Eine Hackergruppe verkündet, die Verwaltung der Kleinstadt Weiz infiziert zu haben. Zum Beweis veröffentlicht sie interne Daten.

Die Ransomware-Gruppe NetWalker hat die Computer der österreichischen Stadt Weiz mit Ransomware infiziert. Die dabei erbeuteten Daten wurden jetzt teilweise veröffentlicht. Die Kleinstadt Weiz liegt in der Oststeiermark (Österreich), wenige Kilometer von Graz entfernt, und ist das wirtschaftliche Zentrum der Region. Ableger mehrerer Großunternehmen wie der Automobilzulieferer MAGNA sowie Bauunternehmen wie LIEB-Bau-Weiz und Strobl Construction unterhalten dort Betriebsstätten.

Offensichtlich sind zumindest einzelne Rechner der Stadtverwaltung durch die Ransomware befallen, möglicherweise hat die Schadsoftware sogar das gesamte kommunale Netzwerk infiziert. Die Information zu diesem Vorfall stammt dabei von der Ransomware-Gruppe selbst, die den erfolgreichen Cyber-Angriff bekannt gab. Beispieldaten sind mindestens seit dem 20. Mai 2020 öffentlich. Die Stadt hält sich bisher mit Auskünften bedeckt. Auf der Website von Weiz findet sich bislang keinerlei diesbezügliche Information.

Es handelt sich offenbar um eine relativ neue Varianten einer Ransomware-Familie. Die Schadsoftware wird meist über Downloads oder in E-Mail-Anhängen verbreitet – wobei wohl die Phrase “Informationen über das Coronavirus” als Köder verwendet wird. Laut einer Kurzbeschreibung von Trend Micro wurden Samples des Filecoders Ransom.PS1.NETWALKER.B erst Mitte Mai 2020 entdeckt. Die Ransomware beendet Prozesse und Dienste unter Windows und beginnt dann mit dem Verschlüsseln von Dateien. Nach erfolgreicher Verschlüsselung wird den Benutzern auf infizierten Systemen eine entsprechende Readme-Datei mit Lösegeldforderungen angezeigt.


Netwalker ReadMe-Datei (Bildquelle: Trendmicro)

Phishing-Mails und VBScript

Details zu den verschlüsselten Dateien, den bei der Infektion manipulierten Registry-Einträgen sowie den abgelegten Schadroutinen finden sich im Trend Micro-Beitrag sowie im Netwalker Ransomware-Report des Sicherheitsunternehmens Cynet. Deren Sicherheitsforscher verfolgen die Aktivitäten der Netwalker-Ransomware-Gruppe, die auch für Angriffe auf das australische Transport- und Logistikunternehmen Toll Group und den Illinois Champaign-Urbana Public-Health District (CUPHD) verantwortlich sind.

In dem Report findet sich außerdem die Information, dass Netwalker-Ransomware über Phishing-Mails mittels VBScript verbreitet wird und sich bei einer erfolgreichen Infektion im Windows-Netzwerk des infiltrierten Opfers ausbreitet. Dabei werden Dateien auf allen erreichbaren Laufwerken verschlüsselt und Backup-Kopien gelöscht.

Daten der Stadtverwaltung veröffentlicht

Dass Systeme der Stadtverwaltung von Weiz erfolgreich durch Schadsoftware infiziert wurden, ist inzwischen belegt. Ein Tweet macht darauf aufmerksam, dass die Netwalker Ransomware-Gruppe einen erfolgreichen Angriff für sich reklamiert. Bei weiteren Recherchen stieß der Autor des Beitrags dann auf einen Bericht der Sicherheitsfirma Cyble. Deren Sicherheitsforscher verfügen über Beispieldateien, die von der Ransomware-Gruppe im Internet veröffentlicht wurden.

Screenshots eines Ordners, der mutmaßlich aus dem Bauamt stammt, weisen auf Aktenvermerke, Auflagen, Baupolizeiliche Überprüfungen, Flurbereinigungsverfahren, Bauanträge etc. hin. Manche Ordner lassen sich über deren Namen direkt einzelnen Mitarbeitern der Verwaltung zuordnen, beispielsweise dem Technikleiter. Allerdings weisen die Dateien teilweise Datumsstempel aus den Jahren 2013 bis 2018 auf.

Aus dem Material, das dem Autor des Beitrags bisher zugänglich ist, lässt sich die Brisanz nicht eindeutig bestimmen. Sollten E-Mails und Dateien mit Anträgen etc. erbeutet worden sein, wovon auszugehen ist, dürften die Daten für Phisher von Interesse sein. Bisher ist unbekannt, warum die Gemeindeverwaltung Weiz bisher nichts öffentlich über diesen Cyber-Angriff verlauten ließ.

Quelle: heise.de
Bilder: Collage aus Bildern von Elchinator von Pixabay & Wikicommons (Public Domain)