Die Cyberkriminellen drohen mit der Veröffentlichung von "vertraulichen Daten" und Mitarbeiterinformationen. Die beiden Medienhäuser bestätigen uns einen Datenabfluss.
Am 24. März vermeldeten die Medienunternehmen CH Media und NZZ einen Cyberangriff. Ziel soll eigentlich das Zürcher Medienhaus gewesen sein, da aber CH Media teilweise dieselben Systeme nutzt, waren diese ebenfalls betroffen. Der Angriff habe frühzeitig erkannt und isoliert werden können, schrieb die NZZ. In der Folge waren jedoch E-Paper sowie die gedruckten Zeitungen der beiden Verlage tagelang betroffen und erschienen teilweise in reduziertem Umfang.
Schon früh hiess es, der Angriff sei mit Ransomware erfolgt. "Wir beziehen seit rund fünf Jahren die IT-Dienstleistungen von der NZZ. Nun wurde die NZZ angegriffen, und als Folge sind nun auch unsere IT-Systeme vom Ransomware-Angriff betroffen", sagte Verleger Peter Wanner in einem Interview mit seinen CH-Media-Zeitungen. Diese Aussage scheint sich jetzt bestätigt zu haben: Im Darkweb bekennt sich die Ransomware-Bande Play zum Angriff.
Angeblich private Daten, Gehaltslisten und mehr erbeutet
Die Cyberkriminellen nennen als Opfer chmedia.ch, nzz.ch, vsdruck.ch und azmedien.ch. Man habe "private und persönliche vertrauliche Daten, Projekte, Gehaltslisten, Mitarbeiterinformationen und mehr" erbeutet. Den Medienhäusern stellt Play ein Ultimatum bis zum 24. April – danach würden die Dateien und Dokumente veröffentlicht.
Bekanntgabe von Play im Darkweb.
Bei der Medienstelle von CH Media heisst es auf unsere Anfrage zum Bekennerschreiben von Play: "Wir wurden via NZZ durch das NCSC informiert, dass als Folge des Ransomware-Angriffs auch aus unserem Konzern Daten im Darknet angeboten werden. Aktuell ist uns nur ein sehr kleiner Datenabfluss bekannt, wobei die Analysearbeiten noch laufen." Man habe sofort nach Entdeckung des Angriffs die Behörden eingeschaltet und beurteile laufend die Situation.
Auch Karin Heim, Leiterin Unternehmenskommunikation der NZZ, erklärt gegenüber inside-it.ch: "Wir haben eine geringe Menge an Datenabfluss festgestellt. Welche Daten betroffen sind, ist Gegenstand der laufenden Abklärungen. Unsere Experten analysieren aktuell den Vorfall."
Nicht die ersten Schweizer Opfer von Play
Auf die Frage, ob eine Lösegeldforderung eingegangen ist, schreibt CH Media: "Uns sind keine weiteren Informationen zum Darknet-Angebot bekannt." Wegen der laufenden Ermittlungen wolle man sich dazu auch nicht detaillierter äussern. Zum Stand der Aufräumarbeiten heisst es: "Die Recovery-Arbeiten sind voll in Gang und wir sind zuversichtlich, sämtliche Marktauswirkungen bald bereinigt zu haben."
Von Seiten NZZ heisst es: "Die Zeitungsproduktion ist sichergestellt. Alle kundenkritischen Systeme stehen zur Verfügung. Die NZZ und das zugehörige E-Paper erscheinen seit letztem Dienstag wieder im gewohnten Umfang." Das E-Paper könne wieder ohne Einschränkungen genutzt werden. "Unser digitales Angebot unter nzz.ch und in der NZZ-App ist wie bisher schon vollumfänglich verfügbar."
Das letzte bekannt gewordene Opfer von Play in der Schweiz war im Februar Energie Pool Schweiz. Auch in diesem Fall veröffentlichte die Bande Dateien. Zuvor war Ende 2022 die Hotelkette H-Hotels ins Visier der Kriminellen geraten. Nachdem Play im Darkweb Dokumente auch der Schweizer Hotels wie Rechnungen, Identitätskarten und Buchungen von Hotelgästen geleakt hatte, erklärte das Unternehmen: "Entsprechend der Vorgaben der Datenschutzbehörden werden betroffene Personen informiert, sofern personenbezogene Daten entwendet wurden."