Baar – Chain IQ, ein weltweit tätiger Anbieter von Dienstleistungen im Bereich der indirekten Beschaffung, war zusammen mit 19 anderen Unternehmen das Ziel eines Cyberangriffs. Es handelte sich um einen fortgeschrittenen Ransomware-Angriff, bei dem neue, noch nie zuvor beobachtete Angreifer-Tools eingesetzt wurden. Dieser Vorfall stellt ein erhöhtes Sicherheitsrisiko für alle Unternehmen dar.
Letzte Woche war Chain IQ zusammen mit 19 anderen Unternehmen Ziel eines Cyberangriffs. Der Angriff führte zu Datendiebstahl, wobei beschaffungsbezogene Informationen von einigen Chain IQ-Kunden im Dark Web veröffentlicht wurden.
Unmittelbar nach der Veröffentlichung der Daten wurden alle relevanten Systeme überprüft, gesichert und die Schutzmassnahmen verstärkt. Chain IQ arbeitet eng mit seinen IT-Infrastruktur- und Cybersicherheits- Outsourcing-Partnern, InfoGuard und Kyndryl, zusammen.
Beide Unternehmen sind in ihren Bereichen weltweit führend und arbeiten nach den höchsten Sicherheitsstandards. Die Strafverfolgungsbehörden wurden umgehend eingeschaltet. Der Einbruch wurde innerhalb von 8 Stunden und 45 Minuten eingedämmt, indem der Zugang der Angreifer zu der betroffenen Umgebung abgeschnitten wurde.
Laut InfoGuard deutet vieles darauf hin, dass mehr Unternehmen bei künftigen Ransomware-Vorfällen mit ähnlich gut getarnten Tools konfrontiert werden. Diese Ansicht teilt auch der Sicherheitsexperte Marc Ruef von Scip: «Die Frage ist nicht, ob, sondern wann ein solcher Angriff stattfinden wird.»
Der Angriff war in mehrfacher Hinsicht untypisch für typische Ransomware-Operationen und verwendete Techniken, die zuvor weltweit nicht beobachtet wurden:
- Zunächst verwendeten die Kriminellen eine bisher unbekannte Spezialsoftware. Nach dem ersten Einbruch half diese Software den Angreifern, sich durch die Systeme des Unternehmens zu bewegen. Außerdem war sie geschickt gegen die Erkennung durch Sicherheitslösungen gehärtet. Außerdem legten die Angreifer großen Wert darauf, die Software nach dem Angriff zu zerstören. Trotz dieser von den Angreifern getroffenen Maßnahmen wurde die Software schließlich wiederhergestellt und ausgewertet.
- Zweitens war das Verhalten der Angreifer insofern typisch, als sie zwischen den Kernphasen des Angriffs und der öffentlichen Bekanntgabe des Vorfalls etwa 30 Tage warteten – fast genau der Zeitraum, nach dem die Daten von Sicherheitslösungen weniger zugänglich werden.
- Drittens haben die Angreifer auch ein Sicherheitssystem verändert, um ihre Spuren zu verwischen.
Im Sinne einer besseren Prävention kommuniziert Chain IQ aktiv mit seinen Kunden über diese neuartigen Ransomware-Angriffe. Die Cybersecurity-Spezialisten von InfoGuard stehen auch anderen interessierten Unternehmen und Organisationen zur Seite.
Die Website www.ransomware.live bietet eine fortlaufende Dokumentation der Opfer von Cyberangriffen. (Chain IQ/mc/hfu)