wechselnd bewölkt
DE | FR
burger
Digital
Ransomware

Radix: Stiftung mit Bund als Kunde wird Opfer von Ransomware-Angriff

Bund erneut von Ransomware-Angriff betroffen – Leak bei externem Partner

Unbekannte Cyberkriminelle haben die Schweizerische Gesundheitsstiftung Radix gehackt. Die Ransomware-Operation «Sarcoma Group» hat angeblich 1,3 Terabyte an erbeuteten Daten veröffentlicht.
30.06.2025, 10:0430.06.2025, 15:08
Daniel Schurter
Daniel Schurter

Die in der Gesundheitsförderung tätige Stiftung Radix ist Opfer eines Ransomware-Angriffs geworden. Die Angreifer veröffentlichten die entwendeten Daten im Darknet, wie der Bund am Montag mitteilte.

Die gemeinnützige Stiftung habe nach einer ersten Situationsanalyse das Bundesamt für Cybersicherheit (BACS) informiert, hiess es am Montag. Zu den Kunden von Radix gehören verschiedene Verwaltungseinheiten der Bundesverwaltung.

Ransomware-Operation Sarcoma Group leakt Daten von Radix
Die Leak-Site der Ransomware-Operation «Sarcoma Group» im Darknet. Screenshot: watson

Zurzeit sei in Abklärung, welche Stellen und Daten konkret betroffen seien, teilte das BACS weiter mit. Die Angreifer hätten zu keinem Zeitpunkt Zugriff auf die Systeme der Bundesverwaltung gehabt, da die Stiftung Radix keinen Direktzugriff auf die Systeme der Bundesverwaltung habe.

Der Fall erinnert an die Ransomware-Attacke auf die Schweizer Software-Entwicklerfirma Xplain und das damit verbundenen Daten-Leak, das wichtige Institutionen beim Bund und in mehreren Kantonen betraf. Unter anderen waren teilweise sensitive Daten des Bundesamtes für Polizei (Fedpol) und des Bundesamtes für Zoll und Grenzschutz (BAZG) entwendet worden.

Das Bacs hat nun die weiteren Abklärungen und allfälligen Massnahmen im Radix-Fall übernommen. Man stehe in ständigem Austausch mit der Stiftung sowie den Strafverfolgungsbehörden und den betroffenen Verwaltungseinheiten der Bundesverwaltung, heisst es in der Mitteilung weiter. Die Öffentlichkeit werde zu gegebener Zeit über weitere Erkenntnisse informiert.

Was ist zur Attacke auf Radix bekannt?

Die mutmasslichen Täter haben am 19. Juni auf der Darknet-Seite der Ransomware-Operation «Sarcoma Group» ein Erpresserschreiben veröffentlicht, mit dem sie den Hackerangriff auf Radix publik machten. Es ist davon auszugehen, dass die Verantwortlichen kein Lösegeld bezahlten. Denn in der Folge leakten die unbekannten Kriminellen 1,3 Terabyte (TB) an gestohlenen Daten.

Gemäss Radix-Medienmitteilung vom Montag wurden die entsprechenden Opferdaten ab dem 29. Juni über das Tor-Netzwerk zugänglich gemacht.

«Betroffene Personen wurden persönlich informiert, sofern besonders schützenswerte Personendaten betroffen sein könnten. Auf Grundlage des derzeitigen Kenntnisstands bestehen keine Hinweise darauf, dass sensible Daten von Partnerorganisationen betroffen sind.»

Radix beschreibt sich selbst als eine Non-Profit-Organisation mit Hauptsitz in Zürich.

«Wir sind im Bereich der Gesundheitsförderung tätig. Unsere acht Kompetenzzentren führen zu diesem Zweck unterschiedliche Aufträge von Bund, Kantonen, Gemeinden sowie privaten Stiftungen und anderen Organisationen aus.»
quelle: radix.ch

Wer sind die Angreifer?

Zu den mutmasslich aus dem russischsprachigen Raum stammenden Cyberkriminellen, die als Sarcoma Group auftreten, ist wenig bekannt. Sie haben zuvor unter anderem Organisationen in den USA, Taiwan, Deutschland, Italien und weiteren EU-Staaten angegriffen. Die Opferliste soll bereits über 100 Namen umfassen.

Die Gruppe ist erst seit Oktober 2024 unter diesem Namen aktiv, hat sich aber gemäss Berichten schnell zu einer der aktivsten und gefährlichsten Ransomware-Operationen entwickelt. Die Hacker seien bekannt für ihre aggressiven Taktiken, sie nutzten auch kaum bekannte IT-Schwachstellen, um in geschützte Systeme einzudringen.

Die Gruppierung gehört in die Kategorie Ransomware-as-a-Service (RaaS), das heisst, sie kooperiert bei Cyberattacken mit externen Partnern. Das kriminelle Geschäftsmodell wird als Double Extortion (doppelte Erpressung) bezeichnet: Die Täter versuchen zunächst unbemerkt grösseren Datenmengen von den Opfer-Servern zu stehlen und setzen dann zusätzlich eine Schadsoftware ein, um Dateien zu verschlüsseln.

Was auffällt: Die Hackerangriffe scheinen sich auf kleine und mittlere Unternehmen (KMU) zu konzentrieren, statt die richtig grossen Fische ins Visier zu nehmen. Ein opportunistisches Vorgehen, das in vergleichsweise tieferen Sicherheitsvorkehrungen begründet sein könnte.

Und noch eine Auffälligkeit: Laut einer Untersuchung der italienischen Universität Pegaso vermeidet die Sarcoma-Ransomware absichtlich die Infektion von Windows-Systemen in gewissen Ländern, darunter Usbekistan.

Insider-Informationen?

watson-Redaktor Daniel Schurter ist über die verschlüsselte Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.

Gemäss Angaben des Bacs nimmt die Anzahl Cybervorfälle in der Schweiz generell stark zu. 2024 waren den Spezialisten des Bundes 63'000 Fälle gemeldet worden – 26 Prozent mehr als im Vorjahr.

Quellen:

Ransomware-Attacke auf Banken-Dienstleister Chain IQ zieht weite Kreise
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
3 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
3
Meistgelesen
1
Guten Morgen, gute Fails
2
Ukrainische Drohne trifft ziviles Haus +++ Merz: Russen-Jets waren bewusste Provokation
3
Sturm sorgt für Schäden in der Schweiz – so geht es jetzt weiter
4
«Deine Mutter»: Trump-Sprecherin beleidigt Journalisten – das fliegt ihr jetzt um die Ohren
5
Debakel am Gotthard: 31 vergebliche Versuche und die Tunnelbohrmaschine steckt weiter fest
Meistkommentiert
1
Lionel Messi verlängert bei Inter Miami ++ Ex-Chelsea-Coach soll Schweden an die WM führen
2
Neue Umfrage: Service-citoyen-Initiative wohl chancenlos
3
Trump: Wann ist genug?
4
So kocht und isst die Schweiz
5
Picdump 162 – die ultimative Portion Memes
Meistgeteilt
1
Das sind die besten «Asterix»-Alben – oder bist du etwa anderer Meinung?
2
30 Memes, die Grossbritannien auf den Punkt bringen
3
Mit diesen Methoden schwächen die Ukrainer Putin nachhaltig – die Übersicht
4
«Wenn Demokratie zu Content wird, wenn Hass monetarisiert wird, sollte man gehen»
Von Snapchat bis Fortnite: Tausende Onlinedienste kämpften weltweit mit Störungen
Eine grosse Panne bei Amazon Web Services (AWS) legte am Montag zahlreiche Online-Dienste lahm.
Am Montagmorgen waren diverse bekannte Onlinedienste für längere Zeit von grösseren Störungen betroffen. Darunter Dutzende von Websites, Online-Spielen und Apps wie Snapchat oder Signal, aber auch Business-Anwendungen wie Slack und Zoom.
Zur Story