Was haben der ostdeutsche Landkreis Anhalt-Bitterfeld und der Schweizer Internet-Vergleichsdienst Comparis gemeinsam? Beide sind Opfer einer relativ neuen Bande von Internet-Erpressern geworden. Ihr Name: «Grief» (auf Deutsch Leid, Trauer). Die unbekannten Kriminellen drangen unbemerkt in die IT-Systeme der betroffenen Organisationen ein, spionierten sie aus und schlugen zu. Das heisst, sie stahlen Dateien und verschlüsselten die Originale.
Die Verantwortlichen in Ostdeutschland sahen sich gezwungen, den ersten «Cyber-Katastrophenfall» auszurufen. Und die Comparis-Dienste waren länger nicht verfügbar.
Allerdings blieb es nicht beim Verschlüsseln der Daten, wie watson-Recherchen zeigen. Gestohlene Firmendokumente sind nun über eine Darknet-Webseite abrufbar (dazu unten mehr).
watson hat bei Comparis nachgefragt.
Wie reagiert Comparis auf die Veröffentlichung der gestohlenen Daten auf einer Darknet-Webseite?
Dazu schreibt Andrea Auer, Co-Lead Research & Media Relations:
Ist zu befürchten, dass es zu weiteren Veröffentlichungen kommt? Was kann Comparis zum Umfang des Datendiebstahls sagen?
Warum wurde erst relativ spät kommuniziert, dass Kundendaten betroffen sind?
Die Zürcher Kantonspolizei schreibt von einem «organisierten Cyber-Angriff», der «mit hoher krimineller Energie durchgeführt worden» sei. Welche Erkenntnisse liegen zur Angriffsmethode inzwischen vor? Wie konnten die Kriminellen in das Firmen-Netzwerk eindringen?
Per E-Mail wurden Comparis-Nutzer gestern Abend aufgefordert, dringend ihr Passwort zu ändern. Waren die Passwörter auf dem Comparis-Server im Klartext gespeichert?
* Die Fragen wurden per E-Mail beantwortet.
Eine relativ neue Gruppierung namens «Grief». Die unbekannten Kriminellen traten in diesem Frühjahr erstmals mit Ransomware-Attacken auf Firmen in Erscheinung.
Gemäss einem Bericht der IT-Sicherheitsfirma Tetra Defense agieren die Internet-Erpresser auffallend aggressiv, um ihre Opfer einzuschüchtern und zum Zahlen zu bewegen.
Ende Mai behauptete diese Gruppe, sie sei «die neue Generation» von Ransomware-Akteuren, die sich weder auf Rabatte, noch auf langwierige Verhandlungen einlasse.
In dem Bericht von Tetra Defense heisst es: Die Gruppe beginne 6 bis 7 Tage nach der ersten Verschlüsselung des IT-Systems des Opfers mit der Freigabe von Daten, wenn die Lösegeldforderung nicht erfüllt wurde. Dies habe eine Analyse der bislang vorliegenden Informationen ergeben.
Die Verschlüsselungs-Attacke auf das Comparis-Netzwerk erfolgte am 7. Juli. Am 8. Juli liess das Unternehmen über einen Sprecher verlauten, es habe kein Lösegeld bezahlt und werde auch keines bezahlen.
Weitere fünf Tage später veröffentlichten die Internet-Erpresser auf ihrer Darknet-Webseite, die nur verschlüsselt über den Tor-Browser aufgerufen werden kann, einen Blog-Beitrag zu Comparis. Da findet sich auch ein Link zu einer angeblich rund 87 Megabyte (MB) grossen Datei im ZIP-Format.
Die Comparis-Dienste waren wenige Tage nach der Attacke wieder normal verfügbar. Da traf es die Verwaltung des Landkreises in Sachsen-Anhalt schlimmer. Die Ostdeutschen müssen ihre Dienstleistungen zuhanden der Bürger für zwei Wochen weitgehend einstellen. Dies, nachdem Grief am 6. Juli attackiert hatte. Eine von den Internet-Erpressern im Darknet bereitgestellte Datei umfasst über 200 MB Daten.
Es wäre der Sicherheit wohl dienlicher, wenn man wüsste, wo die Schwachstelle war. 🤷♂️