Ransomware infiziert New Yorker Anwaltskanzlei und stiehlt Daten von Dutzenden von Promis

Bruce Spingsteen und Madonna, Lady Gaga, Run-DMC und viele mehr: Die REvil-Ransomware hat sich auf den Server einer Anwaltskanzlei für die Unterhaltungsbranche geschlichen und dort fast ein Terabyte an Daten gestohlen. Nun verlangen die Hacker ein saftiges Lösegeld in Kryptowährungen, um die Daten nicht zu veröffentlichen.

Was haben Robert DeNiro und Facebook, Christina Aguilera und Sony sowie Madonna und HBO gemeinsam? Abgesehen davon, dass es Namen sind, die man weithin auf der Welt kennt, teilen sie sich die selben Anwaltskanzlei. Grubman Shire aus New York vertritt neben den genannten Stars und Medienunternehmen noch viele weitere Schwergewichte der Unterhaltungsbranche.

Dabei ist es unvermeidbar, dass die Kanzlei Daten anhäuft, die hochsensibel sind. Einer Gruppe von Cyberkriminellen gelang es nun, eine Malware auf die Server zu bringen, die sogenannte REvil Ransomware, auch bekannt als Sodinokobi. Mithilfe dieser Malwaren haben sie angeblich 756 Gigabyte an Daten gestohlen, zu denen Verträge, Telefonnummern, E-Mail-Adressen, persönliche Korrespondenzen und Vertraulichkeitsvereinbarungen gehören.

Die Angreifer drohen nun natürlich damit, die Daten zu veröffentlchen, sofern sie nicht einen bisher ungenannten Betrag an Kryptowährungen erhalten. Während die Anwaltskanzlei den Fall bisher noch nicht kommentiert, machen Sicherheitsanalysten bereits Druck. Ein Experte der Anti-Malware-Firma Emisoft meint, dass die Auswirkungen des Hacks weit über die Kanzlei selbst hinausgehen können, etwa indem ihre Kunden zu Opfern von Erpressung, Identitätsdiebstahl oder Betrug werden. Unter den Stars, deren Daten angeblich in den Händen der Hacker sind, befinden sich Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey, Run-DMC und Outkast. Als Beweis dafür, dass sie es ernst meinen, haben die Hacker Briefe von Christina Aguilera und Madonnas Tourmanager im Darknet veröffentlicht.

Über die genauen Umstände ist bislang nichts bekannt. Die Hacker verlangen zwar ein Lösegeld, doch weder weiß man, in welcher Höhe dieses liegt, noch in welcher Währung es zu bezahlen ist. Die meisten Berichte gehen zwar davon aus, dass das Lösegeld in Bitcoin zu bezahlen ist, doch es gab erst vor kurzem die Neuigkeit, dass die Sodinokobi-Ransomware im Begriff steht, von Bitcoin vollständig auf die privatere Kryptowährung Monero zu wechseln. Es wäre also denkbar, dass dieser Fall zu einer der ersten großen in in Monero verlangten Lösegeldforderungen wird. Aufgrund der Sensibilität und Breite der Daten, die einige der bekanntesten Musiker der Welt betreffen, dürften die Chancen gut stehen, dass die Anwaltskanzlei bezahlen wird.

Die Ransomware REvil oder Sodinokobi ist eine der beliebtesten und hinterhältigsten Ransomware-Inkarnationen dieser Zeit. Sie nistet sich oft über Wochen oder Monate in Systemen ein, um alle Teile eines Netzwerks zu befallen. Anders als viele andere Formen der Ransomware verschlüsselt sie nicht nur die Daten, sondern extrahiert sie auch auf die Systeme der Hacker. Damit baut sie eine zweifache Drohkulisse auf, vor der das Lösegeld nicht nur für die Entschlüsselung der Daten aufkommt, sondern auch dafür, dass diese nicht an die Öffentlichkeit gelangen. Dementsprechend ist das Lösegeld, das die Hacker verlangen, bei REvil auch besonders hoch, laut einer Schätzung im Durchschnitt mehr als 200.000 Dollar. Im Falle der New Yorker Anwaltskanzlei dürfte es angesichts der Prominenz der Opfer wohl noch deutlich höher liegen.