Eine Ransomware-Gruppe namens Qilin hat die Verantwortung für eine Datenschutzverletzung Super Value Co übernommen, die ., einen japanischen Einzelhändler, der Supermärkte und Heimzentren in der Präfektur Saitama und im Großraum Tokio betreibt, betrifft. Die Gruppe listete das Unternehmen auf ihrer dunklen Website auf und behauptete, viele interne Dokumente gestohlen zu haben, darunter Personalakten, Gehaltsabrechnungsinformationen und Betriebsdaten.
Super Value Co . hat noch nicht bestätigt, ob der mutmaßliche Verstoß echt ist, und zum Zeitpunkt der Erstellung dieses Artikels wurde noch keine offizielle Erklärung abgegeben. Das Unternehmen wurde Berichten zufolge von Sicherheitsforschern und Medien um eine Stellungnahme gebeten, hat aber nicht öffentlich geantwortet. Ohne Überprüfung bleiben die Behauptungen unbestätigt, obwohl der Vorfall einem Muster folgt, das mit den Aktivitäten von Qilin in den letzten Monaten übereinstimmt.
In dem Beitrag der Bedrohungsgruppe im Dark Web wird behauptet, dass das gestohlene Material eine Vielzahl sensibler Datensätze enthält. Darunter befinden sich Mitarbeiteridentifikationsnummern, vollständige Namen, Privatadressen, Geburtsdaten, Einstellungsdaten, Jobkategorien, Abteilungszuweisungen, Telefonnummern, Löhne und Arbeitszeiten. Die Auflistung verweist auch auf Daten auf Unternehmensebene, wie z. B. Gehaltsabrechnungsdetails, Leistungszusammenfassungen, Berichte über Vorfälle am Arbeitsplatz, Umsatz- und Gewinnzahlen sowie die Dokumentation von Bestellungen und Lieferungen. Darüber hinaus behauptet die Gruppe, Dateien im Zusammenhang mit der Übertragung von Sicherheitsschlüsseln erhalten zu haben, die auf den Zugriff auf interne Einrichtungen oder digitale Anmeldeinformationen hinweisen könnten, die von Mitarbeitern verwendet werden.
Wenn die offengelegten Informationen echt sind, können sie schwerwiegende Folgen für die Mitarbeiter und das Unternehmen haben. Personenbezogene Daten, die in HR-Dateien enthalten sind, könnten für Identitätsdiebstahl oder Social-Engineering-Angriffe verwendet werden. Cyberkriminelle verwenden gestohlene Namen, Adressen und Kontaktdaten oft, um überzeugende Phishing-Nachrichten zu verfassen oder sich als legitime Mitarbeiter auszugeben, wenn sie interne Systeme ins Visier nehmen. Selbst Informationen, die routinemäßig erscheinen, wie z. B. Zeitpläne oder Abteilungshierarchien, können von Angreifern ausgenutzt werden, um hochwertige Ziele oder Schwachstellen in den Abläufen eines Unternehmens zu identifizieren.
Aus organisatorischer Sicht könnte die Veröffentlichung von Finanz- und Betriebsdaten die Wettbewerbsfähigkeit des Unternehmens untergraben und seinem Ruf schaden. Details über die Vertriebsleistung, die Lieferkettenlogistik und das Filialmanagement könnten für Konkurrenten oder andere Bedrohungsakteure wertvoll sein, die das Unternehmen weiter stören oder ausnutzen wollen. Die Einbeziehung von Berichten über Arbeitsunfälle und Sicherheitsschlüsseldokumentationen deutet darauf hin, dass die Angreifer möglicherweise nicht nur versucht haben, Daten zu stehlen, sondern auch, um das Ausmaß ihres internen Zugriffs hervorzuheben.
Qilin, die Gruppe, die sich zu dem Angriff bekannt, ist dafür bekannt, Unternehmen in verschiedenen Sektoren in Asien, Europa und Nordamerika ins Visier zu nehmen. Sicherheitsforscher beschreiben es als eine gut organisierte Ransomware-Operation, die Verschlüsselungsangriffe mit Datendiebstahl kombiniert. Die Methode der Gruppe besteht in der Regel darin, in ein Netzwerk einzudringen, Dateien zu stehlen und dann damit zu drohen, die gestohlenen Informationen öffentlich zu veröffentlichen, wenn das Opfer sich weigert, ein Lösegeld zu zahlen. In vielen Fällen veröffentlicht Qilin Teile der Daten als Beweis, um Organisationen zu Verhandlungen zu zwingen.
Die Bande wurde in diesem Jahr mit mehreren Vorfällen in Verbindung gebracht, an denen Produktions-, Logistik- und Einzelhandelsunternehmen beteiligt waren. Analysten gehen davon aus, dass die Betreiber von Qilin Verbindungen zu russischsprachigen cyberkriminellen Netzwerken haben, obwohl sich die Gruppe selbst als finanziell motiviertes Syndikat und nicht als explizit staatlich unterstützte Einheit darstellt. Wie andere moderne Ransomware-Kollektive fungiert es als eine Art Geschäftsfranchise und rekrutiert Partner, die Angriffe unter dem Namen Qilin durchführen, um einen Anteil an den Lösegeldgewinnen zu erhalten.
Die Gegenforderungen Super Value Co passen in dieses Muster, obwohl bisher keine verschlüsselten Systeme oder Lösegeldforderungen bestätigt wurden. Es ist möglich, dass sich der Angriff auf Datendiebstahl und nicht auf einen umfassenden Einsatz von Ransomware beschränkte. Dies steht im Einklang mit einem wachsenden Trend unter cyberkriminellen Gruppen, die der Exfiltration von Daten zum Verkauf oder zur Erpressung zunehmend Vorrang vor der direkten Störung des Geschäftsbetriebs einräumen.
Sollte sich der Verstoß bestätigen, wäre dies ein weiterer Schlag für den japanischen Einzelhandel, der im vergangenen Jahr mit einem stetigen Anstieg von Cybervorfällen konfrontiert war. Mehrere japanische Unternehmen, darunter Hersteller und Logistikunternehmen, wurden kürzlich von Ransomware-Gruppen ins Visier genommen, die durch die Offenlegung von Daten einen finanziellen Hebel suchten. Diese Angriffe haben die wachsende Bedeutung der Cybersicherheit in kleinen und mittleren Unternehmen unterstrichen, die große Mengen an Mitarbeiter- und Verbraucherdaten verwalten.
Während Qilins Behauptungen unbestätigt bleiben, warnen Sicherheitsexperten, dass selbst unbestätigte Einträge in Dark-Web-Foren unmittelbare Auswirkungen auf das Vertrauen der Öffentlichkeit und die Geschäftskontinuität haben können. Unternehmen, die in solchen Lecks genannt werden, werden oft von Partnern und Kunden unter die Lupe genommen, die befürchten, dass ihre Informationen ebenfalls kompromittiert worden sein könnten. Für die Mitarbeiter kann die Ungewissheit über die Echtheit des Verstoßes zu erheblichem Stress führen, insbesondere wenn sensible Informationen wie Privatadressen und Gehaltsangaben in Online-Posts erwähnt werden.
Das wahre Ausmaß des mutmaßlichen Verstoßes ist vorerst unklar. Das Unternehmen hat keine Betriebsunterbrechung gemeldet, und es wurden keine unabhängigen Beweise veröffentlicht, die Qilins Behauptungen bestätigen. Bis weitere Informationen ans Licht kommen, bleibt ungewiss, ob die gestohlenen Daten authentisch sind oder ob der Konzern versucht, das Unternehmen mit falschen Behauptungen zur Kontaktaufnahme zu drängen.
Der Vorfall unterstreicht jedoch die anhaltende Bedrohung durch Ransomware und Datenerpressung für japanische Unternehmen, die aufgrund ihrer starken Wirtschaft, ihrer umfangreichen digitalen Infrastruktur und ihres wertvollen geistigen Eigentums nach wie vor attraktive Ziele sind. Für Super Value Co .. könnten die kommenden Wochen darüber entscheiden, ob die Behauptungen bewiesen oder widerlegt werden, aber selbst die Vermutung einer Datenschutzverletzung zeigt, wie Cyberkriminelle Angst und Unsicherheit als mächtige Werkzeuge in ihren Kampagnen einsetzen.