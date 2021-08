Die Ransomware-Gruppe «Vice Society» hat am Genfersee zugeschlagen. Die bislang vorliegenden Informationen lassen auf einen ungewöhnlichen Fall schliessen. bild: watson

Schweizer Gemeinde wird gehackt, merkt nichts – Gigabyte an Daten im Darknet verfügbar

Mysteriöser Ransomware-Fall am Genfersee: Der Waadtländer Gemeinde Rolle wurden Gigabyte an Daten gestohlen und im Darknet veröffentlicht. Doch auf der Stadtverwaltung wusste man angeblich von nichts.

Die Gemeinde Rolle VD, idyllisch am Genfersee gelegen, ist von einem massiven Daten-Leak betroffen. Kriminelle haben eine grosse Menge interner und vertraulicher Dokumente im Darknet veröffentlicht, wie Recherchen von watson zeigen.

Die illegale Veröffentlichung der Dateien geht auf das Konto einer relativ jungen Internet-Erpresserbande namens Vice Society zurück. Es handelt sich gemäss den bisherigen Recherchen um eine versuchte Ransomware-Attacke.

Unbemerkter Angriff

Allerdings sind die Hintergründe unklar. Der Datendiebstahl erfolgte gemäss den watson vorliegenden Informationen Ende Ende Juni, jedenfalls lassen Zeitstempel der im Darknet veröffentlichten Dateien darauf schliessen. Doch in der Folge traf auf der Stadtverwaltung in Rolle kein Erpresserschreiben ein. Und es blieb auch sonst verdächtig ruhig.

Der Leiter der Verwaltung, Julien Bocquet, wusste am Donnerstag nichts von einem Angriff, als ihn watson auf die im Darknet verfügbaren Dokumente hinwies.

Der für die Stadtverwaltung verantwortliche Manager wollte darüber hinaus keine Fragen beantworten.

«Hiermit teile ich Ihnen mit, dass die Stadtverwaltung keine Stellungnahme abgeben wird.» Julien Bocquet, Chef der Verwaltung

Wie schlimm ist es?

Das ist nicht bekannt.

Vermutlich konnten die Kriminellen während längerer Zeit auf einen Server der Gemeinde zugreifen und unbemerkt Gigabyte um Gigabyte extrahieren.

Unter den im Darknet veröffentlichten Dokumenten finden sich die Outlook-Postfächer des früheren Stadtpräsidenten und des Verwaltungschefs, aber auch Dokumente zur Finanzplanung der Gemeinde am Genfersee.

Die im Darknet zugänglichen Datei-Verzeichnisse. Offenbar sind Outlook-Postfächer städtischer Angestellter und von Politikerinnen und Politikern zugänglich. screenshot: watson

Wer sind die Kriminellen?

«Vice Society» ist eine erst seit wenigen Monaten aktive Ransomware-Gruppe, die bereits Unternehmen und Organisationen auf mehreren Kontinenten attackiert hat.

Die Gruppe habe es auch auf öffentliche Schulen und andere Bildungseinrichtungen abgesehen, warnen die Sicherheitsforscher von Cisco Talos in einem aktuellen Bericht.

Da es sich um einen neuen Akteur in diesem Bereich handle, seien die Angriffsmethoden und Vorgehensweisen der Vice Society schwer zu quantifizieren. Bisherige Beobachtungen nach Zwischenfällen zeigten jedoch, dass sie schnell neue IT-Schwachstellen ausnutzten, um «sich seitlich zu bewegen und im Netzwerk eines Opfers zu verbleiben».

Das jüngste bekannte Opfer der Internet-Kriminellen: ein Spital im südfranzösischen Arles. Am Donnerstag bestätigte der Direktor des 450-Betten-Krankenhauses den Angriff, der sein Unternehmen mitten in einer heftigen Covid-Welle getroffen habe. Medizinisches Fachpersonal habe keinen Zugang zu Patientendossiers und die für die Lohnabrechnung benötigte Personalsoftware sei ausser Gefecht.

Wie gehen die Angreifer vor?

Das ist im vorliegenden Fall in Rolle VD noch nicht bekannt. Die Gemeinde dürfte eine interne Untersuchung gestartet haben. Fragen werden vorläufig keine beantwortet.

In der Regel beschaffen sich Ransomeware-Gruppen jeweils über Phishing-Operationen Login-Daten von ahnungslosen Opfern. Damit dringen sie in fremde Computernetzwerk ein und nutzen laut neusten Berichten eine derzeit sehr beliebte Windows-Schwachstelle namens «PrintNightmare» aus, um ihre Schadprogramme im Netzwerk zu verteilen.

Ob auch der Server der Gemeindeverwaltung von Rolle dank dieser Schwachstelle ausspioniert und geplündert werden konnte, ist nicht bekannt, das erscheint aber naheliegend.

Informationen über die Windows-Schwachstelle wurden Anfang Juni durch Sicherheitsforscher versehentlich publik gemacht. Anfang Juli veröffentlichte Microsoft Updates, um die Lücke in seinen Betriebssystemen zu schliessen.

Was war in Rolle anders?

In der Regel schaffen es die Ransomware-Gruppen, nach dem Eindringen in einen fremden Rechner heimlich ihre Zugriffsrechte auf Systemebene zu erhöhen und verbreiten dann die Ransomware im gesamten Netzwerk des Opfers.

Nach der Phase des Ausspionierens und Datendiebstahl führen sie den Angriff übers Internet zu Ende, indem sie lokale Dateien, bzw. Verzeichnisse, verschlüsseln und unlesbar machen. Dies war in Rolle gemäss den watson vorliegenden Informationen nicht der Fall. Warum, ist unklar.

Hatten die Westschweizer Glück im Unglück? Fakt ist, dass interne Dokumente und vermutlich auch vertrauliche Informationen im Darknet zugänglich sind. Das ganze Ausmass des Daten-Leaks lässt sich vorläufig weder einschätzen, noch der Schaden beziffern. Es ist auch nicht bekannt, wann und ob die Verantwortlichen die Bevölkerung informieren wollen.

Die an den Genfersee grenzende Gemeinde mit dem historischen Städtchen zählt über 6200 Einwohnerinnen und Einwohner. Für Schlagzeilen sorgt immer wieder das Institut Le Rosey – laut Medienberichten die teuerste Privatschule der Welt. Wirtschaftlichen Auftrieb erlebte die Waadtländer Gemeinde in den vergangenen Jahren wegen mehrerer zugezogener Konzerne. So haben unter anderem Yahoo und Nissan dort ihr Europa-Hauptquartier. Im Jahr 2020 beliefen sich die unerwartet hohen Steuereinnahmen in Zusammenhang mit juristischen Personen auf über 94 Millionen Franken.