Cybergang AlphV bei internationalem Rüstungszulieferer Ultra eingedrungen

Cybergang AlphV bei internationalem Rüstungszulieferer Ultra eingedrungen

Die Cybergang AlphV ist weiter aktiv. Sie hat im Darknet Daten veröffentlicht, die vom Rüstungszulieferer Ultra stammen.

Die Erpresserbande AlphV ist wieder aktiv und hat nun Daten des international tätigen Rüstungszulieferers Ultra Intelligence & Communications aus den USA im Darknet veröffentlicht. Zu den Kunden gehören Medienberichten zufolge auch das Schweizer Verteidungsdepartment des Bundes (VBS) und die Schweizer Ruag.

Wie der SRF berichtet, beliefert Ultra nationale und internationale Rüstungskonzerne mit militärischer und nachrichtendienstlicher Verschlüsselungs- und Kommunikationstechnologie, dabei die vorgenannten Institutionen. Der Analyse zufolge finden sich in den geleakten Daten etwa Verträge zwischen dem VBS und Ultra mit einem Umfang von rund fünf Millionen US-Dollar. Dafür kaufte das VBS Technik für verschlüsselte Kommunikation. Auch der inzwischen zweigeteilte Rüstungskonzern Ruag bezieht demnach seit 2017 Technik von Ultra.

“Operationelle Systeme nicht betroffen”

Wie der SRF weiter berichtet, habe das VBS den Cyberangriff bestätigt. Armasuisse und die Gruppe Verteidungen seien demnach von Ultra Intelligence & Communcations über den Ransomware-Angriff informiert worden. “Nach aktuellem Kenntnisstand seien operationelle Systeme der Armee nicht betroffen. Abklärungen würden laufen”, schreiben die Autoren.

Die Ruag erklärte demnach, dass die geleakten Dokumente einen Geschäftsbereich beträfen, der aktuell nicht mehr Teil der Ruag Mro Holding AG sei; Ruag International Holding AG und Ruag Mro Holding AG operierten getrennt voneinander. Ultra Intelligence & Communications wollte dort keine Stellungnahme abgeben.

Die Verzeichnisstruktur des Datenlecks lässt eine grobe Einordnung der Natur der Daten zu. Es scheint sich demnach um konkrete Verträge, Angebote, finanzielle Abwicklung, Versicherungen oder auch steuerbezogene Dokumente zu handeln. Dort tauchen neben den betroffenen Schweizer Institutionen auch das FBI und die NATO auf. Die Erpresser von AlphV benennen den Umfang der Daten mit etwa 30 Gigabyte. Ein konkreter Schaden für die Kunden scheint darin zu bestehen, dass nun öffentlich bekannt ist, welche Produkte von welchen Käufern eingesetzt werden. Dies kann für Angreifer eine wertvolle Information sein.

Mitte Dezember gelang internationalen Strafverfolgern der Zugriff auf die technische Infrastruktur der Cybergang AlphV. Das FBI hat dabei Zugriff auf einige Entschlüsselungstools erlangt und konnte rund 500 Opfern helfen. Es folgte zudem ein Katz- und Maus-Spiel, bei dem das FBI eine Webseite mit der Information über die Beschlagnahme einstellte, einige AlphV-Mitglieder jedoch ebenfalls Zugang erlangen konnten und ein eigenes Statement im Wechsel online stellten. Inzwischen scheint eine stabile Ersatzstruktur zum Einsatz zu kommen.