HTC Global Services, ein Unternehmen für IT-Dienstleistungen und Unternehmensberatung, hat bestätigt, Opfer eines Cyberangriffs geworden zu sein, nachdem die ALPHV-Ransomware-Gruppe (BlackCat) begonnen hat, Screenshots von gestohlenen Daten zu veröffentlichen. HTC Global Services bietet Technologie- und Geschäftsdienstleistungen für die Gesundheits-, Automobil-, Fertigungs- und Finanzindustrie an.
Obwohl HTC noch keine Erklärung auf ihrer Website veröffentlicht hat, gaben sie gestern Abend über X eine kurze Mitteilung heraus, in der sie den Angriff bestätigten. „HTC hat einen Cybersecurity-Vorfall erlebt“, heißt es in einem Tweet auf HTCs X-Konto. „Unser Team untersucht und adressiert die Situation aktiv, um die Sicherheit und Integrität von Nutzerdaten zu gewährleisten.“ „Wir haben Cybersecurity-Experten hinzugezogen und arbeiten an einer Lösung. Ihr Vertrauen ist unsere Priorität.“
Diese Ankündigung erfolgt, nachdem die ALPHV-Ransomware-Gruppe HTC auf ihrer Datenleck-Website auflistete und Screenshots von angeblich gestohlenen Daten veröffentlichte. Die geleakten Daten umfassen Pässe, Kontaktlisten, E-Mails und vertrauliche Dokumente, die angeblich während des Angriffs gestohlen wurden.
Wenig Informationen über den Angriff auf HTC sind verfügbar, aber der Cybersecurity-Experte Kevin Beaumont vermutet, dass das Unternehmen durch die Ausnutzung der Citrix Bleed-Schwachstelle gehackt wurde. Einem Geschäftsbereich von HTC, CareTech, wird vorgeworfen, ein anfälliges Citrix Netscaler-Gerät betrieben zu haben, das für den Erstzugriff auf das Firmennetzwerk ausgenutzt wurde.
Die ALPHV/BlackCat-Ransomware-Operation startete im November 2021 und gilt als Rebranding der DarkSide- und BlackMatter-Ransomware-Operationen. Als DarkSide erlangte die Gruppe internationale Aufmerksamkeit, nachdem sie die Colonial Pipeline gehackt hatten, was zu intensivem Druck von Strafverfolgungsbehörden weltweit führte. Nach einer erneuten Umbenennung als BlackMatter im Juli 2021, stellten sie ihre Operationen abrupt im November 2021 ein, als Behörden ihre Server beschlagnahmten und die Sicherheitsfirma Emsisoft einen Decryptor veröffentlichte, der eine Ransomware-Schwachstelle ausnutzte.
Diese Ransomware-Operation ist bekannt dafür, dass sie kontinuierlich weltweit tätige Unternehmen angreift und ihre Taktiken kontinuierlich anpasst und verfeinert, wobei sie in letzter Zeit eine Zunahme von Angriffen verzeichnet hat. Dies schließt die Zusammenarbeit mit englischsprachigen Bedrohungsakteuren ein, die ihre Verschlüsselungssoftware und Infrastruktur für Erpressungsangriffe nutzen.
In einem kürzlichen Vorfall beanspruchte eine Gruppe englischsprachiger Affiliates, bekannt als Scattered Spider, die Verantwortung für den Angriff auf MGM Resorts und gab an, über 100 ESXi-Hypervisoren während des Angriffs verschlüsselt zu haben. Diese Woche behauptete ein ALPHV-Affiliate, Daten von Tipalti gestohlen zu haben und sagte, dass sie begonnen haben, betroffene Unternehmen individuell zu erpressen.
Das Unternehmen hat kürzlich auch einen öffentlich-rechtlichen Stromversorger und ein Krankenhausnetzwerk angegriffen, die beide in den Vereinigten Staaten als kritische Infrastruktur eingestuft werden. Die Angriffe auf kritische Infrastrukturen könnten erneut der Wendepunkt sein, der zu verstärkter Aufmerksamkeit der US-Strafverfolgungsbehörden führt.