Die Liste der Opfer, die von der Ransomware-Bande Clop in einer weltweiten Angriffswelle gehackt wurden und nun erpresst werden sollen, wird länger und länger.
In den USA versuchen Unternehmen, Universitäten und Regierungsbehörden fieberhaft herauszufinden, wie viele Daten kompromittiert wurden, wie CNN berichtete. Zuvor hatte watson die Angriffe auf den Schweizer Krankenversicherer ÖKK und den auch hierzulande aktiven niederländischen Ferienpark-Betreiber Landal Greenparks publik gemacht.
Und nun soll es ein weiteres bekanntes Opfer geben, das in der Schweiz und im Ausland tätig ist.
Clop hat angeblich auch einen der grössten Schweizer Baukonzerne erwischt, wie unsere Recherchen zeigen: die Marti-Gruppe mit Sitz im bernischen Moosseedorf.
Die Konzernführung wollte am Montag zunächst keine Stellungnahme abgeben. Mehrere Anfragen blieben unbeantwortet. Und auch beim telefonischen IT-Support hiess es lediglich, man dürfe dazu keine Auskünfte erteilen.
Die Marti-Gruppe ist mit rund 6000 Angestellten eines der grössten Bauunternehmen der Schweiz. Laut LinkedIn-Seite gehören über 80 eigenständig geführte Tochtergesellschaften im In- und Ausland zur Holding-Gesellschaft.
Die Unternehmensgruppe ist als Generalunternehmerin in allen wesentlichen Baubereichen tätig, wie es heisst, hierzu zählten Hochbau, Tiefbau und Tunnelbau.
Die Clop-Hacker sind für konzertierte Angriffswellen bekannt, bei denen eine Vielzahl von Opfern über offene Sicherheitslücken attackiert wird. Bei ihren jüngsten Cyberangriffen haben sie eine Zero-Day-Schwachstelle in der kommerziellen Dateiübertragungsplattform MOVEit Transfer ausgenutzt.
Clop behauptet, so Daten von Hunderten von Unternehmen gestohlen zu haben. Die ersten Attacken wurden am 27. Mai, während des langen Pfingstwochenendes, bemerkt.
In der vergangenen Woche haben die Hacker begonnen, betroffene Organisationen massiv unter Druck zu setzen: Sie veröffentlichen die Namen der zahlungsunwilligen Opfer auf ihrer Leak-Site im Darknet und drohten damit, sie würden gestohlene Daten im Darknet zugänglich machen.
Wie der Schweizer IT-Sicherheitsexperte Marc Ruef gegenüber watson erklärte, ist das Abschätzen von Umfang und Folgen der Clop-Massen-Attacke sehr schwierig. Ein «Exploiting» (Ausnützen der Schwachstelle) habe schon sehr früh angefangen und viele Firmen auf dem falschen Fuss erwischt.
Laut CNN wurden bei der jüngsten Angriffswelle auch «zahlreiche US-Bundesbehörden, darunter das Energieministerium, gehackt» und wahrscheinlich Daten gestohlen.
Am vergangenen Freitag hat das US-Aussenministerium öffentlich eine hohe Belohnung von bis zu 10 Millionen Dollar ausgeschrieben für Hinweise zur Clop-Bande. Die Aktion erfolgte im Rahmen des Projekts «Rewards for Justice», wie das Online-Medium Bleeping Computer berichtete.
In dem Tweet heisst es:
Ursprünglich sei das Programm ins Leben gerufen worden, um Informationen über Terroristen zu sammeln, die US-Interessen im Visier haben. «Seitdem wurde das Programm um Informationen über Cyberkriminelle wie die Ransomware-Operation Conti, russische Sandworm-Hacker, REvil-Ransomware und die Hackergruppe Evil Corp erweitert».
Die nicht namentlich bekannten Clop-Hintermänner hatten Anfang Juni verlauten lassen, dass alle von staatlichen Stellen («Regierungen») gestohlenen Daten sofort gelöscht würden. Sie wiederholten diese Behauptung letzte Woche in einer Mitteilung auf ihrer Darknet-Seite. Sie seien nur finanziell motiviert und nicht an Politik interessiert.
Eine Reaktion wie in den USA erscheint undenkbar.
watson hat am Montag beim Nationale Zentrum für Cybersicherheit (NCSC) nachgefragt. Mediensprecherin Manuela Sonderegger erklärt, das NCSC habe «eine leichte Zunahme der Angriffe» in den letzten Wochen beobachtet. Zu den jüngsten Cyberangriffen auf Schweizer Unternehmen durch die Clop-Bande könne sich das NCSC nicht äussern. Man nehme grundsätzlich keine Stellung zu konkreten Vorfällen.
Was die Cybersicherheit bei Privatfirmen betrifft, verweist die NCSC-Sprecherin auf die «Eigenverantwortung».
Die Meldungen zu Ransomware-Angriffen seien in den Jahren 2020 und 2021 stark gestiegen und hätten sich nun auf diesem Niveau eingependelt, so die NCSC-Sprecherin. Allerdings seien in diesem Jahr prozentual mehr Firmen und weniger Privatpersonen betroffen als in den Vorjahren.
Im laufenden Jahr stamme nur noch etwa jede 10. Ransomware-Meldung von einer Privatperson. Zu beachten sei, dass in der Schweiz keine generelle Meldepflicht für Cybervorfälle bestehe. Deshalb könne davon ausgegangen werden, dass die Dunkelziffer entsprechend höher sei.
Für kritische Infrastrukturen betreibe das NCSC eine Plattform, über die, in Zusammenarbeit mit dem Nachrichtendienst, «Lageinformationen» geteilt werden. Zudem leiste das NCSC bei Vorfällen «technische Ersthilfe».
