Daten teilweise verschlüsselt 01.03.2019, 15:15 Uhr

Cyberangriff legt Zuger Cloud-Provider Meta10 lahm

Ein Ransomware-Angriff hat beim Zuger Cloud-Provider Meta10 für Chaos gesorgt. Der Anbieter arbeitet den Vorfall nun auf und will anderen KMU als Vorbild dienen, wie es mit solchen Angriffen umzugehen gilt.
(Quelle: Pixabay)
Am Freitag, dem 22. Februar, hat ein Ransomware-Angriff die Server des Baarer Cloud-Providers Meta10 ausser Gefecht gesetzt. Die Cyberattacke sei frühmorgens erfolgt und habe den «Secure Cloud»-Service des Unternehmens mit 40 Mitarbeitenden zum Erliegen gebracht, berichteten die Kollegen von «Inside-IT».
In einem Communiqué gibt Meta10 nun weitere Details zum Angriff bekannt: Und zwar hatten Hacker versucht, die Ransomware «GandCrab V5.2» auf den Systemen der Firma zu aktivieren. Gemäss Angaben von Meta10 verschlüsselt dieser Trojaner nach und nach Dateien und Datenbanken. Zudem hinterlasse er detaillierte Anweisungen, wie mit den Hackern zwecks Bezahlung eines «Lösegelds» für die Entschlüsselungscodes Kontakt aufgenommen werden solle. «Die Angreifer gehen dabei äusserst professionell vor und sind sehr gut organisiert», schreibt Meta10.
Die Firma geht davon aus, dass die Angreifer die Systeme über einen längeren Zeitraum analysierten und nach Angriffspunkten durchsuchten, bevor die Verschlüsselung gestartet wurde. Meta10 spricht deshalb auch von einem «von langer Hand vorbereiteten Angriff».

Ransomware flog unter dem Radar

Am Tag des Angriffs seien die internen Systeme um 5.20 Uhr auf Unstimmigkeiten aufmerksam geworden, heisst es in der Stellungnahme. Kurz darauf habe ein erstes System lokalisiert werden können, auf dem eine Malware aktiv war. Diese sei durch die Antimalwaresysteme von Meta10 nicht erkannt worden. Die Firma startete danach mit der Analyse und nahm die Abschottung, Abschaltung und Isolierung einzelner Systeme vor. Vom Angriff betroffen waren einige Datenbankserver, Applikationsserver und Backupserver, wie die Firma mitteilt. Auf mehreren Systemen seien trotz den Sofortmassnahmen Daten verschlüsselt worden.
Bei den Kunden der Firma kam es aufgrund diverser Scans und Datenbankrestores zu Ausfällen und Performanceeinbussen, schreibt Meta10. Länger habe sich der Vorfall bei rund zehn Prozent der Kunden bemerkbar gemacht. Auf seiner «Service Status»-Seite lieferte der Cloud-Provider den Kunden laufend Infos zum Stand der Dinge. Dort schreibt die Zuger Firma, dass Daten nun fortlaufend wieder zur Verfügung gestellt werden. «Es fehlt nicht mehr viel», heisst es. Nach der Wiederinbetriebnahme diverser Datenbankserver müssten nun gewisse Applikationen noch rekonfiguriert werden. «Der geordnete Restore der grossen Datenmengen benötigt viel Zeit», schreibt der Anbieter.

Angriff wird aufgearbeitet

Gemäss Angaben von Meta10 ist die Bearbeitung des Vorfalls momentan noch im Gange. Die Firma kooperiert dazu mit den Zuger Strafverfolgungsbehörden und Spezialisten für Cyberkriminalität der Kriminalpolizei Zug. Wie und auf welche Art sich die Eindringlinge Zugang zu den Systemen verschaffen konnten, untersucht das Unternehmen aktuell noch. Schon jetzt resümieren die Verantwortlichen beim Cloud-Provider aber: «Nach einer ersten Chaosphase am Freitag konnten die Organisation sowie die technische Bearbeitung sehr schnell dank dem Incidentplan aufgezogen werden. Das Eindämmen der Schadensituation hatte nach der Erkennungsphase oberste Priorität und wurde zügig umgesetzt. Somit konnte eine weitere Verbreitung der Ransomware schnell unterbunden werden.»
Mit dem Communiqué und dem Gang an die Öffentlichkeit will der Meta10-COO David Frick nun erreichen, dass man von dem Vorfall dennoch profitieren kann. «Wir wollen aufzeigen, dass sich auch ein KMU erfolgreich gegen einen solch professionellen Angriff wehren kann», sagt er gegenüber Computerworld. Die Firma richtet hierfür eine zentrale Anlaufstelle ein – Interessierte könnten sich bei Frick melden, heisst es seitens Meta10.



Das könnte Sie auch interessieren