DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Das Schweizer Unternehmen Matisa ist das neuste Opfer der Hackergruppe «Grief».
Das Schweizer Unternehmen Matisa ist das neuste Opfer der Hackergruppe «Grief».
bild: screenshot: matisa.ch

Die Comparis-Hacker schlagen schon wieder zu – und erneut trifft es eine Schweizer Firma

Matisa, Westschweizer Hersteller von Gleisbaumaschinen, steht im Fadenkreuz von Internet-Erpressern. Offenbar wurden Daten gestohlen und verschlüsselt. Die Firma wird wie zuvor Comparis von der Hackergruppe «Grief» erpresst.
28.07.2021, 06:0229.07.2021, 09:19

Die Schweizer Firma Matisa Matérial Industriel S.A. aus Crissier VD ist das neuste Opfer der Ransomware-Hackergruppe «Grief» (auf Deutsch: Leid, Trauer). Unter Ransomware-Angriff versteht man eine Cyber-Attacke, bei der die Angreifer mittels Schadprogramm die Daten ihrer Opfer verschlüsseln und ein Lösegeld verlangen. Andernfalls, so die Drohung, werden die internen Daten veröffentlicht.

Auf der Firmenwebseite warnt das Unternehmen:

«MATISA war am 20. Juli 2021 das Ziel einer Ransomware-Cyberattacke. Als Folge dieses Angriffs wurde ein Teil der Informationssysteme gesperrt oder aus Sicherheitsgründen vom Netzwerk getrennt. Wir bedauern die durch diesen Vorfall entstandenen Unannehmlichkeiten zutiefst.»
Matisa hat eine Telefonnumer publiziert, unter der sich besorgte Kunden melden sollen.
Matisa hat eine Telefonnumer publiziert, unter der sich besorgte Kunden melden sollen.
screenshot: matisa.ch

Auf Anfrage sagte das Nationale Zentrum für Cybersicherheit (NCSC) am Dienstag, man sei von Matisa über den Angriff informiert worden und stehe mit der Firma in Kontakt. Weitergehend äussern will sich das NCSC im Moment nicht und verweist auf Matisa. Dort wurde auf eine Anfrage von watson bislang nicht reagiert.

Erpressungs-Hacker veröffentlichen Dokumente

Die Hacker sind anscheinend wie zuvor bei Comparis heimlich in die Systeme eingedrungen und haben Firmendaten verschlüsselt. Die Erpresser-Hackergruppe Grief hat bei uns zuletzt mit dem Comparis-Hack für Aufsehen gesorgt. Die unbekannten Kriminellen haben Comparis infiltriert, Firmendaten gestohlen, verschlüsselt und den Online-Vergleichsdienst so erpresst. Wie Recherchen von watson nahelegen, wurden auch bei Matisa interne Firmendaten entwendet. Augenscheinlich gestohlene Firmendokumente sind nun über eine Darknet-Webseite abrufbar.

Firmendokumente im Darknet

Gemäss Zeitangabe auf der Darknet-Webseite der Hacker erfolgte die Veröffentlichung am 25. Juli 2021.
Gemäss Zeitangabe auf der Darknet-Webseite der Hacker erfolgte die Veröffentlichung am 25. Juli 2021.
screenshot: watson

Die Verschlüsselungs-Attacke erfolgte am 20. Juli 2021. Wie beim Vergleichsdienst Comparis veröffentlichten die Internet-Epresser fünf Tage später die ersten Beispiel-Dokumente auf ihrer Darknet-Webseite, die nur verschlüsselt über den Tor-Browser aufgerufen werden kann. Weitere Daten wurden bislang nicht veröffentlicht. Mit dem Publizieren erster Dokumente soll wohl der Lösegeldforderung Nachdruck verliehen werden.

Die erst seit wenigen Monaten in Erscheinung tretende Hackergruppe Grief ist dafür bekannt, nicht lange zu fackeln. Nur sechs bis sieben Tage nach der ersten Verschlüsselung der Daten der Opfer wurde in der Vergangenheit mit der Freigabe von Daten begonnen, wenn die Lösegeldforderung nicht erfüllt wurde.

Ob Matisa Lösegeld bezahlt hat, ist nicht bekannt. Die Hacker führen den Verschlüsselungs-Angriff auf ihrer Darknet-Seite in der Kategorie «in Bearbeitung» auf, was darauf schliessen lässt, dass die Sache nicht erledigt ist.

Grief hackt sich durch halb Europa

Die Verschlüsselungs-Angriffe auf Comparis und Matisa sind nur zwei in einer langen Reihe von Ransomware-Attacken der kriminellen Hacker. Diese scheinen seit Wochen quasi im Akkord in diversen Ländern Unternehmen, Behörden und andere Organisationen zu hacken und zu erpressen.

Die Internet-Erpresser traten in diesem Frühjahr erstmals unter dem Namen Grief oder Pay or Grief (Bezahlen oder Leiden) mit Ransomware-Attacken in Erscheinung. Sie agieren auffallend aggressiv, um ihre Opfer einzuschüchtern und zum Zahlen zu bewegen. Grief sieht sich als «die neue Generation» von Ransomware-Akteuren, die sich weder auf Rabatte, noch auf langwierige Verhandlungen einlasse.

Aktuell werden laut Darknet-Seite der Kriminellen auch die griechische Stadt Thessaloniki und das britische Hotel The Lensbury erpresst. Anfang Juli sorgte Grief für Schlagzeilen, als sie die IT-Systeme des ostdeutschen Landkreises Anhalt-Bitterfeld lahmlegten. Die Verantwortlichen in Ostdeutschland sahen sich gezwungen, den ersten «Cyber-Katastrophenfall» auszurufen. Die Verwaltung war praktisch handlungsunfähig und die Angestellten können bis heute nicht normal weiterarbeiten.

Welche Folgen der Hack für Matisa haben wird, ist noch unklar. Matisa besitzt Niederlassungen in Deutschland, Frankreich, Italien, Spanien, Grossbritannien, Brasilien und Japan und zählt zu den Marktführern bei sogenannten Gleisstopfmaschinen zum Verdichten des Schotters.

Gratis-Entschlüsselungstools: Cyber-Erpressern entgehen fast 1 Milliarde Franken
Das Projekt «No More Ransom» stellt kostenlose Entschlüsselungstools für Opfer von Ransomware-Attacken zur Verfügung. Aktuell werden 121 kostenlose Decryption-Tools, die 151 Ransomware-Familien entschlüsseln können, zur Verfügung gestellt. Mehr als sechs Millionen Ransomware-Opfer konnten so in den letzten fünf Jahren ihre Dateien entschlüsseln, ohne Lösegeld zu zahlen. Den Erpressern sollen bislang 900 Millionen Euro (973 Millionen Franken) entgangen sein. Hinter dem Projekt «No More Ransom» stehen Europol, die niederländischen Polizei, Kaspersky und McAfee. (oli)
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Bekannte Corona-Leugner von Anonymous brutal vorgeführt

«Querdenker» planten eine «zensurfreie» Facebook- und YouTube-Alternative und spendeten Geld dafür. Doch bevor sich die Plattform richtig etablierte, wurde sie von Anonymous-Aktivisten gehackt. Die Spur zum Hauptdrahtzieher führt in die Schweiz.

Selbsternannte «Querdenker» haben ein Problem. Facebook und YouTube gehen seit der Corona-Pandemie konsequenter gegen Falschinformationen und Verschwörungserzählungen vor. Da liegt es auf der Hand, dass bekannte «Querdenken»-Vertretende von einer alternativen Plattform träumen, auf der ungestraft gelogen und gehetzt werden darf. Die neue Plattform «Ignorance – pulls the trigger» sollte daher eine «schweizerisch-europäische Facebook- & YouTube-Alternative» für …

Artikel lesen
Link zum Artikel