Im Februar 2024 trat die Ransomware-Bande Ransomhub erstmals in Erscheinung. Seither hat die Gruppe, die mit dem Ransomware-as-a-Service-Modell (RaaS) arbeitet, ihre Aktivitäten stark ausgeweitet. In den letzten drei Monaten hat sie bei der Zahl der Cyberangriffe die berüchtigte Lockbit-Bande deutlich überholt.
Ende August warnten das FBI und die US-Cybersicherheitsbehörde Cisa eindringlich vor Ransomhub. Die Gruppe habe sich als "effizientes und erfolgreiches Servicemodell" etabliert und ziehe Affiliates von prominenten Banden wie Lockbit und Alphv an. "Seit der Gründung im Februar hat Ransomhub Daten von mindestens 210 Opfern verschlüsselt und exfiltriert", heisst es
im Alert.Mindestens drei Opfer in der Schweiz
Zu diesen gehören bereits mindestens drei Opfer in der Schweiz, die Ransomhub publiziert hat. Eine Innenarchitektur-Firma aus der Romandie, eine Industriefirma aus dem Kanton Zürich sowie als neuestes Opfer Schneider Software. Das 1987 gegründete Unternehmen aus Thun entwickelt WinBau, eine Administrationssoftware für das Bauwesen, und hat weitere Lösungen spezifisch für diese Branche im Angebot. Über 60 Mitarbeitende sind am Hauptsitz und am zweiten Standort in Zürich beschäftigt.
"Wir waren leider am 17./18. August von einer Cyberattacke betroffen", bestätigt das Unternehmen den Angriff nach unserer Anfrage. Dieser sei sofort bemerkt worden und über eine Sicherheitslücke erfolgt. Daten seien verschlüsselt worden. "Wir waren mehrere Tage weder telefonisch noch per E-Mail erreichbar. Unsere Mitarbeitenden haben einen Mehraufwand, um alles wieder einzurichten." Auch die Softwareentwicklung und die Betreuung der Kunden sei eingeschränkt worden.
Grosses Datenpaket gestohlen
Inzwischen könne man wieder normal arbeiten. "Wir konnten die Sicherheitslücke ausfindig machen und zeitnah schliessen. Wir haben unsere Systeme neu aufgesetzt", schreibt Schneider Software. Ransomhub hat auch Daten entwendet und im Darknet ein grösseres Datenpaket hochgeladen. Darin sollen sich 300 Gigabyte an Geschäftsunterlagen, Daten zu Mitarbeitenden und Kunden sowie technische Informationen befinden.
"Es wurde ein Teil unserer Daten entwendet", bestätigt das Unternehmen den Diebstahl gegenüber inside-it.ch. Man habe die nötigen Stellen über den Vorfall informiert. "Wir arbeiten gemeinsam mit den von uns eingesetzten Forensikern, unserer Anwaltskanzlei und mit den Behörden zusammen, um den Vorgang schnellstmöglich aufzuklären." Ransomhub habe mit der Firma Kontakt aufgenommen. "Es wurde Lösegeld gefordert, welches wir nicht bezahlt haben", betont Schneider Software.