Zum Inhalt springen

Ransomware-Gruppe Unsafe meldet Deutsche Bank als Opfer

Auf den Punkt: Die Ransomware-Gruppe Unsafe behauptet, in die Deutsche Bank eingedrungen zu sein und Mitarbeiterdaten wie E-Mail-Adressen, gehashte Passwörter und private Wohnadressen erbeutet zu haben.

Die Erpressergruppe Unsafe hat die Deutsche Bank auf ihrer Darknet-Plattform als neues Opfer präsentiert und Screenshots von Datenbankabfragen veröffentlicht. Die Cybersecurity-Analysten von Cybernews haben darin Zugriff auf Mitarbeiterdaten erkannt.

Die Erpressergruppe Unsafe hat Screenshots von Kommandozeilen und Datenbankabfragen veröffentlicht, die angeblich aus mehreren internen Datenbanken der Deutschen Bank stammen. Cybernews-Analysten haben die Abbildungen untersucht und darin Datenbankabfragen identifiziert, die Zugriff auf Mitarbeiterdaten ermöglichen. Die bislang sichtbaren Auszüge enthalten nach Einschätzung der Sicherheitsforscher E-Mail-Adressen von Beschäftigten, gehashte Passwörter, private Wohnadressen sowie weitere Einträge aus internen Systemen.

Ob neben Mitarbeiterdaten auch Kundendaten betroffen sind, lässt sich anhand des veröffentlichten Materials derzeit nicht belegen. Die Cybernews-Forscher wollen sich dazu nicht festlegen. Die Deutsche Bank hat sich zum Vorfall noch nicht geäußert.

Für eine CISO stellt der Datenabfluss auch bei Beschränkung auf Mitarbeiterdaten ein erhebliches Risiko dar: Gehashte Passwörter können offline angegriffen werden, E-Mail-Adressen und Wohnadressen dienen als Basis für zielgerichtete Phishing-Kampagnen. Solche internen Datensätze ermöglichen Angreifern zudem, die IT-Landschaft eines Unternehmens zu analysieren und anschließend privilegierte Konten durch Social Engineering gezielt zu kompromittieren.

Unsafe operiert nach dem Ransomware-as-a-Service-Modell und setzt auf doppelte Erpressung: Zielorganisationen werden mit verschlüsselten Systemen konfrontiert und gleichzeitig mit der Veröffentlichung erbeuteter Daten bedroht. Nach Angaben von SocRadar nutzt die Gruppe für den initialen Zugang unter anderem Zero-Day-Lücken aus und setzt dabei auf Malware wie GrandCrab und Emotet. Nach erfolgreichem Eindringen hebeln die Täter gezielt Sicherheitsmechanismen aus und beseitigen Spuren, um persistenten Zugriff zu sichern.

Unsafe ist seit Dezember 2022 aktiv. Nach einer ruhigeren Phase in den Jahren 2024 und 2025 zeigt die Gruppe seit 2026 deutlich erhöhte Aktivität. Bekannte Zielländer sind die USA, Deutschland, die Schweiz und Frankreich.


Quelle: www.it-daily.net · Erschienen 8. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: