Die illegale Veröffentlichung der Dateien geht auf das Konto einer relativ jungen Internet-Erpresserbande namens Vice Society zurück. Es handelt sich gemäss den bisherigen Recherchen um eine versuchte Ransomware-Attacke.
Allerdings sind die Hintergründe unklar.
Die Veröffentlichung der gestohlenen Daten im Darknet erfolgte gemäss den watson vorliegenden Informationen Mitte Juni, darauf lassen Zeitstempel schliessen.
Ob auf der Stadtverwaltung in Rolle ein Erpresserschreiben einging, wollten die Verantwortlichen am vergangenen Donnerstag auf Anfrage von watson nicht sagen. Erst nach Veröffentlichung dieses Artikels und auf Nachfrage eines Westschweizer Journalisten bestätigte die Bürgermeisterin den Angriff.
Der Leiter der Verwaltung, Julien Bocquet, wusste am Donnerstag angeblich nichts von einem Angriff, als ihn watson auf die im Darknet verfügbaren Dokumente hinwies.
Der für die Stadtverwaltung verantwortliche Manager wollte darüber hinaus keine Fragen beantworten.
Vermutlich konnten die Kriminellen während längerer Zeit auf einen Server der Gemeinde zugreifen und unbemerkt Gigabyte um Gigabyte extrahieren.
Unter den im Darknet veröffentlichten Dokumenten finden sich die Outlook-Postfächer des früheren Stadtpräsidenten und des Verwaltungschefs, aber auch Dokumente zur Finanzplanung der Gemeinde am Genfersee.
Die Bürgermeisterin von Rolle, Monique Choulat Pugnale, hat am Freitag gegenüber 24heures.ch Auskunft geben. Sie bestätigte eine Ransomware-Attacke und sagte, die Gemeinde habe kein Lösegeld bezahlt.
Der Computer-Einbruch sei am 30. Mai entdeckt worden. Mit Unterstützung von Bund und Kantonen sowie einer spezialisierten Firma sei das System wiederhergestellt worden. Dies habe zehn Tage gedauert, weil die Täter offenbar gewisse Daten verschlüsselt und den Zugriff verhindert hatten.
Die Bürgermeisterin sagt, es seien «keine sensiblen Daten» gestohlen worden. Choulat Pugnale ist laut 24heures auch für das IT-System der Gemeinde Rolle zuständig.
«Vice Society» ist eine erst seit wenigen Monaten aktive Ransomware-Gruppe, die bereits Unternehmen und Organisationen auf mehreren Kontinenten attackiert hat.
Die Gruppe habe es auch auf öffentliche Schulen und andere Bildungseinrichtungen abgesehen, warnen die Sicherheitsforscher von Cisco Talos in einem aktuellen Bericht.
Da es sich um einen neuen Akteur in diesem Bereich handle, seien die Angriffsmethoden und Vorgehensweisen der Vice Society schwer zu quantifizieren. Bisherige Beobachtungen nach Zwischenfällen zeigten jedoch, dass sie schnell neue IT-Schwachstellen ausnutzten, um «sich seitlich zu bewegen und im Netzwerk eines Opfers zu verbleiben».
Das jüngste bekannte Opfer der Internet-Kriminellen: ein Spital im südfranzösischen Arles. Am Donnerstag bestätigte der Direktor des 450-Betten-Krankenhauses den Angriff, der sein Unternehmen mitten in einer heftigen Covid-Welle getroffen habe. Medizinisches Fachpersonal habe keinen Zugang zu Patientendossiers und die für die Lohnabrechnung benötigte Personalsoftware sei ausser Gefecht.
Die Gemeinde dürfte eine interne Untersuchung gestartet haben. Fragen werden vorläufig keine beantwortet.
In der Regel beschaffen sich Ransomeware-Gruppen jeweils über Phishing-Operationen Login-Daten von ahnungslosen Opfern. Damit dringen sie in fremde Computernetzwerk ein und nutzen laut neusten Berichten eine derzeit sehr beliebte Windows-Schwachstelle namens «PrintNightmare» aus, um ihre Schadprogramme im Netzwerk zu verteilen.
Ob auch der Server der Gemeindeverwaltung von Rolle dank dieser Schwachstelle ausspioniert und geplündert werden konnte, ist nicht bekannt, das erscheint aber naheliegend.
Informationen über die Windows-Schwachstelle wurden Anfang Juni durch Sicherheitsforscher versehentlich publik gemacht. Anfang Juli veröffentlichte Microsoft Updates, um die Lücke in seinen Betriebssystemen zu schliessen.
In der Regel schaffen es die Ransomware-Gruppen, nach dem Eindringen in einen fremden Rechner heimlich ihre Zugriffsrechte auf Systemebene zu erhöhen und verbreiten dann die Ransomware im gesamten Netzwerk des Opfers.
Nach der Phase des Ausspionierens und Datendiebstahl führen sie den Angriff übers Internet zu Ende, indem sie lokale Dateien, bzw. Verzeichnisse, verschlüsseln und unlesbar machen. Dies war in Rolle gemäss den watson vorliegenden Informationen nicht der Fall. Warum, ist unklar.
Hatten die Westschweizer Glück im Unglück? Ignorierten sie eine Lösegeldforderung?
Fakt ist, dass interne Dokumente und vermutlich auch vertrauliche Informationen im Darknet zugänglich sind. Das ganze Ausmass des Daten-Leaks lässt sich vorläufig weder einschätzen, noch der Schaden beziffern. Es ist auch nicht bekannt, wann und ob die Verantwortlichen die Bevölkerung informieren wollen. (Quellen: u.a. Watson)