Vice Society hat erneut in der Schweiz zugeschlagen. Die berüchtigte Ransomware-Bande, die 2021 die Westschweizer Gemeinde Rolle ins Datenschutz-Debakel stürzte, hat nun einen bekannten Gesundheitsdienstleister attackiert.
Die Firma Publicare ist gemäss eigenen Angaben die schweizweit grösste Lieferantin und Dienstleisterin von medizinischen Hilfsmitteln in den Bereichen Inkontinenz, Stoma- und Tracheostoma-Versorgung und zur Wundbehandlung.
Gegenüber watson bestätigte Geschäftsführer Martin Künzler die Ransomware-Attacke, über die zuvor schon das Branchen-Newsportal inside-it.ch berichtet hatte.
Das betroffene Unternehmen teilt in einer schriftlichen Stellungnahme mit:
Erkannt wurde der Hackerangriff, als das Cybersicherheitsteam wegen eines Vorfalls alarmiert worden sei.
Später hätten die Verantwortlichen festgestellt, dass sich unter den Daten, die im Rahmen der Cyber-Attacke gestohlen wurden, auch «Personaldossiers» befinden. Man beobachte, ob Datensätze von Dritten publiziert werden.
Recherchen von watson zeigen, dass die Hacker unter anderem Arztzeugnisse, Bewerbungsschreiben, Betreibungen und weitere sensible Dokumente gestohlen haben.
Wie lange sich die Kriminellen im Publicare-Netzwerk bewegten, ist nicht öffentlich bekannt. Am 16. Dezember machte Vice Society den Angriff im Darknet publik.
Ein Augenschein der Darknet-Seite der Ransomware-Bande Vice Society ergibt, dass grössere Mengen an mutmasslichen Publicare-Dateien geleakt wurden. Dies deutet darauf hin, dass das Unternehmen nicht bereit war, die von den Erpressern geforderte Summe zu bezahlen.
Der Publicare-Geschäftsführer schreibt, man könne «aus ermittlungstaktischen Gründen» derzeit keine näheren Angaben zu Art und Umfang des Cyber-Angriffs machen. Man arbeite eng mit den Strafverfolgungsbehörden zusammen.
Das Herunterfahren des Rechenzentrums habe leider auch dazu geführt, dass Bestellungen aktuell nur manuell bearbeitet werden können. «Wir arbeiten daran, den Webshop so rasch als möglich im Laufe dieser Woche wieder online schalten zu können. In der Zwischenzeit nehmen wir Bestellungen per Telefon, per E-Mail und per Fax entgegen.»
In der Schweiz beschäftigt Publicare rund 100 Mitarbeitende, wie inside-it.ch schreibt. Die gleichnamige Gesellschaft in Österreich mit 35 Mitarbeitenden scheint vom Cyberangriff nicht betroffen zu sein.
Die US-Cybersecurity-Behörde CISA hatte im September vor Vice Society gewarnt – bezog sich dabei aber vor allem auf zunehmende Angriffe auf Bildungseinrichtungen.
Die kriminelle Gruppierung hat kürzlich auch den Angriff auf den Solothurner Spezialisten für Zugangslösungen Glutz für sich beansprucht. Im Spätsommer 2021, nachdem watson den Hackerangriff auf die Gemeinde Rolle VD publik gemacht hatte, drohten die Ransomware-Erpresser öffentlich, sie würden weitere Ziele in der Schweiz ins Visier nehmen.
Die offenbar russischsprachige Gruppe konzentriere sich nicht nur auf Schulen, sondern sei auch dafür bekannt, Gesundheitseinrichtungen und Krankenhäuser ins Visier zu nehmen, berichtete «Wired» vor rund einem Monat.
Vice Society sei in vielerlei Hinsicht eine unauffällige Ransomware-Bande. Sie nutze bekannte IT-Schwachstellen wie PrintNightmare aus, um sich Zugang zu Systemen zu verschaffen. Manchmal nutze sie auch die Dienste von anderen kriminellen Akteuren, sogenannten «Initial Access»-Brokern, die Unternehmenszugänge im Darknet verkaufen.
Sobald Vice Society in ein fremdes Netzwerk eingedrungen sei, verwende es automatisierte Skripte und nutze herkömmliche Netzwerkmanagement-Tools, um heimlich die Erkundungen durchzuführen und Daten zu exfiltrieren. Dann setze die Gruppe vorgefertigte Ransomware ein, um die Daten und Festplatten der Opfer zu verschlüsseln.
Wurden die Passwörter in Klarschrift gespeichert oder gibt es einen anderen plausiblen Grund dafür?