Welche Cyberkriminellen die Schweiz 2024 angegriffen haben

10. Januar 2025 um 10:58
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Falconfeeds hat für inside-it.ch die Zahl und Art der Cyberangriffe im letzten Jahr aufgeschlüsselt. DDoS liegt an der Spitze. Von den Ransomware-Banden schlug 8Base am häufigsten zu.

Für das Jahr 2024 verzeichnete die Monitoring-Plattform Falconfeeds.io 175 Cyber-Vorfälle in der Schweiz. Ausgewertet wurden Bekanntgaben von Cyberkriminellen im Darkweb, in Breachforen und auf Kanälen wie Telegram. Das Unternehmen hat für inside-it.ch die Zahlen aufgeschlüsselt. Verzeichnet wurden 60 DDoS-Attacken, 43 Data Breaches, 37 Ransomware-Angriffe, 22 Access Sales, 10 Data Leaks sowie 2 Defacements.
"Die Cybersicherheitslandschaft in der Schweiz im Jahr 2024 spiegelt eine Mischung aus globalen Trends und lokalisierten Angriffen", schreibt Falconfeeds. DDoS-Attacken seien nach wie vor die häufigste Art von Angriffen und würden kritische Dienste in allen Sektoren stören, während Ransomware sich weiterentwickelt.
Die drei am stärksten betroffenen Länder in Europa – die Ukraine, Grossbritannien und Frankreich – verzeichneten jeweils über 1000 Vorfälle. Die Schweiz rangiert bei den Cyber-Vorfällen innerhalb der europäischen Region auf Platz 16. "Die Zahl der Vorfälle in der Schweiz ist deutlich geringer als in ihren Nachbarländern wie Frankreich (1094), Italien (777), Deutschland (712) und Österreich (227)", erklärt Falconfeeds-CEO Nandakishore Harikumar gegenüber inside-it.ch.

Politisch motivierte DDoS-Angriffe

image
Anzahl der Vorfälle in der Schweiz im Jahr 2024 pro Monat. Grafik: Falconfeeds.io
Die Schweiz war in diesem Zeitraum vor allem gezielten DDoS-Angriffen sowohl von prorussischen als auch von antiisraelischen Gruppen ausgesetzt. Die prorussische Gruppe Noname057(16) hat laut Falconfeeds eine wichtige Rolle bei politisch motivierten Angriffen gespielt, insbesondere im Zusammenhang mit Veranstaltungen wie dem Weltwirtschaftsforum WEF im Januar und dem Ukraine-Friedensgipfel im Juni auf dem Bürgenstock.
"Ende 2024 war jedoch ein deutlicher Rückgang der DDoS-Aktivitäten in der Schweiz zu verzeichnen. Dies könnte darauf hindeuten, dass sich der Fokus der politisch motivierten Angreifer wieder auf andere Regionen oder Ereignisse verlagert, die ihren ideologischen oder geopolitischen Zielen entsprechen", so Harikumar.
Die Cyberangriffe in ihrer Gesamtheit trafen verschiedene Branchen und Organisationen. Am stärksten tangiert war der Sektor Verbrauchsgüter & Dienstleistungen (22 Vorfälle) knapp vor Technologie & IT-Dienstleistungen (21). Dahinter folgen Fertigung & Industrie (18 Vorfälle), Transport & Logistik (16), Regierung & Öffentlicher Sektor (15), das Finanzwesen (14) sowie weitere Branchen.

Zahlreiche aktive Ransomware-Banden

Bei den Ransomware-Angriffen in der Schweiz steht die Bande 8Base an der Spitze, gefolgt von Black Basta, Lockbit, Bashe, Ransomhub und zahlreichen weiteren Gruppen wie Akira, Cicada3301, Helldown oder Qilin. So bekannte sich Black Basta zu dem erfolgreichen Angriff auf die BKW-Tochter Swisspro. 8Base attackierte unter anderem die Zürcher Medtech-Firma Mikrona. Ransomhub steckte hinter dem Angriff auf das Thuner IT-Unternehmen Schneider Software, der Industriekornzern Hoerbiger wurde zum Opfer von Akira. Helldown nahm mit Hug-Witschi einen weiteren IT-Dienstleister ins Visier.
image
In der Schweiz aktive Ransomware-Banden und die Zahl der Angriffe 2024. Grafik: Falconfeeds.io
Lockbit sei zwar nach wie vor eine dominante Ransomware-Gruppe, doch ihre Aktivitäten haben nach der "Operation Cronos" durch internationale Justizbehörden abgenommen, erklärt Harikumar. Partner, die zuvor mit Lockbit verbunden waren, hätten sich anderen Ransomware-Betreibern zugewandt. Trotzdem bleibe die Bande mit 524 von ihr publizierten Vorfällen im Jahr 2024 eine der führenden Ransomware-Gruppen weltweit.
"Aufstrebende Gruppen wie Ransomhub haben erheblich an Zugkraft gewonnen. Diese relativ neue Ransomware-as-a-Service (RaaS)-Operation, die früher unter den Namen Cyclops und Knight bekannt war, hat einen rasanten Aufstieg erlebt und verzeichnete im Jahr 2024 mit insgesamt 530 die höchste Anzahl an Vorfällen", führt der Threat-Spezialist aus. Das kontinuierliche Auftauchen neuer Ransomware-Gruppen verdeutliche eine zunehmend fragmentierte und dynamische Bedrohungslandschaft, in der immer mehr Akteure aktiv in das Feld einsteigen und den Wettbewerb intensivieren.

Die reale Zahl dürfte deutlich höher sein

image
Nandakishore Harikumar.
Die von Falconfeeds ausgewerteten Kanäle erfassen vor allem Bekanntgaben, die durch die Cyberkriminellen selbst veröffentlicht wurden. Die reale Zahl in der Schweiz und anderen Ländern dürfte deshalb noch um einiges höher liegen. "Absolut", bestätigt Nandakishore Harikumar. Die Plattform könne wertvolle Einblicke in Ransomware-Aktivitäten bieten, aber diese Daten würden die tatsächliche Anzahl erfolgreicher Angriffe wahrscheinlich nicht korrekt wiedergeben. "Viele Vorfälle werden nicht gemeldet oder bleiben unentdeckt, weil es keine öffentlichen Bekanntmachungen durch die Täter gibt oder weil Unternehmen sich aus Gründen des guten Rufs dafür entscheiden, Verstösse nicht bekannt zu geben."
Mit Blick auf das Jahr 2025 erwarte Falconfeeds eine weitere Verfeinerung der Ransomware-Taktiken und einen verstärkten Einsatz von Erpressungstechniken, einschliesslich mehrschichtiger Angriffe, die Datenschutzverletzungen mit DDoS und Ransomware kombinieren. "Geopolitische Spannungen werden Hacktivismus-Kampagnen weiter vorantreiben, während neue Technologien neue Wege für Angriffe eröffnen könnten. Darüber hinaus erwarten wir eine Zunahme von Betrügereien, bei denen gestohlene Daten aus Datenschutzverletzungen genutzt werden, um Einzelpersonen und Organisationen anzugreifen, was die Bedrohungslandschaft weiter verkompliziert", prognostiziert Harikumar.
image

Loading

Mehr zum Thema

image

Das Meldewesen in der Beherbergung wird digital

Der Bund will das Meldewesen in der Beherbergung schweizweit digitalisieren. Dazu soll die Behördenplattform Easygov ergänzt werden.

publiziert am 20.1.2025
image

Beginnt das WEF, starten die DDoS-Attacken

Prorussische Gruppen melden erste Angriffe in Graubünden. Das Bundesamt für Cybersicherheit sieht kritische Infrastrukturen gewappnet.

publiziert am 20.1.2025
image

Datasport gewinnt den Courage Award

Mit dem Award zeichnen Inside IT und ISSS Unternehmen aus, die nach einem Cyberangriff besonders vorbildlich kommunizierten.

publiziert am 16.1.2025
image

Podcast: Von Melani zum Bacs

Eine gewisse Narrenfreiheit und viel Aufbauarbeit: So verlief die Anfangszeit der Melde- und Analysestelle des Bundes. Im Podcast spricht Inside IT über den Start der Stelle vor 20 Jahren und die Entwicklung zum Bundesamt.

publiziert am 17.1.2025