CyberCompare

3. September 2021: 34 KMU in Österreich angegriffen ++ Saurer-Daten im Darknet ++ Schweizer Bank angegriffen

Cyberangriff auf 34 KMU in Österreich

In Oberösterreich wurden 34 Unternehmen Opfer eines Ransomware-Angriffs. Die Daten der betroffenen Klein- und Mittelbetriebe wurden in der Nacht auf Donnerstag verschlüsselt. Spezialisten der Polizei versuchen nun, Trojaner zu entschlüsseln, informierte das Landeskriminalamt Oberösterreich.

Zum „Superspreader“ sei ein IT-Unternehmen in Linz geworden. Durch den erfolgreichen Angriff auf das erste IT-Unternehmen waren die Hacker in der Lage insgesamt 33 weiterer Klein- und Mittelbetriebe in Oberösterreich, Wien und Niederösterreich durch die Schadsoftware lahmzulegen. Es ist ein bekanntes Muster: IT-Betriebe geraten immer häufiger ins Visier von Cyberkriminellen, da sie meist uneingeschränkten Zugang zu den Systemen ihrer Kunden haben.

Die Schadsoftware legte zunächst in der Linzer Firma das IT-System des Systemadministrators lahm, bestätigte Ulrike Breiteneder, Sprecherin der Staatsanwaltschaft Linz. Daraufhin wurden die wichtigsten Daten gesperrt. Die Angreifer fordern eine „sehr hohe“ Lösegeldsumme in Kryptowährung, erklärte eine Sprecherin der Staatsanwaltschaft Linz.

Spezialisten der Polizei versuchen inzwischen, die Schadsoftware zu entschlüsseln. Cyberkriminalität stieg in Österreich auch 2020 wieder enorm: von 28.439 angezeigten Delikten 2019 auf 35.915, was ein Plus von 26,3 Prozent bedeutet. „Topdelikt“ blieb der Internetbetrug mit 18.780 Anzeigen – ein neuer Höchststand, wie Franz Ruf, Generaldirektor für die öffentliche Sicherheit, bei der Präsentation des Cybercrime-Berichts Mitte August bekannt gab.

Quellen:

https://kurier.at/wirtschaft/cyberangriff-auf-34-firmen-in-oberoesterreich/401722080

https://www.nachrichten.at/oberoesterreich/cyberangriff-auf-34-firmen-in-oberoesterreich;art4,3452716

Nach zwei Cyberangriffen: Daten des Textilmaschinenherstellers Saurer im Darknet

Zwei Mal trifft es die Schweizer Firma Saurer: Am 1. August greifen die Cyberkriminellen das erste Mal an und verschlüsseln IT-Systeme, die sich in Rechenzentren in Deutschland befinden. Ein Teil der Systeme fällt aus, ein anderer Teil wird aus Sicherheitsgründen vom Netzwerk getrennt. Daraufhin kommt es für mehrere Tage zu Ausfällen.

Laut der Neuen Züricher Zeitung verlangen die Angreifer ein Lösegeld von 500 000 $. Doch die Firma Sauer bezahlt nach eigenen Angaben nicht. Das Unternehmen reichte bei den deutschen Behörden Anzeige ein und informiert die Mitarbeiter über den Sicherheitsvorfall.

Doch die Analyse des Cyberangriffs war möglicherweise nicht umfassend genug. Denn am 26. August „wurde der Angriff in einer zweiten Welle fortgesetzt“, wie Saurer schreibt. Die Cyber-Kriminellen kannten möglicherweise noch einen versteckten Weg in das System. Glücklicherweise kam es bei diesem zweiten Angriff zu keinen größeren Unterbrechungen bei den Systemen mehr.

Bis zu diesem Zeitpunkt ging Saurer davon aus, dass die Angreifer keine Daten entwenden konnten. Doch es kam anders: Vergangenen Mittwoch veröffentlichte die Ransomware-Gruppe „Karmas“ tausende Dateien im Darknet. Diese wurden wohl bei der Verschlüsselung Anfang August gestohlen.

Unter den rund 12 Gigabyte Daten befinden sich unter anderem umfangreiche Finanzunterlagen, Verträge, Rechnungen und Lohndokumente von Saurer. Dies geht aus den Dateilisten hervor, die die NZZ eingesehen hat. Aufgrund der Bezeichnungen ist davon auszugehen, dass es sich bei den publizierten Informationen nur um einen kleinen Teil aller gestohlenen Daten handelt.

Das Schweizer Traditionsunternehmen Saurer AG aus Arbon gehört zu den weltweit größten Herstellern von Textilmaschinen und hat sich inzwischen allgemein auf Technologien im Bereich der Textilverarbeitung spezialisiert. Es befindet sich seit mehreren Jahren in chinesischem Besitz und beschäftigt nach eigenen Angaben rund 4700 Mitarbeiter auf vier Kontinenten.

Bei der Ransomware-Gruppe Karma handelt es sich um eine verhältnismäßig neue Organisation von Cyberkriminellen, die erstmals vor rund drei Monaten unter diesem Namen in Erscheinung getreten ist.

Ein ähnlicher Fall aus der Schweiz wurde diese Woche publik gemacht: Die Firma Habasit, ein Hersteller von Antriebsriemen und Transportbändern aus, wurde ebenfalls Opfer einer Ransomware-Attacke. Der Angriff soll bereits Mitte Juli stattgefunden haben. Erst jetzt wird klar: Die Angreifer konnten Daten entwenden. Diese werden sind kürzlich im Darknet aufgetaucht. Laut Nationalem Zentrum für Cybersicherheit des Bundes (NCSC) hat die Firma Habasit den Angriff nicht gemeldet.

Übeltäter ist die Hacker-Plattform Conti, ein Anbieter von Cyber-Angriffs-Services mit der gleichnamigen Ransomware. Die entwendeten Daten stammen aus dem Zeitraum von 2000 bis 2021 und beinhalten teilweise sensible Informationen wie persönliche Daten von Habasit-Angestellten.

Quellen:

https://www.nzz.ch/technologie/cyberkriminelle-haben-den-textilmaschinenhersteller-saurer-gleich-zweimal-angegriffen-ld.1643500

https://www.itmagazine.ch/artikel/75350/Hacking-Angriff_auf_Habasit.html

Cyberattacke auf Schweizer Kantonalbank

Im Kampf gegen Cyberverbrechen, erlebt die Schweiz einen harten August: Nach den Fällen von Saurer und Habasit wurde jetzt bekannt, dass es einen weiteren Cyberangriff auf die Neuenburger Kantonalbank (BCN) gab.

Die Hacker nutzten eine Schwachstelle in einem Onlineformular auf der Website der Bank aus. Durch die schnellen Maßnahmen habe man das Ausmaß des Angriffs begrenzen können und die Sicherheitslücke im Online-Formular wurde behoben.

Eine Lösegeldforderung soll es nicht gegeben haben. Im Bericht ist die Rede von einem massiven Angriff mit hunderttausenden automatischen Zugriffen. Die Systeme der Bank seien aber weder beeinträchtigt worden, noch sind sie ausgefallen.

Dass die Hacker Daten abgegriffen haben, ist aber nicht auszuschließen. Laut der BCN handelt es sich konkret um 1500 E-Mail-Adressen – zum Teil ergänzt durch Vor- und Nachnamen – der Personen, die die Bank über das Onlineformular kontaktieren wollten. Bank- oder Zugangsdaten seien nicht kompromittiert, teilt die Bank mit. Sie fügt hinzu, dass sie Maßnahmen ergriffen habe, um die Sicherheit der Website weiter zu erhöhen.

Für den Vorfall entschuldigt sich die Bank und ruft betroffene Personen auf, im Umgang mit verdächtigen E-Mails wachsam zu sein.

Quelle: https://www.netzwoche.ch/news/2021-09-01/neuenburger-kantonalbank-von-cyberangriff-betroffen

Sie denken über Cyber-Sicherheitsmaßnahmen nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.