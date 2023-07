Die Welt wird von einer Ransomware heimgesucht, die einen neuen Trick kann: Während "Cactus" wie üblich Daten verschlüsselt und abzieht, kann sie sich zugleich selbst verschlüsseln, damit Abwehrprogramme die Schadsoftware nicht scannen können. Dies berichtet die Beratungsfirma Kroll, die Aktivitäten der Bande seit März beobachtet. Demnach entschlüsselt sich Cactus nach der Infektion, um seine Arbeit aufzunehmen.

Zugang verschafft sich Cactus durch eine bekannte Schwachstelle in Fortinet VPN-Appliances. Wenn die Malware im Netzwerk ist, wird ein zeitlich festgelegter Aufgabenablauf ausgelöst, der die Software entschlüsselt und einen dauerhaften Zugriff ermöglichen soll. Die technischen Details finden sich in der Analyse von Kroll , in der auch Indicators of Compromise aufgeführt sind.

Die "Schweizer" Opfer

Vor einigen Tagen hat die Bande hinter Cactus auch eine Leak-Seite aufgeschaltet, auf der sich unter den 18 Opfern bereits zwei Schweizer Firmen befinden: Novobit und Hawa Sliding Solutions.

Hawa hat seinen Sitz im Zürcherischen Mettmenstetten. Der Spezialist für Schiebetüren, Trennwände und Fassaden beschäftigte 2022 rund 230 Mitarbeitende. Der Angriff durch Cactus erfolgte bereits Ende April, wie die Firma mitteilte. Erst rund einen Monat später konnten die Produktion und Distribution wieder aufgenommen werden. Die IT-Systeme waren im Juli wieder vollständig hergestellt, kurz zuvor hatten die Kriminellen aber sensible Daten der Firma publiziert. Hawa informiere in Abstimmung mit den Datenschutzbehörden die betroffenen Personen und Unternehmen, hiess es in einer von mehreren Mitteilungen zum Vorfall.

Novobit hat seinen Firmensitz in Cham im Kanton Zug. Das Unternehmen ist auf Komponenten für Glasfasernetze spezialisiert und unterhält Niederlassungen in der Schweiz, Schweden und China und wird im Blog von Cactus aufgeführt. Allerdings handelt es sich um eine Verwechslung, wie Verwaltungsrat Pierre Bi auf Nachfrage erklärt. Seine Firma wird von Cactus zwar verlinkt und als Opfer genannt, tatsächlich finden sich auf den Screenshots aber Arbeitsverträge und Lohndokumente eines Deutsches Informatik-Unternehmen mit ähnlichem Namen.