Update: Erpresser veröffentlichen erste Dokumente nach Stadler-Rail-Hack

Update vom 2.6.2020: Mitte Mai hat der Schienenfahrzeughersteller Stadler Rail über eine Cyberattacke informiert. Die Cyberkriminellen versuchten, ein hohes Lösegeld von der Thurgauer Firma zu erpressen. Konkret gehe es um 6 Millionen US-Dollar in Bitcoin, wie Stadler Rail gegenüber der NZZ sagte. Der Hersteller sei aber zu keinem Zeitpunkt bereit gewesen, auf die Forderungen der Erpresser einzugehen.

Infolgedessen veröffentlichten die Erpresser nun erste Dokumente auf Twitter. Dabei handle es sich um den ersten Teil der 4 Gigabyte Daten und 10'000 Dokumente, die entwendet worden seien. Stadler Rail habe nun noch eine Chance, das Lösegeld zu zahlen - andernfalls würden die Täter den zweiten Teil veröffentlichen.

Stadler Rail bestätigt gemäss NZZ, dass interne Dokumente gestohlen wurden. Die darin enthaltenen Daten seien vertraulich. Die Nutzung und Verwendung dieser Daten sei daher ebenfalls illegal.

Hinweise auf den Täter

Der Tweet enthält auch Hinweise auf den Täter beziehungsweise das genutzte Schadprogram. Dieser wird als Nefilim bezeichnet. Die Nefilim genannte Ransomware wurde März 2020 durch Sentinellabs entdeckt. Das Erpresserprogramm soll aber bereits seit Februar aktiv sein, wie Bleepingcomputer damals berichtete.

Die Nefilim-Ransomware wird vermutlich über exponierte Remote Desktop Services verbreitet. Der Source Code ist sehr ähnlich zu dem des Schadprogramms Nemty. Nefilim verzichtet jedoch auf die Ransomware-as-a-Service-Komponente. Die Drahtzieher hinter dem Schadprogramm setzen bei Zahlungen nun auf E-Mail-Kommunikation statt auf eine Tor-Bezahlungsseite. Vom Vorgehen her, würde die Stadler-Rail-Attacke zu ihnen passen: erst infizieren, dann erpressen und bei Nichtbezahlen des Lösegelds werden die Daten veröffentlicht.

Zur gleichen Zeit, als Stadler Rail über die Cyberattacke informierte, wurde ebenfalls bekannt, dass das australische Transportunternehmen Toll Opfer der Nefilim-Ransomware geworden ist.

Stadler Rail hat in der Schweiz Anzeige erstattet. Zudem informierte das Unternehmen in allen Ländern, in denen es Niederlassungen unterhält, die zuständigen Datenschutzbehörden.

Originalmeldung vom 11.05.2020: Stadler Rail ist Opfer eines Cyberangriffs

Stadler Rail ist Opfer einer Cyberattacke geworden. Laut einer Medienmitteilung vom 7. Mai stellten die internen Überwachungsdienste des Schweizer Zugherstellers fest, dass das IT-Netzwerk des Unternehmens mit Schadsoftware angegriffen worden war. Dies habe "mit hoher Wahrscheinlichkeit" zu einem Datenleck geführt. Obwohl das Ausmass des Schadens noch genauer analysiert werden muss und die Täter noch nicht bekannt sind, geht das Unternehmen davon aus, dass der Angriff von Profis durchgeführt wurde.

Die Angreifer versuchen nun, ein hohes Lösegeld von Stadler Rail zu erpressen. Sie drohen damit, anderenfalls Daten zu veröffentlichen, um dem Unternehmen und seinen Mitarbeitern zu schaden. Stadler habe umgehend die erforderlichen Sicherheitsmassnahmen eingeleitet und die Behörden eingeschaltet, heisst es weiter. Auch externe Spezialisten werden beigezogen.

Wie der Konzern weiter mitteilt, seien die Backup-Daten des Unternehmens vollumfänglich vorhanden und funktionsfähig. Die beeinträchtigten Systeme würden wieder hochgefahren. Trotz der Coronakrise und des Cyberangriffs sei Stadler weiterhin in der Lage, Züge zu produzieren und Servicedienstleistungen zu erbringen.

Seit Januar 2019 zeichnet Daniel Heinzmann für die IT der Stadler-Rail-Gruppe verantwortlich. Hier erfahren Sie mehr zu seinem Werdegang.