Die weltweit operierende schwedische Sicherheitsfirma Gunnebo war im August Ziel eines Hackerangriffs mit Ransomware. Im Oktober wurde bekannt, dass sensible Kundendaten in Untergrundforen veröffentlicht worden waren. Gunnebo hatte die geforderte Lösegeldsumme nicht gezahlt.

Wer hinter dem Gunnebo Hack steckt, ist bisher nicht bekannt. Die Hacker mussten sich aber wohl monatelang in den Netzwerken des Sicherheitsanbieters aufgehalten haben.

Das schwedische Sicherheitsunternehmen Gunnebo spezialisiert sich auf Sicherheitsprodukte und -dienstleistungen. Schwerpunkte sind dabei Zugangskontrolle und integrierte Sicherheit. Gunnebo operiert in 25 Ländern und beschäftigt etwa 4.500 Mitarbeiter. Zu seinen Kunden zählen Banken, Flughäfen, Regierungsbehörden, Kasinos, Juweliere und viele andere.

Gunnebo wusste seit März von dem Hackerangriff

Brian Krebs von Krebs on Security alarmierte das Unternehmen bereits im März. Er hatte zuvor einen Hinweis von Hold Security erhalten, die eine Geldtransaktion zwischen zwei Hackern entdeckt hatten. Dazu gehörten Anmeldedaten für ein Remote Desktop Protocol-Konto, welches von Gunnebo eingerichtet worden war. Im August gab Gunnebo dann bekannt, dass sein IT-Netzwerk von einer Ransomware-Attacke betroffen war.

Gunnebo meldet 25. August 2020, dass eine Ransomware-Attacke auf sein internes Netzwerk erfolgt war. Man habe, so ein Gunnebo Sprecher, die Server sofort heruntergefahren, um die Attacke zu isolieren. Dadurch konnten eine Verbreitung und schlimmere Folgen minimalisiert werden. Der Betrieb war nur kurzzeitig gestört. Gunnebo ging wohl davon aus, dass die eingeleiteten Abwehrmaßnahmen erfolgreich gewesen waren.

Im Oktober stellte sich allerdings heraus, dass die Hacker wohl doch sehr viel erfolgreicher gewesen waren als gedacht. Sie hatten Zehntausende hochsensible Dokumente von den Gunnebo-Datenbanken absaugen können. Diese wurden in Untergrundforen veröffentlicht von den Hackern. Unter den Dokumenten befinden sich Tresorpläne und Lagepläne von Überwachungssystemen in Banken. Dagens Nyheter, eine schwedische Nachrichtenagentur, schrieb, dass etwa 38.000 Gunnebo-Dokumente online gestellt worden waren. Laut dem Journalisten Linus Larsson waren sie bereits im September dort hochgeladen worden. Wer sich bereits an dem 18 GB großen Dokumentarchiv bedient habe, sei aber nicht bekannt, so Larsson.

Der Firmenchef von Gunnebo, Stefan Syrén, sagte, sein Unternehmen hätte eine Zahlung der Lösegeldsumme nie in Betracht gezogen. Larsson hätte den Eindruck bekommen, dass Syrén versucht hatte, die Schwere des Angriffs herunterzuspielen. Er sagte:

„Ich verstehe, dass man Lagepläne als sensibel ansehen könnte, aber wir betrachten sie nicht automatisch als sensibel. Wenn es beispielsweise um Kameras in einer öffentlichen Umgebung geht, ist die Hälfte des Problems, dass sie sichtbar sein sollten. Daher sind Pläne mit Kameraplatzierungen an sich nicht sehr sensibel.“

Unklar ist, ob die gestohlenen RDP-Anmeldedaten bei diesem Angriff eine Rolle gespielt haben. Allerdings lautet das Passwort dafür „password01“. Dies deutet darauf hin, dass die IT-Sicherheit bei Gunnebo auch in anderen Bereichen nicht auf der Höhe war.

Artikel von krebsonsecurity.com, 28.10.2020: Security Blueprints of Many Companies Leaked in Hack of Swedish Firm Gunnebo
Artikel von infosecurity-magazine.com, 28.10.2020: Hackers Leak Swedish Security Firm’s Data

Beitragsbild: Public Domain, Creative Commons CC0 von Michael4Wien from pixabay.com.