Nach Ransomware-Befall: So reagiert der Zürcher Finanzdienstleister Aquila

17. Januar 2022 um 09:31
  • security
  • cyberangriff
  • ransomware
  • finanzindustrie
image

Bis zu sechs Wochen könnten die Aufräumarbeiten dauern, inklusive Aufbau eines neuen Systems. Aquila-CEO Vivien Jain gewährt exklusive Einblicke in die Massnahmen.

Noch im alten Jahr war die Vermögensverwaltungs-Gruppe Aquila gehackt worden. In der Woche vor Weihnachten hatten Kriminelle ihre Verschlüsselungssoftware im System des Unternehmens aktiviert: Betroffen war die Dienstleistungsplattform, auf der Aquila rund 80 Schweizer Vermögensverwalter bedient.
In der Folge des Angriffs, der am 21. Dezember 2021 bemerkt wurde, fuhr Aquila  seine Systeme aus Sicherheitsgründen umgehend herunter. Auch der E-Mail-Verkehr funktionierte rund um den Jahreswechsel im Stammhaus nicht mehr. Die Vermögensverwalter konnten in dieser Zeit jedoch weiterarbeiten und auch auf ihre E-Mails zugreifen, hatten aber keinen Zugriff auf ihre im System hinterlegten Daten.

Bank von Aquila war nicht betroffen

Nicht betroffen vom Angriff waren die Bank der Gruppe sowie das PMS/CRM-Tool von Aquila: E-Banking, Asset-Management und andere Dienstleistungen waren somit zu jedem Zeitpunkt möglich. Als Inhaber einer Banklizenz hat Aquila aber die Finma über den Cyberangriff informiert und die Strafverfolgungsbehörden eingeschaltet.
Auf Anfrage von inside-it.ch sagt Aquila-Chefin Vivien Jain nun, dass man gezielt und mit mehreren Tools angegriffen worden sei. Von der APT-Attacke seien die Office-Systeme und administrative Applikationen betroffen, aber auch alle virtuellen Server und Desktops seien verschlüsselt worden. "Das Corebanking-System war – wegen der konsequenten Abschottung – zu keinem Zeitpunkt bedroht", erklärt Jain.

Angriff über Remote-Access-Tool

Man habe umgehend die Systeme heruntergefahren und Security-Spezialisten eingeschaltet. Die Analyse- und Aufräumarbeiten in Zusammenarbeit mit Experten dauern bis heute an. Der Angriffsvektor wurde mittlerweile eruiert: Die Hacker konnten dank einer gestohlenen Identität über ein Remote-Access-Tool ins System eindringen.
Erst sollten die alten Systeme nach der Bereinigung wieder hochgefahren werden. Dies habe man aber sofort aus Sicherheitsgründen verworfen, sagt Jain. Stattdessen baue man eine neue, zusätzlich gesicherte Umgebung auf, um die Sicherheit noch mehr zu erhöhen. Zu den Massnahmen gehören zusätzliche Netzwerkzonen mit internen Firewalls und die Implementierung der neuesten End-Point-Security-Lösungen, die über ein externes Security Operation Center (SOC) gemonitort werden. Das alles braucht Zeit: Bis zu 6 Wochen können die Arbeiten in Anspruch nehmen, bis alle Services wieder komplett laufen.
Lösegeld will man bei Aquila nicht bezahlen, schliesslich waren die gesamten Daten in einem Backup gesichert. Konkret liege dank mehrfachem täglichen Snapshotting des zentralen Storagesystems die Recovery Point Objective (RPO) bei maximal 6 Arbeitsstunden. Der Datenverlust sei also tief.

Hacker drohen im Darknet

Im Darknet ist von einer Bande mittlerweile ein Verzeichnis mit vorgeblich gestohlenen Daten veröffentlicht worden: 21 Verzeichnis-Dateien sowie 53 Office-Dateien, darunter auch Passkopien. Ob die Hacker tatsächlich über die Daten verfügen, kann man aber nicht sagen. Sie haben bislang einzig mit der Veröffentlichung von 1,7 Terabyte gedroht, aber noch keine Datensätze publiziert.
"Die im Darknet angekündigte Veröffentlichung ist uns bekannt, jedoch konnten wir noch keine Spuren eines Datenabflusses feststellen, wie auch kein Beweis, dass die Hacker effektiv über die Daten verfügen", sagt Jain. Die Spurensicherung laufe immer noch, und Aquila erwarte dazu einen detaillierten Bericht in den nächsten Wochen.

Loading

Kommentare

Mehr zum Thema

image

Security-Behörde nennt Citrix-Lücke "unakzeptables Risiko"

Die Schwachstelle in Citrix-Netscaler lässt die CISA aktiv werden. US-Behörden müssen sofort handeln.

publiziert am 14.7.2025
image

BLKB lässt Radicant-Abschreiber extern untersuchen

Über 100 Millionen Franken musste die Basellandschaftliche Kantonalbank bei ihrer Digitaltochter abschreiben. Jetzt sollen die Hintergründe dazu beleuchtet werden.

publiziert am 14.7.2025
image

Ingram Micro erholt sich von Cyberangriff

Der IT-Distributor ist wieder voll funktionsfähig. Noch ist aber unklar, ob und was für Daten beim Ransomware-Angriff gestohlen wurden.

publiziert am 10.7.2025
imageAbo

100 Tage Meldepflicht: Das Bacs zieht erste Bilanz

Das Bundesamt für Cybersicherheit äussert sich zum Aufwand, den die Meldepflicht gebracht hat. Und gibt Zahlen zu den eingegangen Meldungen bezüglich Sektoren sowie Art der Angriffe bekannt.

publiziert am 10.7.2025