Nach Ransomware-Befall: So reagiert der Zürcher Finanzdienstleister Aquila

17. Januar 2022, 09:31
  • security
  • cyberangriff
  • ransomware
  • finanzindustrie
image

Bis zu sechs Wochen könnten die Aufräumarbeiten dauern, inklusive Aufbau eines neuen Systems. Aquila-CEO Vivien Jain gewährt exklusive Einblicke in die Massnahmen.

Noch im alten Jahr war die Vermögensverwaltungs-Gruppe Aquila gehackt worden. In der Woche vor Weihnachten hatten Kriminelle ihre Verschlüsselungssoftware im System des Unternehmens aktiviert: Betroffen war die Dienstleistungsplattform, auf der Aquila rund 80 Schweizer Vermögensverwalter bedient.
In der Folge des Angriffs, der am 21. Dezember 2021 bemerkt wurde, fuhr Aquila  seine Systeme aus Sicherheitsgründen umgehend herunter. Auch der E-Mail-Verkehr funktionierte rund um den Jahreswechsel im Stammhaus nicht mehr. Die Vermögensverwalter konnten in dieser Zeit jedoch weiterarbeiten und auch auf ihre E-Mails zugreifen, hatten aber keinen Zugriff auf ihre im System hinterlegten Daten.

Bank von Aquila war nicht betroffen

Nicht betroffen vom Angriff waren die Bank der Gruppe sowie das PMS/CRM-Tool von Aquila: E-Banking, Asset-Management und andere Dienstleistungen waren somit zu jedem Zeitpunkt möglich. Als Inhaber einer Banklizenz hat Aquila aber die Finma über den Cyberangriff informiert und die Strafverfolgungsbehörden eingeschaltet.
Auf Anfrage von inside-it.ch sagt Aquila-Chefin Vivien Jain nun, dass man gezielt und mit mehreren Tools angegriffen worden sei. Von der APT-Attacke seien die Office-Systeme und administrative Applikationen betroffen, aber auch alle virtuellen Server und Desktops seien verschlüsselt worden. "Das Corebanking-System war – wegen der konsequenten Abschottung – zu keinem Zeitpunkt bedroht", erklärt Jain.

Angriff über Remote-Access-Tool

Man habe umgehend die Systeme heruntergefahren und Security-Spezialisten eingeschaltet. Die Analyse- und Aufräumarbeiten in Zusammenarbeit mit Experten dauern bis heute an. Der Angriffsvektor wurde mittlerweile eruiert: Die Hacker konnten dank einer gestohlenen Identität über ein Remote-Access-Tool ins System eindringen.
Erst sollten die alten Systeme nach der Bereinigung wieder hochgefahren werden. Dies habe man aber sofort aus Sicherheitsgründen verworfen, sagt Jain. Stattdessen baue man eine neue, zusätzlich gesicherte Umgebung auf, um die Sicherheit noch mehr zu erhöhen. Zu den Massnahmen gehören zusätzliche Netzwerkzonen mit internen Firewalls und die Implementierung der neuesten End-Point-Security-Lösungen, die über ein externes Security Operation Center (SOC) gemonitort werden. Das alles braucht Zeit: Bis zu 6 Wochen können die Arbeiten in Anspruch nehmen, bis alle Services wieder komplett laufen.
Lösegeld will man bei Aquila nicht bezahlen, schliesslich waren die gesamten Daten in einem Backup gesichert. Konkret liege dank mehrfachem täglichen Snapshotting des zentralen Storagesystems die Recovery Point Objective (RPO) bei maximal 6 Arbeitsstunden. Der Datenverlust sei also tief.

Hacker drohen im Darknet

Im Darknet ist von einer Bande mittlerweile ein Verzeichnis mit vorgeblich gestohlenen Daten veröffentlicht worden: 21 Verzeichnis-Dateien sowie 53 Office-Dateien, darunter auch Passkopien. Ob die Hacker tatsächlich über die Daten verfügen, kann man aber nicht sagen. Sie haben bislang einzig mit der Veröffentlichung von 1,7 Terabyte gedroht, aber noch keine Datensätze publiziert.
"Die im Darknet angekündigte Veröffentlichung ist uns bekannt, jedoch konnten wir noch keine Spuren eines Datenabflusses feststellen, wie auch kein Beweis, dass die Hacker effektiv über die Daten verfügen", sagt Jain. Die Spurensicherung laufe immer noch, und Aquila erwarte dazu einen detaillierten Bericht in den nächsten Wochen.

Loading

Mehr zum Thema

image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

Neue SEC-Regeln: Unternehmen sollen über Krypto-Risiken informieren

Einen Monat nach dem berüchtigten FTX-Sturz veröffentlicht die US-Börsenaufsicht neue Richtlinien. Unternehmen sollen ihre Risiken auf dem Kryptomarkt offenlegen.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022