Thought Leadership
Die Everest-Ransomware-Gruppe beansprucht einen Angriff auf den E-Mail-Marketing-Dienst Mailchimp für sich. Aber wie hoch ist der Schaden tatsächlich?
Die Gruppe gab die Meldung gestern auf ihrer Dark-Web-Leak-Seite bekannt und behauptet, eine 767 MB große Datenbank mit 943.536 Datenzeilen erbeutet zu haben. Laut Everest umfasst das Datenleck “interne Firmendokumente” sowie “eine große Vielfalt persönlicher Dokumente und Informationen von Kunden”.
Strukturierte Geschäftsdaten statt sensibler Interna
Wie Hackread jedoch anmerkt, zeigt ein Blick auf die von Everest veröffentlichten Beispieldaten ein etwas anderes Bild. So enthält der geleakte Datensatz strukturierte Geschäftsinformationen und nicht sensible interne Mailchimp-Daten. Die Datensätze scheinen Domain-Namen, Firmen-E-Mails, Telefonnummern, Stadt- und Länderangaben, DSGVO-Regionskennzeichnungen, Social-Media-Links sowie Informationen über Hosting-Provider zu beinhalten.
Viele Einträge listen auch die von den Unternehmen verwendeten Technologie-Stacks auf, darunter Shopify, WordPress, Amazon, Google Cloud und PayPal. Die Daten sind in tabellenähnlichen Zeilen organisiert, was darauf hindeutet, dass sie möglicherweise aus einem Marketing- oder CRM-Export stammen und nicht aus Mailchimps internen Systemen.
“Die Sicherheit unserer Produkte und der Daten unserer Kunden hat für uns höchste Priorität. Wir sind uns der Vorwürfe bezüglich der Systeme von Intuit Mailchimp bewusst. Nach unseren bisherigen Untersuchungen liegen uns keine Hinweise auf Sicherheitsvorfälle oder Datenabflüsse aus unseren Systemen vor”, teilte Mailchimp-gegenüber it-daily.net mit.
Everest-Ransomware: Obscurer Akteur mit Double-Extortion-Modell
Die Everest-Ransomware-Gruppe ist ein seit Ende 2020 aktiver, russischsprachiger Cybercrime-Verbund, der sich auf Erpressungen durch Verschlüsselung und Diebstahl von Daten spezialisiert hat. Durch sogenannte “Double-Extortion”-Taktiken werden zunächst Daten in Zielunternehmen verschlüsselt und anschließend droht das Leak der sensiblen Informationen, falls keine Lösegeldzahlung erfolgt. Zu den besonders prominenten Opfern zählte unter anderem die brasilianische Regierung und NASA
Im Lauf ihrer Entwicklung wandelte sich die Gruppe: Seit etwa Ende 2022 agiert Everest zunehmend als Initial Access Broker (IAB), verkauft also allein den Netzwerkzugang zu kompromittierten Unternehmen, statt selbst Verschlüsselungen durchzuführen. Zuletzt trat die Gruppe vor allem als Datenhändler auf, veröffentlichte gehackte Daten von Organisationen wie Coca-Cola, dem NASA-Umfeld oder zuletzt (Juli 2025) der saudi-arabischen Rezayat Group
