat damit gedroht, die persönlichen Daten von Millionen von Medibank-Kunden freizugeben, nachdem der australische private Krankenversicherungsriese versprochen hatte, die Lösegeldforderung der Cyberkriminellen nicht zu bezahlen.
Medibank, Australiens größter Krankenversicherer, zuerst offengelegt einen „Cyber-Vorfall“ am 13. Oktober und sagte damals, dass es ungewöhnliche Aktivitäten in seinem Netzwerk entdeckt und sofort Maßnahmen ergriffen habe, um den Vorfall einzudämmen. Tage später teilte das Unternehmen mit, dass möglicherweise Kundendaten exfiltriert wurden.
Im ein Update Diese Woche veröffentlicht, gab die in Melbourne ansässige Medibank zu, dass die Angreifer auf die persönlichen Daten von rund 9,7 Millionen Kunden zugegriffen haben, darunter Namen, Geburtsdaten, E-Mail-Adressen und Passnummern.
Die Cyberkriminellen griffen auch auf Daten zu Gesundheitsansprüchen von fast 500.000 Kunden zu, darunter Namen und Standorte von Dienstanbietern, wo Kunden bestimmte medizinische Dienstleistungen erhalten, sowie Codes, die mit Diagnosen und durchgeführten Verfahren verbunden sind. Bei 5.200 Benutzern der My Home Hospital-App von Medibank griffen die Cyberkriminellen auf einige persönliche und Gesundheitsdaten und bei einigen auf die Kontaktdaten der nächsten Angehörigen zu.
Der CEO von Medibank, David Koczkar, sagte, dass der Krankenversicherungsriese zwar glaubt, dass die Angreifer wahrscheinlich alle Daten herausgefiltert haben, auf die sie zugreifen konnten, die Organisation die Lösegeldforderung jedoch nicht bezahlen würde.
„Basierend auf den umfangreichen Ratschlägen, die wir von Experten für Cyberkriminalität erhalten haben, glauben wir, dass es nur eine begrenzte Chance gibt, dass die Zahlung eines Lösegelds die Rückgabe der Daten unserer Kunden sicherstellt und verhindert, dass sie veröffentlicht werden“, sagte Koczkar. Der Vorstandsvorsitzende fügte hinzu, dass das Bezahlen die Hacker sogar dazu ermutigen könnte, eine dreifache Erpressungstaktik anzuwenden, indem sie versuchen, Kunden direkt zu erpressen.
Nach der Ankündigung von Koczkar drohte eine Ransomware-Bande, von der angenommen wird, dass sie ein Rebranding der nicht mehr existierenden REvil-Gruppe ist, damit, die gestohlenen Medibank-Daten preiszugeben. Die neue Dark-Web-Leak-Site, die von Tech gesehen wurde, listete Medibank als eines ihrer Opfer auf und sagte, sie plane, die exfiltrierten Daten öffentlich zu veröffentlichen. Die Bande sagte nicht, wie viele Daten sie aus dem Netzwerk der Medibank exfiltrierte, und teilte keine Beweise für ihre Behauptungen mit.
Die Verbindungen zwischen der neuen Leckstelle und REvil, die dunkel wurden, nachdem die US-Behörden die Operation im Oktober offline geschaltet hatten, nachdem die Bande Ransomware-Angriffe auf Colonial Pipeline gezielt hatte, JBS Foods und dem US-Technologieunternehmen Kaseya, bleibt unklar. Brett Callow, ein Ransomware-Experte und Bedrohungsanalyst bei Emsisoft, sagte, dass die neue Operation eine Variante der Dateiverschlüsselungs-Website von REvil verwendet und dass die alte Website von REvil jetzt auf die neue Leak-Site umleitet.
Medibank beschrieb die Drohungen der Bande in a als „beunruhigende Entwicklung“. zweite Aktualisierung veröffentlicht am Dienstag, und forderte die Kunden auf, bei allen Online-Kommunikationen und -Transaktionen wachsam zu sein.
„Wir entschuldigen uns vorbehaltlos bei unseren Kunden. Wir nehmen unsere Verantwortung ernst, unsere Kunden zu schützen und sie zu unterstützen“, sagte Koczkar. „Die Bewaffnung ihrer privaten Informationen ist böswillig und ein Angriff auf die am stärksten gefährdeten Mitglieder unserer Gemeinschaft.“
Medibank fügte hinzu, dass sie mit der australischen Regierung zusammenarbeitet, einschließlich des australischen Cybersicherheitszentrums und der australischen Bundespolizei, um zu versuchen, die Weitergabe und den Verkauf von Kundendaten zu verhindern. Die Nachricht vom Medibank-Angriff kommt nur wenige Wochen, nachdem Australiens zweitgrößtes Telekommunikationsunternehmen Optus verletzt wurde. Die australische Regierung bestätigte eine bevorstehende Gesetzesänderung, nach der Unternehmen, die die Daten der Menschen nicht angemessen schützen, mit Geldstrafen von 50 Millionen US-Dollar oder mehr rechnen müssen.