Schweizer Mobilfunk-Zulieferer Nexus Telecom gehackt
Die Ransomware-Bande 8Base hat bei Nexus Telecom angeblich "eine grosse Menge an vertraulichen Informationen" erbeutet. Das Opfer beliefert Provider weltweit mit Netzwerk-Überwachungs-Software.
Die Schweizer Softwarefirma Nexus Telecom ist von einem Hackerangriff betroffen. Die Ransomware-Bande 8Base droht auf ihrer Erpressungs- und Leak-Seite im Darknet mit der Veröffentlichung gestohlener Daten.
Die Cyberkriminellen behaupten, ihnen sei "eine grosse Menge an vertraulichen Informationen" in die Hände gefallen.
Auf Anfrage von watson bestätigte Geschäftsführer Marco Rhyner am Mittwoch, dass Nexus Telecom von einem Cyberangriff betroffen sei. Zu den gestohlenen Daten und dem Schadensausmass konnte er sich bislang nicht äussern. Offenbar laufen noch entsprechende Abklärungen.
Die Ankündigung im Darknet:
Ein Ausschnitt der Leak-Site mit dem Posting zur Nexus Telecom Switzerland AG. (Screenshot: watson)
Die Cyberkriminellen drohen damit, dass sie die gestohlenen Daten in wenigen Tagen veröffentlichen werden.
Was ist speziell an der attackierten Firma?
Nexus Telecom entwickelt Netzwerk-Monitoring-Software für die Mobilfunkbranche. Zu den Kunden zählen grosse Provider in Europa, wie British Telecommunications (BT) und die Deutsche Telekom, aber auch Anbieter in Übersee.
"Seit über 20 Jahren arbeitet unser Team mit einigen der weltweit fortschrittlichsten öffentlichen und privaten Kommunikations- und Anwendungsdienstleistern zusammen", heisst es auf der Unternehmenswebsite.
Gegründet wurde die Firma 1993 vom IT-Unternehmer und nationalen Politiker Ruedi Noser, der für die Zürcher FDP im Nationalrat und Ständerat sass. 2013 sorgte sein Unternehmen wegen des Verkaufs von Überwachungs-Software ins autokratische Saudiarabien für Schlagzeilen.
Gegenüber der NZZ legte Noser damals Wert auf die Feststellung, dass die von seinem Unternehmen ins Ausland verkaufte Monitoring-Software keine Inhalte entschlüsseln könne und deshalb nicht bewilligungspflichtig sei.
2016 wurde Nexus Telecom an einen ausländischen Konzern verkauft, geriet in finanzielle Turbulenzen und musste Konkurs anmelden. Schliesslich wurde das Unternehmen von der Schweizer Firma Generis übernommen, die in Schaffhausen angesiedelt und auch in Beijing (China) tätig ist.
Zusammen mit dem ehemaligen Kernteam von Nexus Telecom habe man die Aktiven der Firma übernommen, heisst es auf der Generis-Website. Als wichtige Geschäftsbereiche, auf die sich die Produktentwicklung konzentriert, werden der 5G-Mobilfunk und Smart-City-Applikationen genannt.
Wer sind die Angreifer?
Bei 8Base handelt es sich um eine Ransomware-Gruppe, die seit März 2022 aktiv ist, die aber erst ab Sommer 2023 für Schlagzeilen sorgte, als sie mit ihren Aktivitäten nur knapp hinter der berüchtigten Lockbit-Bande lag.
Wie andere bekannte Ransomware-Banden betreibt 8Base eine Darknet-Website, die nur über Tor, ein frei verfügbares globales Anonymitätsnetzwerk, erreichbar ist. Auf der Seite sind Hunderte von gehackten Unternehmen aufgeführt: alles Opfer, die sich weigerten, Lösegeld zu zahlen, damit ihre gestohlenen Daten nicht veröffentlicht werden.
Was bei den Opfern auffällt: Es hat keine Unternehmen oder Organisationen aus der Russischen Föderation darunter, bzw. keine aus Staaten der früheren Sowjetunion. Dies wäre typisch für eine russischstämmige Bande.
Die Cyberkriminellen gelten als opportunistisch, was die Wahl ihrer Opfer und ihrer Angriffswerkzeuge betrifft: Gegen Ende des vergangenen Jahres stellten IT-Sicherheitsforscher fest, dass bei den Hackerangriffen von 8Bbase eine Variante der Phobos-Ransomware eingesetzt wurde.
Phobos ist als Ransomware as a Service (Raas) für Cyberkriminelle verfügbar. Bei den 8Base-Verantwortlichen handelt es sich vermutlich nicht um versierte Programmierer. Jedenfalls verwenden sie nicht nur Angriffswerkzeuge Dritter, sie patzten auch bei der Sicherheit der eigenen Darknet-Seite.
Im September 2023 enthüllte der bekannte IT-Sicherheitsforscher und Blogger Brian Krebs, dass vermutlich ein 36-jähriger Programmierer mit Wohnsitz in Moldawiens Hauptstadt den Code für die 8Base-Chatfunktion geschrieben habe, die in die Darknet-Seite integriert ist und von den Kriminellen für die Kommunikation mit Opfern verwendet wird.
2023 ergab eine sprachliche Analyse des (schriftlichen) Kommunikationsstils von 8Base eine verblüffende Ähnlichkeit mit einer anderen Operation namens "RansomHouse".
Die US-amerikanische Cybersicherheits-Behörde HC3 hielt im vergangenen November zu 8Base fest: "Trotz ihres aggressiven Portfolios an Opfern bleiben die Ursprünge der Gruppe und die Identitäten der Betreiber ein Geheimnis. Nach Ansicht von Cybersecurity-Forschern deuten die Geschwindigkeit und Effizienz der derzeitigen Operationen der Gruppe nicht auf den Beginn einer neuen Gruppe hin, sondern eher auf die Fortsetzung einer gut etablierten, erfahrenen Organisation."
Dieser Artikel erschien zuerst bei "Watson".
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.