Ransomware

Das steckt hinter dem Hackerangriff auf Comparis.ch

Uhr
von Daniel Schurter, Watson.ch, san

Internet-Kriminelle haben den Schweizer Vergleichsdienst Comparis.ch infiltriert, Daten gestohlen und verschlüsselt. Die gleiche Gruppe zeichnet für den ersten "Cyber-Katastrophenfall" Deutschlands verantwortlich.

(Source: Devonyu / iStock.com)
(Source: Devonyu / iStock.com)

Was haben der ostdeutsche Landkreis Anhalt-Bitterfeld und der Schweizer Internet-Vergleichsdienst Comparis gemeinsam? Beide sind Opfer einer relativ neuen Bande von Internet-Erpressern geworden. Ihr Name: "Grief" (auf Deutsch Leid, Trauer). Die unbekannten Kriminellen drangen unbemerkt in die IT-Systeme der betroffenen Organisationen ein, spionierten sie aus und schlugen zu. Das heisst, sie stahlen Dateien und verschlüsselten die Originale.

Die Verantwortlichen in Ostdeutschland sahen sich gezwungen, den ersten "Cyber-Katastrophenfall" auszurufen. Und die Comparis-Dienste waren länger nicht verfügbar.

Allerdings blieb es nicht beim Verschlüsseln der Daten, wie watson-Recherchen zeigen. Gestohlene Firmendokumente sind nun über eine Darknet-Webseite abrufbar (dazu unten mehr).

watson hat bei Comparis nachgefragt.

Comparis nimmt Stellung

Wie reagiert Comparis auf die Veröffentlichung der gestohlenen Daten auf einer Darknet-Webseite?

Dazu schreibt Andrea Auer, Co-Lead Research & Media Relations: "Bei den von Ihnen erwähnten Daten handelt es sich um interne Unternehmensdaten. Kundenrelevante Daten sind davon nicht betroffen. Wir haben bereits vorab reagiert, indem wir alle unsere Nutzer transparent über eine mögliche Entwendung von Daten informiert haben. Welche Daten die Hacker tatsächlich haben, können wir nicht mit Sicherheit sagen. Dies ist Gegenstand der weiteren Abklärungen und der Zusammenarbeit mit den Ermittlungsbehörden."

Ist zu befürchten, dass es zu weiteren Veröffentlichungen kommt? Was kann Comparis zum Umfang des Datendiebstahls sagen?

"Leider müssen wir momentan mit allem rechnen. Basierend auf Empfehlungen der Kantonspolizei und Cybersecurity-Experten können wir zum Umfang des Diebstahls keine detaillierten Antworten geben."

Warum wurde erst relativ spät kommuniziert, dass Kundendaten betroffen sind?

"Wir haben nach dem Angriff die Öffentlichkeit zeitnah informiert und haben einen Tag später auch gleich ein Update mit den neusten Erkenntnissen zum Fall veröffentlicht, inklusive dem Hinweis auf einen möglichen Zugang zu kundenrelevanten Daten durch die Hacker. Die aktuellsten Erkenntnisse haben komplexe und langwierige Analysen erfordert. Zudem haben wir uns mit der Kantonspolizei Zürich zur weiteren Vorgehensweise abgestimmt. Sobald wir dazu in der Lage waren, haben wir informiert. Wir bedauern die durch den Angriff verursachten Unannehmlichkeiten sehr und bitten um Entschuldigung."

Die Zürcher Kantonspolizei schreibt von einem "organisierten Cyber-Angriff", der "mit hoher krimineller Energie durchgeführt worden" sei. Welche Erkenntnisse liegen zur Angriffsmethode inzwischen vor? Wie konnten die Kriminellen in das Firmen-Netzwerk eindringen?

"Aus sicherheitstechnischen Gründen können wir hierzu keine Auskunft geben."

Per E-Mail wurden Comparis-Nutzer gestern Abend aufgefordert, dringend ihr Passwort zu ändern. Waren die Passwörter auf dem Comparis-Server im Klartext gespeichert?

"Passwörter sind verschlüsselt gespeichert. Es handelt sich hier um eine reine Vorsichtsmassnahme und übliche Empfehlung in solchen Fällen."

* Die Fragen wurden per E-Mail beantwortet.

Wer sind die Angreifer?

Eine relativ neue Gruppierung namens "Grief". Die unbekannten Kriminellen traten in diesem Frühjahr erstmals mit Ransomware-Attacken auf Firmen in Erscheinung.

Gemäss einem Bericht der IT-Sicherheitsfirma Tetra Defense agieren die Internet-Erpresser auffallend aggressiv, um ihre Opfer einzuschüchtern und zum Zahlen zu bewegen.

Ende Mai behauptete diese Gruppe, sie sei "die neue Generation" von Ransomware-Akteuren, die sich weder auf Rabatte, noch auf langwierige Verhandlungen einlasse.

In dem Bericht von Tetra Defense heisst es: Die Gruppe beginne 6 bis 7 Tage nach der ersten Verschlüsselung des IT-Systems des Opfers mit der Freigabe von Daten, wenn die Lösegeldforderung nicht erfüllt wurde. Dies habe eine Analyse der bislang vorliegenden Informationen ergeben.

Die Verschlüsselungs-Attacke auf das Comparis-Netzwerk erfolgte am 7. Juli. Am 8. Juli liess das Unternehmen über einen Sprecher verlauten, es habe kein Lösegeld bezahlt und werde auch keines bezahlen.

Die Comparis-Dienste waren wenige Tage nach der Attacke wieder normal verfügbar. Da traf es die Verwaltung des Landkreises in Sachsen-Anhalt schlimmer. Die Ostdeutschen müssen ihre Dienstleistungen zuhanden der Bürger für zwei Wochen weitgehend einstellen. Dies, nachdem Grief am 6. Juli attackiert hatte. Eine von den Internet-Erpressern im Darknet bereitgestellte Datei umfasst über 200 MB Daten.

Dieser Artikel erschien zuerst auf watson.ch

Die Updates zu den Cyberangriffen auf Comparis.ch können Sie hier nachlesen.

Wenn Sie mehr über Cybersecurity erfahren möchten, melden Sie sich für unseres wöchentlichen Newsletter von Swisscybersecurity.net an.

Weitere fünf Tage später veröffentlichten die Internet-Erpresser auf ihrer Darknet-Webseite, die nur verschlüsselt über den Tor-Browser aufgerufen werden kann, einen Blog-Beitrag zu Comparis. Da findet sich auch ein Link zu einer angeblich rund 87 Megabyte (MB) grossen Datei im ZIP-Format.

Webcode
DPF8_223074