bedeckt
DE | FR
5
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Digital
Schweiz

Ransomware-Attacke: «BlackByte» hackt Schweizer Logistikkonzern

Die M+R Spedag Gruppe ist ein familiengeführtes Transport- und Logistikunternehmen mit Hauptsitz in der Schweiz.
Die M+R Spedag Gruppe beschreibt sich als ein familiengeführtes Transport- und Logistikunternehmen mit Hauptsitz in der Schweiz. Nun wurden interne Daten im Darknet geleakt.Bild: zvg

«BlackByte» hackt Schweizer Logistikkonzern – das wissen wir über die Ransomware-Attacke

Der international tätige Logistikkonzern ist einer kriminellen Gruppierung zum Opfer gefallen, vor der schon das FBI und der Secret Service warnten.
04.05.2022, 22:0106.05.2022, 06:03

Was haben die San Francisco 49ers und der Schweizer Logistikkonzern M+R Spedag Group gemeinsam?

Sie sind beide von «BlackByte» gehackt worden.

Das ganze Ausmass der Cyberattacke lässt sich derzeit noch nicht abschätzen. Auf der in düsteren Farben gehaltenen «Leak-Site» der kriminellen Bande prangt ein Countdown, der am Mittwochabend noch 15 Tage anzeigte.

Wie viele Gigabyte gestohlen wurden, ist nicht bekannt. Wenn das auf der Leak-Site angezeigte Ultimatum abläuft, droht die vollständige Veröffentlichung.
Wie viele Gigabyte gestohlen wurden, ist nicht bekannt. Wenn das auf der Leak-Site angezeigte Ultimatum abläuft, droht die vollständige Veröffentlichung.screenshot: watson

BlackByte gehört zum Kreis der skrupellosen Ransomware-Banden, die in IT-Systeme westlicher Unternehmen eindringen, wertvolle Daten unbemerkt stehlen und schliesslich mit eigener Malware die Verschlüsselung starten.

Die M + R Spedag Group AG ist ein international tätiger Speditions- und Logistikkonzern. Gemäss eigenen Angaben hat sie 2000 Mitarbeitende und 82 Niederlassungen.

Das Unternehmen mit Hauptsitz in Muttenz BL hat den Hackerangriff gegenüber watson bestätigt.

Zunächst hatte das Schweizer IT-Newsportal inside-it.ch am Mittwoch über den Vorfall berichtet.

Was sagt das betroffene Unternehmen?

Bernadette Jourdan, Leiterin PR und Kommunikation, erklärte am Mittwoch auf Anfrage, dass die Kunden und Partner «seit vergangenem Wochenende» informiert worden seien. «Das Schadenpotenzial erachten wir als gering.»

Eine übliche Folge solcher Ransomware-Attacken: Die kriminellen Angreifer versuchen, ihr Opfer zum Bezahlen einer beträchtlichen Lösegeldsumme zu bringen. Dazu setzen sie die Verantwortlichen unter Druck, indem sie mit der Veröffentlichung der erbeuteten Daten im Darknet drohen.

Auf der sogenannten Leak-Site von BlackByte, die über das Anonymisierungs-Netzwerk TOR erreichbar ist, findet sich ein entsprechender Link, der wiederum zu einem auf anonyme Downloads spezialisierten Filehoster führt. Dabei handelt es sich um rund 8 Gigabyte an Firmendokumenten der M+R Spedag Group.

watson konnte die geleakten Daten einsehen. Es ist eine Vielzahl älterer und relativ neuer Dateien, darunter interne Abrechnungen, aber auch Offerten und andere Unterlagen, die sich auf zahlreiche Geschäftskunden beziehen.

Wie erfolgte der Angriff?

Am Donnerstag, 21. April, um 16:09 Uhr wurden die Verantwortlichen der M + R Spedag Group auf den Angriff aufmerksam. Betroffen war nur «die Organisationseinheit in der Schweiz», heisst es. Und bereits am nächsten Morgen sei man «wieder vollumfänglich operativ tätig» gewesen.

Wie die Hacker in das fremde Netzwerk eindrangen, ist nicht bekannt. Die Sprecherin erklärte, eine entsprechende Sicherheitslücke sei geschlossen und die Endgeräte seien innert 48 Stunden ausgetauscht worden. «Zusammen mit der Swisscom wurden zusätzliche Massnahmen getroffen.»

In der Vergangenheit hatte BlackByte mehrere nicht gepatchte Schwachstellen in der Microsoft-Software Exchange Server ausgenutzt, um in fremde Computer einzudringen.

Wie der CEO, Boris Lukic, gegenüber watson bestätigt, sei bislang keine Lösegeldforderung eingegangen. Möglich, dass sich dies vor Ablauf des Ultimatums ändert.

Der Geschäftsführer des Logistikkonzerns betont, dass sich die relativ umfangreichen Vorbereitungen auf einen möglichen Cyberangriff gelohnt hätten und er ermuntert andere IT-Verantwortliche, Vorkehrungen zu treffen.

Wer steckt hinter «BlackByte»?

Die Spuren führen nach Russland (siehe unten).

Welche Personen hinter BlackByte stecken, ist nicht bekannt. Sicher ist: Es handelt sich um eine Ransomware-as-a-Service-Gruppe, die ihre Angriffswerkzeuge und Infrastruktur gegen Bezahlung auch Dritten zur Verfügung stellt und seit Juli 2021 Unternehmen weltweit ins Visier nimmt.

Die eigentliche Schadsoftware, die für die Verschlüsselung der Opfer-Daten eingesetzt wird, wurde 2021 neu programmiert, und zwar in Googles Programmiersprache Go, die Sicherheitsforschern die Abwehrmassnahmen erschwert.

Aufschlussreiches Detail: Wenn die Windows-Malware gestartet wird, überprüft sie zunächst die Systemsprache des Opfers. Bei folgenden Spracheinstellungen beendet sie sich, ohne eine Dateiverschlüsselung durchzuführen:

  • Russisch
  • Ukrainisch
  • Belarussisch
  • Tadschikisch
  • Armenisch
  • Aserbaidschanisch
  • Georgisch
  • Kasachisch
  • Turkmenisch
  • Usbekisch

Ein amerikanischer IT-Sicherheitsexperte sagte im Februar zu Techcrunch, dass alle Anzeichen darauf hindeuteten, dass BlackByte in Russland ansässig sei. Allerdings könnten Kriminelle rund um den Globus auf die Infrastruktur der Bande zugreifen – natürlich gegen «Gewinnbeteiligung».

Das American-Football-Profiteam der San Francisco 49ers war im vergangenen Februar, kurz vor dem Endspiel, dem Super Bowl, gehackt worden. BlackByte veröffentlichte in der Folge allerdings nur wenige Megabyte an gestohlenen Daten.

Tage davor hatten das FBI und der Secret Service (USSS) in einer gemeinsamen Mitteilung wegen Attacken auf die Betreiber von kritischer Infrastruktur gewarnt.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Ransomware – Angriff der Verschlüsselungstrojaner

1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
quelle: screenshot: youtube
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Ehemalige Facebook-Mitarbeiterin enthüllt Geheimnisse

Video: watson

Das könnte dich auch noch interessieren:

5 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5
Klimaaktivisten besetzen Basler Gymi – Klima soll Schulstoff werden

Heute ist das ehrwürdige Gymnasium Münsterplatz in der Hand von Klimaaktivisten. Denn das Kollektiv «Erde brennt» und End Fossil Basel – ein Schweizer Ableger der internationalen Bewegung End Fossil – haben die Aula der Schule besetzt. «Unseri Schuele» ist ihr Motto.

Zur Story