Nach einer Attacke im Januar 2023 auf das Erziehungsdepartement (ED) des Kantons Basel-Stadt veröffentlichte die Bande Bianlian im Mai ein 1,2 Terabyte grosses Datenpaket im Darknet. Laut Departement können darunter auch sensible Personendaten sein. In FAQs auf der Website heisst es: "Unter den Betroffenen sind Lehrpersonen, Fachpersonen, Schülerinnen, Schüler sowie Lernende."

In einer ersten Mitteilung zum Angriff sprach das ED im Januar davon, dass es einer Hackergruppe gelungen sei, "an geschäftliche Computerdaten einer Person zu gelangen". Die ersten Analysen hätten gezeigt, "dass der Angriff keine weiteren Kreise zog". Von einem Ausfall der IT-Infrastruktur oder verschlüsselten Systemen war auch in späteren Mitteilungen nie die Rede.

Bei Läderach fielen noch Systeme aus

Dies im Gegensatz zum Cyberangriff auf Läderach im September 2022, für den ebenfalls Bianlian verantwortlich zeichnete. Damals waren auch Produktion, Logistik und Administration des Chocolatiers beeinträchtigt.

Die Cyberkriminellen scheinen tatsächlich ihre Strategie geändert zu haben und nicht mehr wie die meisten bekannten Ransomware-Banden die doppelte Erpressung – Verschlüsselung und Datenabgriff – anzuwenden. Bialian verzichtet offenbar seit einiger Zeit auf die Verschlüsselung und fokussiert sich auf den Datendiebstahl.

In einem neuen Advisory bestätigen jetzt das FBI und die US-Cybersecurity-Behörde CISA die Strategieänderung. Diese habe im Januar 2023, also etwa zeitgleich zum Angriff in Basel, begonnen. Grund könnte auch sein, dass damals Avast einen Entschlüssler für die Ransomware der Bande publizierte. Das FBI beobachtet, dass Bianlian zu einer hauptsächlich auf Exfiltration basierenden Erpressung überging, wobei die Systeme der Opfer intakt blieben. "Bianlian-Akteure warnen (Betroffene) vor finanziellen, geschäftlichen und rechtlichen Konsequenzen, wenn die Zahlung nicht erfolgt."

Angriff über Anmeldeinformationen

Bianlian dringe in Systeme ein, indem gültige RDP-Anmeldeinformationen (Remote Desktop Protocol) verwendet werden. Diese könnten von Zugriffsvermittlern erworben oder durch Phishing erbeutet worden sein. Das Advisory enthält weitere technische Details zum Vorgehen und empfohlene Abwehrmassnahmen.

Das ED Basel bestätigte, dass eine Lösegeldforderung gestellt wurde. Man sei aber nicht auf diese eingetreten. An die vom Datendiebstahl betroffenen Personen gerichtet, heisst es: "Wir gehen momentan nicht davon aus, dass die betrügerisch ergaunerten Daten aus dem edubs.ch-Netzwerk einen kommerziellen Wert für die Kriminellen besitzen." Nach der Entdeckung des Angriffs habe man auch begonnen, den im vergangenen Jahr gestarteten Aufbau einer grundlegend neuen zentralen IT-Infrastruktur zu beschleunigen: "Damit Angriffe künftig besser erkannt und verhindert werden können."