Der Beschaffungsdienstleister Chain IQ mit Hauptsitz in Baar wurde
Opfer eines Cyberangriffes. Hacker haben ein Datenpaket ins Darkweb gestellt, welches 909 Gigabyte gross sein und annähernd 2 Millionen Files umfassen soll. Dabei wurde auch ein Excel-File mit Daten mit Business-Kontakten von über 130'000 UBS-Mitarbeitenden
veröffentlicht. Hinter dem Angriff steckt die Gruppierung World Leaks, die aus der Ransomware-Bande Hunters Internationals hervorgegangen ist.
Wie Chain IQ in einer Mitteilung schreibt, wurden nach der Veröffentlichung der Daten alle relevanten Systeme überprüft, gesichert und durch Schutzmassnahmen verstärkt. Dabei arbeitete der Spezialist für Beschaffungsdienstleistungen mit Infoguard und Kyndryl zusammen. "Der Vorfall konnte nach 8 Stunden und 45 Minuten eingedämmt werden", schreibt das Unternehmen.
Der Angriff zielte nicht nur auf Chain IQ sondern auch auf 19 weitere Organisationen ab, wie es in einer Mitteilung heisst. Dabei handelte es sich laut dem Unternehmen um einen hochentwickelten Ransomware-Angriff, bei dem bisher unbekannte Angriffstools zum Einsatz kamen. "Dieser Vorfall bedeutet ein erhöhtes Sicherheitsrisiko für alle Unternehmen", warnt Chain IQ.
Wie Chain IQ auf die Zahl von 19 weiteren Organisationen kommt, wird nicht genauer erläutert. Eventuell handelt es sich um die Anzahl der auf der Darkweb-Präsenz von World Leaks bis und mit Chain IQ publizierten Bekanntgaben zu Angriffen. Inzwischen behauptet die Gruppe dort, insgesamt 22 Unternehmen und Organisationen attackiert zu haben.
Untypisch für Ransomware
Der Angriff war nach Angaben des Unternehmens in mehrfacher Hinsicht untypisch für Ransomware-Banden. So sollen die Cyberkriminellen eine bisher unbekannte Software eingesetzt haben. "Nach dem Angriff unterstützte die Software die Angreifer bei ihrem Fortkommen im System des Unternehmens."
Dabei sei die Software "geschickt gegen die Erkennung von Sicherheitslösungen" getarnt gewesen. Zusätzlich sollen die Angreifer auch grossen Wert darauf gelegt haben, die Software nach dem Angriff zu zerstören. Dies ist laut Chain IQ allerdings nicht gelungen: "Trotz dieser Massnahmen der Angreifer konnte sie schliesslich dennoch wiederhergestellt und analysiert werden."
Kein Kontakt, kein Lösegeld
Das Verhalten der Angreifer sei auch untypisch gewesen, weil sie zwischen dem Angriff und der öffentlichen Bekanntgabe etwa 30 Tage verstreichen liessen. Dies sei fast genau der Zeitraum, nach dem die Daten von Sicherheitslösungen nur noch eingeschränkt zur Verfüung stehen, schreibt Chain IQ.
Bei ihrem Angriff haben die Cyberkriminellen auch ein Sicherheitssystem modifiziert, um ihre Spuren zu verwischen.
In einer weiteren Medienmitteilung bestätigte Chain IQ zudem, dass man weder mit den Angreifern in Kontakt stehe noch Lösegeld bezahlt habe. "Wir verpflichten uns zu Transparenz und höchsten Standards der Cybersicherheit, während wir unsere Untersuchungen fortsetzen", schreibt das Unternehmen.
Finma und Bacs informiert
Auch die Finanzmarktaufsicht Finma hat Kenntnis vom Vorfall, wie sie gegenüber der Nachrichtenagentur 'AWP' einen Bericht von
'Tippingpoint' bestätigte. Man könne sich aber nicht im Detail zu einzelnen Fällen äussern. "Wir können aber bestätigen, dass wir über den Fall informiert sind und ihn entsprechend den vorgesehenen Prozessen behandeln", so ein Sprecher.
Generell bleibe das beaufsichtigte Institut auch bei einer Auslagerung in der Verantwortung und sei primäre Ansprechperson der Finma, erklärte der Sprecher gegenüber der Nachrichtenagentur. Allerdings könne die Finma auch bei Dienstleistern direkt Prüfungen durchführen oder Informationen einfordern, welche für die Aufsicht relevant sind.
Bereits letzte Woche hatte das Bundesamt für Cybersicherheit (Bacs) bestätigt, ebenfalls Kenntnis vom Angriff zu haben.