freundlich31°
DE | FR
burger
Digital
Ransomware

Ransomware-Operation FOG hackt FHNW – Daten im Darknet geleakt

Fachhochschule Nordwestschweiz FHNW
Cyberkriminelle haben der FHNW Programmcode gestohlen. archivBild: FHNW

Hackerangriff auf Fachhochschule Nordwestschweiz – ein sehr spezieller Fall

Die Ransomware-Operation FOG hat zahlreiche Institutionen und Unternehmen attackiert und Daten geleakt. Der Schweizer IT-Sicherheitsexperte Marc Ruef ordnet die ungewöhnliche Vorgehensweise ein.
07.03.2025, 09:3507.03.2025, 16:28
Daniel Schurter
Daniel Schurter
Mehr «Digital»

Die Fachhochschule Nordwestschweiz (FHNW) ist von einem Datendiebstahl in Zusammenhang mit einer Ransomware-Attacke betroffen. Dies bestätigte die Bildungsinstitution am Donnerstag gegenüber watson und informierte in der Folge auf der eigenen Website über den Vorfall. Im Darknet war am Mittwoch ein entsprechendes Posting veröffentlicht worden. Demnach machen unbekannte Cyberkriminelle 93 Gigabyte an gestohlenen GitLab-Daten für Dritte zugänglich.

Der FHNW-Kommunikationleiter Dominik Lehmann erklärt:

«Bei GitLab handelt es sich um eine Software-Entwicklungsumgebung der FHNW, welche von einem externen Dienstleiter betrieben wird. Die Ransomware Gruppe ‹FOG› hat einen Teil der Daten (Software-Codes) entwendet und im Darknet zur Verfügung gestellt. Es wurden keine Daten verschlüsselt.»

Wie reagiert die betroffene Institution?

Die Informatik-Abteilung der FHNW habe umgehend eine Taskforce gebildet und «den entsprechenden Notfallplan aktiviert». Nun laufe eine Analyse der auffindbaren Daten, um das Schadensausmass genau zu beziffern.

Es sei bisher nicht bekannt, dass weitere IT-Systeme vom Angriff betroffen sind, erklärt der FHNW-Sprecher. Die IT-Spezialisten seien in erhöhter Alarmbereitschaft, um falls nötig weitere Massnahmen einzuleiten.

Die Fachhochschule hat gemäss eigenen Angaben bereits intern zum Hackerangriff informiert.

Eigentümer der FHNW sind die vier Trägerkantone Aargau, Basel-Landschaft, Basel-Stadt und Solothurn. Die Fachhochschule zählte 2023 über 13'000 Studierende.

Was ist an dem Hackerangriff speziell?

Die Cyberkriminellen, die sich hinter der Ransomware-Operation FOG verbergen, haben offenbar seit Jahresbeginn zahlreiche Organisationen attackiert, die die Software-Entwicklungsplattform GitLab nutzen. Diese bezeichnet sich auf ihrer eigenen Website als «die umfassendste KI-gestützte DevSecOps-Plattform».

Neben der FHNW ist mindestens eine weitere Schweizer Firma betroffen, wie watson-Recherchen zeigen.

Die Hacker zielen auf Software-Repositorien ab, anstatt nur Dateien zu verschlüsseln. Diese neue Angriffsmethode bedroht also das geistige Eigentum, die IT-Sicherheit und den Geschäftsbetrieb der Betroffenen.

Dazu erklärt der renommierte Schweizer IT-Sicherheitsexperte Marc Ruef von der Firma Scip AG:

«Angriffe auf GitLab können Organisationen empfindlich treffen. Betriebsgeheimnisse oder sensitive Daten (z.B. Passwörter) könnten gestohlen werden. Oder die Entwicklung eines Produkts könnte massgeblich eingeschränkt werden. Der Druck auf die betroffenen Organisationen kann dementsprechend immens sein.»

Es sei allerdings fragwürdig, warum «eine durch Geld getriebene Ransomware-Gang» die gestohlenen Daten frei zur Verfügung stellt, so Ruef. Entweder seien die Cyberkriminellen selbst der Meinung, dass die Opfer-Daten auf dem Schwarzmarkt keinen Wert hätten. Oder sie wollten dadurch ihre Macht demonstrieren.

Bei GitLab würden immer wieder Schwachstellen entdeckt, hält IT-Sicherheitsexperte Ruef fest. Seit 2017 seien nahezu 700 Schwachstellen bekannt geworden. Und allein in diesem Jahr seien es bereits 25.

«Sobald neue Schwachstellen gefunden werden, versuchen böswillige Akteure, diese für sich auszunutzen. Über welche Schwachstelle der Angriff genau stattgefunden hat, wird gegenwärtig noch immer spekuliert.»

Die Liste der FOG-Opfer wird immer länger. Gemäss der IT-Sicherheitsfirma HackManac gab es seit Anfang 2025 bereits mehr als 80 (erfolgreiche) Attacken.

Wer sind die Täter?

Wer hinter der Ransomware-Operation FOG steckt, ist nicht bekannt. Im Mai 2024 stellte die IT-Sicherheitsfirma Arctic Wolf Labs erste Angriffe in den USA fest.

Marc Ruef sagt:

Die geografische Herkunft von FOG ist nach wie vor unklar. Unsere Analysen deuten aber auf die Herkunft China, mit vereinzelten Verbindungen zu Russland, hin.

FOG sei bekannt für das Nutzen von gestohlenen oder kompromittierten VPN-Zugängen.

Zum technischen Vorgehen der Cyberkriminellen erklärt der Sicherheitsexperte:

  • «Man konnte beobachten, dass sie in einem zweiten Schritt Hashes abfangen und für eine Authentisierung missbrauchen. Auf kompromittierten Windows-Systemen lesen sie die abgespeicherten Passwörter aus, um ihre Rechte zu erweitern.»
  • Danach bemühten sie sich um ein «Backdooring» und legten neue Benutzerkonten an oder installierten Fernzugriffe (über RDP oder SSH).
  • Nach der Kompromittierung würden die Daten via Archive (7zip oder WinRar) exfiltriert und lokal verschlüsselt. Um eine eigenmächtige Wiederherstellung durch die Opfer zu verhindern, löschten die Angreifer auch gezielt bestehende Backups.

Das Vorgehen der Ransomware-Kriminellen könne also als «State of the Art» bezeichnet werden.

Quellen:

Adval Tech von Cyberangriff betroffen – Erpresserschreiben im Darknet
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Vor Greenscreen und CGI – so cool waren Special Effects früher
Video: watson
Das könnte dich auch noch interessieren:
27 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Ovolover
07.03.2025 13:52registriert März 2016
Wer Passwörter unverschlüsselt in GitLab ablegt, auch in privaten Repositories, gehört geteert, gefedert und für ein Jahr dem Drucker-Support zugeteilt.
351
Melden
Zum Kommentar
avatar
Firefly
07.03.2025 11:35registriert April 2016
Das ist der Vorteil von Open Source, der Code ist schon online und jeder kann ihn ansehen.

Passwörter sollten sowieso nie auf solchen Entwicklungsplattformen rumliegen. Und wenn dann nur verschlüsselt.
271
Melden
Zum Kommentar
avatar
Dingdang Shine
07.03.2025 11:19registriert Mai 2019
Schono geil, dass man als FHNW Student immer zuerst durch die Medien über solche Vorfälle informiert wird.
348
Melden
Zum Kommentar
27
    Mental Health auf TikTok: Experten entdecken massenhaft Falschinformationen
    Auf TikTok gibt es beinahe zu jedem Thema das passende Video und vor allem den passenden Ratschlag. Doch gerade bei Gesundheitsthemen kann das für Nutzer durchaus gefährlich werden.

    Menschen, die Zahnpasta auf Badezimmerspiegel kleistern, unter der Dusche Orangen essen oder sich vor dem Einschlafen ein Getränk aus verschiedensten Flüssigkeiten zusammenbrauen: Das ist TikTok, wenn man über Tanzvideos und Stitches hinweg scrollt.

    Zur Story