Brisbane, Australien
CNN
—
Cyberkriminelle in Russland stecken hinter einem Ransomware-Angriff auf einen der größten privaten Krankenversicherer Australiens, bei dem sensible personenbezogene Daten im Darknet veröffentlicht wurden, teilte die australische Bundespolizei (AFP) am Freitag mit.
In einer kurzen Pressekonferenz sagte AFP-Kommissar Reece Kershaw den Reportern, die Ermittler kennen die Identität der Personen, die für den Angriff auf den Krankenversicherer Medibank verantwortlich sind, er lehnte es jedoch ab, sie zu nennen.
„Die AFP führt verdeckte Maßnahmen durch und arbeitet rund um die Uhr mit unseren inländischen Behörden und internationalen Netzwerken, einschließlich Interpol, zusammen. Das ist wichtig, weil wir glauben, dass die Verantwortlichen für den Verstoß in Russland sitzen“, sagte er.
Laut Medibank gehören die gestohlenen Daten 9,7 Millionen früheren und gegenwärtigen Kunden, darunter 1,8 Millionen internationale Kunden. Die Akten enthalten Daten zu gesundheitsbezogenen Angaben für fast eine halbe Million Menschen, darunter 20.000 im Ausland.
Diese Woche begann die Gruppe damit, kuratierte Tranchen von Kundendaten im Dark Web zu veröffentlichen, in Dateien mit Titeln wie Good-List, Naughty-List, Abtreibungen und Saufereien, zu denen auch diejenigen gehörten, die Hilfe wegen Alkoholabhängigkeit suchten.
Kershaw sagte, der Polizeigeheimdienst weise auf eine „Gruppe lose verbundener Cyberkrimineller“ hin, die wahrscheinlich für frühere erhebliche Datenschutzverletzungen auf der ganzen Welt verantwortlich seien, ohne konkrete Beispiele zu nennen.
„Diese Cyberkriminellen operieren wie ein Unternehmen mit verbundenen Unternehmen und Mitarbeitern, die das Unternehmen unterstützen. Wir glauben auch, dass sich einige Tochtergesellschaften in anderen Ländern befinden könnten“, sagte Kershaw, der es aufgrund der Sensibilität der Untersuchung ablehnte, Fragen zu beantworten.
Cyber-Sicherheitsexperten sagten, dass die Kriminellen wahrscheinlich mit REvil in Verbindung stehen, einer russischen Ransomware-Bande, die für große Angriffe auf Ziele in den Vereinigten Staaten und anderswo berüchtigt ist, darunter der große internationale Fleischlieferant JBS Foods im vergangenen Juni.
Dieser Verstoß legte den gesamten US-Rindfleischverarbeitungsbetrieb des Unternehmens lahm und veranlasste das Unternehmen zur Zahlung ein Lösegeld von 11 Millionen Dollar. Im vergangenen November bot das US-Außenministerium a 10 Millionen Dollar Belohnung für Informationen, die zur Identifizierung oder Lokalisierung von Schlüsselführern von REvil führen, auch bekannt als Sodinokibi-Gruppe für organisierte Kriminalität.
Das meldete Mitte Januar die russische staatliche Nachrichtenagentur TASS mindestens acht REvil-Ransomware-Hacker war auf Ersuchen der USA vom russischen Bundessicherheitsdienst (FSB) festgenommen worden.
Ihnen wurde vorgeworfen, „illegalen Zahlungsverkehr“ begangen zu haben, ein Verbrechen, das mit bis zu sieben Jahren Gefängnis geahndet werden kann, berichtete TASS unter Berufung auf das Moskauer Twerskoi-Gericht.
Im März wurde der ukrainische Staatsangehörige Yaroslav Vasinskyi, einer der Hauptverdächtigen, mit einem in Verbindung gebracht Angriff auf den US-Softwarehersteller Kaseya wurde von Polen an die USA ausgeliefert, um Anklage zu erheben, Das geht aus einer Mitteilung des Justizministeriums hervor.
Jeffrey Foster, außerordentlicher Professor für Cyber-Sicherheitsstudien an der Macquarie University, sagte, es gebe eine wichtige Verbindung zwischen dem REvil-Netzwerk und der Gruppe, die verdächtigt wird, das Medibank-Netzwerk gehackt zu haben.
„Der größte Link ist, dass die Dark Web-Website von REvil jetzt auf diese Website umleitet. Das ist also die größte Verbindung, die wir zwischen ihnen haben, und die einzige Verbindung, die wir zwischen ihnen haben“, sagte Foster, der den Blog überwacht, in dem die Gruppe ihre Forderungen veröffentlicht.
„Da Russland erklärt hat, dass sie REvil verhaftet und aufgelöst haben, scheint es wahrscheinlich, dass dies ein Fall von vielleicht einem ehemaligen REvil-Mitglied ist, das Zugriff auf die Dark-Web-Website hatte, um die Umleitung durchführen zu können, die Zugriff auf die Hardware erfordert. ” er sagte. „Ob REvil zurückgekehrt ist oder nicht, wissen wir nicht.“
Medibank erste ungewöhnliche Aktivität festgestellt in seinem Netzwerk vor fast einem Monat. Am 20. Oktober gab das Unternehmen eine Erklärung ab, in der es hieß, ein „Krimineller“ habe Informationen aus seiner ahm-Krankenversicherung und dem internationalen Studentensystem gestohlen, darunter Namen, Adressen, Telefonnummern und einige Schadensdaten für Verfahren und Diagnosen.
Eine anfängliche Lösegeldforderung in Höhe von 10 Millionen US-Dollar (15 Millionen australische Dollar) wurde gestellt, aber das Unternehmen sagte nach ausführlicher Beratung mit Experten für Cyberkriminalität, es habe beschlossen, nicht zu zahlen. Später wurde es auf 9,7 Millionen US-Dollar gesenkt – laut Foster einer für jeden betroffenen Kunden.
Damals sagte Medibank, es bestehe nur eine „begrenzte Chance“, dass die Zahlung des Lösegelds die Veröffentlichung oder Rückgabe der Daten an das Unternehmen verhindern würde.
In seiner Erklärung am Freitag sagte Kershaw, der AFP-Kommissar, dass die Politik der australischen Regierung die Zahlung von Lösegeldern an Cyberkriminelle nicht dulde.
„Jede kleine oder große Lösegeldzahlung fördert das Geschäftsmodell der Cyberkriminalität und gefährdet andere Australier“, sagte er.
Kershaw sagte, die Ermittler des australischen Interpol National Central Bureau würden mit ihren russischen Kollegen über die Personen sprechen, die er direkt mit der Drohung ansprach, sie in Australien anzuklagen.
„An die Kriminellen, wir wissen, wer Sie sind. Und darüber hinaus hat die AFP einige bedeutende Runs auf dem Anzeiger, wenn es darum geht, ausländische Straftäter nach Australien zurückzubringen, um sich dem Justizsystem zu stellen“, sagte er.
Freitag früher, Der australische Premierminister Anthony Albanese sagte, er sei „angewidert“ von den Angriffen und sagte, ohne Russland zu nennen, dass die Regierung des Landes, aus dem sie kommen, zur Rechenschaft gezogen werden sollte.
„Die Nation, aus der diese Angriffe kommen, sollte auch für die widerlichen Angriffe und die Veröffentlichung von Informationen, einschließlich sehr privater und persönlicher Informationen, zur Rechenschaft gezogen werden“, sagte Albanese.
In einer Erklärung vom Freitag Medibank-CEO David Koczkar sagte, es sei klar, dass die kriminelle Bande hinter dem Bruch „die Bekanntheit genoss“, und es sei wahrscheinlich, dass sie jeden Tag mehr Informationen veröffentlichen würden.
„Die unerbittliche Natur dieser Taktik, die von den Kriminellen angewendet wird, ist darauf ausgelegt, Leid und Schaden zu verursachen“, sagte er. „Hinter diesen Daten stehen echte Menschen, und der Missbrauch ihrer Daten ist bedauerlich und kann sie davon abhalten, medizinische Versorgung in Anspruch zu nehmen.“