Die Schweizer Firma Matisa Matérial Industriel S.A. aus Crissier VD ist das neuste Opfer der Ransomware-Hackergruppe «Grief» (auf Deutsch: Leid, Trauer). Unter Ransomware-Angriff versteht man eine Cyber-Attacke, bei der die Angreifer mittels Schadprogramm die Daten ihrer Opfer verschlüsseln und ein Lösegeld verlangen. Andernfalls, so die Drohung, werden die internen Daten veröffentlicht.
Auf der Firmenwebseite warnt das Unternehmen:
Auf Anfrage sagte das Nationale Zentrum für Cybersicherheit (NCSC) am Dienstag, man sei von Matisa über den Angriff informiert worden und stehe mit der Firma in Kontakt. Weitergehend äussern will sich das NCSC im Moment nicht und verweist auf Matisa. Dort wurde auf eine Anfrage von watson bislang nicht reagiert.
Die Hacker sind anscheinend wie zuvor bei Comparis heimlich in die Systeme eingedrungen und haben Firmendaten verschlüsselt. Die Erpresser-Hackergruppe Grief hat bei uns zuletzt mit dem Comparis-Hack für Aufsehen gesorgt. Die unbekannten Kriminellen haben Comparis infiltriert, Firmendaten gestohlen, verschlüsselt und den Online-Vergleichsdienst so erpresst. Wie Recherchen von watson nahelegen, wurden auch bei Matisa interne Firmendaten entwendet. Augenscheinlich gestohlene Firmendokumente sind nun über eine Darknet-Webseite abrufbar.
Die Verschlüsselungs-Attacke erfolgte am 20. Juli 2021. Wie beim Vergleichsdienst Comparis veröffentlichten die Internet-Epresser fünf Tage später die ersten Beispiel-Dokumente auf ihrer Darknet-Webseite, die nur verschlüsselt über den Tor-Browser aufgerufen werden kann. Weitere Daten wurden bislang nicht veröffentlicht. Mit dem Publizieren erster Dokumente soll wohl der Lösegeldforderung Nachdruck verliehen werden.
Die erst seit wenigen Monaten in Erscheinung tretende Hackergruppe Grief ist dafür bekannt, nicht lange zu fackeln. Nur sechs bis sieben Tage nach der ersten Verschlüsselung der Daten der Opfer wurde in der Vergangenheit mit der Freigabe von Daten begonnen, wenn die Lösegeldforderung nicht erfüllt wurde.
Ob Matisa Lösegeld bezahlt hat, ist nicht bekannt. Die Hacker führen den Verschlüsselungs-Angriff auf ihrer Darknet-Seite in der Kategorie «in Bearbeitung» auf, was darauf schliessen lässt, dass die Sache nicht erledigt ist.
Die Verschlüsselungs-Angriffe auf Comparis und Matisa sind nur zwei in einer langen Reihe von Ransomware-Attacken der kriminellen Hacker. Diese scheinen seit Wochen quasi im Akkord in diversen Ländern Unternehmen, Behörden und andere Organisationen zu hacken und zu erpressen.
Die Internet-Erpresser traten in diesem Frühjahr erstmals unter dem Namen Grief oder Pay or Grief (Bezahlen oder Leiden) mit Ransomware-Attacken in Erscheinung. Sie agieren auffallend aggressiv, um ihre Opfer einzuschüchtern und zum Zahlen zu bewegen. Grief sieht sich als «die neue Generation» von Ransomware-Akteuren, die sich weder auf Rabatte, noch auf langwierige Verhandlungen einlasse.
Aktuell werden laut Darknet-Seite der Kriminellen auch die griechische Stadt Thessaloniki und das britische Hotel The Lensbury erpresst. Anfang Juli sorgte Grief für Schlagzeilen, als sie die IT-Systeme des ostdeutschen Landkreises Anhalt-Bitterfeld lahmlegten. Die Verantwortlichen in Ostdeutschland sahen sich gezwungen, den ersten «Cyber-Katastrophenfall» auszurufen. Die Verwaltung war praktisch handlungsunfähig und die Angestellten können bis heute nicht normal weiterarbeiten.
Welche Folgen der Hack für Matisa haben wird, ist noch unklar. Matisa besitzt Niederlassungen in Deutschland, Frankreich, Italien, Spanien, Grossbritannien, Brasilien und Japan und zählt zu den Marktführern bei sogenannten Gleisstopfmaschinen zum Verdichten des Schotters.
Aber Boomer Politiker haben sicher eine gute Ahnung von der Bedrohungslage des 21. Jahrhunderts. 🤷🏻♂️
"Wir wurden Opfer eines Ransomware Angriffs" heisst übersetzt "Wir haben unsere Security vernachlässigt und sind jetzt böse überrascht worden". Gerne wird dann der Angriff noch den Russen oder Chinesen zugeordnet damit die Story glaubwürdiger tönt und das eigene versagen nicht so schlimm aussieht.