DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Der Schweizer Internet-Vergleichsdienst nimmt zu einer Ransomware-Attacke Stellung. Die Angreifer gehören einer kaum bekannten, aggressiv auftretenden Bande an.
Der Schweizer Internet-Vergleichsdienst nimmt zu einer Ransomware-Attacke Stellung. Die Angreifer gehören einer kaum bekannten, aggressiv auftretenden Bande an.
Bild: Shutterstock

«Bezahlen oder Leiden» – das steckt hinter dem Hackerangriff auf Comparis.ch

Internet-Kriminelle haben den Schweizer Vergleichsdienst infiltriert, Daten gestohlen und verschlüsselt. Die gleiche Gruppe zeichnet für den ersten «Cyber-Katastrophenfall» Deutschlands verantwortlich.
15.07.2021, 17:2516.07.2021, 14:43
«Leider müssen wir momentan mit allem rechnen.»
Comparis-Sprecherin

Was haben der ostdeutsche Landkreis Anhalt-Bitterfeld und der Schweizer Internet-Vergleichsdienst Comparis gemeinsam? Beide sind Opfer einer relativ neuen Bande von Internet-Erpressern geworden. Ihr Name: «Grief» (auf Deutsch Leid, Trauer). Die unbekannten Kriminellen drangen unbemerkt in die IT-Systeme der betroffenen Organisationen ein, spionierten sie aus und schlugen zu. Das heisst, sie stahlen Dateien und verschlüsselten die Originale.

Die Verantwortlichen in Ostdeutschland sahen sich gezwungen, den ersten «Cyber-Katastrophenfall» auszurufen. Und die Comparis-Dienste waren länger nicht verfügbar.

Allerdings blieb es nicht beim Verschlüsseln der Daten, wie watson-Recherchen zeigen. Gestohlene Firmendokumente sind nun über eine Darknet-Webseite abrufbar (dazu unten mehr).

watson hat bei Comparis nachgefragt.

Comparis nimmt Stellung

Wie reagiert Comparis auf die Veröffentlichung der gestohlenen Daten auf einer Darknet-Webseite?

Dazu schreibt Andrea Auer, Co-Lead Research & Media Relations:

«Bei den von Ihnen erwähnten Daten handelt es sich um interne Unternehmensdaten. Kundenrelevante Daten sind davon nicht betroffen. Wir haben bereits vorab reagiert, indem wir alle unsere Nutzer transparent über eine mögliche Entwendung von Daten informiert haben. Welche Daten die Hacker tatsächlich haben, können wir nicht mit Sicherheit sagen. Dies ist Gegenstand der weiteren Abklärungen und der Zusammenarbeit mit den Ermittlungsbehörden.»

Ist zu befürchten, dass es zu weiteren Veröffentlichungen kommt? Was kann Comparis zum Umfang des Datendiebstahls sagen?

«Leider müssen wir momentan mit allem rechnen. Basierend auf Empfehlungen der Kantonspolizei und Cybersecurity-Experten können wir zum Umfang des Diebstahls keine detaillierten Antworten geben.»

Warum wurde erst relativ spät kommuniziert, dass Kundendaten betroffen sind?

«Wir haben nach dem Angriff die Öffentlichkeit zeitnah informiert und haben einen Tag später auch gleich ein Update mit den neusten Erkenntnissen zum Fall veröffentlicht, inklusive dem Hinweis auf einen möglichen Zugang zu kundenrelevanten Daten durch die Hacker.

Die aktuellsten Erkenntnisse haben komplexe und langwierige Analysen erfordert. Zudem haben wir uns mit der Kantonspolizei Zürich zur weiteren Vorgehensweise abgestimmt. Sobald wir dazu in der Lage waren, haben wir informiert. Wir bedauern die durch den Angriff verursachten Unannehmlichkeiten sehr und bitten um Entschuldigung.»

Die Zürcher Kantonspolizei schreibt von einem «organisierten Cyber-Angriff», der «mit hoher krimineller Energie durchgeführt worden» sei. Welche Erkenntnisse liegen zur Angriffsmethode inzwischen vor? Wie konnten die Kriminellen in das Firmen-Netzwerk eindringen?

«Aus sicherheitstechnischen Gründen können wir hierzu keine Auskunft geben.»

Per E-Mail wurden Comparis-Nutzer gestern Abend aufgefordert, dringend ihr Passwort zu ändern. Waren die Passwörter auf dem Comparis-Server im Klartext gespeichert?

«Passwörter sind verschlüsselt gespeichert. Es handelt sich hier um eine reine Vorsichtsmassnahme und übliche Empfehlung in solchen Fällen.»

* Die Fragen wurden per E-Mail beantwortet.

Wer sind die Angreifer?

Eine relativ neue Gruppierung namens «Grief». Die unbekannten Kriminellen traten in diesem Frühjahr erstmals mit Ransomware-Attacken auf Firmen in Erscheinung.

Gemäss einem Bericht der IT-Sicherheitsfirma Tetra Defense agieren die Internet-Erpresser auffallend aggressiv, um ihre Opfer einzuschüchtern und zum Zahlen zu bewegen.

«Jetzt definieren wir die Regeln des Spiels, scheiss auf Rabatte, scheiss auf Verhandlungen, scheiss auf Zeitverschwendung ... Bezahlen oder Leiden. Dies ist unser Statement»
Früheres Statement der Internet-Erpresser

Ende Mai behauptete diese Gruppe, sie sei «die neue Generation» von Ransomware-Akteuren, die sich weder auf Rabatte, noch auf langwierige Verhandlungen einlasse.

In dem Bericht von Tetra Defense heisst es: Die Gruppe beginne 6 bis 7 Tage nach der ersten Verschlüsselung des IT-Systems des Opfers mit der Freigabe von Daten, wenn die Lösegeldforderung nicht erfüllt wurde. Dies habe eine Analyse der bislang vorliegenden Informationen ergeben.

Die Verschlüsselungs-Attacke auf das Comparis-Netzwerk erfolgte am 7. Juli. Am 8. Juli liess das Unternehmen über einen Sprecher verlauten, es habe kein Lösegeld bezahlt und werde auch keines bezahlen.

Weitere fünf Tage später veröffentlichten die Internet-Erpresser auf ihrer Darknet-Webseite, die nur verschlüsselt über den Tor-Browser aufgerufen werden kann, einen Blog-Beitrag zu Comparis. Da findet sich auch ein Link zu einer angeblich rund 87 Megabyte (MB) grossen Datei im ZIP-Format.

Gemäss Zeitangabe auf der Darknet-Webseite erfolgte die Veröffentlichung am 12. Juli 2021.
Gemäss Zeitangabe auf der Darknet-Webseite erfolgte die Veröffentlichung am 12. Juli 2021.
screenshot: watson

Die Comparis-Dienste waren wenige Tage nach der Attacke wieder normal verfügbar. Da traf es die Verwaltung des Landkreises in Sachsen-Anhalt schlimmer. Die Ostdeutschen müssen ihre Dienstleistungen zuhanden der Bürger für zwei Wochen weitgehend einstellen. Dies, nachdem Grief am 6. Juli attackiert hatte. Eine von den Internet-Erpressern im Darknet bereitgestellte Datei umfasst über 200 MB Daten.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die geilsten Pools, die du derzeit im Internet finden kannst

1 / 25
Die geilsten Pools, die du derzeit im Internet finden kannst
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Wenn Google Schweizer Memes vorliest ...

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Das steckt hinter den merkwürdigen Voicemail-SMS, die gerade Tausende Schweizer erhalten

Aktuell erhalten Schweizer Handy-User massenhaft Kurznachrichten mit schädlichen Links. Kriminelle versuchen, ahnungslose Opfer zur Installation eines E-Banking-Trojaners zu verführen.

Der brandgefährliche Android-Trojaner FluBot ist zurück. Kriminelle greifen derzeit gezielt Schweizer Handy-Nutzerinnen und Nutzer an. Hierzu versenden sie massenhaft Spam-SMS an hiesige Mobilfunknummern. In den Kurznachrichten ist jeweils von einem verpassten Anruf, beziehungsweise einer Sprachnachricht die Rede, die man abhören könne.

Android blockiert die Installation von Apps aus unbekannten Quellen. Nutzerinnen und Nutzer haben allerdings die Möglichkeit, diesen Schutzmechanismus manuell zu …

Artikel lesen
Link zum Artikel