Ransomware-Bande Alphv stellt VBS-Daten ins Darknet

8. Januar 2024 um 12:42
image
Foto: Alex Kühni / VBS

Bei einem Angriff auf den VBS-Zulieferer Ultra Intelligence & Communications wurden auch Dokumente der Schweizer Luftwaffe erbeutet.

Ende Dezember bekannte sich die Ransomware-Bande Alphv alias Blackcat zu einem Cyberangriff auf die US-Firma Ultra Intelligence & Communications. Diese ist eine Zulieferfirma des Schweizer Verteidigungsdepartements (VBS). Offenbar wurden bei dem Angriff auch Dokumente der Schweizer Luftwaffe erbeutet.
Die Firma beliefert Rüstungskonzerne mit Verschlüsselungs- und Kommunikationstechnologie. Zu den Kunden gehören neben dem VBS auch die Ruag, dies soll aus den geleakten Daten hervorgehen, wie 'SRF' berichtete. Neben den USA verfügt das Unternehmen über Niederlassungen in Grossbritannien, Australien und Kanada.
Die Hacker hätten möglicherweise zehntausende Dokumente von Ultra Intelligence & Communications gestohlen. Es soll sich um 30 Gigabytes teils heikler und klassifizierter Dokumente handeln. Im Darknet schreibt Alphv, man habe unter anderem Datensätze erbeutet, die das FBI, die Nato, Aeronautics Israel, NEC und AT&T betreffen.

Millionen-Vertrag des VBS veröffentlicht

Das Bundesamt für Rüstung Armasuisse und die Gruppe Verteidigung seien von der US-Firma über den Cyberangriff in Kenntnis gesetzt worden, teilte ein VBS-Sprecher der Nachrichtenagentur 'Keystone-SDA' auf Anfrage mit. "Aufgrund der bisherigen Erkenntnisse kann jedoch festgehalten werden, dass die operationellen Systeme der Armee vom Ransomware-Angriff nicht betroffen sind."
In den geleakten Unterlagen findet sich laut 'SRF' ein Vertrag zwischen dem VBS und der US-Firma über knapp 5 Millionen Dollar. Diesem und anderen Dokumenten zufolge kaufte das VBS Technologie für die verschlüsselte Kommunikation der Luftwaffe. Auch sind E-Mail-Korrespondenzen oder Zahlungsbelege zu finden, die Rückschlüsse darauf zulassen, wann die Geschäfte stattgefunden haben.

"Publizierte Daten werden ausgewertet"

Gegenüber 'SRF' erklärte das VBS: "Aktuell werden die publizierten Daten auf deren Relevanz und allfällige Risiken ausgewertet und nach weiteren publizierten Daten gesucht. Aufgrund der laufenden Untersuchung können wir uns nicht über die einzelnen Massnahmen im Detail äussern." Bis dato seien von den Cyberkriminellen kommerzielle Daten veröffentlicht worden. Der Vorfall werde aber genau untersucht.
Von Seiten Ruag hiess es: "Die geleakten Dokumente betreffen einen Geschäftsbereich, der aktuell nicht mehr Teil der Ruag MRO Holding AG ist. Seit 2020 operieren Ruag International Holding AG und Ruag MRO Holding AG getrennt voneinander." Ultra Intelligence & Communications wollte sich auf Anfrage von 'SRF' nicht zu dem Cyberangriff äussern.

Alphv meldet sich zurück

Die Veröffentlichung der Dokumente im Darknet durch Alphv erfolgte wenige Tage, nachdem internationale und nationale Ermittlungsbehörden eine gross angelegte Aktion gegen die Ransomware-Bande bekannt gegeben hatten. Man habe Alphv "zerschlagen", teilte das US Department of Justice am 19. Dezember mit.
Die Cyberkriminellen schalteten allerdings wenige Stunden nach der Mitteilung eine neue Website im Darknet auf. In einer Erklärung auf Russisch kündigten sie an, man werde sich nun an keine Regeln mehr halten und kritische Infrastrukturen genauso wie Spitäler attackieren. Nach dem Bekenntnis zum Angriff auf Ultra Intelligence & Communications hat die Bande in den letzten Tagen auch weitere angebliche Opfer publiziert.
(Mit Material von Keystone-sda)

Loading

Mehr zum Thema

image

Vogt am Freitag: Die halbe Wahrheit

Auf den ersten Blick lässt die 'NZZ' in einem Artikel zum erlebten Cyberangriff die Hosen runter. Bei genauem Hinsehen fehlen aber wichtige Informationen.

publiziert am 23.2.2024 1
image

Bis 2025: 40'000 Arbeitsplätze beim Bund werden auf M365 migriert

Nach Abschluss der ersten Pilotphase mit rund 130 Nutzerinnen und Nutzern folgt nun die zweite Pilotphase mit einer Einführung bei zwei Verwaltungseinheiten. Danach wird die ganze Bundesverwaltung migriert.

publiziert am 22.2.2024 4
image

Post eröffnet weiteren IT-Standort in der Westschweiz

Neben Neuchâtel beschäftigt die IT-Abteilung der Post neu auch Personal in Lausanne. Damit will das Unternehmen für französischsprachige Mitarbeitende attraktiver werden.

publiziert am 22.2.2024
image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024