Hackerbande verwechselt Schweizer IT-Unternehmen

26. Juli 2022, 14:29
  • security
  • cyberangriff
  • ransomware
  • schweiz
image
Zum Verwechseln ähnlich. Foto: Jørgen Håland / Unsplash

Eine Schweizer Informatik-Firma nimmt nach einer Warnung ihr Backup vom Netz. Gehackt wurde aber ein anderes Unternehmen mit ähnlichem Namen. Ein kleines Recherchedrama.

Letzte Woche haben wir auf dem Darkweb-Blog einer Ransomware-Bande entdeckt, dass angeblich Daten von einem Deutschschweizer IT-Unternehmen gestohlen wurden. Die Cyberkriminellen drohten mit der Veröffentlichung, sollte nicht innert 5 Tagen ein Lösegeld in unbekannter Höhe bezahlt werden. Wir haben das betroffene Unternehmen informiert und versucht, eine Stellungnahme zum Vorfall zu erhalten.
Die Überraschung war beim vermeintlichen Opfer gross. Man habe keinen Cybersecurity-Vorfall festgestellt, hiess es damals auf eine erste Anfrage. Es seien weder Datenverluste noch Verschlüsselungen oder Lösegeldforderungen bekannt. Aus Gründen der Transparenz haben wir den Link zur Drohung auf dem Darkweb-Blog mit dem Unternehmen geteilt und die Geschichte war aufgrund des Fehlalarms eigentlich gegessen. Es wäre nicht die erste Falschmeldung.
Wäre da der Ransomware-Bande nicht ein kleiner Fehler unterlaufen. Denn es stellte sich heraus, dass die Cyberkriminellen nicht das Deutschschweizer Unternehmen, sondern eine IT-Firma mit einem sehr ähnlichen Namen in der Welschschweiz angegriffen und deren Daten gestohlen haben. Rechnungen, Offerten, Versicherungspolicen, aber auch Lebensläufe von Informatikerinnen und Informatikern, die sich beim betroffenen Unternehmen beworben haben, sind im Darkweb einsehbar. Gegenüber inside-it.ch wollte die angegriffene Westschweizer IT-Firma keine Auskünfte zum Vorfall machen.

"Es kann jeden treffen"

Offener zeigte sich hingegen der Geschäftsführer des Deutschschweizer Unternehmens, der aber anonym bleiben möchte. Am Anfang der Recherche war das Misstrauen gegenüber dem anrufenden Journalisten noch gross: "Sie könnten sich ja auch für jemanden ausgeben und ein Teil des Spiels sein", sagt er auf Anfrage von inside-it.ch. Alles sei "sehr suspekt" gewesen. Auch habe es keine Kontaktaufnahme von der Ransomware-Bande gegeben, dafür aber "Anrufe von Leuten aus aller Welt, die bei der Lösung des Problems helfen wollten".
Die schlimmste Befürchtung sei gewesen, dass trotz all den Hinweisen, die gegen einen Angriff sprachen, doch einer stattgefunden habe, erklärt der Firmenchef. Dazu seien Fragen aufgetaucht, wie die Sicherheitslücke geschlossen werden könnte, ob sich solche Vorfälle wiederholen könnten oder wie die betroffenen Mitarbeitenden und Kunden informiert werden sollten. Eigentlich müsse ein solcher Vorfall aber niemandem peinlich sein, führt der Geschäftsführer weiter aus: "Egal was man unternimmt, es kann jeden treffen."

Übersetzung Schuld

Als Sofortmassnahme habe man nach dem Anruf das bestehende Backup-Medium offline genommen. Zudem habe man Backups der Tagesdaten sowie Deep Scans der Server und Laptops vorgenommen und Kontakt mit einer spezialisierten Firma aufgenommen, schildert die Person das Vorgehen nach dem vermeintlichen Angriff. Bei der Sichtung der angeforderten Beweise durch die externen Security-Spezialisten sei dann klar geworden, dass der Firmenname "aufgrund einer schlechten Übersetzung und mangelhaften Recherche" der Cyberkriminellen auf dem Darkweb-Blog gelandet ist.
Welche Kosten und interner Personalaufwand durch den Vorfall entstanden sind, könne er derzeit noch nicht beziffern, sagt uns der Geschäftsführer. Laut seinen Angaben dürften diese zwar nicht sehr hoch, aber dennoch ärgerlich sein. Insgesamt sei der Vorfall eine Bestätigung der bereits getroffenen Massnahmen und eine Erinnerung zur Auffrischung der Awareness der Mitarbeitenden gewesen.
Zur Verbesserung der Cybersicherheit habe das Unternehmen geplant, die Systeme durch externe Security-Spezialisten auf Schwachstellen untersuchen zu lassen. "Prävention ist oberstes Gebot. Sowohl hinsichtlich einer technischen Lösung als auch im Mindset der Mitarbeiter", schliesst der Geschäftsführer.

Loading

Mehr zum Thema

image

Cyberangriff auf die Uni Zürich

Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.

publiziert am 3.2.2023
image

So arbeiten Googles interne Hacker

Hoodies, Plasmalampen, digitale Brandstiftung. Daniel Fabian, Leiter von Googles Team Red, zeigt Praktiken seiner Hacker-Gruppe.

publiziert am 2.2.2023
image

In der Schweizer IT-Branche steigen die Löhne weiter

Michael Page hat seine neue Lohnübersicht veröffentlicht. Kandidatenmangel und Inflation führen zu steigenden Lohnerwartungen. Mit welchen Löhnen IT-Beschäftigte rechnen können.

publiziert am 2.2.2023
image

Cyberangriff auf Adesso Deutschland

Kriminelle haben Systeme kompromittiert und Daten kopiert. Kundendaten sind laut dem IT-Dienstleister nicht abgeflossen.

publiziert am 2.2.2023