Ransomware-Gang veröffentlicht massenhaft interne Daten von LG und Xerox

Die Betreiber der Maze-Ransomware haben Dutzende Gigabyte Daten veröffentlicht, die aus den Netzwerken der Technikfirmen LG und Xerox stammen sollen. Nach offenbar gescheiterten Erpressungsversuchen setzten die Cyberkriminellen nun ihre Drohung um und stellten 50,2 GByte Daten von LG und 25,8 GByte von Xerox ins Internet.

LG hatte den Ransomware-Angriff bereits im Juni eingeräumt, ohne jedoch Details zu nennen. Zu den jetzt durchgesickerten Daten wollten sich beide Unternehmen auf Nachfrage von ZDNet.com nicht äußern.

Die Hacker wiederum hatten die Veröffentlichung von Daten von LG und Xerox bereits im Juni mit Einträgen in ihrem „Leak-Portal“ angekündigt. In der Regel dringen sie zuerst in Unternehmensnetzwerke ein, um dann vertrauliche Daten zu stehlen und anschließend diese zu verschlüsseln.

Sollte ein Opfer der Lösegeldforderung für die Entschlüsselung der Daten nicht nachkommen, legen die Maze-Hintermänner einen Eintrag in ihrem Leak-Portal an, um den Druck auf das Opfer zu erhöhen. Den Unternehmen geben die Hacker üblicherweise mehrere Wochen Zeit, der Forderung nachzukommen – erst danach werden die kompromittierten Daten über das Portal enthüllt.

Von der Maze-Gang bereitgestellte Informationen legen die Vermutung nahe, dass es sich bei den Daten von LG um Quellcode von Closed-Source-Firmware für verschiedene LG-Produkte wie Laptops und Smartphones handelt. In einer E-Mail, die ZDNet.com vorliegt, behaupten die Hacker zudem, sie hätten lediglich Daten gestohlen, aber nicht verschlüsselt.

Zu dem Einbruch bei Xerox liegen hingegen keine Informationen vor. Ob die Cyberkriminellen sich ebenfalls mit dem Diebstahl von Daten begnügt haben oder doch auch Dateien verschlüsselten, ist nicht bekannt. Eine erste Analyse der jetzt veröffentlichten Daten ergab, dass es sich um Informationen aus dem Bereich Kunden-Support sowie Daten von Mitarbeitern handelt.

Allerdings gibt es eine Vermutung zu einem möglichen Einfallstor für die Hacker. Der Sicherheitsanbieter Bad Packet erklärte bereits im Juni, beide Unternehmen hätten zumindest vorübergehend eine ungepatchte Version des Citrix ADC Server eingesetzt. Die Schwachstelle CVE-2019-19781 werde zudem sehr häufig für die Verbreitung der Maze-Ransomware eingesetzt.

Möglicherweise wurde LG sogar das Opfer eines weiteren Hackerangriffs. ZDNet.com liegt eine E-Mail des Threat-Intelligence-Anbieters Shadow Intelligence vor. Demnach sollen Hacker in einem Forum den Zugang zu einem Forschungszentrum von LG in den USA anbieten, und zwar für 10.000 bis 13.000 Dollar.