TAG Aviation ist ein bekannter Name in der Geschäfts- und Luxusfliegerei. Das am Genfer Flughafen angesiedelte Unternehmen ist gemäss eigenen Angaben an 13 Standorten in Europa und Asien tätig und «stolz auf einen internationalen Service, der weltweit seinesgleichen sucht».
Ein Blick auf die Firmen-Website zeigt sehr prominente Kundinnen und Kunden aus vergangenen Tagen, wie etwa die schwedische Tennislegende Björn Borg oder das schauspielernde Promi-Paar Alain Delon und Brigitte Bardot.
Aktuell ist das auf Business-Charter-Flüge spezialisierte Unternehmen mit einem Hackerangriff mit potenziell verheerenden Auswirkungen konfrontiert. Auf Anfrage bestätigt es entsprechende Recherchen von watson.
Am 21. Mai habe das Intrusion Detection System (IDS) einen unbefugten Zugriffsversuch auf das Netzwerk entdeckt. In der Folge seien einige IT-Systeme von einer Ransomware-Attacke, also einer Verschlüsselung, betroffen gewesen.
Gleichzeitig versuchen die Verantwortlichen, die Schwere des Cyberangriffs zu relativieren. Der «IT-Sicherheitsvorfall» beschränke sich «auf Asien». Man habe sofort Gegenmassnahmen ergriffen und einen auf Cybersicherheit spezialisierten Dienst beauftragt. Dieser externe Partner habe «den Vorfall und die betroffenen Daten forensisch untersucht».
Ausserdem seien zusätzliche Sicherheitsmassnahmen ergriffen worden, um das Netzwerk gegen zukünftige Angriffe zu schützen, heisst es in der Stellungnahme.
Ein weiterer Satz aus der per E-Mail übermittelten Erklärung lässt allerdings aufhorchen:
Tatsächlich haben unbekannte Cyberkriminelle im Darknet mehrere Screenshots veröffentlicht, die angeblich Reisepässe und weitere interne bzw. vertrauliche Daten zeigen.
Zudem wird behauptet, die Täter hätten eine sehr grosse Datenmenge von mehreren Terabyte (TB) erbeutet.
Auf Nachfrage bekräftigt ein Sprecher des Unternehmens, dass TAG Aviation Europe nicht betroffen sei.
Der Fall ist insofern speziell, als sich die Cyberkriminellen, die hinter dem Hackerangriff und mutmasslichen Datendiebstahl stecken, zunächst nicht zu erkennen gaben.
Update: TAG Aviation hat watson-Recherchen bestätigt, wonach die Ransomware-Attacke auf das Konto der bekannten Gruppierung Black Basta zurückzuführen ist.
Üblicherweise veröffentlichen Ransomware-Banden auf ihrer eigenen Darknet-Leak-Site eine Ankündigung, wenn Opfer nicht bereit sind, auf die Erpressung einzugehen. Um den Druck auf zahlungsunwillige Betroffene zu erhöhen, wird mit der Veröffentlichung gestohlener Daten gedroht.
Im vorliegenden Fall erfolgte die Drohung mit konkreter Nennung des Opfers auf einer Darknet-Seite, die von angeblich unabhängigen Dritten betrieben wird. Es handelt sich um eine Seite namens «UnSafe Security Blog».
Die unbekannten Betreiber behaupten, sie suchten im Auftrag der Hacker nach Käufern für die gestohlenen Daten. Sie hätten mit der ursprünglichen Tat nichts zu tun.
In einem Posting, das Ende vergangener Woche auf der Darknet-Seite der Data-Broker zu TAG Aviation veröffentlicht wurde, heisst es in ziemlich holprigem Englisch:
Die Untersuchung sei noch nicht abgeschlossen, erklärt TAG Aviation in seiner Stellungnahme, man arbeite mit Beratern und Strafverfolgungsbehörden zusammen, um die Auswirkungen des Ransomware-Angriffs zu minimieren.
Die Verantwortlichen versichern:
Zur Erinnerung: Black Basta zählt zu den gefährlichsten Ransomware-Banden weltweit. Die russischsprachige Gruppe soll im vergangenen Monat auch den Schweizer Industriekonzern ABB attackiert haben. Allerdings blieb es nach Bekanntwerden des Cyberangriffs verdächtig ruhig. Das betroffene Unternehmen schwieg eisern und auf der Darknet-Leak-Seite von Black Basta tauchte kein entsprechendes Posting auf. Dies lässt in der Regel darauf schliessen, dass sich Täter und Opfer in Verhandlungen einigten und Lösegeld bezahlt wurde.
