Den påståtte Deutsche Bank-lekkasjen er under etterforskning etter at ransomwaregruppen Unsafe hevdet å ha stjålet ansattdata og publisert angivelige bevis på lekkasjen på sin egen lekkasjeside.
Angriperne delte skjermbilder som ser ut til å vise databaseeksporter med informasjon om ansatte. Deutsche Bank opplyser imidlertid at hendelsen gjelder en ekstern tredjepartsleverandør, og at det ikke finnes tegn til at bankens interne systemer er kompromittert.
Ransomwaregruppe publiserer angivelige databaseutdrag
Unsafe la Deutsche Bank til på sin lekkasjeside på darknet og publiserte skjermbilder som angivelig inneholder utdrag fra databaser.
Bildene skal vise terminalutskrifter og databasespørringer som viser til informasjon om ansatte. Forskere som har gjennomgått materialet, identifiserte oppføringer knyttet til ansatte i Deutsche Bank.
De lekkede opplysningene skal blant annet omfatte ansattes e-postadresser, passordhasher, fysiske adresser og interne databaseoppføringer.
Forskerne understreker samtidig at det tilgjengelige materialet ikke bekrefter om kundeopplysninger inngår i den påståtte datalekkasjen.
Deutsche Bank peker på en tredjepartsleverandør
Deutsche Bank opplyser at angriperne ikke har tatt seg inn i bankens interne infrastruktur.
Ifølge banken rammet hendelsen en ekstern tjenesteleverandør i Tyskland som driver en markedsførings- og insentivplattform for bankens salgspartnere.
Banken opplyser at den ikke har funnet bevis for at angriperne fikk tilgang til interne systemer eller selskapets nettverk. Samtidig fortsetter den etterforskningen sammen med leverandøren for å redusere eventuelle cybersikkerhetsrisikoer.
Ansattdata kan brukes i fremtidige angrep
Selv om angriperne bare har fått tak i opplysninger om ansatte, kan hendelsen fortsatt medføre betydelige sikkerhetsrisikoer.
Cyberkriminelle kan bruke de stjålne e-postadressene til målrettede phishing-angrep. Passordhasher kan også bli verdifulle dersom angriperne lykkes med å knekke dem offline.
Interne registre kan dessuten hjelpe trusselaktører med å kartlegge organisasjonens struktur. Denne informasjonen kan senere brukes i sosial manipulering eller i forsøk på å angripe kontoer med høyere tilgangsnivå.
Deutsche Bank har vært rammet av tidligere cyberhendelser
Den påståtte Deutsche Bank-lekkasjen er ikke den første cybersikkerhetshendelsen som har rammet banken.
I 2023 ble Deutsche Bank berørt av MOVEit-datalekkasjen etter at angripere utnyttet sårbarheter i den mye brukte filoverføringsplattformen.
Samme år hevdet en annen trusselaktør å være i besittelse av sensitive filer fra Deutsche Bank som angivelig var stjålet under et angrep fra ransomwaregruppen LockBit.
Unsafe er tilbake etter flere år med lav aktivitet
Unsafe opererer som en ransomware-as-a-service-gruppe og benytter dobbel utpressing. Gruppen krypterer ofrenes systemer samtidig som den truer med å publisere stjålne data.
Sikkerhetsforskere opplyser at gruppen tidligere har benyttet nulldagssårbarheter og skadevarefamilier som Emotet og GandCrab i sine angrep.
Selv om Unsafe var stort sett inaktiv gjennom 2024 og 2025, har gruppen dukket opp igjen i 2026. Siden da har den rettet angrep mot organisasjoner i blant annet Tyskland, USA, Sveits og Frankrike.


0 responses to “Deutsche Bank etterforsker tredjepartsbrudd etter påstand fra ransomwaregruppe”