Schon wieder ist eine Schweizer Firma von einem Datenleck betroffen. Kriminelle haben grosse Mengen an vertraulichen Daten des Schweizer Industrie-Konzerns Habasit aus Reinach BL veröffentlicht, wie Recherchen von watson zeigen.
Der weltweit führende Hersteller von Transportbändern mit rund 3800 Angestellten und einem Umsatz von über 700 Millionen Franken wurde im Juli gehackt. Primär betroffen von der Cyberattacke ist die französische Tochtergesellschaft in Mulhouse.
Hinter dem Angriff steckt die berüchtigte Internet-Erpresserbande Conti (früher als Ryuk bekannt), die auch schon das irische Gesundheitssystem und die Technische Universität Berlin lahmgelegt hat.
Die Angreifer erbeuteten mehrere Gigabyte an Daten, darunter Tausende teils vertrauliche Dokumente im Excel-, Word-, Powerpoint- und PDF-Format. Die gestohlenen Firmendaten wurden laut Zeitstempel Ende Juli 2021 auf der Darknet-Seite der Erpresserbande Conti veröffentlicht. Darunter finden sich auch besonders schützenswerte Daten.
Die Daten umfassen Dokumente aus den Jahren 2000 bis 2021. Wer sich im Internet, bzw. Darknet auch nur ein wenig auskennt, kann sie einsehen, auswerten und für weitere kriminelle Aktionen missbrauchen.
Das ganze Ausmass des Datenlecks lässt sich vorläufig weder einschätzen, noch der Schaden beziffern. Unklar ist auch, ob die vom Datenabfluss betroffen Angestellten informiert wurden. Habasit hat auf mehrere watson-Anfragen in den letzten Tagen nicht reagiert.
Es handelt sich gemäss den bisherigen Recherchen um eine versuchte Ransomware-Attacke. Darunter versteht man einen Cyberangriff, bei dem die Angreifer mittels Schadprogramm versuchen, die Daten oder IT-Systeme ihrer Opfer zu verschlüsseln und ein Lösegeld verlangen. Im schlimmsten Fall wird so die gesamte Produktion lahmgelegt, was bis hin zum Konkurs führen kann.
Ob in diesem Fall Daten oder IT-Systeme verschlüsselt und ein Lösegeld gefordert wurde, ist nicht bekannt. Bei anderen Ransomware-Angriffen in der Schweiz wurde «nicht selten Lösegeld in sechs oder siebenstelliger Höhe bezahlt», schreibt das Nationale Zentrum für Cybersicherheit NCSC des Bundes.
Die Internet-Erpresser nutzten für den Angriff auf Habasit offenbar die bei Kriminellen beliebte Erpressungs-Software Conti. Dabei handelt es sich um einen der aktuell aktivsten und gefährlichsten Erpressungs-, bzw. Verschlüsselungstrojaner. Die Conti-Ransomware ist für mindestens 444 Cyberangriffe verantwortlich bei denen allein in diesem Jahr mindestens 11,67 Millionen Franken (Stand Juli 2021) erpresst wurden. Die effektive Lösegeldsumme könnte weit höher liegen.
Die Cybercrime-Bande Conti stellt Infrastruktur, Tools und Anleitungen bereit, mit denen andere Kriminelle eigene Ransomware-Raubzüge organisieren können. «In den Handbüchern für Affiliates (Partner) beschreiben die Kriminellen minutiös, wie man ein Firmennetzwerk auskundschaftet, Zugang ausweitet und schliesslich Daten verschlüsselt», erklärt das deutsche Techportal Heise, das die Bedienungsanleitung der Hacker untersuchen konnte. Offenbar hatte zuvor ein unzufriedener Kunde der Conti-Ransomware deren Bedienungsanleitung im Netz veröffentlicht.
Wer genau für den Angriff auf Habasit verantwortlich ist, kann nicht gesagt werden, da quasi jedermann den Erpressungs-Trojaner mieten und so eigene Ransomware-Angriffe ausüben kann. Das allfällige Lösegeld wird danach zwischen Conti, welche den Ransomware-Dienst zur Verfügung stellen, und den effektiven Angreifern, aufgeteilt.
Da Unternehmen zunehmend Backups erstellen, um ihre IT-Systeme nach einem Ransomware-Angriff wieder herzustellen, sichern sich die Internet-Erpresser zusätzlich ab und verschlüsseln die Daten nicht nur, sondern stehlen sie. Letzteres ist hier offenbar passiert.
Bei einer Ransomware-Attacke drohen die Kriminellen in aller Regel damit, die erbeuteten Daten zu veröffentlichen und die besonders wertvollen Daten in einschlägigen Untergrund-Foren zu verkaufen.
Das Nationale Zentrum für Cybersicherheit NCSC des Bundes teilt auf Anfrage mit, man sei über den Vorfall nicht informiert worden. Zu beachten sei, «dass es in der Schweiz keine generelle Meldepflicht für Cybervorfälle gibt.» Die Polizei Basel-Landschaft teilt mit, dass ihnen «dieser Fall nicht bekannt» und keine Anzeige eingegangen ist.
Das NCSC hat klare Empfehlungen, was nach einem Datenabfluss zu tun ist:
Habasit mit Hauptsitz in Reinach bei Basel ist ein 75-jähriges Familienunternehmen mit Vertretungen in über 70 Ländern. Laut unseren Recherchen erfolgte der Datendiebstahl am oder kurz vor dem 19. Juli 2021. Am 27. Juli wurden die Daten veröffentlicht. Das ist aus mehreren Gründen problematisch:
Befinden sich in den geleakten Daten schützenswerte Informationen über Dritte, können auch diese erpresst werden. Kommt hinzu: Geleakte Datensätze mit Informationen über Angestellte inklusive Angaben wie E-Mail-Adresse, Handy-Nummer, Wohnadresse und Geburtsdatum können von anderen Kriminellen für gezielte, bzw. personalisierte und somit besonders gefährliche Phishing- oder Malware-Angriffe missbraucht werden.
Auch in diesem konkreten Datenleck finden sich Listen mit Namen, E-Mail-Adressen und teils zusätzlichen Informationen, die für weitere Straftaten genutzt werden könnten.
Es handelt sich also um einen Teufelskreis: Je mehr Firmen gehackt werden und je mehr Daten abfliessen, desto einfacher werden weitere Cyberangriffe.
Die Cybercrime-Banden drohen teils auch, Kunden und Partner ihrer Opfer zu informieren, wenn kein Lösegeld bezahlt werde. Dies erhöht den Druck zu bezahlen, selbst wenn die gehackte Firma ihre Daten mittels externem Backup wieder herstellen kann.
Die Behörden raten davon ab Lösegeld zu zahlen, da dies weitere Angriffe befeuere und es keine Garantie gäbe, dass die Kriminellen den Schlüssel zur Entschlüsselung der Daten bereitstellen. Offenbar wird relativ oft trotzdem bezahlt, da inzwischen viele Unternehmen eine Cybercrime-Versicherung haben und hoffen, sich mit der Bezahlung ohne Reputationsverlust aus der Affäre zu ziehen.
Teils helfen die Kriminellen ihren Opfern gar bei der Wiederherstellung der IT-Systeme, um andere Opfer zu ermutigen, der Lösegeldforderung nachzukommen. Es liegt anscheinend im Interesse der Cybercrime-Banden, dass sich herumspricht, dass sie zuverlässige «Geschäftspartner» sind.
Allein im August wurden Ransomware-Angriffe auf die Gemeindeverwaltung von Rolle im Kanton Waadt, die Schweizer Klinikgruppe Pallas sowie die Universität Liechtenstein bekannt. Im Juli traf es unter anderem Comparis und die Westschweizer Firma Matisa, wie watson aufdeckte.
Das Nationale Zentrum für Cybersicherheit NCSC warnt Unternehmen daher einmal mehr «mit Nachdruck» vor Ransomware-Attacken. In zahlreichen Unternehmen würden die empfohlenen Massnahmen, etwa die Zwei-Faktor-Authentisierung (2FA), «nicht flächendeckend umgesetzt».
Nochmals: Das NCSC weist mit Nachdruck noch einmal auf die seit Jahren bestehende Empfehlung für Organisationen hin, sämtliche Fernzugänge wie VPN, RDP und dergleichen konsequent mit einem zweiten Faktor (2FA) abzusichern! ☝️⚠️ #Ransomware
— GovCERT.ch (@GovCERT_CH) August 26, 2021
⬇️⬇️⬇️⬇️⬇️⬇️https://t.co/4X3X65Duvq pic.twitter.com/bMUtmUbYzN
«Insgesamt sind im letzten Jahr 68 Meldungen zu Ransomware-Vorfällen beim NCSC eingegangen und in diesem Jahr 112 Meldungen», schreibt Gisela Kipfer, Medienverantwortliche des NCSC. Von der Zunahme seien nicht nur Firmen, sondern auch Private betroffen. Zu berücksichtigen sei zudem, «dass nicht jede Meldung zwingend einen gelungenen Angriff bedeutet und/oder dass finanzieller Schaden entstanden ist.»
Cyberangriffe seien ein «zunehmend signifikantes Problem für Schweizer KMU», also kleinere und mittlere Unternehmen, schreibt die Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) in einer Anfang 2021 publizierten Studie zu Cyberrisiken für KMU (PDF). «Etwa ein Drittel von ihnen war bereits Opfer von Cyberangriffen, und vier Prozent wurden infolgedessen erpresst», heisst es darin.
Laut der Umfrage bei betroffenen Unternehmen begannen die Probleme meist «mit Phishing-Angriffen, wobei Kriminelle durch Ausnutzung eines Fehlers oder Versehens seitens eines Mitarbeitenden Zugang zum IT-System gewannen.»