Entgegen ihrer Ankündigung

Update: Hackergruppe greift St. Galler Hoster nicht mehr an

Uhr
von Silja Anders und René Jaun und ml

Der Hoster Online Consulting ist am 16. Juli Woche Opfer eines DDoS-Angriffs geworden. Eine Hackergruppe drohte mit einem noch grösseren Angriff am 22. Juli, doch dieser fand nicht statt.

(Source: Zapp2Photo / Shutterstock.com)
(Source: Zapp2Photo / Shutterstock.com)

Update vom 23.7.2021: Die mutmasslichen Erpresser der Online Consulting AG haben ihre Drohung nicht wahr gemacht. Entgegen ihrer Ankündigung kam es am im Verlauf des 22. Juni zu keiner weiteren DdoS-Attacke, wie "Watson" berichtet.

Auch die Websites der St. Galler Behörden blieben normal zugänglich.

Als mögliche Erklärung schreibt das Portal unter Berufung auf Max Klaus, stellvertretender Leiter Operative Cybersicherheit des NCSC: "Solche Attacken verursachten für die Cyberkriminellen ebenfalls Kosten, beispielsweise für den Unterhalt der Infrastruktur oder für die Miete eines Botnetzes". Seitens Online Consulting AG hiess es bereits, man werde kein Lösegeld bezahlen.

Update vom 22.7.2021: Der Angriff auf den Hoster "Online Consulting" von vergangener Woche soll nur der Anfang gewesen sein. Dies legt jedenfalls eine E-Mail nahe, aus der das "Tagblatt" in einem Bezahlartikel zitiert. Darin künden die mutmasslichen Hacker eine neue, umfangreichere DDoS-Attacke an. Der vergangene Angriff sei demnach nur "eine Warnung gewesen", und der richtige Angriff finde sechs Tage später – also am 22. Juli – statt.

Der Angriff letzte Woche habe die Server mit rund 80 Megabit pro Sekunde geflutet. Laut dem mutmasslichen Erpressermail werde die neue Attacke auf ihrem Höhepunkt über zwei Terabit pro Sekunde stark sein.

"Watson" berichtet unter Berufung auf das Tagblatt und auf Agenturmeldungen, dass eine Gruppe namens "Fancy Lazarus" hinter der Erpressung stehen soll. Diese sei seit August letzten Jahres aktiv und führe seit Mai eine neue Angriffswelle. Sie nehme verschiedene europäische Internet Provider ins Visier. Geheimdienste nehmen an, dass es sich bei den Hackern um eine "als Hackerkollektiv auftretende Einheit des russischen Militärgeheimdienstes GRU" handelt, schreibt Watson weiter.

Fredy Künzler, CEO von Init7, Internet-Provider des betroffenen Hosters, gibt sich der Zeitung gegenüber gelassen: "Nun, die Erpresser bluffen natürlich auch. Ob dann wirklich noch mal eine DDoS kommt, wird sich zeigen", lässt er sich zitieren. Der Kanton St. Gallen hat derweil eine Fehlerseite mit den wichtigsten Telefonnummern vorbereitet, die im Falle eines erneuten Serverausfalls aufgeschaltet werden könne.

Originalmeldung vom 16.07.2021 - Websites von St.Galler Behörden sind wieder online

Hacker haben am 16. Juli die Websites von Kanton und Stadt St. Gallen sowie der beiden Polizeien angegriffen. Nachdem zunächst "technische Störungen" gemeldet worden waren, stand bald fest, dass es sich um einen Hackerangriff handelte, wie der Kanton St. Gallen auf seiner Website mitteilt.

Wie das St. Galler Tagblatt berichtet, fluteten die Angreifer mit einem DDoS-Angriff die Websites, um diese lahmzulegen. Der Hoster der kantonalen und städtischen St. Galler Websites namens Online Consulting AG, war bereits im April Opfer eines Hackerangriffs geworden. Damals seien die Server über einen Tag offline gewesen.

Angreifer forderten Lösegeld

Wie Fredy Künzler, CEO von Init7, Internet-Provider von Online Consulting, gegenüber dem St. Galler Tagblatt sagt, sei es den Angreifern nur um Geld gegangen sei. Das sei aber nicht gezahlt worden. "Man darf unter gar keinen Umständen den Erpressern Geld zahlen. Viel besser wäre, wenn die zahllosen KMU das Geld im Sinne einer guten Vorsorge ausgeben und eine Firma beauftragen würde, die Schwachstellen analysieren und beheben würde."

Als erste "Feuerlösch-Aktion" sei der Traffic zu den betroffenen IP-Adressen bereits am Eintrittspunkt des Netzes "verbrannt" worden. Das passiert durch sogenanntes Blackholing. Damit würden die Datenpakete der DDos nicht mehr ans Ziel kommen, wie Künzler erklärt. Nachteil dieser Strategie sei jedoch, dass die Websites auf den ge-blackhole-ten Servern offline gingen. Für die Erpresser sei das ein positiver Effekt. Vorerst werde die DDoS-Attacke eingestellt, damit dem Opfer, in diesem Fall Online Consulting, Zeit gegeben werde, die geforderte Summe zu überweisen. Die Angreifer forderten demnach in einem Erpresser-E-Mail am Morgen des Angriffs einen Bitcoin. Das entspricht derzeit rund 30'000 Franken.

Bei der Attacke habe es sich mit etwa 80 Gigabit pro Sekunde um einen mittelgrossen Angriff gehandelt, erklärt Künzler in der Zeitung weiter. Die grössten Angriffe seien teilweise mehr als zwei Terabit pro Sekunde gross.

Laut dem Kanton St. Gallen waren die Websites bereits am Tag des Angriffs um 12 Uhr wieder online und es wurden keine Daten gestohlen.

DDoS-Attacken und Ransomware-Angriffe seien inzwischen weit verbreitet, sagt Künzler. Das zeigt auch das Beispiel der Gruppe REvil, die kürzlich für die Erpressung diverser Websites verantwortlich war, bevor sie wieder aus dem Darkweb verschwand, wie Sie hier nachlesen können.

Wenn Sie mehr über Cybersecurity erfahren möchten, melden Sie sich für unseres wöchentlichen Newsletter von Swisscybersecurity.net an.

Webcode
DPF8_223222