Grosser Schweizer Personalvermittler gehackt – viele Kundendaten im Darknet
Die russische Ransomware-Bande Black Basta hat angeblich 200 Gigabyte an Daten von der Firma Das Team gestohlen und im Darknet geleakt. Die Verantwortlichen nehmen zum Cyberangriff Stellung.
Die Schweizer Stellenvermittlerin Das Team sieht sich mit einer potenziell verheerenden Cyberattacke konfrontiert: Mutmasslich russische Kriminelle haben die Firmen-Server gehackt und eigenen Angaben zufolge über 200 Gigabyte (GB) an Daten gestohlen. Dies geht aus einem Posting auf der Leak-Seite der berüchtigten Ransomware-Bande Black Basta im Darknet hervor.
Wie "Watson"-Recherchen zeigen, werden dort auch schützenswerte persönliche Daten zugänglich gemacht, darunter Krankenakten und Ausweiskopien. Die Cyberkriminellen behaupten, sie hätten alle erbeuteten Dateien geleakt.
Screenshot der Leak-Site von Black Basta, mit falscher Webadresse des Opfers. (Source: Watson)
Eidgenössischer Datenschützer informiert
Auf Anfrage bestätigt das betroffene Unternehmen eine entsprechende Cyberattacke und erklärt: "Wir sind uns bewusst, dass die veröffentlichten Informationen ein Risiko für die betroffenen Personen bedeuten können. Wir stehen im Austausch mit allen Mitarbeitenden und der Kundschaft und haben entsprechend informiert. Aktuell laufen noch Analysen, welche weiteren Personen von den veröffentlichten Daten betroffen sind. Sobald diese identifiziert wurden, wird eine entsprechende Information stattfinden."
Die Verantwortlichen teilen mit, man habe den Eidgenössischen Datenschutzbeauftragten (EDÖB) nach Bekanntwerden des Leaks "vorinformiert" und werde "nach der weiteren Analyse der abgeflossenen Daten alle Informationen gemäss gesetzlicher Meldepflicht nachreichen".
Das Unternehmen mit Hauptsitz in Basel gehört gemäss Website "zu den national führenden Stellenvermittlungen" und hat insgesamt 25 Niederlassungen in allen Landesteilen der Schweiz und im Fürstentum Liechtenstein.
Die Firmen-Website zeigt die Schweizer Filialen. (Source: team.jobs)
Der Hackerangriff habe sich bereits im Dezember 2023 ereignet, erklärt nun das Unternehmen. "Eine bekannte Ransomware-Gruppe konnte sich Zugriff zum Netzwerk verschaffen und mehrere Laufwerke verschlüsseln." Die Analyse des Vorfalls habe einen Abfluss gewisser Daten gezeigt, dieser sei jedoch als "bedingt kritisch" beurteilt worden.
Erst am Nachmittag des 21. Februar habe man durch ein nach dem Angriff gestartetes Darknet-Monitoring festgestellt, dass "interne Unternehmensdaten" geleakt wurden.
"Leider mussten wir feststellen, dass wir bei der Analyse im Dezember das Ausmass des Datenabflusses unterschätzt haben. Weite Teile unserer internen Dateiablage wurden durch die Kriminellen öffentlich gemacht. Dies beinhaltet geschäftsrelevante Daten, Kundenverträge, Finanzinformationen und weitere interne Informationen."
Da die Cyberkriminellen gestohlene Daten geleakt haben, ist davon auszugehen, dass sich die Verantwortlichen nicht auf die Forderungen der Erpresser eingegangen sind.
Auf Anfrage teilt das Unternehmen mit: "Der initiale Angriff im Dezember wurde von einer Einladung zu Lösegeldverhandlungen begleitet. Da wir selbstständig in der Lage waren, unsere Systeme und alle Daten wiederherzustellen, sind wir nicht auf den Kontaktversuch eingegangen. Die Veröffentlichung der Dateien im Februar geschah ohne eine weitere vorherige Kontaktaufnahme oder Lösegeldforderung."
Wer sind die Angreifer?
Black Basta zählt zu den gefährlichsten Ransomware-Banden weltweit. Die russischsprachige Gruppe attackierte 2023 unter anderem den Schweizer Industriekonzern ABB und die am Genfer Flughafen angesiedelte Firma TAG Aviation.
Laut Sicherheitsforschern dürfte Black Basta ein Ableger der Conti-Bande sein, einer der aktivsten und gefährlichsten Ransomware-Gruppen der vergangenen Jahre. Durchgesickerte Chats wiesen auf ihre Verbindungen zur russischen Regierung und ihre Unterstützung für die Invasion der Ukraine hin, bevor sich die Bande im Mai 2022 angeblich auflöste.
Länder, aus denen frühere Opfer der Ransomware-Bande Black Basta stammen. (Source: eliptica.co)
In einem im November 2023 publizierten Bericht heisst es, dass Black Basta seit Anfang 2022 mindestens 107 Millionen US-Dollar an Lösegeldzahlungen für mehr als 90 Opfer erhalten habe. Die höchste erhaltene Lösegeldzahlung betrug demnach 9 Millionen US-Dollar, und mindestens 18 der Lösegeldzahlungen lagen über einer Million US-Dollar.
Diese Zahlen stammen aus der Analyse von Transaktionen über vermeintlich anonyme Kryptowährungskonten. Es habe wahrscheinlich weitere Lösegeldzahlungen gegeben.