Cyberangriff auf Matisa: Hackergruppe Grief schlägt erneut in der Schweiz zu
Nachdem der Vergleichsdienst Comparis Opfer der Hackergruppe Grief wurde, wird nun ein weiteres Schweizer Unternehmen mittels Ransomware erpresst. Die Übeltäter sind bei der Westschweizer Gleisbaufirma Matisa ins System eingedrungen.
Wer derzeit die Website der Gleisbaufirma Matisa Matérial Industriel S.A. aus Crissier VD aufruft, wird von einer Cyberangriff-Information begrüsst. Die Firma informiert darüber, dass sie am 20. Juli 2021 Opfer einer Ransomware-Attacke wurde. Einige IT-Systeme seien sicherheitshalber blockiert worden. Die durch den Vorfall entstandenen Unannehmlichkeiten würden zutiefst bedauert.
Matisa befindet sich momentan da, wo sich der Schweizer Vergleichsdienst Comparis nach einem Ransomware-Angriff vom 7. Juli der gleichen Hacker befand. Hinter den Angriffen steckt eine Gruppe namens Grief (engl. für Kummer/Ärger), die immer nach demselben Schema vorgeht und auf eine aggressive Erpressungstaktik setzt. Unterm Strich bedeutet dies: bezahlen oder leiden.
Die Erpressergruppe ist erst seit diesem Frühjahr aktiv und scheint nicht nur die Systeme der Opfer mit entsprechender Ransomware zu kompromittieren und deren Daten zu verschlüsseln. Auch ziehen sich die Hacker ein Backup von allem, was sie erwischen können. Und dann agieren sie, wie sie es in einem früheren Statement im Darknet mal selbst kundtaten:
Jetzt definieren wir die Regeln des Spiels, scheiss auf Rabatte, scheiss auf Verhandlungen, scheiss auf Zeitverschwendung. Bezahlen oder Leiden. Dies ist unser Statement.
Im Detail heisst das, dass nicht lange rumgefackelt wird. Bezahlt das Opfer kein Lösegeld, wird es einerseits die verschlüsselten Daten allenfalls nicht mehr entschlüsseln können. Und andererseits, was viel schlimmer sein kann, wird spätestens nach einer Woche mit der Freigabe, also der Veröffentlichung, der erbeuteten Daten begonnen.
Wer die Darknet-Website von Grief besucht, findet eine Liste, in der die meisten Angriffe der Vergangenheit feinsäuberlich aufgeführt werden. Auch werden die aktuellen Operationen beziehungsweise Erpressungen, die noch im Gange sind und die zuletzt komplettierten in einer Schnellübersicht aufgeführt:
Wie auf dem Screenshot zu sehen ist, ist Matisa das drittletzte Opfer. Mittlerweile hat es auch die zweitgrösste Stadt Griechenlands und ein Hotel in London erwischt. Der Status «In Progress» weist darauf hin, dass die Erpressungsaktionen noch nicht beendet sind.
Die aktuelle Liste mit den bisherigen Grief-Aktionen umfasst 25 Einträge. Eigenartigerweise ist zumindest derzeit kein Eintrag zu Comparis vorhanden. Darüber, ob da jemand seine Grief-Hausaufgaben nicht gemacht hat, oder ob andere Kräfte beim Verschwinden am Werk waren, kann nur spekuliert werden.
Ein Klick auf die Detailseite zu Matisa offenbart die URL der gehackten Firmenwebsite und ein kurzer Infotext zur Firma, in dem auch die Anzahl Mitarbeitenden und der Umsatz erwähnt werden. Ausserdem sind da Beispiele der erbeuteten Daten. Genauer werden zwei Screenshots gezeigt – eine Checkliste und ein internes Excel-Kalender-Sheet. Und dann ist da noch eine herunterladbare, 773 Kilobyte grosse Datei mit Bezeichnung «Audit Schedule 2021.zip».
Ob Matisa ein Lösegeld bezahlt hat oder es noch tun wird, ist nicht bekannt. Davon ist indes abzuraten. Dennoch gibt es, zumindest wenn es nach den Erpressern geht, auch Argumente dafür. Gut zu sehen auf dem folgenden Banner, den sie prominent auf ihrer Darknet-Website platziert haben:
Der tägliche Kuss der Muse lässt meine Kreativität spriessen. Werde ich mal nicht geküsst, so versuche ich mich mittels Träumen neu zu inspirieren. Denn wer träumt, verschläft nie sein Leben.