«Wir werden 24 Gigabyte an Unternehmensdaten veröffentlichen. Detaillierte Informationen von Mitarbeitern [...], vertrauliche militärische Informationen, viele Verträge und Abmachungen (auch militärische), Informationen wie man mit Sprengstoff arbeitet, NDAs und so weiter», so machte die Hackergruppe Akira gestern ihren Angriff bekannt.
Das Ziel dieses Angriffs: Ein amerikanisches Tochterunternehmen der Ruag: Die Mecanex USA, welche heute unter dem Namen Ruag LLC bekannt ist. Die Ruag LLC ist nach eigenen Angaben Partner von Luftstreitkräften aus der ganzen Welt und ist auf die Wartung und Beschaffung von Ersatzteilen spezialisiert.
Der Schwerpunkt liegt dabei nach eigenen Angaben auf den Kampfflugzeugen F-5 Tiger und F/A-18 Hornet, die auch von der Schweizer Luftwaffe eingesetzt werden.
Die Ruag bestätigt auf Anfrage von SRF Investigativ einen Sicherheitsvorfall. Es handle sich um «einen Ransomware-Angriff auf die RUAG LLC, eine Tochtergesellschaft der RUAG MRO Holding AG». Der Konzern schreibt, der Vorfall bedrohe keine andere Gesellschaften der Ruag: «Aufgrund der Autarkie der dort eingesetzten IT-Systeme ist der Vorfall isoliert und hat keine Auswirkungen auf andere Systeme des RUAG-Konzerns».
Zum Ausmass der betroffenen Daten schreibt die Ruag: «Gemäss aktuellem Erkenntnisstand sind keine besonders schützenswerten Daten von Mitarbeitenden in der Schweiz betroffen.» Die Aufarbeitung des Vorfalls finde aktuell statt und entsprechende Massnahmen seien eingeleitet worden.
Doppelerpressung
Die Hackergruppe Akira nutzt eigenständig entwickelte Ransomware, also Software mit der sie Daten von Opfern entwendet und auch verschlüsselt. Dadurch werden die Daten für die Betroffenen unbrauchbar. Akira stellt aber bei Zahlung eines Lösegelds eine Entschlüsselung in Aussicht. Wer diese Zahlung verweigert, erhält keinen Entschlüsselungscode und Akira droht die Daten im Darknet zu veröffentlichen.
Eine solche Veröffentlichung hat Akira nun für die Daten der Ruag-Tochter angekündigt. Effektiv publiziert wurden bisher keine Daten. Auch ob die Hackergruppe die besagten Daten tatsächlich in Ihren Besitz gebracht hat und wie heikel diese sind, lässt sich derzeit nicht abschätzen.
Rekord bei Attacken in der Schweiz
Das Bundesamt für Cybersicherheit (Bacs) warnt derzeit vor Akira und rät in jedem Fall von einer Lösegeldzahlung ab. Akira begann laut den Behörden im Mai 2023 mit Angriffen auf schweizerische Unternehmen und hat diese in den letzten Monat noch intensiviert.
Aktuell gibt es laut den Behörden ungefähr vier bis fünf Fälle pro Woche. Das sei ein Rekord. In einer Mitteilung von Mitte Oktober schreibt das Bacs zudem, es seien in der Schweiz bereits 200 Unternehmen Opfer von Akira-Ransomware geworden.
Millionenschaden in der Schweiz
In Zusammenhang mit solchen Angriffen führt die Bundesanwaltschaft seit April 2024 ein Strafverfahren gegen unbekannt. Der durch solche Hacker verursachte Schaden beläuft sich in der Schweiz bereits auf mehrere Millionen Franken.
Die Hackergruppe Akira ist nicht nur in der Schweiz aktiv sondern zielt auch auf andere Länder ab. Nun hat es einen Ableger des Schweizer Rüstungskonzerns Ruag in den USA getroffen. Wie gravierend der mögliche Datenabfluss für die Ruag ist, lässt sich aktuell nicht beurteilen.
