Digital
Ransomware

Abyss: Ransomware-Attacke betrifft erneut Bund – Folgen nicht absehbar

Die Ransomware-Attacke gegen das Berner Architekturbüro Arb betrifft auch die Bundesverwaltung. (17. August 2023)
Die in holprigem Englisch verfasste Darknet-Seite der Cyberkriminellen. Bild: watson

Ransomware-Attacke betrifft erneut den Bund – «Sicherheitsrisiko für Botschaften»

Schon wieder ist die Bundesverwaltung von einem Hackerangriff gegen eine externe Partnerfirma betroffen. Laut NZZ soll es auch um klassifizierte Dokumente des Aussendepartements gehen.
18.08.2023, 15:1118.08.2023, 15:11

Die Bundesverwaltung hat schon wieder mit den Folgen einer Ransomware-Attacke und einem drohenden Daten-Leak zu kämpfen. Kriminelle Hacker haben ein für das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) tätiges Architekturbüro angegriffen, wie die «Neue Zürcher Zeitung» (NZZ) am Donnerstag berichtete. Bei den entwendeten Dateien handle es sich unter anderem auch um «Objektpläne von Schweizer Vertretungen im Ausland».

Neue gefährliche Gruppe

Hinter dem Angriff steckt die Ransomware-Gruppierung Abyss, die erst seit wenigen Monaten aktiv ist und sich auf doppelte Erpressung spezialisiert hat. Sprich: Die Hacker stehlen zunächst wertvolle Daten und starten später einen Verschlüsselungs-Angriff auf die IT-Systeme des Opfers, um eine möglichst hohe Lösegeldsumme zu erpressen.

Abyss hatte im Mai mit einem Cyberangriff auf das australische Luft-, Raumfahrt- und Verteidigungsunternehmen L3Harris Technologies für Schlagzeilen gesorgt. Dabei gelang es den Hackern laut unbestätigten Berichten, Daten zu einem Kommunikationssystem der Armee zu stehlen.

Die technisch versierten Angreifer verschlüsseln neuerdings nicht nur Windows-Rechner, sondern nehmen mit einer Linux-Version ihrer Malware auch virtuelle Maschinen ins Visier, die auf der ESXi-Plattform von VMware basieren.

Auf der Darknet-Seite von Abyss sind bislang 14 Unternehmen respektive zahlungsunwillige Opfer aufgelistet. Und es wurden bis zu 700 Gigabyte (GB) an Daten geleakt.

Stadtberner Opfer mit bekannten Auftraggebern

Bei der vom jüngsten Angriff betroffenen Schweizer Firma handelt es sich um die «arb Architekten AG» mit Sitz in der Stadt Bern. Das Architekturbüro hat schon diverse Grossprojekte für die öffentliche Hand ausgeführt. Darunter sind Wohnüberbauungen und Schulneubauten, wie auch Briefverarbeitungszentren der Schweizerischen Post. Im Portfolio werden weitere bekannte Unternehmen aus der Privatwirtschaft aufgeführt, wie die Swisscom oder Mobiliar.

Die Cyberkriminellen drohen Arb nun auf ihrer «Name and Shame»-Webseite im Darknet mit der Veröffentlichung von 220 GB an «unkomprimierten Daten». Die Recherchen zeigen, dass es sich um fast 100'000 Dateien handelt.

Die Vorgehensweise der Täter weicht von anderen Ransomware-Gruppen ab: Die Daten sind bereits als verschlüsselte Archivdateien im Darknet zugänglich. Wenn das Ultimatum abläuft, wollen sie das Passwort veröffentlichen

Über das Anonymisierungs-Netzwerk Tor werden Dateien zugänglich gemacht.
Über das Anonymisierungs-Netzwerk Tor werden Dateien zugänglich gemacht. screenshot: watson

Das zuständige Bundesamt für Bauten und Logistik (BBL) bestätigte gegenüber der NZZ, dass es am 21. Juli über den Angriff bei der Zulieferfirma informiert worden sei.

Neben dem EDA seien gemäss dem aktuellen Stand keine weiteren Bundesämter betroffen, heisst es. Auch soll es sich nur um wenige klassifizierte Unterlagen handeln.

Die NZZ hat offenbar die von den Tätern veröffentlichte «Ordnerstruktur» der entwendeten Daten gesichtet. Daraus sei ersichtlich, dass «Unterlagen von Schweizer Vertretungen und Residenzen in Asien und Südamerika» enthalten seien «sowie von einem Projekt des EDA in Bern selbst».

Das betroffene Architekturbüro habe zwar auch einen Rahmenvertrag für Bauten des Bundesamts für Zoll und Grenzsicherheit (BAZG), es sei aber gemäss den Auskünften aus Bundesbern nicht von der Attacke betroffen.

Auf der Abyss-Website im Darknet wird dem Architekturbüro ein Ultimatum bis am 1. September gestellt. Dem Vernehmen nach will sich das betroffene Unternehmen nicht erpressen lassen, sodass die Daten wohl geleakt werden.

Die Folgen sind nicht absehbar. Das zuständige Bundesamt war nicht in der Lage, auf eine am Donnerstag eingereichte Medienanfrage von watson zeitnah zu reagieren. Und auch das betroffene Architekturbüro hat nicht reagiert.

Zweiter Fall innert Monaten

Mit dem neuen Fall erhalte die öffentliche Diskussion darüber, dass der Bund die Sicherheit seiner Partner und Lieferanten verbessern müsse, zusätzliche Dringlichkeit, schreibt die NZZ und bezieht sich dabei auf die verheerende Attacke gegen den Informatik-Dienstleister Xplain aus Interlaken.

Auch beim Architekturbüro stelle sich nun die Frage, wie gut die IT-Sicherheitsvorkehrungen waren und welche Vorgaben der Bund gemacht hatte. Aus Bern hiess es dazu, man wolle sich «aus Sicherheitsgründen» nicht äussern.

In den Standardverträgen gebe es zwar «gewisse allgemeine Klauseln zur IT-Sicherheit», hält die NZZ fest, jedoch würden diese Vertragsbedingungen «kaum je überprüft».

Im Juli hatte der Bund die externen IT-Dienstleister per Brief an ihre Cybersecurity-Pflichten erinnert. Im Schreiben des Bundesamtes für Bauten und Logistik (BBL) wurden konkrete Anforderungen bezüglich Cybersicherheit genannt.

Quellen

Der Xplain-Hackerangriff und seine weitreichenden Folgen
Nach watson-Recherche: So will sich der Bund besser vor Hackern schützen
16
Nach watson-Recherche: So will sich der Bund besser vor Hackern schützen
Datenschützer sieht nach Hackerangriff Fehler bei Bund und Xplain
13
Datenschützer sieht nach Hackerangriff Fehler bei Bund und Xplain
Chef der gehackten Softwarefirma Xplain nimmt Stellung – doch es gibt noch mehr zu klären
14
Chef der gehackten Softwarefirma Xplain nimmt Stellung – doch es gibt noch mehr zu klären
von Reto Wattenhofer
Xplain-Hack: Darum verstiess der Kanton Aargau laut Datenschützerin gegen das Gesetz
1
Xplain-Hack: Darum verstiess der Kanton Aargau laut Datenschützerin gegen das Gesetz
Die Ransomware-Attacke gegen Xplain (und den Bund) beschäftigt weiter die Anwälte
1
Die Ransomware-Attacke gegen Xplain (und den Bund) beschäftigt weiter die Anwälte
Xplain-Hack: Personendaten der Militärpolizei betroffen
6
Xplain-Hack: Personendaten der Militärpolizei betroffen
Bundesrat ordnet nach Xplain-Hackerangriff umfassende Untersuchung an
2
Bundesrat ordnet nach Xplain-Hackerangriff umfassende Untersuchung an
Gehackte IT-Firma Xplain hatte heikle Daten: Bund sitzt womöglich auf einer Zeitbombe
52
Gehackte IT-Firma Xplain hatte heikle Daten: Bund sitzt womöglich auf einer Zeitbombe
von Henry Habegger
Nach Xplain-Hack: Das fordert der Bund von tausenden IT-Dienstleistern
17
Nach Xplain-Hack: Das fordert der Bund von tausenden IT-Dienstleistern
Geleakte Bundes-Daten: Datenschützer weitet Untersuchung auf Xplain aus
8
Geleakte Bundes-Daten: Datenschützer weitet Untersuchung auf Xplain aus
Ältere Daten aus Schweizer Hooligan-Datenbank im Darknet zugänglich
10
Ältere Daten aus Schweizer Hooligan-Datenbank im Darknet zugänglich
Darum steht die gehackte Software-Lieferantin des Bundes weiter in der Kritik
24
Darum steht die gehackte Software-Lieferantin des Bundes weiter in der Kritik
von Ann-Kathrin Amstutz und Florence Vuichard
Xplain-Hack war laut Bund kein gezielter Angriff auf den Bund
4
Xplain-Hack war laut Bund kein gezielter Angriff auf den Bund
Weitere Details und überlastete Server: Das Neuste zum Xplain-Datenleck in 6 Punkten
26
Weitere Details und überlastete Server: Das Neuste zum Xplain-Datenleck in 6 Punkten
Hacker konnten angeblich heikle Daten zu Bundesräten und den Botschaften stehlen
52
Hacker konnten angeblich heikle Daten zu Bundesräten und den Botschaften stehlen
Bundesrat setzt Krisenstab ein nach Angriff durch Ransomware-Bande Play
7
Bundesrat setzt Krisenstab ein nach Angriff durch Ransomware-Bande Play
So ist der Kanton Aargau vom Xplain-Hackerangriff und dem Daten-Leak betroffen
2
So ist der Kanton Aargau vom Xplain-Hackerangriff und dem Daten-Leak betroffen
Verdacht auf schwere Datenschutz-Verstösse beim Bund: Untersuchung gestartet
Verdacht auf schwere Datenschutz-Verstösse beim Bund: Untersuchung gestartet
Hacker leaken fast 1 Terabyte an Daten von IT-Firma Xplain – Bund reagiert
67
Hacker leaken fast 1 Terabyte an Daten von IT-Firma Xplain – Bund reagiert
von Daniel Schurter
Auch Liechtensteiner Landespolizei von Hackerangriff betroffen
Auch Liechtensteiner Landespolizei von Hackerangriff betroffen
Auch SBB und Kanton Aargau von Hackerangriff betroffen
4
Auch SBB und Kanton Aargau von Hackerangriff betroffen
Hacker erbeuten möglicherweise operative Daten des Bundes
Hacker erbeuten möglicherweise operative Daten des Bundes
Daten des Fedpol im Darknet veröffentlicht – Zoll auch vom Hackerangriff betroffen
17
Daten des Fedpol im Darknet veröffentlicht – Zoll auch vom Hackerangriff betroffen
Ransomware-Bande Play hackt Schweizer Anbieterin von Polizei-Software
10
Ransomware-Bande Play hackt Schweizer Anbieterin von Polizei-Software
von Daniel Schurter
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
1 / 19
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
Selten hat eine Ransomware-Attacke hierzulande für so viel Aufsehen gesorgt: In der Bildstrecke erfährst du das Wichtigste zum Angriff auf die Schweizer Behörden-Software-Entwicklerin Xplain und wie die Betroffenen reagierten.
quelle: keystone / laurent gillieron
Auf Facebook teilenAuf X teilen
Teure Rettung – wer in dieser Düne steckenbleibt zahlt 3000 Dollar
Video: watson
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
34 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
34
Französische Elitesoldaten entern Tanker aus Putins Schattenflotte – das wissen wir
Der verdächtige Tanker hatte zuvor Dänemark passiert – zeitgleich mit mehreren Drohnen-Attacken. Nun treiben die europäischen Staats- und Regierungschefs Drohnenabwehr-Pläne voran.
Das Schiff dümpelte seit Tagen vor einem Windpark nahe Saint-Nazaire vor Frankreichs Atlantikküste. Dann stoppte die französische Marine den Tanker.
Zur Story