Digital
Schweiz

Ransomware: Das steckt hinter dem Hackerangriff auf Comparis.ch

Russian hacker hacking the server in the dark
Der Schweizer Internet-Vergleichsdienst nimmt zu einer Ransomware-Attacke Stellung. Die Angreifer gehören einer kaum bekannten, aggressiv auftretenden Bande an.Bild: Shutterstock

«Bezahlen oder Leiden» – das steckt hinter dem Hackerangriff auf Comparis.ch

Internet-Kriminelle haben den Schweizer Vergleichsdienst infiltriert, Daten gestohlen und verschlüsselt. Die gleiche Gruppe zeichnet für den ersten «Cyber-Katastrophenfall» Deutschlands verantwortlich.
15.07.2021, 17:2505.11.2021, 09:38
Mehr «Digital»
«Leider müssen wir momentan mit allem rechnen.»
Comparis-Sprecherin

Was haben der ostdeutsche Landkreis Anhalt-Bitterfeld und der Schweizer Internet-Vergleichsdienst Comparis gemeinsam? Beide sind Opfer einer relativ neuen Bande von Internet-Erpressern geworden. Ihr Name: «Grief» (auf Deutsch Leid, Trauer). Die unbekannten Kriminellen drangen unbemerkt in die IT-Systeme der betroffenen Organisationen ein, spionierten sie aus und schlugen zu. Das heisst, sie stahlen Dateien und verschlüsselten die Originale.

Die Verantwortlichen in Ostdeutschland sahen sich gezwungen, den ersten «Cyber-Katastrophenfall» auszurufen. Und die Comparis-Dienste waren länger nicht verfügbar.

Allerdings blieb es nicht beim Verschlüsseln der Daten, wie watson-Recherchen zeigen. Gestohlene Firmendokumente sind nun über eine Darknet-Webseite abrufbar (dazu unten mehr).

watson hat bei Comparis nachgefragt.

Comparis nimmt Stellung

Wie reagiert Comparis auf die Veröffentlichung der gestohlenen Daten auf einer Darknet-Webseite?

Dazu schreibt Andrea Auer, Co-Lead Research & Media Relations:

«Bei den von Ihnen erwähnten Daten handelt es sich um interne Unternehmensdaten. Kundenrelevante Daten sind davon nicht betroffen. Wir haben bereits vorab reagiert, indem wir alle unsere Nutzer transparent über eine mögliche Entwendung von Daten informiert haben. Welche Daten die Hacker tatsächlich haben, können wir nicht mit Sicherheit sagen. Dies ist Gegenstand der weiteren Abklärungen und der Zusammenarbeit mit den Ermittlungsbehörden.»

Ist zu befürchten, dass es zu weiteren Veröffentlichungen kommt? Was kann Comparis zum Umfang des Datendiebstahls sagen?

«Leider müssen wir momentan mit allem rechnen. Basierend auf Empfehlungen der Kantonspolizei und Cybersecurity-Experten können wir zum Umfang des Diebstahls keine detaillierten Antworten geben.»

Warum wurde erst relativ spät kommuniziert, dass Kundendaten betroffen sind?

«Wir haben nach dem Angriff die Öffentlichkeit zeitnah informiert und haben einen Tag später auch gleich ein Update mit den neusten Erkenntnissen zum Fall veröffentlicht, inklusive dem Hinweis auf einen möglichen Zugang zu kundenrelevanten Daten durch die Hacker.

Die aktuellsten Erkenntnisse haben komplexe und langwierige Analysen erfordert. Zudem haben wir uns mit der Kantonspolizei Zürich zur weiteren Vorgehensweise abgestimmt. Sobald wir dazu in der Lage waren, haben wir informiert. Wir bedauern die durch den Angriff verursachten Unannehmlichkeiten sehr und bitten um Entschuldigung.»

Die Zürcher Kantonspolizei schreibt von einem «organisierten Cyber-Angriff», der «mit hoher krimineller Energie durchgeführt worden» sei. Welche Erkenntnisse liegen zur Angriffsmethode inzwischen vor? Wie konnten die Kriminellen in das Firmen-Netzwerk eindringen?

«Aus sicherheitstechnischen Gründen können wir hierzu keine Auskunft geben.»

Per E-Mail wurden Comparis-Nutzer gestern Abend aufgefordert, dringend ihr Passwort zu ändern. Waren die Passwörter auf dem Comparis-Server im Klartext gespeichert?

«Passwörter sind verschlüsselt gespeichert. Es handelt sich hier um eine reine Vorsichtsmassnahme und übliche Empfehlung in solchen Fällen.»

* Die Fragen wurden per E-Mail beantwortet.

Wer sind die Angreifer?

Eine relativ neue Gruppierung namens «Grief». Die unbekannten Kriminellen traten in diesem Frühjahr erstmals mit Ransomware-Attacken auf Firmen in Erscheinung.

Gemäss einem Bericht der IT-Sicherheitsfirma Tetra Defense agieren die Internet-Erpresser auffallend aggressiv, um ihre Opfer einzuschüchtern und zum Zahlen zu bewegen.

«Jetzt definieren wir die Regeln des Spiels, scheiss auf Rabatte, scheiss auf Verhandlungen, scheiss auf Zeitverschwendung ... Bezahlen oder Leiden. Dies ist unser Statement»
Früheres Statement der Internet-Erpresser

Ende Mai behauptete diese Gruppe, sie sei «die neue Generation» von Ransomware-Akteuren, die sich weder auf Rabatte, noch auf langwierige Verhandlungen einlasse.

In dem Bericht von Tetra Defense heisst es: Die Gruppe beginne 6 bis 7 Tage nach der ersten Verschlüsselung des IT-Systems des Opfers mit der Freigabe von Daten, wenn die Lösegeldforderung nicht erfüllt wurde. Dies habe eine Analyse der bislang vorliegenden Informationen ergeben.

Die Verschlüsselungs-Attacke auf das Comparis-Netzwerk erfolgte am 7. Juli. Am 8. Juli liess das Unternehmen über einen Sprecher verlauten, es habe kein Lösegeld bezahlt und werde auch keines bezahlen.

Weitere fünf Tage später veröffentlichten die Internet-Erpresser auf ihrer Darknet-Webseite, die nur verschlüsselt über den Tor-Browser aufgerufen werden kann, einen Blog-Beitrag zu Comparis. Da findet sich auch ein Link zu einer angeblich rund 87 Megabyte (MB) grossen Datei im ZIP-Format.

Gemäss Zeitangabe auf der Darknet-Webseite erfolgte die Veröffentlichung am 12. Juli 2021.
Gemäss Zeitangabe auf der Darknet-Webseite erfolgte die Veröffentlichung am 12. Juli 2021.screenshot: watson

Die Comparis-Dienste waren wenige Tage nach der Attacke wieder normal verfügbar. Da traf es die Verwaltung des Landkreises in Sachsen-Anhalt schlimmer. Die Ostdeutschen müssen ihre Dienstleistungen zuhanden der Bürger für zwei Wochen weitgehend einstellen. Dies, nachdem Grief am 6. Juli attackiert hatte. Eine von den Internet-Erpressern im Darknet bereitgestellte Datei umfasst über 200 MB Daten.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Die geilsten Pools, die du derzeit im Internet finden kannst
1 / 25
Die geilsten Pools, die du derzeit im Internet finden kannst
Auf Facebook teilenAuf X teilen
Wenn Google Schweizer Memes vorliest ...
Video: watson
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
60 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
chrimark
15.07.2021 18:18registriert November 2016
Immerhin weiss ich nun, dass Comparis e-mail Adressen und Profile nicht löscht, wenn man sie "löscht" und Newsletter abbestellt. 😠
1254
Melden
Zum Kommentar
avatar
Booker
15.07.2021 17:39registriert September 2016
Nur nicht bezahlen! Auch nicht unter Druck setzen lassen. Und wenn halt Kundendaten dabei sind – so what – so vertraulich sind diese Daten nicht.
7312
Melden
Zum Kommentar
avatar
mi.geo
15.07.2021 17:40registriert Juni 2014
"Aus sicherheitstechnischen Gründen können wir hierzu keine Auskunft geben".

Es wäre der Sicherheit wohl dienlicher, wenn man wüsste, wo die Schwachstelle war. 🤷‍♂️
6012
Melden
Zum Kommentar
60
Wallis verbietet Werbung für pflanzliche Fleischersatz-Produkte

Der Walliser grosse Rat hat am Mittwoch eine Motion angenommen, die Werbung für pflanzliche Lebensmittel, die Namen von typischen Fleischwaren tragen, verbieten will. Dies berichtete «le matin» am Mittwochabend.

Zur Story