Thought Leadership
Die Medusa-Bande versuchte, den BBC-Cybersecurity-Korrespondenten Joe Tidy zur Mitarbeit zu bewegen. Wie Tidy selbst in einem Bericht auf der BBC-Website schildert, kontaktierten ihn die Kriminellen mit einem lukrativen Angebot. Er müsse nie wieder in seinem Leben arbeiten.
Das Konzept der Angreifer war simpel: Tidy sollte seinen Laptop nutzen, um den Zugang zum BBC-Netzwerk zu ermöglichen. Im Gegenzug stellten die Erpresser ihm mindestens 15 Prozent der späteren Lösegeldzahlung in Aussicht. Nach dem erfolgreichen Eindringen wollten die Kriminellen sensible Daten entwenden und die BBC erpressen.
Eskalierendes Angebot über Signal
Die erste Kontaktaufnahme erfolgte im Juli über den Messenger Signal. Ein Nutzer mit dem Pseudonym “Syndicate” (abgekürzt “Syn”) präsentierte zunächst die 15-Prozent-Beteiligung. Als Tidy nicht sofort zusagte, erhöhte Syn das Angebot auf 25 Prozent. Dabei argumentierte der Kriminelle, dass bei einer erfolgreichen Kompromittierung von BBC Lösegeldforderungen im zweistelligen Millionenbereich realistisch seien. Der Journalist könnte von seinem Anteil dauerhaft leben, so die Argumentation.
Medusa: Etablierte Bedrohung seit 2021
Die Medusa-Gruppe operiert seit Januar 2021 und hat sich durch sogenannte Double-Extortion-Attacken einen Namen gemacht. Dabei werden Daten nicht nur verschlüsselt, sondern auch entwendet, um zusätzlichen Druck aufzubauen. 2023 richtete die Gruppe ein eigenes Leak-Portal ein.
Die US-Cybersicherheitsbehörde CISA veröffentlichte im März eine Analyse zu Medusa. Demnach gehen über 300 Angriffe auf kritische Infrastruktur in den USA auf das Konto der Gruppe. Das Geschäftsmodell basiert auf der Rekrutierung von Initial-Access-Brokern über Cybercrime-Foren und Darknet-Plattformen. Die Kerngruppe konzentriert sich dann auf die eigentliche Erpressungsphase.
Insider-Strategie als bewährtes Muster
Syn versuchte Tidy mit Verweis auf frühere Erfolge zu überzeugen. Mehrere medienwirksame Angriffe seien durch unzufriedene Mitarbeiter ermöglicht worden, die der Gruppe Zugang verschafft hätten: „Sie wären überrascht, wie viele Mitarbeiter uns Zugang gewähren“, sagte Syn.
Die Angreifer legten sogar 0,5 Bitcoin (aktuell circa 55.000 US-Dollar) als Treuhandsumme in einem Hacker-Forum bereit – und das bereits vor Beginn der eigentlichen Operation. In den Signal-Nachrichten betonte Syn die rein finanzielle Motivation: Man habe kein mediales Interesse, sondern sei ausschließlich am Geld interessiert.
Verwechslung mit IT-Sicherheitspersonal?
Tidy vermutet, dass die Kriminellen ihn für einen IT-Sicherheitsmitarbeiter mit erweiterten Zugriffsrechten hielten. Als der Journalist nicht auf die Aufforderung reagierte, ein Skript auszuführen, starteten die Angreifer einen MFA-Bombing-Angriff. Dabei wird das Opfer mit automatisierten Authentifizierungsanfragen bombardiert, bis es aus Erschöpfung eine Anmeldung genehmigt.
Der Journalist blieb standhaft und informierte das IT-Sicherheitsteam der BBC. Als Vorsichtsmaßnahme wurde er vorübergehend komplett vom Firmennetzwerk getrennt.
Nach dem fehlgeschlagenen MFA-Angriff meldete sich Syn noch einmal mit einer Entschuldigung. Das Angebot bleibe für einige Tage bestehen, so die Nachricht. Als Tidy mehrere Tage nicht antwortete, löschte der Angreifer seinen Signal-Account.
