Die Hackergruppe Play hat in der Nacht auf Mittwoch Unternehmensdaten von CH Media im Darknet veröffentlicht. Laut Einschätzung von Experten gehört es zum Vorgehen von Play, zunächst ein kleines Datenpaket zu veröffentlichen.

Bei den publizierten Informationen handelt es sich um Daten der Zustellorganisationen, wie CH Media am Mittwoch mitteilte. Kundendaten seien nach dem bisherigen Informationsstand nicht betroffen. Die ebenfalls angegriffene NZZ ist bisher nicht von der Veröffentlichung der Daten betroffen, wie eine Mediensprecherin auf Anfrage von Keystone-SDA sagte.

NZZ und CH Media gaben an, weiter eng mit Spezialisten und unter anderem mit der Kantonspolizei Zürich zusammenzuarbeiten und die Situation zu beobachten. Vertiefte Analysen liefen.

Angriff mit Ransomware

Bei den gestohlenen Daten soll es sich unter anderem um Lohnlisten und vertrauliche Personaldaten handeln. Üblicherweise versuchen Hacker, auf diese Weise Lösegeld zu erpressen.

Das auf Informatik spezialisierte Magazin inside-it.ch hat die nun veröffentlichten Daten gesichtet. Es handle sich primär um Dokumente und Dateien der AZ Vertriebs AG, welche zu CH Media gehört. «Darunter befinden sich Protokolle, Lageberichte sowie einige Personalangaben zu Zeitungsverträgerinnen und -verträgern», schrieb das Portal am Mittwoch.

Für ihren Cyberangriff hatten die Kriminellen sogenannte Ransomware verwendet. Mit dieser können Hacker ins Computersystem eines Opfers eindringen und Zugriff auf IT-Systeme oder auf Daten erlangen oder diese blockieren.

Die Hackergruppe hatte den Veröffentlichungstermin mehrfach verschoben. Ursprünglich sollten die Daten schon am 24. April ins Darknet gestellt werden. Laut inside-it.ch gehört Play zu den zehn derzeit aktivsten Ransomware-Banden. Laut Erhebungen von Security-Forschern soll die Gruppe für rund fünf Prozent der weltweiten Ransomware-Angriffe seit Jahresbeginn verantwortlich sein.

Es gehöre zum Vorgehen von Play, zunächst ein kleines Datenpaket zu veröffentlichen, um die Drohung nochmals zu verstärken. Allerdings habe die Bande solche Drohungen in der Vergangenheit nicht immer wahr gemacht. Das IT-Portal folgert daraus: «Deshalb ist es schwierig abzuschätzen, wie viele und welche Dateien die Cyberkriminellen tatsächlich erbeutet haben.»

Sicherheit erhöht

Der Angriff auf die IT-Infrastruktur der NZZ-Mediengruppe wurde am 24. März dieses Jahres entdeckt. CH Media bezieht verschiedene IT-Services von der NZZ. In der Folge mussten die drei Titel «Aargauer Zeitung», «Luzerner Zeitung» und «St. Galler Tagblatt» vorübergehend auf die unterschiedlichen Regionalteile, sogenannte Splitausgaben, verzichten. Die «NZZ» erschien an einzelnen Tagen ebenfalls reduziert.

Den Spezialisten sei es gelungen, die Hoheit über die IT-Systeme in kurzer Zeit zurückzuerlangen, teilte CH Media mit. Die NZZ habe zusätzliche Massnahmen ergriffen, um die Sicherheit der IT-Infrastruktur weiter zu erhöhen und das Risiko von zukünftigen Angriffen zu minimieren, schreibt die NZZ-Mediensprecherin.

SDA/step

Fehler gefunden?Jetzt melden.