Ransomwarebande Medusa attackiert Toyota und fordert 8 Millionen US-Dollar

In den europäischen und afrikanischen IT-Systemen von Toyota Financial Service (TFS) ist es zu einem IT-Sicherheitsvorfall gekommen. Das hat das Unternehmen Medienberichten zufolge nun bestätigt. Die Erpresser der Medusa-Bande fordern 8 Millionen US-Dollar Lösegeld.

Steht ein großes Datenleak bevor?

Auf ihrer Leaking-Website im Darknet läuft ein Countdown (siehe Bild). Der Anzeige zufolge hat TFS noch circa acht Tage Zeit, zu reagieren. Wer 8 Millionen US-Dollar zahlt, kann die Daten herunterladen. Zahlt TFS diesen Betrag, geben die Verbrecher an, die Daten zu löschen. Für die Summe von 10.000 US-Dollar lässt sich die Frist um einen Tag verlängern. Läuft der Countdown ab, wollen sie die Daten veröffentlichen.

Ob die Erpresser wirklich Daten kopiert haben, wurde bislang von offizieller Stelle nicht bestätigt. Um das zu beweisen, haben sie eine Stichprobe der Daten bestehend aus unter anderem Finanzreports, Rechnungen und Nutzer-IDs veröffentlicht. Darunter sollen auch Personaldaten wie E-Mails und gehashte Passwörter sein. In einer Textdatei zeigen sie alle Daten auf, die sie eigenen Angaben zufolge im Zuge der Attacke kopiert haben. Ob dabei auch Daten verschlüsselt wurden, ist bislang nicht bekannt.

Einstiegspunkt in Deutschland?

Wie die Angreifer in die IT-Systeme eindringen konnten, ist noch unklar. Ein Sicherheitsforscher spekuliert auf X, dass die Angreifer an der kritischen Lücke CitrixBleed (CVE-2023-4966) in Netscaler ADC und Gateway angesetzt haben könnten. Ihm zufolge hat das deutsche TFS-Büro einen seit August 2023 nicht aktualisierten und somit verwundbaren Citrix Gateway Endpoint am öffentlichen Netz hängen.

Diese Lücken haben schon mehrere Ransomware-Banden ausgenutzt, um sich Zugriff auf IT-Systeme von Unternehmen zu verschaffen.

(des)