Digital
Ransomware

Schweizer Personalvermittler «dasteam» gehackt, heikle Daten im Darknet

Grosser Schweizer Personalvermittler gehackt – viele Kundendaten im Darknet

Die russische Ransomware-Bande Black Basta hat der Firma Das Team AG angeblich 200 Gigabyte an Daten gestohlen und im Darknet geleakt. Die Verantwortlichen nehmen zum Cyberangriff Stellung.
22.02.2024, 10:1922.02.2024, 17:26
Mehr «Digital»

Die Schweizer Stellenvermittlerin Das Team AG sieht sich mit einer potenziell verheerenden Cyberattacke konfrontiert: Mutmasslich russische Kriminelle haben die Firmen-Server gehackt und eigenen Angaben zufolge über 200 Gigabyte (GB) an Daten gestohlen. Dies geht aus einem Posting auf der Leak-Seite der berüchtigten Ransomware-Bande Black Basta im Darknet hervor.

Wie watson-Recherchen zeigen, werden dort auch schützenswerte persönliche Daten zugänglich gemacht, darunter Krankenakten und Ausweiskopien. Die Cyberkriminellen behaupten, sie hätten alle erbeuteten Dateien geleakt.

Screenshot der Leak-Site von Black Basta
Screenshot der Leak-Site von Black Basta, mit falscher Webadresse des Opfers.Screenshot: watson

Eidgenössischer Datenschützer informiert

Auf Anfrage bestätigt das betroffene Unternehmen eine entsprechende Cyberattacke und erklärt:

«Wir sind uns bewusst, dass die veröffentlichten Informationen ein Risiko für die betroffenen Personen bedeuten können. Wir stehen im Austausch mit allen Mitarbeitenden und Kund:innen und haben entsprechend informiert. Aktuell laufen noch Analysen, welche weiteren Personen von den veröffentlichten Daten betroffen sind. Sobald diese identifiziert wurden, wird eine entsprechende Information stattfinden.»

Die Verantwortlichen teilen mit, man habe den Eidgenössischen Datenschutzbeauftragten (EDÖB) nach Bekanntwerden des Leaks «vorinformiert» und werde «nach der weiteren Analyse der abgeflossenen Daten alle Informationen gemäss gesetzlicher Meldepflicht nachreichen».

Das Unternehmen mit Hauptsitz in Basel gehört gemäss Website «zu den national führenden Stellenvermittlungen» und hat insgesamt 25 Niederlassungen in allen Landesteilen der Schweiz und im Fürstentum Liechtenstein.

Filialen der Schweizer Personalvermittlerin Das Team AG.
Die Firmen-Website zeigt die Schweizer Filialen.Screenshot: team.jobs

Der Hackerangriff habe sich bereits im Dezember 2023 ereignet, erklärt nun das Unternehmen. «Eine bekannte Ransomware-Gruppe konnte sich Zugriff zum Netzwerk verschaffen und mehrere Laufwerke verschlüsseln.» Die Analyse des Vorfalls habe einen Abfluss gewisser Daten gezeigt, dieser sei jedoch als «bedingt kritisch» beurteilt worden.

Erst am Nachmittag des 21. Februar habe man durch ein nach dem Angriff gestartetes Darknet-Monitoring festgestellt, dass «interne Unternehmensdaten» geleakt wurden.

«Leider mussten wir feststellen, dass wir bei der Analyse im Dezember das Ausmass des Datenabflusses unterschätzt haben. Weite Teile unserer internen Dateiablage wurden durch die Kriminellen öffentlich gemacht. Dies beinhaltet geschäftsrelevante Daten, Kundenverträge, Finanzinformationen und weitere interne Informationen.»

Da die Cyberkriminellen gestohlene Daten geleakt haben, ist davon auszugehen, dass sich die Verantwortlichen nicht auf die Forderungen der Erpresser eingegangen sind.

Auf Anfrage teilt das Unternehmen mit:

«Der initiale Angriff im Dezember wurde von einer Einladung zu Lösegeldverhandlungen begleitet. Da wir selbstständig in der Lage waren, unsere Systeme und alle Daten wiederherzustellen, sind wir nicht auf den Kontaktversuch eingegangen. Die Veröffentlichung der Dateien im Februar geschah ohne eine weitere vorherige Kontaktaufnahme oder Lösegeldforderung.»
Wertvolle Hinweise
watson-Redaktor Daniel Schurter ist über die verschlüsselte Schweizer Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.

Wer sind die Angreifer?

Black Basta zählt zu den gefährlichsten Ransomware-Banden weltweit. Die russischsprachige Gruppe attackierte 2023 unter anderem den Schweizer Industriekonzern ABB und die am Genfer Flughafen angesiedelte Firma TAG Aviation.

Laut Sicherheitsforschern dürfte Black Basta ein Ableger der Conti-Bande sein, einer der aktivsten und gefährlichsten Ransomware-Gruppen der vergangenen Jahre. Durchgesickerte Chats wiesen auf ihre Verbindungen zur russischen Regierung und ihre Unterstützung für die Invasion der Ukraine hin, bevor sich die Bande im Mai 2022 angeblich auflöste.

Länder, aus denen die Opfer der Ransomware-Bande Black Basta stammen.
Länder, aus denen frühere Opfer der Ransomware-Bande Black Basta stammen.Screenshot: elliptic.co

In einem im November 2023 publizierten Bericht heisst es, dass Black Basta seit Anfang 2022 mindestens 107 Millionen US-Dollar an Lösegeldzahlungen für mehr als 90 Opfer erhalten habe. Die höchste erhaltene Lösegeldzahlung betrug demnach 9 Millionen US-Dollar, und mindestens 18 der Lösegeldzahlungen lagen über einer Million US-Dollar.

Diese Zahlen stammen aus der Analyse von Transaktionen über vermeintlich anonyme Kryptowährungskonten. Es habe wahrscheinlich weitere Lösegeldzahlungen gegeben.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Das musst du machen, wenn du gestalkt wirst
Video: watson
Das könnte dich auch noch interessieren:
98 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Unsinkbar 2
22.02.2024 10:55registriert August 2019
Ihre Bewerbung wird vertraulich behandelt 😅
1453
Melden
Zum Kommentar
avatar
Schlaf
22.02.2024 10:40registriert Oktober 2019
Und wie soll der Staat sich nach so einen Angriff verhalten?
Der Mahnfinger ist ausgelutscht.

Und was halten die hiesigen Putinfreunde/-versteher von solchen Dingen?
Ein Köppel könnte dazu doch mal Stellung beziehen?!
12512
Melden
Zum Kommentar
avatar
sunny side down
22.02.2024 10:33registriert März 2021
Warum hat ein Personalvermittler Krankenakten in seiner DB?
341
Melden
Zum Kommentar
98
Fast 1100 Meldungen über pädokriminelle Inhalte im Netz

Im zweiten Jahr des Bestehens der Online-Meldestelle für pädokriminelle Inhalte im Internet haben sich die Meldungen laut Kinderschutz Schweiz fast verdreifacht. Fast 1100 Meldungen leitete «cklickandstop.ch» an die Strafverfolgungsbehörden zur Löschung weiter.

Zur Story