Die Schweizer Softwarefirma Nexus Telecom ist von einem Hackerangriff betroffen. Die Ransomware-Bande 8Base droht auf ihrer Erpressungs- und Leak-Seite im Darknet mit der Veröffentlichung gestohlener Daten.
Die Cyberkriminellen behaupten, ihnen sei «eine grosse Menge an vertraulichen Informationen» in die Hände gefallen.
Auf Anfrage von watson bestätigte Geschäftsführer Marco Rhyner am Mittwoch, dass Nexus Telecom von einem Cyberangriff betroffen sei. Zu den gestohlenen Daten und dem Schadensausmass konnte er sich bislang nicht äussern. Offenbar laufen noch entsprechende Abklärungen.
Die Cyberkriminellen drohen damit, dass sie die gestohlenen Daten in wenigen Tagen veröffentlichen werden.
Nexus Telecom entwickelt Netzwerk-Monitoring-Software für die Mobilfunkbranche. Zu den Kunden zählen grosse Provider in Europa, wie British Telecommunications (BT) und die Deutsche Telekom, aber auch Anbieter in Übersee.
Gegründet wurde die Firma 1993 vom IT-Unternehmer und nationalen Politiker Ruedi Noser, der für die Zürcher FDP im Nationalrat und Ständerat sass. 2013 sorgte sein Unternehmen wegen des Verkaufs von Überwachungs-Software ins autokratische Saudi-Arabien für Schlagzeilen.
Gegenüber der NZZ legte Noser damals Wert auf die Feststellung, dass die von seinem Unternehmen ins Ausland verkaufte Monitoring-Software keine Inhalte entschlüsseln könne und deshalb nicht bewilligungspflichtig sei.
2016 wurde Nexus Telecom an einen ausländischen Konzern verkauft, geriet in finanzielle Turbulenzen und musste Konkurs anmelden. Schliesslich wurde das Unternehmen von der Schweizer Firma Generis übernommen, die in Schaffhausen angesiedelt und auch in Beijing (China) tätig ist.
Zusammen mit dem ehemaligen Kernteam von Nexus Telecom habe man die Aktiven der Firma übernommen, heisst es auf der Generis-Website. Als wichtige Geschäftsbereiche, auf die sich die Produktentwicklung konzentriert, werden der 5G-Mobilfunk und Smart-City-Applikationen genannt.
Bei 8Base handelt es sich um eine Ransomware-Gruppe, die seit März 2022 aktiv ist, die aber erst ab Sommer 2023 für Schlagzeilen sorgte, als sie mit ihren Aktivitäten nur knapp hinter der berüchtigten Lockbit-Bande lag.
Wie andere bekannte Ransomware-Banden betreibt 8Base eine Darknet-Website, die nur über Tor, ein frei verfügbares globales Anonymitätsnetzwerk, erreichbar ist. Auf der Seite sind Hunderte von gehackten Unternehmen aufgeführt: alles Opfer, die sich weigerten, Lösegeld zu zahlen, damit ihre gestohlenen Daten nicht veröffentlicht werden.
Was bei den Opfern auffällt: Es hat keine Unternehmen oder Organisationen aus der Russischen Föderation darunter, bzw. keine aus Staaten der früheren Sowjetunion. Dies ist typisch für russischstämmige Banden.
Die Cyberkriminellen gelten als opportunistisch, was die Wahl ihrer Opfer und ihrer Angriffswerkzeuge betrifft: Gegen Ende des vergangenen Jahres stellten IT-Sicherheitsforscher fest, dass bei den Hackerangriffen von 8Base eine Variante der Phobos-Ransomware eingesetzt wurde.
Phobos ist als Ransomware as a Service (Raas) für Cyberkriminelle verfügbar. Bei den 8Base-Verantwortlichen handelt es sich vermutlich nicht um versierte Programmierer. Jedenfalls verwenden sie nicht nur Angriffswerkzeuge Dritter, sie patzten auch bei der Sicherheit der eigenen Darknet-Seite.
Im September 2023 enthüllte der bekannte IT-Sicherheitsforscher und Blogger Brian Krebs, dass vermutlich ein 36-jähriger Programmierer mit Wohnsitz in Moldawiens Hauptstadt den Code für die 8Base-Chatfunktion geschrieben habe, die in die Darknet-Seite integriert ist und von den Kriminellen für die Kommunikation mit Opfern verwendet wird.
2023 ergab eine sprachliche Analyse des (schriftlichen) Kommunikationsstils von 8Base eine verblüffende Ähnlichkeit mit einer anderen Operation namens «RansomHouse».
Die US-amerikanische Cybersicherheits-Behörde HC3 hielt im vergangenen November zu 8Base fest:
Update: Gegenüber inside-it.ch liess der Geschäftsführer von Nexus Telecom verlauten: «Einer unserer Server wurde von einer Ransomware-Gruppe angegriffen. Der operative Betrieb von Nexus sowie die bei unseren Kunden laufenden Systeme sind von diesem Vorfall nicht betroffen. Wir sind im regelmässigen Austausch mit den Behörden.»
Wenn wir immer nur abwarten und sogar noch Lösegeld zahlen, senden wir ein falsches Signal.
Irgendwie sehen die Politiker im Westen diesem Treiben des Kremls seit vielen Jahren tatenlos zu. Cyberabwehr ist ja schön und gut, wir brauchen aber einen Cyber-Gegenangriff auf russische Infrastruktur. Am Ende können wir es ja wie Putin machen und behaupten wir wissen von nichts.