Mittlerweile ist klar, dass die Hintermänner der Ransomware Lockbit hinter Angriffen auf den US-amerikanischen IT-Security-Diensleister Entrust stecken. Um den Druck für die Lösegeldzahlung zu erhöhen, haben die Angreifer bei der Attacke kopierte Interna im Internet veröffentlicht. Doch nun wurde der Leaking-Server durch DDoS-Attacken lahmgelegt. Wer dahinter steckt, ist bislang unklar.
Eindeutige Botschaft
Darüber berichten unter anderem Sicherheitsforscher von vx-underground auf Twitter. Die DDoS-Attacken sollen von mehr als 1000 Servern ausgehen und 400 Anfragen pro Sekunde aufweisen. Diesem Ansturm konnten die Lockbit-Server im Tor-Netzwerk nicht standhalten und die geleakten Firmeninformationen gingen offline.
Die Attacken sollen kurz nachdem die Daten online gestellt wurden begonnen haben. Begleitet wurden die Attacken den Forschern zufolge von der Nachricht: „DELETE_ENTRUSTCOM_MOTHERFUCKERS“. Der Zusammenhang zum Entrust-Vorfall liegt also nahe.
Lockbit vermutet, dass die Security-Firma hinter den Attacken steckt, um die Veröffentlichen der internen Daten zu verhindern. Es könnte aber auch eine konkurrierende Ransomware-Gang dahinterstecken. Beweise gibt es aber für beide Vermutungen bislang nicht.
Als Gegenmaßnahme hat Lockbit nun verkündet, die Interna als Torrent in Umlauf zu bringen. Das würde ein Entfernen der Daten aus dem Internet nahezu unmöglich machen. Berichten zufolge geht es in dem Fall um ein Lösegeld in Höhe von 8 Millionen US-Dollar. Mittlerweile soll es auf 6,8 Millionen US-Dollar gesenkt worden sein.
Unberechtigte Zugriffe
Laut dem Bericht von Entrust sollen sich die Angreifer am 18 Juni Zugriff auf interne Systeme verschafft haben. Am 6. Juli machte der Dienstleister den Vorfall öffentlich und gestand ein, dass es erfolgreiche Zugriff auf interne Daten gegeben hat.
(des)
