Lockbit-Ransomware Cyberangriff auf Accenture: Hacker veröffentlichen Daten von IT-Berater und kündigen weitere Leaks an
Eine Hackergruppe hat Daten der Unternehmensberatung Accenture veröffentlicht.
Düsseldorf Die Unternehmensberatung Accenture hat erst vor wenigen Tagen vor Cyberangriffen auf Großkonzerne gewarnt, nun ist sie selbst Opfer einer Attacke. Eine Hackergruppe hat am Mittwochabend Tausende Dokumente des IT-Dienstleisters veröffentlicht und nur wenige Stunden später den Leak weiterer Daten angekündigt.
Die Hacker haben die Accenture-Daten offenbar mithilfe der Erpressersoftware Lockbit 2.0 erbeutet. „Für diese Menschen gibt es keine Privatsphäre und keine Sicherheit mehr. Ich hoffe wirklich, dass ihre Dienste besser sind als das, was ich als Insider gesehen habe“, heißt es in einem Kommentar auf dem Blog der Gruppe im anonymen Darknet.
Hinter Lockbit steht nach Einschätzung von IT-Sicherheitsexperten eine professionelle Gruppe im russischsprachigen Raum. Diese sei seit September 2019 aktiv und habe seitdem weltweit Tausende Organisationen beeinträchtigt, heißt es in einer Untersuchung der Firma Emsisoft, die auf Ransomware spezialisiert ist.
Die kriminelle Gruppe betreibt ein Geschäftsmodell, das Experten als „Ransomware as a Service“ bezeichnen: Sie programmiert die Verschlüsselungssoftware und stellt Infrastruktur für die Kommunikation mit betroffenen Organisationen sowie die Bezahlung der Lösegelder. Für den Einbruch selbst engagiert sie Partner, die nach Angaben von Emsisoft 70 bis 80 Prozent des Lösegeldes erhalten.
Wie viele andere Gruppen will die Lockbit-Gruppe doppelten Druck aufbauen, indem sie nicht nur Dateien verschlüsselt, sondern auch mit der Veröffentlichung vertraulicher Informationen droht – so wie im Fall Accenture. Bislang haben die Angreifer auf ihrem Blog im anonymen Darknet fast 2400 Dateien veröffentlicht.
Darunter sind interne Präsentationen und Arbeitspapiere von Accenture. Überwiegend handelt es sich aber um wenig brisantes Marketingmaterial. Der Schaden für das IT-Beratungsunternehmen dürfte sich bislang also auf die eigene Reputation beschränken. Die Hackergruppe hat allerdings in der Nacht von Mittwoch auf Donnerstag angekündigt, dass sie weitere Daten veröffentlichen wird – vermutlich um Druck auf Accenture aufzubauen und doch noch ein Lösegeld zu erpressen.
Derzeit läuft auf dem Blog der Gruppe ein neuer Countdown ab, der in der Nacht von Donnerstag auf Freitag enden wird. „Wenn Sie am Kauf einiger Datenbanken interessiert sind, kontaktieren Sie uns“, heißt es darunter. Lockbit zielt auf Organisationen aller Größen, auch auf Konzerne. Zudem trifft die Ransomware bestimmte Branchen besonders häufig, darunter Anbieter von Software und IT-Dienstleistungen.
Die Hacker drohen Accenture mit einem Ultimatum, das öffentlichkeitswirksam auf ihrem Blog einzusehen ist.
Zumindest in der westlichen Welt. Denn wenn ein System in der Gemeinschaft Unabhängiger Staaten stehe, in der sich mehrere Nachfolgestaaten der Sowjetunion zusammengeschlossen haben, wird nach Angaben von Emsisoft der Verschlüsselungsvorgang automatisch abgebrochen. „Damit soll vermieden werden, dass die Strafverfolgungsbehörden in dieser Region aufmerksam werden“, heißt es in der Untersuchung der Sicherheitsexperten.
Accenture hat am Mittwochabend bestätigt, dass das Unternehmen „eine Unregelmäßigkeit“ entdeckt und die entsprechenden Server umgehend isoliert habe. Die betroffenen Systeme seien mithilfe eines Back-ups wiederhergestellt worden. „Es gab keine Auswirkungen auf den Betrieb von Accenture oder auf die Systeme unserer Kunden“, teilte eine Sprecherin mit. Die Accenture-Aktie gab nach dem Angriff leicht nach.
Der IT-Berater hatte erst Anfang August in einer Untersuchung vor einer „Großwildjagd“ der Cybererpresser gewarnt. Demnach wären 85 Prozent der Ransomware- und Erpressungsopfer Unternehmen mit einem Jahresumsatz von mehr als einer Milliarde US-Dollar. Die Zahl der Cyber-Einbrüche sei im Vergleich zum Vorjahr um 125 Prozent gestiegen.
Mehr: Die größten Fehler, die Unternehmen bei Ransomware-Attacken machen
Das Kommentieren dieses Artikels wurde deaktiviert.