Die Ransomware-Bande Cactus behauptet auf ihrem Darknet-Blog, dass sie das Investment- und Beratungsunternehmen Thomas Lloyd gehackt habe. Die Firma hat ihren Hauptsitz in Zürich und sammelt Investitionen für nachhaltige Projekte im Infrastruktur-, Agrar- und Immobiliensektor. Laut eigenen Angaben verwaltet der Fonds über 1 Milliarde Dollar an Kapital für knapp 30'000 Anlegerinnen und Anleger auf der ganzen Welt.

Die Hacker behaupten, dass sie Server verschlüsselt und insgesamt 2,4 Terabyte an Daten erbeutet hätten. Darunter sollen sich gemäss Cactus persönliche Informationen von Mitarbeitenden und Kaderleuten, Unternehmens- und Finanzdaten sowie Korrespondenzen und Backups befinden. Ein Sample zeigt Unterlagen der Firma, einen Vertrag mit einem deutschen Energieversorger und eine im Juni 2024 in Zürich beglaubigte Passkopie des Geschäftsführers.

Auf Nachfrage von inside-it.ch schreibt das Unternehmen: "Einen Cyberangriff einer Hackergruppe mit dem Namen Cactus hat es nicht gegeben und welche angeblichen Datenproben im Darknet zu finden sind, entzieht sich unserer Kenntnis." Man registriere zwar regelmässige Angriffsversuche auf die IT-Infrastruktursysteme, könne diese jedoch abwehren, schreibt das Unternehmen.

Bei Thomas Lloyd seien keine Systeme verschlüsselt worden, versichert der Firmensprecher. "Auch haben unsere diversen Überwachungssysteme keine aussergewöhnlichen Datendownloadmengen oder sonstige verdächtige Aktivitäten in diesem Hinblick angezeigt. Unsere Infrastruktur ist gegen Hackerangriffe jeglicher Art umfassend gesichert", heisst es von der Firma auf unsere Anfrage.

Zum Datensample haben die Cyberkriminellen einen Folder-Tree mit einer Struktur der angeblich erbeuteten Ordner veröffentlicht. Das deutsche 'Handelsblatt' (Paywall), mit dem inside-it.ch gemeinsam recherchierte, befasst sich schon länger mit Thomas Lloyd und hat sich dieses Dokument genauer angeschaut. Dabei hat die Zeitung herausgefunden, dass die Ordnerbezeichnungen durchaus zu den bekannten Geschäften von Thomas Lloyd passen.

So konnte das 'Handelsblatt' gewisse Ordner mit aktuellen oder ehemaligen Mitarbeitenden in Verbindung bringen. Weiter tauchen die Namen von einzelnen Fonds und auch derjenige des aktuellen Wirtschaftsprüfers im Dokument auf. Zudem sind Presseanfragen der Zeitung in den Dateinamen jenen Monaten zugeordnet, in denen sie auch tatsächlich verschickt worden seien.

Die Zeitung hat auch die Echtheit des Vertrages mit dem Energieversorger überprüft. Ein Sprecher dieses Unternehmens bestätigte, dass der Vertrag authentisch sei.

Der mutmassliche Cyberangriff träfe Thomas Lloyd in einer schwierigen Phase. Die Investmentfirma versprach ihren Geldgebern laut dem 'Handelsblatt' früher grosse Renditen dank geschickter Investitionen in asiatische Biomassewerke und Solaranlagen. Belege für erfolgreiche Geschäfte gibt es demnach aber bis heute nicht. Mittlerweile sollen die Fonds hohe Millionenverluste verzeichnen.

Auch warten viele Investoren derzeit auf Informationen des Unternehmens. Zuletzt hat Thomas Lloyd seine Jahresabschlüsse nicht innerhalb der gesetzlichen Fristen veröffentlicht. Anlegerschützer beklagen laut dem 'Handelsblatt' die notorische Intransparenz der Firmengruppe. So sitzen die Hacker möglicherweise auf Informationen, die die Investoren gerne einsehen würden.