Aufstrebende Ransomware-Bande attackiert Schweizer Software-Firma

9. September 2024 um 08:23
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Erst kürzlich warnten Sicherheitsbehörden eindringlich vor Ransomhub. Zu deren ersten Opfern in der Schweiz gehört Schneider Software. Die Thuner Firma schildert den Angriff.

Im Februar 2024 trat die Ransomware-Bande Ransomhub erstmals in Erscheinung. Seither hat die Gruppe, die mit dem Ransomware-as-a-Service-Modell (RaaS) arbeitet, ihre Aktivitäten stark ausgeweitet. In den letzten drei Monaten hat sie bei der Zahl der Cyberangriffe die berüchtigte Lockbit-Bande deutlich überholt.
Ende August warnten das FBI und die US-Cybersicherheitsbehörde Cisa eindringlich vor Ransomhub. Die Gruppe habe sich als "effizientes und erfolgreiches Servicemodell" etabliert und ziehe Affiliates von prominenten Banden wie Lockbit und Alphv an. "Seit der Gründung im Februar hat Ransomhub Daten von mindestens 210 Opfern verschlüsselt und exfiltriert", heisst es im Alert.

Mindestens drei Opfer in der Schweiz

Zu diesen gehören bereits mindestens drei Opfer in der Schweiz, die Ransomhub publiziert hat. Eine Innenarchitektur-Firma aus der Romandie, eine Industriefirma aus dem Kanton Zürich sowie als neuestes Opfer Schneider Software. Das 1987 gegründete Unternehmen aus Thun entwickelt WinBau, eine Administrationssoftware für das Bauwesen, und hat weitere Lösungen spezifisch für diese Branche im Angebot. Über 60 Mitarbeitende sind am Hauptsitz und am zweiten Standort in Zürich beschäftigt.
"Wir waren leider am 17./18. August von einer Cyberattacke betroffen", bestätigt das Unternehmen den Angriff nach unserer Anfrage. Dieser sei sofort bemerkt worden und über eine Sicherheitslücke erfolgt. Daten seien verschlüsselt worden. "Wir waren mehrere Tage weder telefonisch noch per E-Mail erreichbar. Unsere Mitarbeitenden haben einen Mehraufwand, um alles wieder einzurichten." Auch die Softwareentwicklung und die Betreuung der Kunden sei eingeschränkt worden.

Grosses Datenpaket gestohlen

Inzwischen könne man wieder normal arbeiten. "Wir konnten die Sicherheitslücke ausfindig machen und zeitnah schliessen. Wir haben unsere Systeme neu aufgesetzt", schreibt Schneider Software. Ransomhub hat auch Daten entwendet und im Darknet ein grösseres Datenpaket hochgeladen. Darin sollen sich 300 Gigabyte an Geschäftsunterlagen, Daten zu Mitarbeitenden und Kunden sowie technische Informationen befinden.
"Es wurde ein Teil unserer Daten entwendet", bestätigt das Unternehmen den Diebstahl gegenüber inside-it.ch. Man habe die nötigen Stellen über den Vorfall informiert. "Wir arbeiten gemeinsam mit den von uns eingesetzten Forensikern, unserer Anwaltskanzlei und mit den Behörden zusammen, um den Vorgang schnellstmöglich aufzuklären." Ransomhub habe mit der Firma Kontakt aufgenommen. "Es wurde Lösegeld gefordert, welches wir nicht bezahlt haben", betont Schneider Software.

Loading

Mehr zum Thema

image

Crowdstrike-Desaster, Ransomware-Angriffe und ein Datenleck im Sport

Ein fehlerhaftes Crowdstrike-Update, Cyberangriffe auf Schweizer IT-Firmen, ein Breach bei Datasport: Das sorgte im letzten Jahr für Aufmerksamkeit im Bereich Cybersecurity.

publiziert am 30.12.2024
image

Kistler Gruppe auf SAP S/4Hana migriert

Der Winterthurer Industriekonzern setzt seit Jahren auf das ERP des Weltmarktführers. Beim Wechsel auf die neue Version half das Beratungsunternehmen Wavestone.

publiziert am 20.12.2024
image

Vidymed leidet weiterhin unter Folgen des Cyberangriffs

Die Waadtländer Praxisgruppe wurde vor mehr als einer Woche attackiert. Krankenakten können immer noch nicht eingesehen werden.

publiziert am 20.12.2024
image

Medion: Es ist wohl doch ein Hack

Die Ransomware-Bande Black Basta droht mit der Veröffentlichung von Daten, darunter auch Daten aus der Schweiz. Medion spricht aber weiterhin nur von einer IT-Störung.

publiziert am 19.12.2024