Skandinavische Unternehmen im Visier von Cyberangriffen

Nordische Unternehmen bauen ihre IT-Netzwerkabwehr nach einer Reihe bösartiger Cyberangriffe, die im Dezember 2021 ihren Höhepunkt erreichten, gegen eine Reihe der größten Industrie- und Dienstleistungskonzerne der Region aus.

Vestas Wind Systems, Amedia, Nortura und Nordic Choice Hotels gehörten zu den Unternehmenszielen dieser jüngsten Welle von Cyberangriffen, die sich manifestierte, als die nordischen Regierungen höhere Ausgaben für ihren nationalen Sicherheitsapparat zur Unterstützung der Cyber-Abwehrinfrastruktur ankündigten.

Der aggressive Ransomware-Virusangriff auf die Nordic Choice Hotels (NCH) mit Hauptsitz in Oslo im Dezember hat die Buchungs-, Zahlungsplattform und die Online-Check-in-IT-Systeme des Freizeitunternehmens gestört. Der Angriff betraf IT-Netzwerke und Computerstationen in der NCH-Kette mit 200 Hotels in Norwegen, Schweden, Finnland, Dänemark und Litauen.

Der am 19. November gegen Vestas Wind Systems (VWS) gestartete Ransomware-Angriff betraf die internen Systeme des dänischen Unternehmens und führte zu einer Verletzung personenbezogener Daten. Den Hackern ist es nicht nur gelungen, Daten aus kompromittierten internen File-Share-Systemen abzufangen, sondern auch persönliche Informationen, darunter auch Arbeitsverträge, im Darknet freizugeben.

„Der Bedrohungsakteur ist bei seinem Versuch, Vestas zu erpressen, gescheitert“, sagte VWS-Chef Henrik Andersen. „Leider ist es den Angreifern gelungen, Daten von Vestas zu stehlen, und diese Daten wurden illegal extern weitergegeben. Um diese Situation zu mildern, arbeiten wir hart daran, durchgesickerte Daten zu identifizieren und werden mit betroffenen Interessengruppen und Behörden zusammenarbeiten.“

VWS arbeitete mit externen Cybersicherheitspartnern zusammen, um den normalen Betrieb nach dem Angriff wiederherzustellen. Neben seiner forensischen Untersuchung des Cyberangriffs hat das Unternehmen auch damit begonnen, seine IT-Systeme und seine IT-Infrastruktur zu härten, um bis Mitte Dezember eine vollständige Wiederherstellung aller Systeme zu erreichen.

Lesen Sie auch  Totale Mondfinsternis: Blutmond erscheint heute Abend in Großbritannien – hier können Sie ihn sehen | Nachrichten aus Wissenschaft und Technik

„Wir waren erleichtert, dass der Angriff keine Auswirkungen auf den Betrieb von Windkraftanlagen hatte und die meisten unserer IT-Systeme kurz nach dem Angriff wieder betriebsbereit waren. Wir haben noch viel Arbeit vor uns. Wir müssen gegenüber Cyber-Bedrohungen äußerste Sorgfalt walten lassen“, sagte Andersen.

„Wir waren erleichtert, dass der Angriff keine Auswirkungen auf den Betrieb von Windkraftanlagen hatte und die meisten unserer IT-Systeme kurz nach dem Angriff wieder betriebsbereit waren. Wir haben noch viel Arbeit vor uns. Wir müssen gegenüber Cyber-Bedrohungen äußerste Sorgfalt walten lassen.“

Henrik Andersen, Vestas Wind Systems

Der Virusangriff gegen NCH, den größten Hotel- und Freizeitkonzern der nordischen Region, wurde am 2. Dezember gestartet. Den Hackern gelang es, eine unbekannte Anzahl von Computern lahmzulegen, zu infizieren und zu verschlüsseln, was NCH dazu zwang, das Tempo eines neu eingeführten Projekts zu beschleunigen, um mehr als 4.000 Computer mit Microsoft Windows auf Google Chrome OS umzuwandeln.

In Zusammenarbeit mit internen und externen IT-Cybersicherheitsexperten gelang es der Technologieabteilung von NCH, innerhalb von 24 Stunden nach dem Angriff 2.000 Computer auf Chrome OS umzustellen, sodass das Unternehmen grundlegende Vorgänge wie Buchungen, Check-in und Check-out sowie Zahlungen aufrechterhalten konnte Lösungen.

„Wir waren bereits mit dem Pilotprojekt beschäftigt, um unsere Microsoft Windows-Computer auf Google Chrome OS umzustellen, als der Angriff stattfand. Wir haben uns entschieden, die Ressourcen neu zu fokussieren, um das Chrome OS-Projekt zu beschleunigen, das mit unserer Kosteneffizienz und CO . verbunden ist2 Reduktionsprogramme. Wir konnten alle Maschinen von dem Virus befreien und die CloudReady-Lösung von Google installieren“, sagte Kari Anna Fiskvik, Vizepräsidentin für Technologie bei NCH.

Mit forensischer Unterstützung der norwegischen Nationalen Sicherheitsbehörde (Nasjonal Sikkerhetsmyndighet) konnte NCH den Computervirus als Werk der sogenannten Conti-Ransomware-Gruppe identifizieren. Bjørn Arild Wisth, stellvertretender CEO von NCH, sagte, das Unternehmen habe beschlossen, keine Lösegeldforderungen zu kontaktieren oder darauf zu reagieren.

„Am Wochenende des Angriffs ist es uns gelungen, in den meisten unserer Hotels alternative Lösungen zu implementieren. Ziel war es, die Mitarbeiter wieder in den Normalbetrieb zu bringen, ein Ziel, das wir innerhalb von Tagen nach dem Cyberangriff erreicht haben“, sagte Wisth. “Unsere forensischen Untersuchungen ergeben derzeit nicht, dass Daten des Angriffs durchgesickert sind, aber wir können es nicht ausschließen.”

Die im Jahr 2020 erstmals beobachtete Ransomware Conti geht besonders aggressiv gegen alle Versionen von Microsoft Windows vor. Nach einem Angriff auf ein IT-System versucht der Conti-Virus, Volumeschattenkopien zu löschen und wichtige Dienste mit dem Restart Manager zu beenden, um ihm die Verschlüsselung von Dateien zu ermöglichen. Conti dient auch dazu, die Windows Defender-Anwendung auf Computern zu deinstallieren.

NCH ​​schätzt, dass die Entscheidung, die Software anstelle der Hardware in seinem 4.000 Computer umfassenden IT-Netzwerk zu ändern, dem Unternehmen rund 60 Millionen NOK (6 Millionen Euro) einsparen wird.

Der Cyber-Streik gegen Nortura am 21. Dezember zwang das norwegische Fleischverarbeitungsunternehmen, sein gesamtes IT-System herunterzufahren, um forensische Untersuchungen durchzuführen und Computer zu bereinigen, die mit dem zentralen IT-System des Unternehmens verbunden sind.

Nortura habe den Angriff frühzeitig erkannt und durch Abschalten des Internetzugangs Schäden an seinem IT-System begrenzen können, sagte CEO Anne Marit Panengstuen. Die schnelle Aktion hinderte Hacker daran, Daten zu erfassen oder Betriebssystemdateien zu verschlüsseln.

„Cyberbedrohungen werden im Allgemeinen häufiger und wir investieren weiter, um unser Geschäft vor böswilligen Akteuren zu schützen. Wir haben gute Notfallpläne, die aktiviert wurden, als wir auf den Angriff aufmerksam wurden“, sagte Panengstuen. „Wir hatten auch eine Portion Glück auf unserer Seite, da wir 2021 eine IT-Cybersicherheits-Notfallübung durchgeführt hatten, die auf einem ähnlichen Bedrohungsprofil basierte.“

„Cyberbedrohungen werden im Allgemeinen häufiger und wir investieren weiter, um unser Geschäft vor böswilligen Akteuren zu schützen. Wir haben gute Notfallpläne, die aktiviert wurden, als wir auf den Angriff aufmerksam wurden.“

Anne Marit Panengstuen, Nortura

Norturas Standby-Cybersicherheitsprotokolle wurden verwendet, um forensisch festzustellen, ob Computer innerhalb des IT-Systems der Gruppe kompromittiert wurden. Eine vollständige Bereinigung wurde durchgeführt, bevor das zentrale IT-System, das die Fleischverarbeitungsbetriebe von Nortura in ganz Norwegen unterstützt, am 10. Januar 2022 vollständig wiederhergestellt wurde.

Amedia, der Verlag für 80 lokale Zeitungen in Norwegen, wurde am 28. Dezember Ziel eines Ransomware-Virusangriffs. Der Angriff zwang das Unternehmen, sein zentrales Computersystem und seine Produktionsanlagen vom Netz zu nehmen. Obwohl Amedia die Veröffentlichung seiner Printausgaben einstellte, veröffentlichte das Unternehmen seine Zeitungen weiterhin online, nachdem eine forensische Analyse des Angriffs durchgeführt wurde und der Bedrohungswert für Kernoperationen zurückgegangen war.

„Dies war ein klassischer Virenangriff für Lösegeld“, sagte Pål Nedregotten, Head of Data and Technology bei Amedia. „Die Hacker versuchten, unsere Veröffentlichungs- und Betriebskapazitäten zu stören, während sie versuchten, unsere Werbe- und Abonnementsysteme zu deaktivieren. Wir implementieren routinemäßig umfassende Cybersicherheitsmaßnahmen, um den Schaden durch solche Angriffe zu begrenzen. Mit diesen Maßnahmen soll der Normalbetrieb so schnell wie möglich wiederhergestellt werden. Die durch den Angriff entstandenen Probleme beschränkten sich hauptsächlich auf Systeme, die von unserem zentralen IT-Unternehmen Amedia Teknologi verwaltet wurden. Die anderen Systeme von Amedia funktionierten wie gewohnt.“

Hacker versuchten, persönliche Daten im Abonnementsystem von Amedia zu erfassen, das die Namen, Adressen, Telefonnummern und den Abonnementverlauf von privaten und geschäftlichen Abonnenten enthält. Andere Daten wie Konto-Login-Passwörter, Leseverlauf und Bankkarteninformationen seien bei dem Angriff nicht kompromittiert worden, sagte Nedregotten.

„Die Ermittlungen dauern an, aber im Moment haben wir keine Informationen darüber, dass personenbezogene Daten veröffentlicht oder in irgendeiner Weise missbraucht wurden“, fügte Nedregotten hinzu.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.