Update: Unico-Daten landen nach Cyberangriff im Darknet
Bei einem Ransomwareangriff auf den IT-Dienstleister Unico Data haben Cyberkriminelle auch Daten von Kunden gestohlen. Die Erpresser haben nun einen Teil der Daten im Darknet veröffentlicht.
Update vom 14. Juni 2023: Die Ransomware-Bande Play hat 25 Gigabyte an Daten des Berner IT-Dienstleisters Unico Data im Darknet veröffentlicht. Dies berichtet "Inside IT". Die Datenmenge macht jedoch wohl nur einen Bruchteil der vermeintlich gestohlenen 2,8 Terabyte aus.
"Ja, wir haben die Daten bereits kurz gesichtet", sagt Vince Lehmann, CEO von Unico Data, gegenüber "Inside IT". Die betroffene Kundschaft sei "fortlaufend informiert worden".
Unter den geleakten Daten sei "heikles Material", darin befindliche Ordner seien unter anderem mit HR, Finance, Marketing Budget, Preise und Personal beschriftet.
Das Unternehmen habe seine Kunden informiert, dass es zu einer Datenveröffentlichung kommen könne, und ihnen empfohlen, ihre Angestellten auf Phishing-Angriffe zu sensibilisieren, heisst es weiter. Die Kunden von Unico seien indes wieder mehrheitlich online, wird der CEO zitiert.
Update vom 2.6.2023: Der Ransomware-Angriff auf Unico Data betrifft auch Kunden des IT-Dienstleisters. Wie der "Teletext" schreibt, ist etwa auch die Kinokette Pathé vom Angriff betroffen. Derzeit funktioniere der Online-Ticketkauf auf der Unternehmenswebsite nicht, heisst es im Bericht.
Derweil hat sich die Ransomware-Bande "Play", welche auch die Medienhäuser CH Media und NZZ sowie die Waliser Gemeinde Saxon überfiel, zur Attacke auf Unico Data bekannt. Auf der Darknet-Seite droht die Bande mit der Veröffentlichung von 2,8 Terrabyte an Daten. Betroffen sei nicht nur Unico Data und Pathé, sondern auch der Industriekonzern Insys, der Werkzeug-Fabrikant PB Swiss Tools und das Elektro-Engineering-Unternehmen Boess.
Laut Play-Website werden die Daten am 11. Juni veröffentlicht.
Originalmeldung vom 31.5.2023: Unico Data ist Opfer eines Ransomware-Angriffs geworden
Bei Unico Data geht seit vergangenem Wochenende gar nichts mehr. Der Berner IT-Dienstleister wurde Opfer eines Ransomware-Angriffs, wie CEO Vince Lehmann an einer Pressekonferenz sagte.
Den Angriff bemerkte das Unternehmen demnach in der Nacht vom 27. auf den 28. Mai. Als erste Reaktion nahm Unico Data sämtliche IT-Systeme vom Netz. Vom Ausfall betroffen sind auch rund 100 Kunden des IT-Dienstleisters. Dabei handle es sich vorwiegend um KMUs und um mindestens eine Gemeinde, wie Lehmann sagte. Tatsächlich vermeldet die Gemeinde Rüegsau auf ihrer Website einen Betriebsunterbruch der EDV-Anlage.
Zum jetzigen Zeitpunkt sind noch viele Fragen offen. So kann Unico Data etwa einen Datenabfluss nicht ausschliessen. "Es gab während des Angriffs für kurze Zeit eine überdurchschnittlich starke Interaktionen auf der Netzwerkebene", räumt der CEO ein. Um den Vorfall zu untersuchen, schaltete das Unternehmen unter anderem das Nationale Zentrum für Cybersicherheit (NCSC) und das polizeiliche Dezernat Digitale Kriminalität ein. Vorsorglich habe Unico Data auch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) informiert.
Hinweise führen zur NZZ- und CH-Media-Hackerbande Play
Eine Lösegeldforderung ist indes noch nicht eingegangen. Auch bezüglich der Identität der Angreifer wird noch spekuliert: Die Endungen der verschlüsselten Dateien deuten laut Lehmann auf die Hackerbande Play hin. Dieselbe Gruppe erpresste in den vergangenen Wochen auch die NZZ und CH Media sowie die Walliser Gemeinde Saxon, wie Sie hier nachlesen können.
Immerhin sollen beim Angriff nicht viele Daten verlorengegangen sein. "Wir sind sehr gut unterwegs, was Backups anbelangt", sagte Lehmann. Zwischen der letzten Sicherung und den auffälligen Aktivitäten sei sehr wenig zeit verstrichen; zudem seien bis jetzt alle Wiederherstellungen erfolgreich verlaufen. "Der Datenverlust ist für alle unsere Kunden minimal", fasste Lehmann zusammen.
Lobend erwähnte der CEO auch die Kunden seines Unternehmens: "Wir kommunizierten vom ersten Tag an proaktiv und intensiv. Und wir erleben eine sehr hohe Kooperation mit den Kunden." Der Fokus liege im Moment auf einer schnellen und sicheren Wiederherstellung. Wie lange diese dauern wird, ist noch nicht klar. "Im Moment haben wir unser gesamtes Rechenzentrum vom Netz getrennt. Wir werden es erst wieder ans Netz anschliessen, wenn wir sicher sind, dass wir dies machen dürfen."
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.