Hacker sind offenbar mit der Ransomware NetWalker in das städtische IT-Netzwerk der oststeirischen Kleinstadt Weiz eingedrungen. Die Stadt liegt nur wenige Kilometer von Graz entfernt und ist Sitz bekannter Unternehmen wie dem Automobilzulieferer Magna.
Daten stammen offenbar von einem alten Backup-Server
Zum Beweis des Angriffs veröffentlichte die Hackergruppe einen Teil der erbeuteten Daten – öffentlich einsehbar seit mindestens 20. Mai 2020. Die Stadt Weiz liess sich einige Tage Zeit, bevor sie den Angriff selbst publik machte.
Laut offizieller Stellungnahme handelt es sich um 27 Gigabyte Daten von einem alten Backup-Server aus dem Jahr 2018. Bürgermeister Erwin Eggenreich räumte ein, der Diebstahl sei ärgerlich – die gestohlenen Daten machten aber nur 0,3 % der Gesamtdatenmenge des städtischen IT-Netzes aus.
NetWalker Ransomware agiert von Server aus Luxemburg
Welche Daten genau entwendet wurden, kann die Stadtverwaltung Weiz noch nicht sagen – die Prüfung laufe noch. Der Angriff werde gemäss Datenschutzgrundverordnung (DSGVO) und den einschlägigen datenschutzrechtlichen Bestimmungen behandelt. Die Stadt ergriff die vorgeschriebenen Massnahmen, darunter die Unterrichtung der Staatsanwaltschaft.
Die Ermittler schickten umgehend eine Abuse-Meldung an den File-Hoster, der laut Angaben der Stadt in Luxemburg steht. Nachdem der Link offline genommen wurde, gehen die Ermittler davon aus, dass die Daten für die Täter nicht mehr zugänglich sind. Wer sich Sorgen um seine Daten macht, kann bei der Stadt Weiz nachfragen, ob man betroffen ist.
NetWalker: Relativ neue Version von Ransomware
Aus den Veröffentlichungen der Hacker geht hervor, dass sie beim Angriff NetWalker einsetzten. Die relativ neue Schadsoftware verbreitet sich über Downloads oder E-Mail-Anhänge – die Betreffzeilen versprachen Informationen zum Coronavirus. Wer das beigefügte Office-Dokument öffnet, startet damit ein VBS-Skript, das sofort mit dem zerstörerischen Werk beginnt.
Erstmals aufgetaucht ist NetWalker im August 2019. Die Schadsoftware beendet Windows-Prozesse und -Dienste, verschlüsselt anschliessend Daten und hinterlässt eine Readme-Datei mit der Lösegeldforderung.
Grosse Unternehmen und Behörden betroffen
Nach Einschätzung von Sicherheitsexperten zielt NetWalker gezielt auf Unternehmen, Behörden und Gesundheitseinrichtungen. In Australien traf es den Logistikkonzern Toll Group. In den USA verloren Mitarbeitende des Illinois Champaign-Urbana Public Health District nach einem Angriff den Zugriff auf kritische Daten.
NetWalker Ransomware übernimmt das komplette Netzwerk
Laut Ermittlungen von FBI und US-Heimatschutzministerium befällt NetWalker alle am Windows-Netz angeschlossenen Geräte. Teilweise schleusen die Angreifer die Ransomware über Dateien ein, die vorgeben, zum System zu gehören – und damit als vertrauenswürdig gelten.