DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die Ransomware-Gruppe «Vice Society» hat am Genfersee zugeschlagen. Die zunächst vorliegenden Informationen liessen auf einen ungewöhnlichen Fall schliessen.
Die Ransomware-Gruppe «Vice Society» hat am Genfersee zugeschlagen. Die zunächst vorliegenden Informationen liessen auf einen ungewöhnlichen Fall schliessen.bild: watson

Schweizer Gemeinde wird gehackt und verschweigt Datendiebstahl – Leak im Darknet

Mysteriöser Ransomware-Fall am Genfersee: Der Waadtländer Gemeinde Rolle wurden Gigabyte an Daten gestohlen und im Darknet veröffentlicht. Doch auf der Stadtverwaltung wusste man angeblich von nichts.
20.08.2021, 09:4305.11.2021, 09:30

Die Gemeinde Rolle VD, idyllisch am Genfersee gelegen, ist von einem massiven Daten-Leak betroffen. Kriminelle haben grosse Mengen an internen Dokumenten und vertraulichen Daten im Darknet veröffentlicht, wie Recherchen von watson zeigen.

Der Angriff

Die illegale Veröffentlichung der Dateien geht auf das Konto einer relativ jungen Internet-Erpresserbande namens Vice Society zurück. Es handelt sich gemäss den bisherigen Recherchen um eine versuchte Ransomware-Attacke.

Allerdings sind die Hintergründe unklar.

Die Veröffentlichung der gestohlenen Daten im Darknet erfolgte gemäss den watson vorliegenden Informationen Mitte Juni, darauf lassen Zeitstempel schliessen.

Update 1: Ob auf der Stadtverwaltung in Rolle ein Erpresserschreiben einging, wollten die Verantwortlichen am vergangenen Donnerstag auf Anfrage von watson nicht sagen. Erst nach Veröffentlichung dieses Artikels und auf Nachfrage eines Westschweizer Journalisten bestätigte die Bürgermeisterin den Angriff (siehe Update 2, unten).

Der Leiter der Verwaltung, Julien Bocquet, wusste am Donnerstag angeblich nichts von einem Angriff, als ihn watson auf die im Darknet verfügbaren Dokumente hinwies.

Der für die Stadtverwaltung verantwortliche Manager wollte darüber hinaus keine Fragen beantworten.

«Hiermit teile ich Ihnen mit, dass die Stadtverwaltung keine Stellungnahme abgeben wird.»
Julien Bocquet, Chef der Verwaltung

Wie schlimm ist es?

Das ist nicht bekannt.

Vermutlich konnten die Kriminellen während längerer Zeit auf einen Server der Gemeinde zugreifen und unbemerkt Gigabyte um Gigabyte extrahieren.

Unter den im Darknet veröffentlichten Dokumenten finden sich die Outlook-Postfächer des früheren Stadtpräsidenten und des Verwaltungschefs, aber auch Dokumente zur Finanzplanung der Gemeinde am Genfersee.

Die im Darknet zugänglichen Datei-Verzeichnisse. Offenbar sind Outlook-Postfächer städtischer Angestellter und von Politikerinnen und Politikern zugänglich.
Die im Darknet zugänglichen Datei-Verzeichnisse. Offenbar sind Outlook-Postfächer städtischer Angestellter und von Politikerinnen und Politikern zugänglich. screenshot: watson

Update 2: Die Bürgermeisterin von Rolle, Monique Choulat Pugnale, hat am Freitag gegenüber 24heures.ch Auskunft geben. Sie bestätigte eine Ransomware-Attacke und sagte, die Gemeinde habe kein Lösegeld bezahlt.

Der Computer-Einbruch sei am 30. Mai entdeckt worden. Mit Unterstützung von Bund und Kantonen sowie einer spezialisierten Firma sei das System wiederhergestellt worden. Dies habe zehn Tage gedauert, weil die Täter offenbar gewisse Daten verschlüsselt und den Zugriff verhindert hatten.

Die Bürgermeisterin sagt, es seien «keine sensiblen Daten» gestohlen worden. Choulat Pugnale ist laut 24heures auch für das IT-System der Gemeinde Rolle zuständig.

Wer sind die Kriminellen?

«Vice Society» ist eine erst seit wenigen Monaten aktive Ransomware-Gruppe, die bereits Unternehmen und Organisationen auf mehreren Kontinenten attackiert hat.

Die Gruppe habe es auch auf öffentliche Schulen und andere Bildungseinrichtungen abgesehen, warnen die Sicherheitsforscher von Cisco Talos in einem aktuellen Bericht.

Da es sich um einen neuen Akteur in diesem Bereich handle, seien die Angriffsmethoden und Vorgehensweisen der Vice Society schwer zu quantifizieren. Bisherige Beobachtungen nach Zwischenfällen zeigten jedoch, dass sie schnell neue IT-Schwachstellen ausnutzten, um «sich seitlich zu bewegen und im Netzwerk eines Opfers zu verbleiben».

Das jüngste bekannte Opfer der Internet-Kriminellen: ein Spital im südfranzösischen Arles. Am Donnerstag bestätigte der Direktor des 450-Betten-Krankenhauses den Angriff, der sein Unternehmen mitten in einer heftigen Covid-Welle getroffen habe. Medizinisches Fachpersonal habe keinen Zugang zu Patientendossiers und die für die Lohnabrechnung benötigte Personalsoftware sei ausser Gefecht.

Wie gehen die Angreifer vor?

Das ist im vorliegenden Fall in Rolle VD noch nicht bekannt. Die Gemeinde dürfte eine interne Untersuchung gestartet haben. Fragen werden vorläufig keine beantwortet.

In der Regel beschaffen sich Ransomeware-Gruppen jeweils über Phishing-Operationen Login-Daten von ahnungslosen Opfern. Damit dringen sie in fremde Computernetzwerk ein und nutzen laut neusten Berichten eine derzeit sehr beliebte Windows-Schwachstelle namens «PrintNightmare» aus, um ihre Schadprogramme im Netzwerk zu verteilen.

Ob auch der Server der Gemeindeverwaltung von Rolle dank dieser Schwachstelle ausspioniert und geplündert werden konnte, ist nicht bekannt, das erscheint aber naheliegend.

Informationen über die Windows-Schwachstelle wurden Anfang Juni durch Sicherheitsforscher versehentlich publik gemacht. Anfang Juli veröffentlichte Microsoft Updates, um die Lücke in seinen Betriebssystemen zu schliessen.

Was war in Rolle anders?

In der Regel schaffen es die Ransomware-Gruppen, nach dem Eindringen in einen fremden Rechner heimlich ihre Zugriffsrechte auf Systemebene zu erhöhen und verbreiten dann die Ransomware im gesamten Netzwerk des Opfers.

Nach der Phase des Ausspionierens und Datendiebstahl führen sie den Angriff übers Internet zu Ende, indem sie lokale Dateien, bzw. Verzeichnisse, verschlüsseln und unlesbar machen. Dies war in Rolle gemäss den watson vorliegenden Informationen nicht der Fall. Warum, ist unklar.

Hatten die Westschweizer Glück im Unglück? Ignorierten sie eine Lösegeldforderung?

Fakt ist, dass interne Dokumente und vermutlich auch vertrauliche Informationen im Darknet zugänglich sind. Das ganze Ausmass des Daten-Leaks lässt sich vorläufig weder einschätzen, noch der Schaden beziffern. Es ist auch nicht bekannt, wann und ob die Verantwortlichen die Bevölkerung informieren wollen.

Die an den Genfersee grenzende Gemeinde mit dem historischen Städtchen zählt über 6200 Einwohnerinnen und Einwohner. Für Schlagzeilen sorgt immer wieder das Institut Le Rosey – laut Medienberichten die teuerste Privatschule der Welt. Wirtschaftlichen Auftrieb erlebte die Waadtländer Gemeinde in den vergangenen Jahren wegen mehrerer zugezogener Konzerne. So haben unter anderem Yahoo und Nissan dort ihr Europa-Hauptquartier. Im Jahr 2020 beliefen sich die unerwartet hohen Steuereinnahmen in Zusammenhang mit juristischen Personen auf über 94 Millionen Franken.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

12 Dinge, die du während eines Video-Chats nicht machen solltest

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Verstehst du, wie Marie-Adèle sich hier über Leute aufregt, die an Horoskope glauben?
Wir haben ja seit neustem ein Schwesterportal in der Romandie. Und dort gibt Marie-Adèle Copin in der Reihe «Copin comme cochon» allerhand Leuten Saures. Vielleicht gehörst du auch zu denen, über die sie herzieht?

Schau dir das Video an – und dann schau, ob du wirklich alles verstanden hast. Hier im Quiz:

Zur Story