Nach Ransomware-Befall: So reagiert der Zürcher Finanzdienstleister Aquila

17. Januar 2022, 09:31
  • security
  • cyberangriff
  • ransomware
  • finanzindustrie
image

Bis zu sechs Wochen könnten die Aufräumarbeiten dauern, inklusive Aufbau eines neuen Systems. Aquila-CEO Vivien Jain gewährt exklusive Einblicke in die Massnahmen.

Noch im alten Jahr war die Vermögensverwaltungs-Gruppe Aquila gehackt worden. In der Woche vor Weihnachten hatten Kriminelle ihre Verschlüsselungssoftware im System des Unternehmens aktiviert: Betroffen war die Dienstleistungsplattform, auf der Aquila rund 80 Schweizer Vermögensverwalter bedient.
In der Folge des Angriffs, der am 21. Dezember 2021 bemerkt wurde, fuhr Aquila  seine Systeme aus Sicherheitsgründen umgehend herunter. Auch der E-Mail-Verkehr funktionierte rund um den Jahreswechsel im Stammhaus nicht mehr. Die Vermögensverwalter konnten in dieser Zeit jedoch weiterarbeiten und auch auf ihre E-Mails zugreifen, hatten aber keinen Zugriff auf ihre im System hinterlegten Daten.

Bank von Aquila war nicht betroffen

Nicht betroffen vom Angriff waren die Bank der Gruppe sowie das PMS/CRM-Tool von Aquila: E-Banking, Asset-Management und andere Dienstleistungen waren somit zu jedem Zeitpunkt möglich. Als Inhaber einer Banklizenz hat Aquila aber die Finma über den Cyberangriff informiert und die Strafverfolgungsbehörden eingeschaltet.
Auf Anfrage von inside-it.ch sagt Aquila-Chefin Vivien Jain nun, dass man gezielt und mit mehreren Tools angegriffen worden sei. Von der APT-Attacke seien die Office-Systeme und administrative Applikationen betroffen, aber auch alle virtuellen Server und Desktops seien verschlüsselt worden. "Das Corebanking-System war – wegen der konsequenten Abschottung – zu keinem Zeitpunkt bedroht", erklärt Jain.

Angriff über Remote-Access-Tool

Man habe umgehend die Systeme heruntergefahren und Security-Spezialisten eingeschaltet. Die Analyse- und Aufräumarbeiten in Zusammenarbeit mit Experten dauern bis heute an. Der Angriffsvektor wurde mittlerweile eruiert: Die Hacker konnten dank einer gestohlenen Identität über ein Remote-Access-Tool ins System eindringen.
Erst sollten die alten Systeme nach der Bereinigung wieder hochgefahren werden. Dies habe man aber sofort aus Sicherheitsgründen verworfen, sagt Jain. Stattdessen baue man eine neue, zusätzlich gesicherte Umgebung auf, um die Sicherheit noch mehr zu erhöhen. Zu den Massnahmen gehören zusätzliche Netzwerkzonen mit internen Firewalls und die Implementierung der neuesten End-Point-Security-Lösungen, die über ein externes Security Operation Center (SOC) gemonitort werden. Das alles braucht Zeit: Bis zu 6 Wochen können die Arbeiten in Anspruch nehmen, bis alle Services wieder komplett laufen.
Lösegeld will man bei Aquila nicht bezahlen, schliesslich waren die gesamten Daten in einem Backup gesichert. Konkret liege dank mehrfachem täglichen Snapshotting des zentralen Storagesystems die Recovery Point Objective (RPO) bei maximal 6 Arbeitsstunden. Der Datenverlust sei also tief.

Hacker drohen im Darknet

Im Darknet ist von einer Bande mittlerweile ein Verzeichnis mit vorgeblich gestohlenen Daten veröffentlicht worden: 21 Verzeichnis-Dateien sowie 53 Office-Dateien, darunter auch Passkopien. Ob die Hacker tatsächlich über die Daten verfügen, kann man aber nicht sagen. Sie haben bislang einzig mit der Veröffentlichung von 1,7 Terabyte gedroht, aber noch keine Datensätze publiziert.
"Die im Darknet angekündigte Veröffentlichung ist uns bekannt, jedoch konnten wir noch keine Spuren eines Datenabflusses feststellen, wie auch kein Beweis, dass die Hacker effektiv über die Daten verfügen", sagt Jain. Die Spurensicherung laufe immer noch, und Aquila erwarte dazu einen detaillierten Bericht in den nächsten Wochen.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Das "letzte Stündchen" der alten Einzahlungsscheine

Die Umstellung auf die QR-Rechnung ist aus Sicht der Post sehr gut angelaufen. Es kommen aber immer noch Kunden mit veralteten Einzahlungsscheinen an die Schalter.

publiziert am 4.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022