klar11°
DE | FR
Digital
Schweiz

Clop attackiert grossen Schweizer Baukonzern – USA setzen Kopfgeld aus

Clop attackiert grossen Schweizer Baukonzern – USA setzen 10 Millionen Dollar Kopfgeld aus

Der weltweite Cyberangriff der russischsprachigen Ransomware-Bande Clop zieht weitere Kreise. Mit der Marti Gruppe hat es offenbar auch ein bekanntes Schweizer Industrieunternehmen erwischt.
19.06.2023, 16:4619.06.2023, 17:04
Mehr «Digital»

Die Liste der Opfer, die von der Ransomware-Bande Clop in einer weltweiten Angriffswelle gehackt wurden und nun erpresst werden sollen, wird länger und länger.

In den USA versuchen Unternehmen, Universitäten und Regierungsbehörden fieberhaft herauszufinden, wie viele Daten kompromittiert wurden, wie CNN berichtete. Zuvor hatte watson die Angriffe auf den Schweizer Krankenversicherer ÖKK und den auch hierzulande aktiven niederländischen Ferienpark-Betreiber Landal Greenparks publik gemacht.

Und nun soll es ein weiteres bekanntes Opfer geben, das in der Schweiz und im Ausland tätig ist.

Viele Opfer, schwer abschätzbare Folgen

Clop hat angeblich auch einen der grössten Schweizer Baukonzerne erwischt, wie unsere Recherchen zeigen: die Marti-Gruppe mit Sitz im bernischen Moosseedorf.

Die Ransomware-Bande ALPHV betreibt Victim Blaming (Opferschelte) auf der eigenen Darknet-Seite.
Die Täter betreiben «Victim Blaming» (Opferschelte).Screenshot: watson

Die Konzernführung wollte am Montag zunächst keine Stellungnahme abgeben. Mehrere Anfragen blieben unbeantwortet. Und auch beim telefonischen IT-Support hiess es lediglich, man dürfe dazu keine Auskünfte erteilen.

Ransomware-Bande Clop führt Schweizer Baukonzern Marti nebst vielen anderen angeblichen Opfern auf Leak-Site im Darknet auf (17. Juni 2023).
Die Cyberkriminellen führen zahlreiche grosse Unternehmen auf ihrer Darknet-Seite auf. Und behaupten gleichzeitig, sie hätten keine Daten von «Regierungen».Screenshot: watson

Die Marti-Gruppe ist mit rund 6000 Angestellten eines der grössten Bauunternehmen der Schweiz. Laut LinkedIn-Seite gehören über 80 eigen­ständig geführte Tochter­gesell­schaften im In- und Ausland zur Holding-Gesellschaft.

Die Unternehmensgruppe ist als Generalunternehmerin in allen wesentlichen Baubereichen tätig, wie es heisst, hierzu zählten Hochbau, Tiefbau und Tunnelbau.

Angriffe über Pfingsten

Die Clop-Hacker sind für konzertierte Angriffswellen bekannt, bei denen eine Vielzahl von Opfern über offene Sicherheitslücken attackiert wird. Bei ihren jüngsten Cyberangriffen haben sie eine Zero-Day-Schwachstelle in der kommerziellen Dateiübertragungsplattform MOVEit Transfer ausgenutzt.

Clop behauptet, so Daten von Hunderten von Unternehmen gestohlen zu haben. Die ersten Attacken wurden am 27. Mai, während des langen Pfingstwochenendes, bemerkt.

In der vergangenen Woche haben die Hacker begonnen, betroffene Organisationen massiv unter Druck zu setzen: Sie veröffentlichen die Namen der zahlungsunwilligen Opfer auf ihrer Leak-Site im Darknet und drohten damit, sie würden gestohlene Daten im Darknet zugänglich machen.

Wie der Schweizer IT-Sicherheitsexperte Marc Ruef gegenüber watson erklärte, ist das Abschätzen von Umfang und Folgen der Clop-Massen-Attacke sehr schwierig. Ein «Exploiting» (Ausnützen der Schwachstelle) habe schon sehr früh angefangen und viele Firmen auf dem falschen Fuss erwischt.

Hinweis zum Thema?
watson-Redaktor Daniel Schurter ist über die verschlüsselte Schweizer Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.

USA setzen 10 Millionen Dollar Kopfgeld aus

Laut CNN wurden bei der jüngsten Angriffswelle auch «zahlreiche US-Bundesbehörden, darunter das Energieministerium, gehackt» und wahrscheinlich Daten gestohlen.

Am vergangenen Freitag hat das US-Aussenministerium öffentlich eine hohe Belohnung von bis zu 10 Millionen Dollar ausgeschrieben für Hinweise zur Clop-Bande. Die Aktion erfolgte im Rahmen des Projekts «Rewards for Justice», wie das Online-Medium Bleeping Computer berichtete.

Auf die Ransomware-Bande Clop ausgesetztes Kopfgeld von 10 Millionen US-Dollar des US-Aussenministeriums (16. Juni 2023).
Das US-Aussenministerium geht offenbar davon aus, dass die Clop-Bande in relativ enger Verbindung zu einer ausländischen Regierung – sprich Russland – steht.Screenshot: Twitter

In dem Tweet heisst es:

Haben Sie Informationen, die die Ransomware-Gang CL0P oder andere bösartige Cyber-Akteure, die auf kritische US-Infrastrukturen abzielen, mit einer ausländischen Regierung in Verbindung bringen? Senden Sie uns einen Hinweis. Sie könnten für eine Belohnung in Frage kommen.
quelle: twitter.com

Ursprünglich sei das Programm ins Leben gerufen worden, um Informationen über Terroristen zu sammeln, die US-Interessen im Visier haben. «Seitdem wurde das Programm um Informationen über Cyberkriminelle wie die Ransomware-Operation Conti, russische Sandworm-Hacker, REvil-Ransomware und die Hackergruppe Evil Corp erweitert».

Die nicht namentlich bekannten Clop-Hintermänner hatten Anfang Juni verlauten lassen, dass alle von staatlichen Stellen («Regierungen») gestohlenen Daten sofort gelöscht würden. Sie wiederholten diese Behauptung letzte Woche in einer Mitteilung auf ihrer Darknet-Seite. Sie seien nur finanziell motiviert und nicht an Politik interessiert.

Was sagt der Bund?

Eine Reaktion wie in den USA erscheint undenkbar.

watson hat am Montag beim Nationale Zentrum für Cybersicherheit (NCSC) nachgefragt. Mediensprecherin Manuela Sonderegger erklärt, das NCSC habe «eine leichte Zunahme der Angriffe» in den letzten Wochen beobachtet. Zu den jüngsten Cyberangriffen auf Schweizer Unternehmen durch die Clop-Bande könne sich das NCSC nicht äussern. Man nehme grundsätzlich keine Stellung zu konkreten Vorfällen.

Was die Cybersicherheit bei Privatfirmen betrifft, verweist die NCSC-Sprecherin auf die «Eigenverantwortung».

«Mit den richtigen Schutzmassnahmen lässt sich das Risiko eines erfolgreichen Cyberangriffs stark minimieren. Aus diesem Grund warnt das NCSC immer wieder vor den erhöhten Sicherheitsrisiken durch Ransomware. Dennoch setzen viele Schweizer Unternehmen diese nicht oder nur teilweise um.»

Die Meldungen zu Ransomware-Angriffen seien in den Jahren 2020 und 2021 stark gestiegen und hätten sich nun auf diesem Niveau eingependelt, so die NCSC-Sprecherin. Allerdings seien in diesem Jahr prozentual mehr Firmen und weniger Privatpersonen betroffen als in den Vorjahren.

  • 2020: 66 Meldungen
  • 2021: 161 Meldungen
  • 2022: 159 Meldungen
  • 2023: 63 Meldungen (18.06.2023)

Im laufenden Jahr stamme nur noch etwa jede 10. Ransomware-Meldung von einer Privatperson. Zu beachten sei, dass in der Schweiz keine generelle Meldepflicht für Cybervorfälle bestehe. Deshalb könne davon ausgegangen werden, dass die Dunkelziffer entsprechend höher sei.

Für kritische Infrastrukturen betreibe das NCSC eine Plattform, über die, in Zusammenarbeit mit dem Nachrichtendienst, «Lageinformationen» geteilt werden. Zudem leiste das NCSC bei Vorfällen «technische Ersthilfe».

Quellen

Die Vorgeschichte:

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Nico beim Fischen – da zappelt einiges an der Rute
Video: watson
Das könnte dich auch noch interessieren:
17 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Chris_A
19.06.2023 17:39registriert Mai 2021
Sorry, das ist einfach unglaublich wie mit dem Thema in Politik und Wirtschaft umgegangen wird. Man setzt auf Eigenverantwortung und dann werden Firmen auf dem falschen Fuss erwischt. Die Politik hat jetzt Frau Amherd ein oder zwei Stellen geschaffen, die sich mit Cyberangriffen beschäftigen. Bis vor kurzen hatten wir ja einen BR, der nicht mal wusste, wie man eine App runterlädt.
363
Melden
Zum Kommentar
avatar
Rivka
19.06.2023 17:30registriert April 2021
Russland entwickelt sich mehr und mehr zum Krebsgeschwür und schadet Millionen von Menschen. So wie damals Hitler-Deutschland. Ich hätte nie gedacht, dass ich so etwas sagen oder gutheissen würde aber wenn wir dieses Geschwür stoppen wollen, muss mit Russland das passieren was mit Hitler-Deutschland passiert ist. Ansonsten sehe ich schwarz und zwar nicht nur für die Ukraine. Und vergisst nicht dass der hinterlistige möchtegern Kaiser die Situation sehr gut beobchtet. Manche Länder und Denkweisen kann man nicht mit Diplomatie stoppen... 😒
285
Melden
Zum Kommentar
17
Vermisster Skifahrer in Lawinenkegel in Parpan GR tot aufgefunden

Ein 54-jähriger Skifahrer ist am Samstag im Skigebiet Arosa-Lenzerheide tot in einem Lawinenkegel gefunden worden. Der als vermisst gemeldete war von einem Lawinenhund oberhalb von Parpan GR geortet worden, wie die Kantonspolizei Graubünden am Sonntag mitteilte.

Zur Story