Exklusiv: Ransomware-Attacke auf Baarer Cloud-Provider Meta10

Der Angriff am vergangenen Freitag konnte laut Meta10 "mehrheitlich" abgewehrt werden. Aber die Datenwiederherstellung dauert weiterhin an.
 
Am vergangenen Freitag, dem 22. Februar, begannen beim Baarer Service-Provider Meta10, der knapp 40 Mitarbeitende beschäftigt, hektische Tage. Morgens um sechs Uhr brachte eine Cyberattacke den "Secure Cloud"-Service von Meta10 zum Erliegen. Im Laufe der folgenden Tage konnten einige Applikationsserver und Daten nach und nach wiederhergestellt werden. Aber auch heute, sechs Tage später, muss der Provider immer noch gewisse betroffene Kunden um Geduld bitten: "Aufgrund der zum Teil sehr grossen Datenmengen sind die Wiederherstellungen zeitaufwändig. Nach und nach kommen die betroffenen Systeme wieder zurück und reihen sich wieder zu den nicht betroffenen dazu."
 
Wie man der recht informativen Statusseite von Meta10 entnehmen kann, handelte es sich um einen Ransomware Angriff. Ein Angriff zudem, der von langer Hand vorbereitet gewesen sei. Inside-it.ch / inside-channels.ch vermutet daher, dass es sich um die Art von Ransomware-Angriff handelte, die uns Michael Veit, Technology Evangelist des Security-Software-Herstellers Sophos vor einigen Wochen geschildert hat. In letzter Zeit nehmen Erpressergruppen oft gezielt einzelne Unternehmen ins Visier. Sie dringen zuerst mittels klassischer Hackermethoden, beispielsweise via ungenügend geschützte RDP-Ports, in deren Systeme ein, sehen sich nach verwundbaren Punkten um und versuchen, Security-Massnahmen zu deaktivieren. Die Verschlüsselung von Daten des Opfers wird dann zu einem von den Angreifern gewählten Zeitpunkt aktiviert.
 
"Angriff eingedämmt"
Bei Meta10 bemerkte man offensichtlich das Eindringen der Erpresser in die Systeme erst, als diese zuschlugen und die Verschlüsselung starteten. Aber dann konnte man immerhin schnell genug reagieren und einigen Schaden abwenden. "Weil umgehend Gegenmassnahmen ergriffen wurden und so der Angriff eingedämmt wurde", seien die Daten nur teilweise verschlüsselt worden.
 
Zudem konnten viele der verschlüsselten Dateien aus Backups, die Meta10 vor einer Infektion bewahren konnten, wiederhergestellt werden, wie uns COO David Frick auf Anfrage erklärte.
 
Wie lange vor dem eigentlichen Angriff die Erpresser schon Zugang zu den Systemen hatten, wisse man aber noch nicht. Auch dafür, wie das Eindringen gelang, gebe es erst "Ansätze und Indizien jedoch in der jetzigen Phase noch keine Sicherheit."
 
Grundsätzlich aber wolle man diese Informationen offenlegen, damit andere Unternehmen daraus lernen können. "Uns liegt viel daran, transparent zu kommunizieren und für andere gegebenenfalls entsprechende Verhaltensweisen aufzuzeigen, wie eine solche Attacke zu grossen Teilen abgewehrt werden kann. Es liegt ja auch an unserer Disposition, wie wir es geschafft haben, den massiven Angriff auf unsere Infrastruktur mehrheitlich abzuwehren."
 
Frick hat daher versprochen, inside-it.ch und inside-channels.ch weitere Informationen zu geben und weitere Fragen zu beantworten, wenn mehr Klarheit herrscht. Meta10 steht dafür mit den Zuger Strafverfolgungsbehörden, Spezialisten für Cyberkriminalität der Kriminalpolizei Zug sowie weiteren Spezialisten im Bereich Cyberkriminalität in Kontakt. (Hans Jörg Maron)