Ragnar Locker zielt mit Ransomware-Angriff auf CWT

Ragnar Locker schlägt wieder zu. CWT, ehemals Carlson Wagonlit Travel und fünftgrößter Reiseveranstalter, bestätigte einen Cyberangriff, der sich nach eigenen Angaben am Wochenende des 26. und 27. Juli 2020 ereignete. Laut Threatpost erklärte CWT: "Wir können bestätigen, dass unsere Systeme, nachdem wir sie als Vorsichtsmaßnahme vorübergehend abgeschaltet hatten, wieder online sind und der Vorfall nun beendet ist." Ragnar Locker hat den Ransomware-Angriff initiiert und möglicherweise 2 Terabyte an Daten gestohlen, darunter angeblich Tausende von Anmeldedaten von Führungskräften weltweit. Dies ist besonders besorgniserregend, da CWT Reisedienstleistungen für 33% der Fortune-500-Unternehmen anbietet.  Die Ransomware-Kriminellen forderten dann ein Lösegeld in Höhe von $10 Millionen Dollar als Gegenleistung für die Verpflichtung, die gestohlenen Daten nicht zu veröffentlichen. Um die Ernsthaftigkeit ihrer Drohung zu demonstrieren, zeigte Ragnar Locker CWT eine passwortgeschützte Pressemitteilung auf einem versteckten Teil ihrer Website. Es scheint, dass CWT die Lösegeldsumme heruntergehandelt hat und sich dabei auf einen kürzlichen Geschäftsrückgang infolge der COVID-19-Krise beruft. Ragnar Locker verpflichtete sich, die gestohlenen Informationen nicht zu veröffentlichen, und gab sogar Tipps zur Vermeidung künftiger Hacks, nachdem eine Abschlusszahlung von $4,5 Millionen Dollar in Bitcoin (414) geleistet worden war. Im Anschluss an die Zahlung hielt Ragnar Locker seinen Teil der Abmachung ein und lieferte Zugangsdaten zu einem MEGA-Cloud-Laufwerk, auf dem sich die gestohlenen Daten von CWT befanden, und die Entfernung der Presseerklärung von ihrer privaten Website. Ragnar Locker gab sogar Tipps zur Vermeidung künftiger Hacks, einschließlich Informationen dass kein Antivirus eine solche Infektion verhindern kann, aber bessere interne Richtlinien können. CybelAngel untersuchte diesen Ransomware-Vorfall, nachdem ein unabhängiger Sicherheitsanalyst Folgendes aufgedeckt hatte eine Schadsoftware Beispiel, das CWT als Opfer des Ragnar-Kryptolockers nennt und stellte dieses Ransomware-Exploit auf Twitter vor seinen 23.000 Followern vor. Nach dem Austausch, den wir zwischen CWT und Ragnar lesen konnten, wurden die Zugangsdaten zu den gestohlenen Daten auf einem MEGA-Cloud-Laufwerk an das Opfer weitergegeben. CybelAngel kann nicht bestätigen, ob die Dokumente rechtzeitig gelöscht wurden oder ob eine dritte Partei sie vorher abrufen konnte. Wir beobachten die Situation weiterhin und suchen nach sensiblen Daten aus diesem Vorfall, die im Internet veröffentlicht werden könnten. CybelAngel spürt Datenlecks im Internet auf, die weit über das Surface und Deep/Dark Web hinausgehen und auch vernetzte Speicher, Cloud-Apps, offene Datenbanken usw. einbeziehen. Nur mit der firmeneigenen Kombination aus maschinellem Lernen und Cyber-Analyse durch Experten kann CybelAngel entdeckt Datenlecks schnell genug, um katastrophale Datenverletzungen zu verhindern. 

Über den Autor

Orlaith Traynor

Orlaith ist eine in Paris ansässige B2B-Content-Marketing-Strategin, die sich auf Cybersicherheit und Technologie spezialisiert hat und über fundierte Kenntnisse in SEO, AEO, Redaktionsplanung und CMS-Management verfügt. Als Content-Leiterin bei Unternehmen wie CybelAngel und PhantomBuster unterstützt sie Technologiemarken bei der Entwicklung von Content-Strategien, die die organische Sichtbarkeit und das Vertrauen der Käufer in wettbewerbsintensiven Märkten fördern.

lies alle Artikel