Black Basta attackiert Schweizer Aviatik-Firma TAG Aviation
Das am Genfer Flughafen angesiedelte Unternehmen TAG Aviation ist von einer Ransomware-Attacke betroffen, wie "Watson"-Recherchen zeigen. Es sind die mutmasslich gleichen Angreifer wie bei ABB.
TAG Aviation ist ein bekannter Name in der Geschäfts- und Luxusfliegerei. Das am Genfer Flughafen angesiedelte Unternehmen ist gemäss eigenen Angaben an 13 Standorten in Europa und Asien tätig und "stolz auf einen internationalen Service, der weltweit seinesgleichen sucht". Ein Blick auf die Firmen-Website zeigt sehr prominente Kundinnen und Kunden aus vergangenen Tagen, wie etwa die schwedische Tennislegende Björn Borg oder das schauspielernde Promi-Paar Alain Delon und Brigitte Bardot.
Aktuell ist das auf Business-Charter-Flüge spezialisierte Unternehmen mit einem Hackerangriff mit potenziell verheerenden Auswirkungen konfrontiert. Auf Anfrage bestätigt es entsprechende Recherchen von Watson.
Am 21. Mai habe das Intrusion Detection System (IDS) einen unbefugten Zugriffsversuch auf das Netzwerk entdeckt. In der Folge seien einige IT-Systeme von einer Ransomware-Attacke, also einer Verschlüsselung, betroffen gewesen. Gleichzeitig versuchen die Verantwortlichen, die Schwere des Cyberangriffs zu relativieren. Der "IT-Sicherheitsvorfall" beschränke sich "auf Asien". Man habe sofort Gegenmassnahmen ergriffen und einen auf Cybersicherheit spezialisierten Dienst beauftragt. Dieser externe Partner habe "den Vorfall und die betroffenen Daten forensisch untersucht".
Ausserdem seien zusätzliche Sicherheitsmassnahmen ergriffen worden, um das Netzwerk gegen zukünftige Angriffe zu schützen, heisst es in der Stellungnahme. Ein weiterer Satz aus der per E-Mail übermittelten Erklärung lässt allerdings aufhorchen: "Bis heute wissen wir nicht, welche Art von Daten angegriffen wurde, und haben keine Beweise für einen Datenmissbrauch gefunden."
Tatsächlich haben unbekannte Cyberkriminelle im Darknet mehrere Screenshots veröffentlicht, die angeblich Reisepässe und weitere interne bzw. vertrauliche Daten zeigen. Zudem wird behauptet, die Täter hätten eine sehr grosse Datenmenge von mehreren Terabyte (TB) erbeutet. Auf Nachfrage bekräftigt ein Sprecher des Unternehmens, dass TAG Aviation Europe nicht betroffen sei.
Der Fall ist insofern speziell, als sich die Cyberkriminellen, die hinter dem Hackerangriff und mutmasslichen Datendiebstahl stecken, zunächst nicht zu erkennen gaben.
Wer steckt hinter dem Hackerangriff?
Update: TAG Aviation hat Watson-Recherchen bestätigt, wonach die Ransomware-Attacke auf das Konto der bekannten Gruppierung Black Basta zurückzuführen ist: "Die Black-Basta-Gruppe ist dafür verantwortlich, obwohl die Quelle oder Legitimität von allem, was als Teil ihrer Lösegeldforderungen im Dark Web veröffentlicht wurde, nicht überprüft werden kann."
Üblicherweise veröffentlichen Ransomware-Banden auf ihrer eigenen Darknet-Leak-Site eine Ankündigung, wenn Opfer nicht bereit sind, auf die Erpressung einzugehen. Um den Druck auf zahlungsunwillige Betroffene zu erhöhen, wird mit der Veröffentlichung gestohlener Daten gedroht.
Ein unvollständiges Posting auf der Darknet-Leak-Site von Black Basta liess vermuten, dass die mutmasslich russische Gruppe hinter dem Angriff steckt. Gleich (links) daneben ist ein anderes bekanntes Opfer aufgeführt: der deutsche Rüstungskonzern Rheinmetall AG. (Source: Screenshot Watson)
Im vorliegenden Fall erfolgte die Drohung mit konkreter Nennung des Opfers auf einer Darknet-Seite, die von angeblich unabhängigen Dritten betrieben wird. Es handelt sich um eine Seite namens "UnSafe Security Blog". Die unbekannten Betreiber behaupten, sie suchten im Auftrag der Hacker nach Käufern für die gestohlenen Daten. Sie hätten mit der ursprünglichen Tat nichts zu tun.
In einem Posting, das Ende vergangener Woche auf der Darknet-Seite der Data-Broker zu TAG Aviation veröffentlicht wurde, heisst es in ziemlich holprigem Englisch: "Die Hacker erbeuteten über 1,5 TB [Terabyte] an Unternehmens-E-Mails und über 5 TB an persönlichen Daten. Es sind alle Informationen über alle Kunden (Pässe, Fotos, Zahlungsdaten und -historie, Geburtsdatum, Telefon, E-Mail, wo und mit wem sie fliegen). Ausserdem haben sie alle Daten der Personalabteilung (Arbeitgeber, Gehalt, Verträge, Sozialleistungen, Versicherungen, Pässe und vieles mehr). Die Hacker haben alle Unternehmensdaten erhalten, sie haben sich in das Unternehmensnetzwerk gehackt und alles aus allen Abteilungen heruntergeladen."
Die Untersuchung sei noch nicht abgeschlossen, erklärt TAG Aviation in seiner Stellungnahme, man arbeite mit Beratern und Strafverfolgungsbehörden zusammen, um die Auswirkungen des Ransomware-Angriffs zu minimieren.
Die Verantwortlichen versichern: "Natürlich halten wir unsere Kunden auf dem Laufenden und arbeiten mit ihnen zusammen, um ihren Schutz im Laufe der Untersuchung zu verbessern."
Zur Erinnerung: Black Basta zählt zu den gefährlichsten Ransomware-Banden weltweit. Die russischsprachige Gruppe soll im vergangenen Monat auch den Schweizer Industriekonzern ABB attackiert haben. Allerdings blieb es nach Bekanntwerden des Cyberangriffs verdächtig ruhig. Das betroffene Unternehmen schwieg eisern und auf der Darknet-Leak-Seite von Black Basta tauchte kein entsprechendes Posting auf. Dies lässt in der Regel darauf schliessen, dass sich Täter und Opfer in Verhandlungen einigten und Lösegeld bezahlt wurde.
Dieser Beitrag ist zuerst bei "Watson" erschienen.