Das VBS untersucht die Ruag-Lösegeldzahlung
Der Cyberangriff auf die US-Tochtergesellschaft des bundeseigenen Rüstungskonzerns Ruag und das anschliessend an die Hacker gezahlte Lösegeld werden vom Eidgenössischen Departement für Verteidigung (VBS) untersucht. Das teilte der Bundesrat am Montag mit.
Die Ransomware-Bande Akira hatte im vergangenen Herbst die IT-Systeme der Tochtergesellschaft Ruag LLC im US-Bundesstaat Virginia angegriffen. Dabei wurden Daten gestohlen, woraufhin die Hacker drohten, diese im Darknet zu veröffentlichen, und Lösegeld forderten.
Gegen Empfehlung der eigenen Sicherheitsfachleute gehandelt
In einer gemeinsamen Antwort an sieben Nationalräte schreibt die Schweizer Regierung nun, dass die konkreten Umstände des Vorfalls sowie die Zahlung des Lösegeldes derzeit vom VBS mit Unterstützung von Ruag untersucht werden. Das VBS werde anschliessend die parlamentarischen Aufsichtskommissionen darüber informieren.
Der Bundesrat schreibt auch, er halte an der Empfehlung des Bundesamtes für Cybersicherheit (Bacs) fest, bei einem Vorfall mit Ransomware den Lösegeldforderungen nicht nachzukommen. Das Bacs betont, dass diese Gelder kriminelle Aktivitäten finanzieren.
Das dem Bund gehörende Rüstungsunternehmen Ruag habe «einen kleinen Betrag» gezahlt, hatte Verwaltungsratspräsident Jürg Rötheli Anfang des Monats im Schweizer Radio SRF erklärt. Eine genaue Summe nannte er nicht. Das Unternehmen habe so alle Daten zurückerhalten.
Spuren nach Russland
Die Ruag LLC beschäftigt acht Mitarbeiter. Sie dient als Verbindungsbüro zu US-amerikanischen Partnern und liefert insbesondere Ersatzteile für Kampfflugzeuge. Zudem erbringt sie Wartungsdienstleistungen. Ruag hatte erklärt, dass die US-Tochtergesellschaft über eigenständige IT-Systeme verfüge, wodurch die Auswirkungen des Angriffs auf den Rest des Konzerns begrenzt seien.
Die russischsprachige Ransomware-Bande Akira agiert im Einflussbereich des russischen Staates und attackiert vornehmlich Ziele in Europa und Nordamerika. Die bei den Erpressungsfällen verwendete Infrastruktur wurde über Jahre von früheren Mitgliedern der russischsprachigen Ransomware-Gruppe Conti betrieben, wie watson berichtete.
Zudem wurde durch IT-Sicherheitsforscher nachgewiesen, dass Führungskräfte der Gruppe wahrscheinlich direkte Kontakte zu Offizieren des russischen Inlandsgeheimdienstes FSB unterhielten. Es wurde dokumentiert, dass Kriminelle Büroräume in Russland nutzten. Und sie stellten ihre Cyber-Fähigkeiten auch dem russischen Staat zur Verfügung
(sda)
