Arnold Clark mit Sitz in Glasgow – eines der größten britischen Autohändlernetzwerke, das aus seinem Gründer einen Milliardär gemacht hat – sieht sich nach einem Cyberangriff auf seine Systeme mit einer Lösegeldforderung in Höhe von mehreren Millionen Pfund vom Ransomware-Kartell Play Double Extortion konfrontiert.
Der Angriff auf die Organisation fand in der Vorweihnachtszeit statt und sah, dass Mitarbeiter zu Stift und Papier griffen, um Kundentransaktionen aufzuzeichnen, nachdem sie aus ihren Systemen ausgesperrt worden waren. Auch Übergaben von Neufahrzeugen konnten dadurch nicht abgeschlossen werden.
Nach dem Angriff Arnold Clark seine Systeme freiwillig getrennt, nachdem ein externer Sicherheitsberater es vor verdächtigem Datenverkehr in seinem Netzwerk gewarnt hatte. Anschließend führte es in Zusammenarbeit mit seinen Cyber-Partnern eine umfassende Überprüfung seines IT-Bestands durch. Es sei seine Priorität gewesen, Kundendaten, seine eigenen Systeme und seine Drittpartner zu schützen, und dies sei erreicht worden.
Allerdings laut Post am Sonntag, das als erstes über die neuesten Entwicklungen berichtete, veröffentlichte eine angebliche Verbindung mit Play eine 15-GB-Tranche von Kundendaten, die bei dem Vorfall gestohlen wurden, im Dark Web. Unter den Daten werden Adressen, Passdaten und Sozialversicherungsnummern verstanden. Wie vorhersehbar, drohen sie, eine viel größere Datenmenge freizugeben, wenn sie sich nicht auszahlen.
In einer Erklärung zur Verfügung gestellt Automobilmanagement Arnold Clark sagte gegenüber dem Magazin Arnold Clark, dass seine Untersuchungen noch andauern und dass es nun vorrangig versuche festzustellen, welche Daten kompromittiert worden seien, und zu diesem Zeitpunkt betroffene Kunden kontaktieren werde. Es hat auch mit Strafverfolgungsbehörden zusammengearbeitet, und der Vorfall wurde dem Information Commissioner’s Office (ICO) gemäß seinen gesetzlichen Verpflichtungen gemeldet. Die Organisation antwortete nicht auf eine Bitte um Stellungnahme von Computer Weekly.
Nachdem das Play-Ransomware-Kartell Mitte 2022 mit einer Reihe von Cyberangriffen auf Organisationen in Lateinamerika an Bedeutung gewonnen hat, ist es zu einer der aktiveren und gefährlicheren Gruppen geworden, die derzeit tätig sind.
Am bekanntesten ist, dass es hinter dem Angriff auf Rackspace vom 2. Dezember 2022 stand, bei dem Kunden im Regen stehen blieben, nachdem der IT-Dienstleister gezwungen war, sein Hosted-Exchange-Geschäft einzustellen.
Rackspace enthüllte später, dass die Bande auf die Personal Storage Tables (PSTs) von 27 seiner Kunden zugegriffen habe, von insgesamt 30.000, sagte aber, es gebe keine Beweise dafür, dass die Daten eingesehen, erhalten, missbraucht oder in irgendeiner Weise verbreitet wurden.
Es wurde bestätigt, dass die Bande Rackspace getroffen hat, indem sie zwei als ProxyNotShell/OWASSRF verfolgte Schwachstellen in einer serverseitigen Anforderungsfälschung verkettete, die es ihr ermöglichte, Remote Code Execution (RCE) über Outlook Web Access (OWA) zu erreichen.
Vor der enthusiastischen Einführung von OWASSRF bevorzugte die Gruppe kompromittierte VPN-Konten (Virtual Private Network) sowie Domänen- und lokale Konten und exponierte Remote Desktop Protocol (RDP)-Server, um den ersten Zugriff zu erhalten. Es nutzte auch offengelegte Schwachstellen im FortiOS-Betriebssystem von Fortinet aus.
Play hat seinen Namen von der .play-Erweiterung, die es an verschlüsselte Dateien anhängt, und es wurde beobachtet, dass es ein weitgehend ähnliches Verhalten wie die Hive- und Nokoyawa-Operationen zeigt, laut Informationen von Forschern von Trend Micro, die vermuten, dass sie von denselben Leuten betrieben werden könnten . Es besteht auch die Möglichkeit einer Verbindung zur Quantum-Ransomware, die selbst für eine Splittergruppe von Conti gehalten wird.
Ob Arnold Clark derselben Angriffskette zum Opfer fiel, ist unbestätigt.
