Die australische Bundespolizei behauptet, die Cyberkriminellen hinter dem Medibank-Ransomware-Angriff identifiziert zu haben, bei dem die persönlichen Daten von 9,7 Millionen Kunden kompromittiert wurden.
AFP-Kommissar Reece Kershaw sagte am Freitag, dass die Agentur die Identität der Personen kennt, die für den Angriff auf Australiens größten privaten Krankenversicherer verantwortlich sind. Er lehnte es ab, die Namen der Personen zu nennen, sagte aber, die AFP glaube, dass die Verantwortlichen für den Verstoß in Russland seien, obwohl einige Tochtergesellschaften in anderen Ländern sein könnten.
In einem Tweet sagte der australische Premierminister Anthony Albanese, dessen eigene Medibank-Daten gestohlen wurden, die AFP wisse, wo die Hacker seien, und arbeite daran, sie vor Gericht zu stellen.
Kershaw sagte, dass der Polizeigeheimdienst auf eine „Gruppe lose verbundener Cyberkrimineller“ hinweist, die wahrscheinlich für frühere erhebliche Datenschutzverletzungen auf der ganzen Welt verantwortlich sind, nannte jedoch keine Opfer.
„Diese Cyberkriminellen operieren wie ein Unternehmen mit verbundenen Unternehmen und Mitarbeitern, die das Geschäft unterstützen“, fügte er hinzu und verwies auf Ransomware-as-a-Service-Operationen wie LockBit. Am Donnerstag wurde in Kanada ein russisch-kanadischer Staatsbürger festgenommen, der mit der LockBit-Operation in Verbindung steht.
Die Hacker hinter der Medibank-Panne wurden zuvor mit der hochkarätigen russischen Cyberkriminalität REvil, auch bekannt als Sodinokibi, in Verbindung gebracht. Die einst stillgelegte Dark-Web-Leak-Site von REvil leitet den Datenverkehr jetzt auf eine neue Site um, auf der die gestohlenen Medibank-Daten gehostet werden, und die Hacker, die hinter dem Verstoß stehen, wurden auch bei der Verwendung einer Variante der Dateiverschlüsselungs-Malware von REvil beobachtet.
Die russische Botschaft in Canberra wies schnell Vorwürfe zurück, dass die Medibank-Hacker in Russland ansässig seien. „Aus irgendeinem Grund wurde diese Ankündigung gemacht, bevor die AFP die russische Seite überhaupt über die bestehenden professionellen Kommunikationskanäle kontaktiert hat“, sagte die Botschaft in a Erklärung am Freitag. „Wir ermutigen die AFP, sich ordnungsgemäß mit den jeweiligen russischen Strafverfolgungsbehörden in Verbindung zu setzen.“
Russlands föderaler Sicherheitsdienst FSB (ehemals KGB) sagte im Januar, dass REvil „nicht mehr existiert“, nachdem mehrere Verhaftungen auf Ersuchen der US-Regierung vorgenommen worden waren. Im März wurde der ukrainische Staatsbürger Yaroslav Vasinskyi, ein mutmaßliches Schlüsselmitglied der REvil-Gruppe, das mit einem Angriff auf den US-Softwareanbieter Kaseya in Verbindung gebracht wurde, von Polen an die USA ausgeliefert, um Anklage zu erheben.
„Selbst nach einer Reihe von Strafverfolgungsoperationen gegen REvil scheinen die Bande und ihre Partner immer noch zurückzukehren, basierend auf der Analyse der neuesten REvil-Ransomware-Probe“, Roman Rezvukhin, Leiter des Teams für Malware-Analyse und Bedrohungssuche bei Group-IB , erzählt Tech.
Kershaw sagte am Freitag, dass die AFP zusammen mit internationalen Partnern wie Interpol „Gespräche mit russischen Strafverfolgungsbehörden über diese Personen führen wird“.
„Es ist wichtig anzumerken, dass Russland vom Austausch von Informationen und Daten durch Interpol profitiert, und damit auch Verantwortung und Rechenschaftspflicht“, sagte Kershaw. „An die Kriminellen: Wir wissen, wer Sie sind, und außerdem hat die AFP einige bedeutende Runs auf dem Anzeiger, wenn es darum geht, ausländische Straftäter nach Australien zurückzubringen, um sich dem Justizsystem zu stellen.“
Während die AFP in den letzten Jahren erfolgreich Menschen aus Polen, Serbien und den Vereinigten Arabischen Emiraten ausgeliefert hat, um in Australien strafrechtlich verfolgt zu werden, dürfte die Auslieferung russischer Hacker eine Herausforderung darstellen. Im Jahr 2018 erklärte der russische Präsident Wladimir Putin, dass „Russland seine Bürger an niemanden ausliefert“.
Trotz der Maßnahmen der AFP verschlimmert sich die Verletzung der Medibank weiter, nachdem sie sich weigert, die Lösegeldforderung der Cyberkriminellen zu bezahlen. Am Donnerstag veröffentlichte der dunkle Webblog der Angreifer weitere gestohlene Daten, darunter sensible Dateien im Zusammenhang mit Abtreibungen und alkoholbedingten Krankheiten. Die Cyberkriminellen behaupteten, dass sie zunächst Lösegeld in Höhe von 10 Millionen US-Dollar von der Medibank verlangten, bevor sie die Summe auf 9,7 Millionen US-Dollar oder 1 US-Dollar pro betroffenem Kunden reduzierten, so der Blog.
„Leider gehen wir davon aus, dass Kriminelle weiterhin jeden Tag gestohlene Kundendaten freigeben“, sagt Medibank-CEO David Koczkar sagte am Freitag. „Hinter diesen Daten stehen echte Menschen, und der Missbrauch ihrer Daten ist bedauerlich und kann sie davon abhalten, medizinische Versorgung in Anspruch zu nehmen.“