Digital
Ransomware

Abyss: Ransomware-Attacke betrifft erneut Bund – Folgen nicht absehbar

Die Ransomware-Attacke gegen das Berner Architekturbüro Arb betrifft auch die Bundesverwaltung. (17. August 2023)
Die in holprigem Englisch verfasste Darknet-Seite der Cyberkriminellen. Bild: watson

Ransomware-Attacke betrifft erneut den Bund – «Sicherheitsrisiko für Botschaften»

Schon wieder ist die Bundesverwaltung von einem Hackerangriff gegen eine externe Partnerfirma betroffen. Laut NZZ soll es auch um klassifizierte Dokumente des Aussendepartements gehen.
18.08.2023, 15:11
Mehr «Digital»

Die Bundesverwaltung hat schon wieder mit den Folgen einer Ransomware-Attacke und einem drohenden Daten-Leak zu kämpfen. Kriminelle Hacker haben ein für das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) tätiges Architekturbüro angegriffen, wie die «Neue Zürcher Zeitung» (NZZ) am Donnerstag berichtete. Bei den entwendeten Dateien handle es sich unter anderem auch um «Objektpläne von Schweizer Vertretungen im Ausland».

Neue gefährliche Gruppe

Hinter dem Angriff steckt die Ransomware-Gruppierung Abyss, die erst seit wenigen Monaten aktiv ist und sich auf doppelte Erpressung spezialisiert hat. Sprich: Die Hacker stehlen zunächst wertvolle Daten und starten später einen Verschlüsselungs-Angriff auf die IT-Systeme des Opfers, um eine möglichst hohe Lösegeldsumme zu erpressen.

Abyss hatte im Mai mit einem Cyberangriff auf das australische Luft-, Raumfahrt- und Verteidigungsunternehmen L3Harris Technologies für Schlagzeilen gesorgt. Dabei gelang es den Hackern laut unbestätigten Berichten, Daten zu einem Kommunikationssystem der Armee zu stehlen.

Die technisch versierten Angreifer verschlüsseln neuerdings nicht nur Windows-Rechner, sondern nehmen mit einer Linux-Version ihrer Malware auch virtuelle Maschinen ins Visier, die auf der ESXi-Plattform von VMware basieren.

Auf der Darknet-Seite von Abyss sind bislang 14 Unternehmen respektive zahlungsunwillige Opfer aufgelistet. Und es wurden bis zu 700 Gigabyte (GB) an Daten geleakt.

Stadtberner Opfer mit bekannten Auftraggebern

Bei der vom jüngsten Angriff betroffenen Schweizer Firma handelt es sich um die «arb Architekten AG» mit Sitz in der Stadt Bern. Das Architekturbüro hat schon diverse Grossprojekte für die öffentliche Hand ausgeführt. Darunter sind Wohnüberbauungen und Schulneubauten, wie auch Briefverarbeitungszentren der Schweizerischen Post. Im Portfolio werden weitere bekannte Unternehmen aus der Privatwirtschaft aufgeführt, wie die Swisscom oder Mobiliar.

Die Cyberkriminellen drohen Arb nun auf ihrer «Name and Shame»-Webseite im Darknet mit der Veröffentlichung von 220 GB an «unkomprimierten Daten». Die Recherchen zeigen, dass es sich um fast 100'000 Dateien handelt.

Die Vorgehensweise der Täter weicht von anderen Ransomware-Gruppen ab: Die Daten sind bereits als verschlüsselte Archivdateien im Darknet zugänglich. Wenn das Ultimatum abläuft, wollen sie das Passwort veröffentlichen

Über das Anonymisierungs-Netzwerk Tor werden Dateien zugänglich gemacht.
Über das Anonymisierungs-Netzwerk Tor werden Dateien zugänglich gemacht. screenshot: watson

Das zuständige Bundesamt für Bauten und Logistik (BBL) bestätigte gegenüber der NZZ, dass es am 21. Juli über den Angriff bei der Zulieferfirma informiert worden sei.

Neben dem EDA seien gemäss dem aktuellen Stand keine weiteren Bundesämter betroffen, heisst es. Auch soll es sich nur um wenige klassifizierte Unterlagen handeln.

Die NZZ hat offenbar die von den Tätern veröffentlichte «Ordnerstruktur» der entwendeten Daten gesichtet. Daraus sei ersichtlich, dass «Unterlagen von Schweizer Vertretungen und Residenzen in Asien und Südamerika» enthalten seien «sowie von einem Projekt des EDA in Bern selbst».

Das betroffene Architekturbüro habe zwar auch einen Rahmenvertrag für Bauten des Bundesamts für Zoll und Grenzsicherheit (BAZG), es sei aber gemäss den Auskünften aus Bundesbern nicht von der Attacke betroffen.

Auf der Abyss-Website im Darknet wird dem Architekturbüro ein Ultimatum bis am 1. September gestellt. Dem Vernehmen nach will sich das betroffene Unternehmen nicht erpressen lassen, sodass die Daten wohl geleakt werden.

Die Folgen sind nicht absehbar. Das zuständige Bundesamt war nicht in der Lage, auf eine am Donnerstag eingereichte Medienanfrage von watson zeitnah zu reagieren. Und auch das betroffene Architekturbüro hat nicht reagiert.

Zweiter Fall innert Monaten

Mit dem neuen Fall erhalte die öffentliche Diskussion darüber, dass der Bund die Sicherheit seiner Partner und Lieferanten verbessern müsse, zusätzliche Dringlichkeit, schreibt die NZZ und bezieht sich dabei auf die verheerende Attacke gegen den Informatik-Dienstleister Xplain aus Interlaken.

Auch beim Architekturbüro stelle sich nun die Frage, wie gut die IT-Sicherheitsvorkehrungen waren und welche Vorgaben der Bund gemacht hatte. Aus Bern hiess es dazu, man wolle sich «aus Sicherheitsgründen» nicht äussern.

In den Standardverträgen gebe es zwar «gewisse allgemeine Klauseln zur IT-Sicherheit», hält die NZZ fest, jedoch würden diese Vertragsbedingungen «kaum je überprüft».

Im Juli hatte der Bund die externen IT-Dienstleister per Brief an ihre Cybersecurity-Pflichten erinnert. Im Schreiben des Bundesamtes für Bauten und Logistik (BBL) wurden konkrete Anforderungen bezüglich Cybersicherheit genannt.

Quellen

Der Xplain-Hackerangriff und seine weitreichenden Folgen

Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
1 / 19
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
Selten hat eine Ransomware-Attacke hierzulande für so viel Aufsehen gesorgt: In der Bildstrecke erfährst du das Wichtigste zum Angriff auf die Schweizer Behörden-Software-Entwicklerin Xplain und wie die Betroffenen reagierten.
quelle: keystone / laurent gillieron
Auf Facebook teilenAuf X teilen
Teure Rettung – wer in dieser Düne steckenbleibt zahlt 3000 Dollar
Video: watson
Das könnte dich auch noch interessieren:
35 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
35
«Geeinten Reiches» – Video auf Trump-Account mit Nazi-Sprech sorgt für Aufregung

Ein vom früheren US-Präsidenten Donald Trump verbreiteter Videoclip mit sprachlichen Bezügen zu Nazi-Deutschland sorgt für Empörung. Trump hatte am Montag auf der von ihm mit begründeten Plattform Truth Social zeitweise ein Video geteilt, in dem fiktive Zeitungsartikel gezeigt wurden zu dem möglichen Szenario, dass der republikanische Präsidentschaftsbewerber bei der US-Wahl im November erneut gewinnen könnte. Der 30-Sekunden-Clip war am Dienstag nicht mehr öffentlich zugänglich. In einer der Schlagzeilen darin war unter anderem von der Schaffung eines «geeinten Reiches» im Falle eines Trump-Wahlsieges die Rede. Der Begriff Reich wird oft mit dem «Dritten Reich» der Nazis in Deutschland in Verbindung gebracht.

Zur Story