Daten im Darknet

Ransomware-Bande will bei Deutsche Bank eingebrochen sein

Deutsche Bank
Bildquelle: BalkansCat/Shutterstock.com

Auf einer einschlägigen Darknet-Plattform ist die Deutsche Bank als neues Opfer der Erpressergruppe „Unsafe“ aufgetaucht. Als Nachweis für den angeblichen Einbruch veröffentlichten die Täter Screenshots von Kommandozeilen und Datenbankabfragen.

Konkret zeigen die Aufnahmen laut Angaben der Gruppe Exporte aus mehreren internen Datenbanken. Sicherheitsforscher des Portals Cybernews haben die Bilder gesichtet und geben an, darin Abfragen erkannt zu haben, über die sich Mitarbeiterdaten auslesen lassen.

Anzeige

Welche Daten im Umlauf sein sollen

Nach Einschätzung der Cybernews-Analysten enthalten die bislang gezeigten Auszüge folgende Kategorien von Informationen:

  • E-Mail-Adressen von Beschäftigten
  • gehashte Passwörter
  • private Wohnadressen
  • weitere Einträge aus internen Datenbanken

Zur Frage, ob neben Mitarbeiter- auch Kundendaten betroffen sein könnten, wollten sich die Forscher nicht festlegen. Dafür reiche das bisher veröffentlichte Material nicht aus. Eine Stellungnahme der Deutschen Bank zu dem Vorfall steht noch aus.

Warum das Problem größer sein könnte als gedacht

Auch wenn sich der mutmaßliche Abfluss auf Mitarbeiterdaten beschränken sollte, sehen die Forscher darin ein ernstzunehmendes Risiko. Passwort-Hashes können Angreifer offline zu knacken versuchen, während sich E-Mail-Adressen und Adressdaten für zielgerichtete Phishing-Versuche eignen. Solche internen Datensätze liefern Kriminellen zudem oft die Grundlage, um die IT-Landschaft eines Unternehmens zu verstehen und anschließend besonders privilegierte Konten gezielt über Social-Engineering-Methoden anzugreifen.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Die Gruppe Unsafe im Profil

Unsafe betreibt ihr Geschäft nach dem Ransomware-as-a-Service-Prinzip und setzt dabei auf doppelte Erpressung: Betroffene Organisationen werden nicht nur mit verschlüsselten Systemen konfrontiert, sondern zusätzlich mit der drohenden Veröffentlichung gestohlener Daten unter Druck gesetzt.

Der Sicherheitsdienstleister SocRadar beschreibt, dass die Gruppe für den initialen Zugriff unter anderem Zero-Day-Lücken ausnutzt und dabei auf Schadprogramme wie GrandCrab und Emotet zurückgreift. Nach einem erfolgreichen Eindringen sollen die Täter gezielt Sicherheitsmechanismen aushebeln und Spuren auf den betroffenen Systemen beseitigen, um sich langfristigen Zugang zu sichern.

Erstmals in Erscheinung getreten ist Unsafe im Dezember 2022. Nach einer auffällig ruhigen Phase in den Jahren 2024 und 2025 meldet sich die Gruppe seit 2026 mit deutlich erhöhter Aktivität zurück. Zu den bekannten Zielländern zählen bislang die USA, Deutschland, die Schweiz und Frankreich.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.