Was haben die San Francisco 49ers und der Schweizer Logistikkonzern M+R Spedag Group gemeinsam?
Sie sind beide von «BlackByte» gehackt worden.
Das ganze Ausmass der Cyberattacke lässt sich derzeit noch nicht abschätzen. Auf der in düsteren Farben gehaltenen «Leak-Site» der kriminellen Bande prangt ein Countdown, der am Mittwochabend noch 15 Tage anzeigte.
BlackByte gehört zum Kreis der skrupellosen Ransomware-Banden, die in IT-Systeme westlicher Unternehmen eindringen, wertvolle Daten unbemerkt stehlen und schliesslich mit eigener Malware die Verschlüsselung starten.
Die M + R Spedag Group AG ist ein international tätiger Speditions- und Logistikkonzern. Gemäss eigenen Angaben hat sie 2000 Mitarbeitende und 82 Niederlassungen.
Das Unternehmen mit Hauptsitz in Muttenz BL hat den Hackerangriff gegenüber watson bestätigt.
Zunächst hatte das Schweizer IT-Newsportal inside-it.ch am Mittwoch über den Vorfall berichtet.
Bernadette Jourdan, Leiterin PR und Kommunikation, erklärte am Mittwoch auf Anfrage, dass die Kunden und Partner «seit vergangenem Wochenende» informiert worden seien. «Das Schadenpotenzial erachten wir als gering.»
Eine übliche Folge solcher Ransomware-Attacken: Die kriminellen Angreifer versuchen, ihr Opfer zum Bezahlen einer beträchtlichen Lösegeldsumme zu bringen. Dazu setzen sie die Verantwortlichen unter Druck, indem sie mit der Veröffentlichung der erbeuteten Daten im Darknet drohen.
Auf der sogenannten Leak-Site von BlackByte, die über das Anonymisierungs-Netzwerk TOR erreichbar ist, findet sich ein entsprechender Link, der wiederum zu einem auf anonyme Downloads spezialisierten Filehoster führt. Dabei handelt es sich um rund 8 Gigabyte an Firmendokumenten der M+R Spedag Group.
watson konnte die geleakten Daten einsehen. Es ist eine Vielzahl älterer und relativ neuer Dateien, darunter interne Abrechnungen, aber auch Offerten und andere Unterlagen, die sich auf zahlreiche Geschäftskunden beziehen.
Am Donnerstag, 21. April, um 16:09 Uhr wurden die Verantwortlichen der M + R Spedag Group auf den Angriff aufmerksam. Betroffen war nur «die Organisationseinheit in der Schweiz», heisst es. Und bereits am nächsten Morgen sei man «wieder vollumfänglich operativ tätig» gewesen.
Wie die Hacker in das fremde Netzwerk eindrangen, ist nicht bekannt. Die Sprecherin erklärte, eine entsprechende Sicherheitslücke sei geschlossen und die Endgeräte seien innert 48 Stunden ausgetauscht worden. «Zusammen mit der Swisscom wurden zusätzliche Massnahmen getroffen.»
In der Vergangenheit hatte BlackByte mehrere nicht gepatchte Schwachstellen in der Microsoft-Software Exchange Server ausgenutzt, um in fremde Computer einzudringen.
Wie der CEO, Boris Lukic, gegenüber watson bestätigt, sei bislang keine Lösegeldforderung eingegangen. Möglich, dass sich dies vor Ablauf des Ultimatums ändert.
Der Geschäftsführer des Logistikkonzerns betont, dass sich die relativ umfangreichen Vorbereitungen auf einen möglichen Cyberangriff gelohnt hätten und er ermuntert andere IT-Verantwortliche, Vorkehrungen zu treffen.
Die Spuren führen nach Russland (siehe unten).
Welche Personen hinter BlackByte stecken, ist nicht bekannt. Sicher ist: Es handelt sich um eine Ransomware-as-a-Service-Gruppe, die ihre Angriffswerkzeuge und Infrastruktur gegen Bezahlung auch Dritten zur Verfügung stellt und seit Juli 2021 Unternehmen weltweit ins Visier nimmt.
Die eigentliche Schadsoftware, die für die Verschlüsselung der Opfer-Daten eingesetzt wird, wurde 2021 neu programmiert, und zwar in Googles Programmiersprache Go, die Sicherheitsforschern die Abwehrmassnahmen erschwert.
Aufschlussreiches Detail: Wenn die Windows-Malware gestartet wird, überprüft sie zunächst die Systemsprache des Opfers. Bei folgenden Spracheinstellungen beendet sie sich, ohne eine Dateiverschlüsselung durchzuführen:
Ein amerikanischer IT-Sicherheitsexperte sagte im Februar zu Techcrunch, dass alle Anzeichen darauf hindeuteten, dass BlackByte in Russland ansässig sei. Allerdings könnten Kriminelle rund um den Globus auf die Infrastruktur der Bande zugreifen – natürlich gegen «Gewinnbeteiligung».
Das American-Football-Profiteam der San Francisco 49ers war im vergangenen Februar, kurz vor dem Endspiel, dem Super Bowl, gehackt worden. BlackByte veröffentlichte in der Folge allerdings nur wenige Megabyte an gestohlenen Daten.
Tage davor hatten das FBI und der Secret Service (USSS) in einer gemeinsamen Mitteilung wegen Attacken auf die Betreiber von kritischer Infrastruktur gewarnt.
