Ende Dezember bekannte sich die Ransomware-Bande Alphv alias Blackcat zu einem Cyberangriff auf die US-Firma Ultra Intelligence & Communications. Diese ist eine Zulieferfirma des Schweizer Verteidigungsdepartements (VBS). Offenbar wurden bei dem Angriff auch Dokumente der Schweizer Luftwaffe erbeutet.

Die Firma beliefert Rüstungskonzerne mit Verschlüsselungs- und Kommunikationstechnologie. Zu den Kunden gehören neben dem VBS auch die Ruag, dies soll aus den geleakten Daten hervorgehen, wie 'SRF' berichtete. Neben den USA verfügt das Unternehmen über Niederlassungen in Grossbritannien, Australien und Kanada.

Die Hacker hätten möglicherweise zehntausende Dokumente von Ultra Intelligence & Communications gestohlen. Es soll sich um 30 Gigabytes teils heikler und klassifizierter Dokumente handeln. Im Darknet schreibt Alphv, man habe unter anderem Datensätze erbeutet, die das FBI, die Nato, Aeronautics Israel, NEC und AT&T betreffen.

Das Bundesamt für Rüstung Armasuisse und die Gruppe Verteidigung seien von der US-Firma über den Cyberangriff in Kenntnis gesetzt worden, teilte ein VBS-Sprecher der Nachrichtenagentur 'Keystone-SDA' auf Anfrage mit. "Aufgrund der bisherigen Erkenntnisse kann jedoch festgehalten werden, dass die operationellen Systeme der Armee vom Ransomware-Angriff nicht betroffen sind."

In den geleakten Unterlagen findet sich laut 'SRF' ein Vertrag zwischen dem VBS und der US-Firma über knapp 5 Millionen Dollar. Diesem und anderen Dokumenten zufolge kaufte das VBS Technologie für die verschlüsselte Kommunikation der Luftwaffe. Auch sind E-Mail-Korrespondenzen oder Zahlungsbelege zu finden, die Rückschlüsse darauf zulassen, wann die Geschäfte stattgefunden haben.

Gegenüber 'SRF' erklärte das VBS: "Aktuell werden die publizierten Daten auf deren Relevanz und allfällige Risiken ausgewertet und nach weiteren publizierten Daten gesucht. Aufgrund der laufenden Untersuchung können wir uns nicht über die einzelnen Massnahmen im Detail äussern." Bis dato seien von den Cyberkriminellen kommerzielle Daten veröffentlicht worden. Der Vorfall werde aber genau untersucht.

Von Seiten Ruag hiess es: "Die geleakten Dokumente betreffen einen Geschäftsbereich, der aktuell nicht mehr Teil der Ruag MRO Holding AG ist. Seit 2020 operieren Ruag International Holding AG und Ruag MRO Holding AG getrennt voneinander." Ultra Intelligence & Communications wollte sich auf Anfrage von 'SRF' nicht zu dem Cyberangriff äussern.

Die Veröffentlichung der Dokumente im Darknet durch Alphv erfolgte wenige Tage, nachdem internationale und nationale Ermittlungsbehörden eine gross angelegte Aktion gegen die Ransomware-Bande bekannt gegeben hatten. Man habe Alphv "zerschlagen", teilte das US Department of Justice am 19. Dezember mit.

Die Cyberkriminellen schalteten allerdings wenige Stunden nach der Mitteilung eine neue Website im Darknet auf. In einer Erklärung auf Russisch kündigten sie an, man werde sich nun an keine Regeln mehr halten und kritische Infrastrukturen genauso wie Spitäler attackieren. Nach dem Bekenntnis zum Angriff auf Ultra Intelligence & Communications hat die Bande in den letzten Tagen auch weitere angebliche Opfer publiziert.