Die in der Gesundheitsförderung tätige Stiftung Radix ist Opfer eines Ransomware-Angriffs geworden. Die Angreifer veröffentlichten die entwendeten Daten im Darknet, wie der Bund am Montag mitteilte.
Die gemeinnützige Stiftung habe nach einer ersten Situationsanalyse das Bundesamt für Cybersicherheit (BACS) informiert, hiess es am Montag. Zu den Kunden von Radix gehören verschiedene Verwaltungseinheiten der Bundesverwaltung.
Zurzeit sei in Abklärung, welche Stellen und Daten konkret betroffen seien, teilte das BACS weiter mit. Die Angreifer hätten zu keinem Zeitpunkt Zugriff auf die Systeme der Bundesverwaltung gehabt, da die Stiftung Radix keinen Direktzugriff auf die Systeme der Bundesverwaltung habe.
Der Fall erinnert an die Ransomware-Attacke auf die Schweizer Software-Entwicklerfirma Xplain und das damit verbundenen Daten-Leak, das wichtige Institutionen beim Bund und in mehreren Kantonen betraf. Unter anderen waren teilweise sensitive Daten des Bundesamtes für Polizei (Fedpol) und des Bundesamtes für Zoll und Grenzschutz (BAZG) entwendet worden.
Das Bacs hat nun die weiteren Abklärungen und allfälligen Massnahmen im Radix-Fall übernommen. Man stehe in ständigem Austausch mit der Stiftung sowie den Strafverfolgungsbehörden und den betroffenen Verwaltungseinheiten der Bundesverwaltung, heisst es in der Mitteilung weiter. Die Öffentlichkeit werde zu gegebener Zeit über weitere Erkenntnisse informiert.
Die mutmasslichen Täter haben am 19. Juni auf der Darknet-Seite der Ransomware-Operation «Sarcoma Group» ein Erpresserschreiben veröffentlicht, mit dem sie den Hackerangriff auf Radix publik machten. Es ist davon auszugehen, dass die Verantwortlichen kein Lösegeld bezahlten. Denn in der Folge leakten die unbekannten Kriminellen 1,3 Terabyte (TB) an gestohlenen Daten.
Gemäss Radix-Medienmitteilung vom Montag wurden die entsprechenden Opferdaten ab dem 29. Juni über das Tor-Netzwerk zugänglich gemacht.
Radix beschreibt sich selbst als eine Non-Profit-Organisation mit Hauptsitz in Zürich.
Zu den mutmasslich aus dem russischsprachigen Raum stammenden Cyberkriminellen, die als Sarcoma Group auftreten, ist wenig bekannt. Sie haben zuvor unter anderem Organisationen in den USA, Taiwan, Deutschland, Italien und weiteren EU-Staaten angegriffen. Die Opferliste soll bereits über 100 Namen umfassen.
Die Gruppe ist erst seit Oktober 2024 unter diesem Namen aktiv, hat sich aber gemäss Berichten schnell zu einer der aktivsten und gefährlichsten Ransomware-Operationen entwickelt. Die Hacker seien bekannt für ihre aggressiven Taktiken, sie nutzten auch kaum bekannte IT-Schwachstellen, um in geschützte Systeme einzudringen.
Die Gruppierung gehört in die Kategorie Ransomware-as-a-Service (RaaS), das heisst, sie kooperiert bei Cyberattacken mit externen Partnern. Das kriminelle Geschäftsmodell wird als Double Extortion (doppelte Erpressung) bezeichnet: Die Täter versuchen zunächst unbemerkt grösseren Datenmengen von den Opfer-Servern zu stehlen und setzen dann zusätzlich eine Schadsoftware ein, um Dateien zu verschlüsseln.
Was auffällt: Die Hackerangriffe scheinen sich auf kleine und mittlere Unternehmen (KMU) zu konzentrieren, statt die richtig grossen Fische ins Visier zu nehmen. Ein opportunistisches Vorgehen, das in vergleichsweise tieferen Sicherheitsvorkehrungen begründet sein könnte.
Und noch eine Auffälligkeit: Laut einer Untersuchung der italienischen Universität Pegaso vermeidet die Sarcoma-Ransomware absichtlich die Infektion von Windows-Systemen in gewissen Ländern, darunter Usbekistan.
watson-Redaktor Daniel Schurter ist über die verschlüsselte Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.
Gemäss Angaben des Bacs nimmt die Anzahl Cybervorfälle in der Schweiz generell stark zu. 2024 waren den Spezialisten des Bundes 63'000 Fälle gemeldet worden – 26 Prozent mehr als im Vorjahr.
