Digital
Ransomware

Schweizer Softwarefirma Nexus Telecom gehackt – 8Base droht mit Leak

Firmen-Website der Nexus Telecom Switzerland AG.
Auf der Firmen-Website finden sich keine Hinweise auf die Cyberattacke.screenshot: nexustelecom.com

Schweizer Softwarefirma gehackt, die Mobilfunk-Anbieter weltweit beliefert – Folgen unklar

Die Ransomware-Bande 8Base hat bei Nexus Telecom angeblich «eine grosse Menge an vertraulichen Informationen» erbeutet. Das Opfer beliefert Provider weltweit mit Netzwerk-Überwachungs-Software.
18.01.2024, 13:2919.01.2024, 08:08
Mehr «Digital»

Die Schweizer Softwarefirma Nexus Telecom ist von einem Hackerangriff betroffen. Die Ransomware-Bande 8Base droht auf ihrer Erpressungs- und Leak-Seite im Darknet mit der Veröffentlichung gestohlener Daten.

Die Cyberkriminellen behaupten, ihnen sei «eine grosse Menge an vertraulichen Informationen» in die Hände gefallen.

Auf Anfrage von watson bestätigte Geschäftsführer Marco Rhyner am Mittwoch, dass Nexus Telecom von einem Cyberangriff betroffen sei. Zu den gestohlenen Daten und dem Schadensausmass konnte er sich bislang nicht äussern. Offenbar laufen noch entsprechende Abklärungen.

Die Ankündigung im Darknet:

Darknet-Seite der Ransomware-Bande 8Base, die angeblich die Schweizer Softwarefirma Nexus Telecom gehackt hat.
Ein Ausschnitt der Leak-Site mit dem Posting zur Nexus Telecom Switzerland AG.Screenshot: watson

Die Cyberkriminellen drohen damit, dass sie die gestohlenen Daten in wenigen Tagen veröffentlichen werden.

Was ist speziell an der attackierten Firma?

Nexus Telecom entwickelt Netzwerk-Monitoring-Software für die Mobilfunkbranche. Zu den Kunden zählen grosse Provider in Europa, wie British Telecommunications (BT) und die Deutsche Telekom, aber auch Anbieter in Übersee.

«Seit über 20 Jahren arbeitet unser Team mit einigen der weltweit fortschrittlichsten öffentlichen und privaten Kommunikations- und Anwendungsdienstleister zusammen.»
quelle: nexustelecom.com

Gegründet wurde die Firma 1993 vom IT-Unternehmer und nationalen Politiker Ruedi Noser, der für die Zürcher FDP im Nationalrat und Ständerat sass. 2013 sorgte sein Unternehmen wegen des Verkaufs von Überwachungs-Software ins autokratische Saudi-Arabien für Schlagzeilen.

Gegenüber der NZZ legte Noser damals Wert auf die Feststellung, dass die von seinem Unternehmen ins Ausland verkaufte Monitoring-Software keine Inhalte entschlüsseln könne und deshalb nicht bewilligungspflichtig sei.

2016 wurde Nexus Telecom an einen ausländischen Konzern verkauft, geriet in finanzielle Turbulenzen und musste Konkurs anmelden. Schliesslich wurde das Unternehmen von der Schweizer Firma Generis übernommen, die in Schaffhausen angesiedelt und auch in Beijing (China) tätig ist.

Zusammen mit dem ehemaligen Kernteam von Nexus Telecom habe man die Aktiven der Firma übernommen, heisst es auf der Generis-Website. Als wichtige Geschäftsbereiche, auf die sich die Produktentwicklung konzentriert, werden der 5G-Mobilfunk und Smart-City-Applikationen genannt.

Wer sind die Angreifer?

Bei 8Base handelt es sich um eine Ransomware-Gruppe, die seit März 2022 aktiv ist, die aber erst ab Sommer 2023 für Schlagzeilen sorgte, als sie mit ihren Aktivitäten nur knapp hinter der berüchtigten Lockbit-Bande lag.

Wie andere bekannte Ransomware-Banden betreibt 8Base eine Darknet-Website, die nur über Tor, ein frei verfügbares globales Anonymitätsnetzwerk, erreichbar ist. Auf der Seite sind Hunderte von gehackten Unternehmen aufgeführt: alles Opfer, die sich weigerten, Lösegeld zu zahlen, damit ihre gestohlenen Daten nicht veröffentlicht werden.

Was bei den Opfern auffällt: Es hat keine Unternehmen oder Organisationen aus der Russischen Föderation darunter, bzw. keine aus Staaten der früheren Sowjetunion. Dies ist typisch für russischstämmige Banden.

Die Cyberkriminellen gelten als opportunistisch, was die Wahl ihrer Opfer und ihrer Angriffswerkzeuge betrifft: Gegen Ende des vergangenen Jahres stellten IT-Sicherheitsforscher fest, dass bei den Hackerangriffen von 8Base eine Variante der Phobos-Ransomware eingesetzt wurde.

Phobos ist als Ransomware as a Service (Raas) für Cyberkriminelle verfügbar. Bei den 8Base-Verantwortlichen handelt es sich vermutlich nicht um versierte Programmierer. Jedenfalls verwenden sie nicht nur Angriffswerkzeuge Dritter, sie patzten auch bei der Sicherheit der eigenen Darknet-Seite.

Im September 2023 enthüllte der bekannte IT-Sicherheitsforscher und Blogger Brian Krebs, dass vermutlich ein 36-jähriger Programmierer mit Wohnsitz in Moldawiens Hauptstadt den Code für die 8Base-Chatfunktion geschrieben habe, die in die Darknet-Seite integriert ist und von den Kriminellen für die Kommunikation mit Opfern verwendet wird.

2023 ergab eine sprachliche Analyse des (schriftlichen) Kommunikationsstils von 8Base eine verblüffende Ähnlichkeit mit einer anderen Operation namens «RansomHouse».

Die US-amerikanische Cybersicherheits-Behörde HC3 hielt im vergangenen November zu 8Base fest:

«Trotz ihres aggressiven Portfolios an Opfern bleiben die Ursprünge der Gruppe und die Identitäten der Betreiber ein Geheimnis. Nach Ansicht von Cybersecurity-Forschern deuten die Geschwindigkeit und Effizienz der derzeitigen Operationen der Gruppe nicht auf den Beginn einer neuen Gruppe hin, sondern eher auf die Fortsetzung einer gut etablierten, erfahrenen Organisation.»

Update: Gegenüber inside-it.ch liess der Geschäftsführer von Nexus Telecom verlauten: «Einer unserer Server wurde von einer Ransomware-Gruppe angegriffen. Der operative Betrieb von Nexus sowie die bei unseren Kunden laufenden Systeme sind von diesem Vorfall nicht betroffen. Wir sind im regelmässigen Austausch mit den Behörden.»

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Ransomware-Banden der Welt
1 / 22
Die gefährlichsten Ransomware-Banden der Welt
In dieser Bildstrecke lernst du einige der gefährlichsten Ransomware-Banden kennen, die häufig mithilfe von kriminellen Geschäftspartnern und praktisch überall in Europa und Nordamerika zuschlagen.
quelle: shutterstock
Auf Facebook teilenAuf X teilen
Das könnte dich auch noch interessieren:
48 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
AlfredoGermont
18.01.2024 11:35registriert März 2022
Vielleicht wäre es an der Zeit, dass westliche Staaten ihre eigenen Hacker anstellen, um ihrerseits öffentliche Einrichtungen und Infrastruktur in Terrorstaaten wie Ruzzland anzugreifen.
Wenn wir immer nur abwarten und sogar noch Lösegeld zahlen, senden wir ein falsches Signal.
11513
Melden
Zum Kommentar
avatar
skandalf
18.01.2024 12:19registriert November 2021
Verwandelt doch bitte das Internet in Russland in ein Intranet und schickt sie endgültig in die Steinzeit zurück.
7510
Melden
Zum Kommentar
avatar
Hoagie
18.01.2024 12:43registriert Oktober 2018
Wir sind einfach schon seit Jahren in einem Krieg mit den Russen. Er findet einfach nicht mit Panzern und Flugzeugen direkt vor unserer Haustür statt, sonder unsichtbar im Internet.
Irgendwie sehen die Politiker im Westen diesem Treiben des Kremls seit vielen Jahren tatenlos zu. Cyberabwehr ist ja schön und gut, wir brauchen aber einen Cyber-Gegenangriff auf russische Infrastruktur. Am Ende können wir es ja wie Putin machen und behaupten wir wissen von nichts.
6810
Melden
Zum Kommentar
48
Twint integriert Cumulus und Co. ins Bezahlen an der Ladenkasse – so funktioniert es
Twint versucht, Kundenkarten wie Migros Cumulus direkt in den Zahlungsvorgang an der Ladenkasse zu integrieren. Davon sollen Konsumenten und Händler profitieren.

2023 wurde an den Schweizer Ladenkassen fast doppelt so häufig mit Twint bezahlt als noch im Vorjahr. Mit ein Grund dafür dürfte sein, dass Nutzerinnen und Nutzer seit einiger Zeit unter anderem die Coop Supercard in der Bezahl-App hinterlegen können und beim Bezahlen mit Twint Treuepunkte sammeln, ohne zusätzlich das Kärtchen zücken zu müssen. Bislang konnten aber nur wenige Kundenkarten in der App hinterlegt werden. Das soll sich nun ändern.

Zur Story