Hacker sind offenbar mit der Ransomware NetWalker in das städtische IT-Netzwerk der oststeierischen Kleinstadt Weiz eingedrungen. Sie liegt nur wenige Kilometer von der Landeshauptstadt Graz entfernt und ist Sitz bekannter Unternehmen wie dem Automobilzulieferer Magna.
Daten stammen offenbar von einem alten Backup-Server
Zum Beweis des Angriffs veröffentlichte die Hackergruppe einige der erbeuteten Daten. Sie sind seit mindestens 20. Mai 2020 öffentlich. Die Stadt Weiz liess sich einige Tage Zeit, um den Hackerangriff ebenso publik zu machen.
Laut offizieller Stellungnahme der Stadt handelt es sich um 27 Gigabyte Daten von einem alten Backup-Server aus dem Jahr 2018. Bürgermeister Erwin Eggenreich räumte ein, dass der Diebstahl ärgerlich sei, die gestohlenen Daten aber nur 0,3 % der Gesamtdatenmenge des städtischen IT-Netzes ausmachen.
NetWalker Ransomware agiert von Server aus Luxemburg
Die Stadtverwaltung von Weiz kann aktuell keine genauen Angaben machen, welche Daten die Hacker mit der NetWalker Ransomware entwendeten. Dies sei noch in der Prüfung. Der Angriff werde entsprechend der Datenschutzgrundverordnung (DSGVO) und im Sinne aller datenschutzrechtlichen Bestimmungen behandelt. Die Stadt ergriff die vorgeschriebenen Massnahmen, zu denen auch die Unterrichtung der Staatsanwaltschaft gehörte.
Die Ermittler sendeten umgehend eine „Abuse“-Meldung an den File-Hoster, der nach Angaben der Stadt Weiz in Luxemburg steht. Nachdem der Link offline ist, gehen die Ermittler davon aus, dass die Daten für die Diebe nicht mehr einsehbar sind. Personen, die sich Sorgen um ihre Daten machen, können die Stadt Weiz kontaktieren, um Auskunft zu bekommen, ob sie möglicherweise betroffen sind.
NetWalker: Relativ neue Version von Ransomware
Aus den Veröffentlichungen der Hacker geht hervor, dass sie beim Angriff die Ransomware NetWalker verwendeten. Cyberkriminelle senden die relativ neue Schadsoftware-Variante über Downloads oder als E-Mail-Anhänge an die Opfer. Die E-Mail-Titel versprachen Informationen über das Coronavirus. Beim Anklicken des Office-Dokuments öffnet sich ein VBS-Skript und beginnt mit dem zerstörerischen Werk.
Der neue Schädling trat im August 2019 erstmals in Erscheinung. NetWalker beendet Windows-Prozesse und Dienste, um danach das Verschlüsseln von Daten zu beginnen. Nachdem die Daten unbrauchbar sind, erscheint eine Readme-Datei mit einer Lösegeldforderung.
Grosse Unternehmen und Behörden betroffen
Nach Erkenntnissen von Sicherheitsexperten greifen die Hacker mit NetWalker Unternehmen, Behörden und Gesundheitseinrichtungen an. In Australien wurde der Logistik-Konzern Toll Group Opfer eines Angriffs. In den USA konnten die Mitarbeiter des Illinois Champaign-Urbana Public Health District nach einer Attacke auf wichtige Daten nicht mehr zugreifen.
NetWalker Ransomware übernimmt das komplette Netzwerk
Den Ermittlungen von FBI und des US-Heimatschutzministeriums zufolge befällt NetWalker alle am Windows-Netz angeschlossenen Geräte. Teilweise schleusen die Hacker die Ransomware über Dateien ins Netz, die vorgeben, zum System zu gehören und damit sicher zu sein.
