Am 24. März vermeldeten die Medienunternehmen CH Media und NZZ einen Cyberangriff. Ziel soll eigentlich das Zürcher Medienhaus gewesen sein, da aber CH Media teilweise dieselben Systeme nutzt, waren diese ebenfalls betroffen.
Schon früh hiess es, der Angriff sei mit Ransomware erfolgt. Diese Aussage scheint sich jetzt bestätigt zu haben: «Im Darkweb bekennt sich die Ransomware-Bande Play zum Angriff», machte das Portal Inside IT am Donnerstagnachmittag publik.
Die Cyberkriminellen drohen mit der Veröffentlichung von «vertraulichen Daten» und Mitarbeiterinformationen. Die beiden Medienhäuser bestätigen Inside IT einen Datenabfluss, wie Reto Vogt, Chefredaktor inside-it.ch, dem Klein Report mitteilt.
Die Cyberkriminellen nennen als Opfer chmedia.ch, nzz.ch, vsdruck.ch und azmedien.ch. Man habe «private und persönliche vertrauliche Daten, Projekte, Gehaltslisten, Mitarbeiterinformationen und mehr» erbeutet. Den Medienhäusern stellt Play ein Ultimatum bis zum 24. April – danach würden die Dateien und Dokumente veröffentlicht.
Bei der Medienstelle von CH Media heisst es auf Anfrage zum Bekennerschreiben von Play: «Wir wurden via NZZ durch das NCSC informiert, dass als Folge des Ransomware-Angriffs auch aus unserem Konzern Daten im Darknet angeboten werden. Aktuell ist uns nur ein sehr kleiner Datenabfluss bekannt, wobei die Analysearbeiten noch laufen.» Man habe sofort nach Entdeckung des Angriffs die Behörden eingeschaltet und beurteile laufend die Situation.
Auch Karin Heim, Leiterin Unternehmenskommunikation der NZZ, erklärt gegenüber inside-it.ch: «Wir haben eine geringe Menge an Datenabfluss festgestellt. Welche Daten betroffen sind, ist Gegenstand der laufenden Abklärungen. Unsere Experten analysieren aktuell den Vorfall.»
Auf die Frage, ob eine Lösegeldforderung eingegangen ist, schreibt CH Media: «Uns sind keine weiteren Informationen zum Darknet-Angebot bekannt.» Wegen der laufenden Ermittlungen wolle man sich dazu auch nicht detaillierter äussern. Zum Stand der Aufräumarbeiten heisst es: «Die Recovery-Arbeiten sind voll in Gang und wir sind zuversichtlich, sämtliche Marktauswirkungen bald bereinigt zu haben.»
Auch von Seiten NZZ heisst es, die Zeitungsproduktion sei sichergestellt. Die NZZ und das zugehörige E-Paper erscheinen seit letztem Dienstag wieder im gewohnten Umfang.
Gemäss Recherchen von Inside IT war im Februar bereits Energie Pool Schweiz Opfer der Bande. Zuvor war Ende 2022 die Hotelkette H-Hotels ins Visier der Kriminellen geraten.
