Ahold Delhaize bestätigt Datendiebstahl von 2,2 Millionen Dollar inmitten von INC-Ransomware-Vorwürfen

Von einem Datenleck bei Ahold Delhaize USA Services, LLC, einem Unternehmen, das den großen Lebensmitteleinzelhändler Ahold Delhaize USA an der Ostküste unterstützt, waren mehr als 2,2 Millionen (2.242.521) Personen (darunter über 95.000 Einwohner von Maine) betroffen.

Der Vorfall, bei dem es zu einem unbefugten Zugriff auf interne US-Geschäftssysteme kam, ereignete sich zwischen dem 5. und 6. November 2024 und führte zum Diebstahl hochsensibler persönlicher, finanzieller und gesundheitlicher Daten, die hauptsächlich aktuellen und ehemaligen Mitarbeitern gehörten.

Ahold Delhaize USA ist ein bekannter Name im US-Lebensmittelsektor und betreibt beliebte Marken wie Food Lion, Giant Food, The GIANT Company, Hannaford und Stop & Shop. Laut einer offiziellen Erklärung von Ahold Delhaize USA benachrichtigt das Unternehmen die Betroffenen und bietet zwei Jahre lang kostenlose Kreditüberwachung und Identitätsschutz an. Außerdem wurde ein Helpdesk eingerichtet, der Einzelpersonen bei Fragen zur Seite steht.

Ahold Delhaize USA Services entdeckte das Cybersicherheitsproblem am 6. November 2024 und leitete mithilfe führender externer Cybersicherheitsexperten umgehend eine Untersuchung ein, die auch mit den US-Bundesbehörden koordiniert wurde.

Die Untersuchung ergab, dass sich ein unbefugter Dritter Zugriff auf Dateien aus einem der internen US-Dateiarchive verschafft und diese abgegriffen hatte. Um das Problem zu beheben, nahm das Unternehmen einige Systeme kurzfristig offline. Dies führte zu vorübergehenden Störungen bei Online-Bestellungen und Apothekendienstleistungen. Diese Systeme wurden jedoch bald wiederhergestellt.

Die gestohlenen Daten waren von Person zu Person unterschiedlich, aber laut der Meldung an den Generalstaatsanwalt von Maine umfangreich. Sie umfassten Namen, Kontaktdaten, Geburtsdaten, amtliche Identifikationsnummern wie Sozialversicherungsnummern, Passnummern und Führerscheinnummern. Auch Finanzkontendaten, einschließlich Bankkontonummern, wurden kompromittiert.

Darüber hinaus wurden Gesundheitsinformationen, insbesondere Angaben zur Arbeitnehmerentschädigung und Krankenakten im Rahmen der Beschäftigungshistorie, sowie andere arbeitsbezogene Daten offengelegt.

„Unsere Prüfung der betroffenen Akten ist noch nicht abgeschlossen. Wir gehen derzeit davon aus, dass viele Mitarbeiter, die für die Ahold Delhaize Group, Ahold Delhaize Europe & Indonesia (EBS), Albert Heijn, Etos, Gall & Gall und die Ahold Delhaize Coffee Company in den Niederlanden tätig waren und im April 2021 auf der Gehaltsliste standen, von diesem Problem betroffen sein könnten“, so das Unternehmen.

Ahold Delhaize bestätigt, dass es „keine Hinweise darauf gefunden hat, dass die Zahlungs- oder Apothekensysteme der Kunden kompromittiert wurden“ und dass „die betroffenen Dateien keine Kreditkartennummern der Kunden enthielten“, was darauf schließen lässt, dass der Angriff auf Mitarbeiterdaten abzielte.

Am 16. April 2025 wurde bekannt, dass die INC-Ransomware-Gruppe auf ihrer Dark-Data-Leak-Website öffentlich die Verantwortung für den Datendiebstahl bei Ahold Delhaize übernahm und drohte, die Daten nach Bereitstellung von Samples vollständig zu veröffentlichen.

Diese Gruppe ist seit Mitte 2023 aktiv und nutzt häufig Taktiken wie Phishing-E-Mails oder Exploit-Kit-Malware, um sich Zugang zu verschaffen. Sie ist dafür bekannt, Angriffe in Russland zu vermeiden und deutet möglicherweise darauf hin, dass sie dort oder in einem Nachbarland stationiert ist.

Ahold Delhaize bestätigte am 17. April 2025 den tatsächlichen Datendiebstahl und begann mit der Überprüfung der betroffenen Dateien, um die gefährdeten personenbezogenen Daten zu identifizieren. Diese komplexe Untersuchung, die sieben Monate dauerte, um betroffene US-Bürger zu identifizieren und auch niederländische Beschäftigungsdaten vom April 2021 ans Licht zu bringen, verdeutlicht die Komplexität der Reaktion auf solche Cybervorfälle.

„Dies ist bislang einer der schwerwiegendsten Datendiebstähle nach einem Ransomware-Angriff, insbesondere im Lebensmittel- und Getränkesektor“, sagte Rebecca Moody , Leiterin der Datenforschung bei Comparitech. „Seit wir Anfang 2018 mit der Verfolgung von Ransomware-Angriffen begonnen haben, ist dieser Angriff auf Ahold Delhaize der größte im Lebensmittel- und Getränkesektor (basierend auf den betroffenen Datensätzen).“

„In den meisten Fällen konzentrierten sich die Angriffe auf diesen Sektor auf die Systemverschlüsselung, da hier oft die größten Störungen verursacht werden. Beispielsweise betrug die durchschnittliche Anzahl der von einem Ransomware-Angriff auf ein Lebensmittel- und Getränkeunternehmen zwischen 2018 und heute 53.200 Datensätze “ , erklärte Rebecca.