Was haben AC/DC, Barbra Streisand, Calvin Klein, Facebook, Lady Gaga, Madonna, Meg Ryan, Mike Tyson, Robert de Niro, Samsung, Sony, Spotify, Sting und Versace gemeinsam? Ihre Namen stehen neben denen zahlreicher weiterer bekannter Filmstars, Musiker, Schauspieler, Sportler und großer Unternehmen, auf der (derzeit nur in Gestalt archivierter Snapshots vollständig abrufbaren) Klientenliste der Anwaltskanzlei Grubman Shire Meiselas & Sacks. Durch deren IT-Systeme fraß sich kürzlich die Ransomware REvil alias Sodinokibi, wie die New Yorker Kanzlei gegenüber dem Magazin Variety bestätigte

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Die Kanzlei benachrichtigte laut Variety daraufhin Angestellte und Kunden und heuerte Experten an, um die Infektion in den Griff zu bekommen. Doch die ist nicht (mehr) das einzige Problem: Entsprechend dem aktuellen Ransomware-Trend, nicht länger nur auf Erpressung durch Verschlüsselung, zu setzen, kopierte die REvil-Gang nach eigenen Angaben mehr als 750 GB sensible (Kunden-)Daten. Weigern sich Grubman Shire Meiselas & Sacks, ein "Lösegeld" zu zahlen, sollen die Daten schrittweise in Untergrundforen landen.

Vertragsauszüge im Darknet Veröffentlicht

Forscher der Firma Emsisoft wollen im Darknet auf Forenpostings der REvil-Gang gestoßen sein, denen zufolge es sich bei den gestohlenen Daten um Verträge, Geheimhaltungsvereinbarungen, Telefonnummern, E-Mail-Adressen und Korrespondenz zwischen Kanzlei und Klienten handeln soll.

Ein kleiner Teil der Daten sei gar schon auf einer eigens dafür eingerichteten "Leak-Site" im Darknet aufgetaucht. Gegenüber Threatpost sagte ein Emsisoft-Mitarbeiter, dass es sich dabei neben Screenshots einiger Verträge und Informationen zu den betroffenen Dateiordnern der Kanzlei um Dokumente der Musikerinnen Madonna (unterzeichnet von ihrem Agenten, ihre letzte Welttournee betreffend) sowie Christina Aguilera handele.

Wie die Kanzlei weiter vorgehen will beziehungsweise, ob sie plant, das Lösegeld zu zahlen, ist bislang nicht bekannt. Sicherheitsexperten raten von Zahlungen grundsätzlich ab, um kriminelle Machenschaften nicht zu unterstützen. Zumal keinerlei Garantie besteht, dass verschlüsselte Daten wirklich entschlüsselt werden. Im schlimmsten Fall kassieren die Gangs mehrfach ab, indem sie sensible Daten trotz Zahlung weiterverkaufen oder Unternehmenskunden direkt erpressen.

Lesen Sie auch Ransomware: TWL verweigerte Lösegeldzahlung – Angreifer leakten Kundendaten

(ovw)