bedeckt
DE | FR
74
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Digital
Schweiz

Ransomware: Die Comparis-Hacker schlagen schon wieder in der Schweiz zu

Das Schweizer Unternehmen Matisa ist das neuste Opfer der Hackergruppe «Grief».
Das Schweizer Unternehmen Matisa ist das neuste Opfer der Hackergruppe «Grief». bild: screenshot: matisa.ch

Die Comparis-Hacker schlagen schon wieder zu – und erneut trifft es eine Schweizer Firma

Matisa, Westschweizer Hersteller von Gleisbaumaschinen, steht im Fadenkreuz von Internet-Erpressern. Offenbar wurden Daten gestohlen und verschlüsselt. Die Firma wird wie zuvor Comparis von der Hackergruppe «Grief» erpresst.
28.07.2021, 06:0205.11.2021, 09:31

Die Schweizer Firma Matisa Matérial Industriel S.A. aus Crissier VD ist das neuste Opfer der Ransomware-Hackergruppe «Grief» (auf Deutsch: Leid, Trauer). Unter Ransomware-Angriff versteht man eine Cyber-Attacke, bei der die Angreifer mittels Schadprogramm die Daten ihrer Opfer verschlüsseln und ein Lösegeld verlangen. Andernfalls, so die Drohung, werden die internen Daten veröffentlicht.

Auf der Firmenwebseite warnt das Unternehmen:

«MATISA war am 20. Juli 2021 das Ziel einer Ransomware-Cyberattacke. Als Folge dieses Angriffs wurde ein Teil der Informationssysteme gesperrt oder aus Sicherheitsgründen vom Netzwerk getrennt. Wir bedauern die durch diesen Vorfall entstandenen Unannehmlichkeiten zutiefst.»
Matisa hat eine Telefonnumer publiziert, unter der sich besorgte Kunden melden sollen.
Matisa hat eine Telefonnumer publiziert, unter der sich besorgte Kunden melden sollen.screenshot: matisa.ch

Auf Anfrage sagte das Nationale Zentrum für Cybersicherheit (NCSC) am Dienstag, man sei von Matisa über den Angriff informiert worden und stehe mit der Firma in Kontakt. Weitergehend äussern will sich das NCSC im Moment nicht und verweist auf Matisa. Dort wurde auf eine Anfrage von watson bislang nicht reagiert.

Erpressungs-Hacker veröffentlichen Dokumente

Die Hacker sind anscheinend wie zuvor bei Comparis heimlich in die Systeme eingedrungen und haben Firmendaten verschlüsselt. Die Erpresser-Hackergruppe Grief hat bei uns zuletzt mit dem Comparis-Hack für Aufsehen gesorgt. Die unbekannten Kriminellen haben Comparis infiltriert, Firmendaten gestohlen, verschlüsselt und den Online-Vergleichsdienst so erpresst. Wie Recherchen von watson nahelegen, wurden auch bei Matisa interne Firmendaten entwendet. Augenscheinlich gestohlene Firmendokumente sind nun über eine Darknet-Webseite abrufbar.

Firmendokumente im Darknet

Gemäss Zeitangabe auf der Darknet-Webseite der Hacker erfolgte die Veröffentlichung am 25. Juli 2021.
Gemäss Zeitangabe auf der Darknet-Webseite der Hacker erfolgte die Veröffentlichung am 25. Juli 2021.screenshot: watson

Die Verschlüsselungs-Attacke erfolgte am 20. Juli 2021. Wie beim Vergleichsdienst Comparis veröffentlichten die Internet-Epresser fünf Tage später die ersten Beispiel-Dokumente auf ihrer Darknet-Webseite, die nur verschlüsselt über den Tor-Browser aufgerufen werden kann. Weitere Daten wurden bislang nicht veröffentlicht. Mit dem Publizieren erster Dokumente soll wohl der Lösegeldforderung Nachdruck verliehen werden.

Die erst seit wenigen Monaten in Erscheinung tretende Hackergruppe Grief ist dafür bekannt, nicht lange zu fackeln. Nur sechs bis sieben Tage nach der ersten Verschlüsselung der Daten der Opfer wurde in der Vergangenheit mit der Freigabe von Daten begonnen, wenn die Lösegeldforderung nicht erfüllt wurde.

Ob Matisa Lösegeld bezahlt hat, ist nicht bekannt. Die Hacker führen den Verschlüsselungs-Angriff auf ihrer Darknet-Seite in der Kategorie «in Bearbeitung» auf, was darauf schliessen lässt, dass die Sache nicht erledigt ist.

Grief hackt sich durch halb Europa

Die Verschlüsselungs-Angriffe auf Comparis und Matisa sind nur zwei in einer langen Reihe von Ransomware-Attacken der kriminellen Hacker. Diese scheinen seit Wochen quasi im Akkord in diversen Ländern Unternehmen, Behörden und andere Organisationen zu hacken und zu erpressen.

Die Internet-Erpresser traten in diesem Frühjahr erstmals unter dem Namen Grief oder Pay or Grief (Bezahlen oder Leiden) mit Ransomware-Attacken in Erscheinung. Sie agieren auffallend aggressiv, um ihre Opfer einzuschüchtern und zum Zahlen zu bewegen. Grief sieht sich als «die neue Generation» von Ransomware-Akteuren, die sich weder auf Rabatte, noch auf langwierige Verhandlungen einlasse.

Aktuell werden laut Darknet-Seite der Kriminellen auch die griechische Stadt Thessaloniki und das britische Hotel The Lensbury erpresst. Anfang Juli sorgte Grief für Schlagzeilen, als sie die IT-Systeme des ostdeutschen Landkreises Anhalt-Bitterfeld lahmlegten. Die Verantwortlichen in Ostdeutschland sahen sich gezwungen, den ersten «Cyber-Katastrophenfall» auszurufen. Die Verwaltung war praktisch handlungsunfähig und die Angestellten können bis heute nicht normal weiterarbeiten.

Welche Folgen der Hack für Matisa haben wird, ist noch unklar. Matisa besitzt Niederlassungen in Deutschland, Frankreich, Italien, Spanien, Grossbritannien, Brasilien und Japan und zählt zu den Marktführern bei sogenannten Gleisstopfmaschinen zum Verdichten des Schotters.

Gratis-Entschlüsselungstools: Cyber-Erpressern entgehen fast 1 Milliarde Franken
Das Projekt «No More Ransom» stellt kostenlose Entschlüsselungstools für Opfer von Ransomware-Attacken zur Verfügung. Aktuell werden 121 kostenlose Decryption-Tools, die 151 Ransomware-Familien entschlüsseln können, zur Verfügung gestellt. Mehr als sechs Millionen Ransomware-Opfer konnten so in den letzten fünf Jahren ihre Dateien entschlüsseln, ohne Lösegeld zu zahlen. Den Erpressern sollen bislang 900 Millionen Euro (973 Millionen Franken) entgangen sein. Hinter dem Projekt «No More Ransom» stehen Europol, die niederländischen Polizei, Kaspersky und McAfee. (oli)
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

74 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
ingmarbergman
28.07.2021 07:17registriert August 2017
Vielleicht sollte man statt in Kampfjets lieber in Cyberdefence & -ofence investieren.
Aber Boomer Politiker haben sicher eine gute Ahnung von der Bedrohungslage des 21. Jahrhunderts. 🤷🏻‍♂️
13548
Melden
Zum Kommentar
avatar
Bits_and_More
28.07.2021 08:07registriert Oktober 2016
Eigentlich ist heute nicht mehr die Frage ob, sondern wann es jemanden erwischt. Darum regelmässige Backups und eine Strategie ausarbeiten, aber auch üben, wie nach einem Angriff möglichst schnell in den normalen Betriebsmodus gewechselt wird.
402
Melden
Zum Kommentar
avatar
Sam1984
28.07.2021 07:24registriert Dezember 2014
Viele Firmen machen es den Hackern aber auch viel zu einfach. Systeme müssen immer gepatcht sein und man muss immer Backups von seinen Daten haben. Wenn dann doch mal der Ernstfall eintreten sollte, dann macht man das System platt, setzt es neu auf und spielt die Daten wieder ein.

"Wir wurden Opfer eines Ransomware Angriffs" heisst übersetzt "Wir haben unsere Security vernachlässigt und sind jetzt böse überrascht worden". Gerne wird dann der Angriff noch den Russen oder Chinesen zugeordnet damit die Story glaubwürdiger tönt und das eigene versagen nicht so schlimm aussieht.
4522
Melden
Zum Kommentar
74
Wen reisst FTX mit? Genesis Global wackelt, die Sorge um Gemini und Grayscale wächst

Im Sog des FTX-Untergangs geraten weitere Schwergewichte der Szene ins Rudern. Doch die Nachrichtenlage ist dürftig, die Verstrickungen der verschiedenen Marktteilnehmer undurchsichtig. Offiziell in Schwierigkeiten steckt Genesis Global. Dies hat der Kryptobroker in einer Erklärung am letzten Mittwoch zugegeben. Genesis Global hatte Vermögenswerte von 175 Millionen Dollar bei FTX deponiert. Der mögliche Verlust habe keine Auswirkungen, versicherte der Broker zunächst noch am 10. November. Nun krebst er zurück.

Zur Story