03.02.23
Software & IT

Update: ION Group soll Lösegeld gezahlt haben

Der TMS-Anbieter ION Group ringt Berichten zufolge mit einem Ransomware-Angriff. Die Veröffentlichung sensibler Daten scheint nun vom Tisch zu sein.

Update 6. Februar 2023: Die Nachrichtenagentur „Reuters“ schreibt, dass ION Group das geforderte Lösegeld gezahlt hat. Die Agentur beruft sich dabei auf einen Chat mit einem Mitglied der Hackerbande Lockbit, die offenbar für den Cybercrimevorfall verantwortlich zeichnet. Die Cyberkriminellen wollten den Betrag oder weitere Informationen dem Bericht zufolge nicht preisgeben. Gezahlt wurde das Lösegeld den Hackern zufolge von einem „sehr reichen unbekannten Philanthropisten“. Von der Website von Lockbit ist ION Group als Opfer mittlerweile verschwunden, wie DerTreasurer einsehen konnte. Es ist aber auch möglich, dass Lockbit sich aus anderen Gründen zurückgezogen hat. Auf eine Anfrage von DerTreasurer hat ION Group bislang nicht reagiert. Gegenüber „Reuters“ wollte ein Unternehmenssprecher den Bericht nicht kommentieren.

Mitte der Woche wurde bekannt, dass Hacker die ION Group infiltriert haben. Durch Zukäufe gehören dem TMS-Anbieter zahlreiche TMS-Lösungen wie Wallstreet Suite, ITS, Reval und IT2, die auch bei deutschen Unternehmen gängig sind.

Bislang hüllen sich die Dubliner größtenteils in Schweigen – ION kommuniziert ohnehin relativ zurückhaltend. Auch eine Anfrage von DerTreasurer blieb bisher unbeantwortet. Es kommen aber immer mehr Details ans Tageslicht.

So berichtet die Nachrichtenagentur „Bloomberg“, dass ION Opfer einer Ransomware-Attacke geworden ist. Dabei verschlüsseln Cyberkriminelle die Systeme und erpressen ein Lösegeld, damit sie die IT-Infrastruktur wieder freischalten. Bei ION ist dem Vernehmen nach eine Gruppe namens LockBit verantwortlich, die mit Russland in Verbindung gebracht wird und zuletzt auch die britische Post Royal Mail angegriffen hat.

LockBit will Daten am 4. Februar veröffentlichen

Die Gruppierung soll nun gedroht haben, sensible Daten am 4. Februar veröffentlichen zu wollen, wenn ION kein Geld überweist. Das berichtet das Tech-Portal „TechCrunch“. Welche Daten gestohlen wurden, ist bislang nicht publik.

Das Ausmaß der Attacke ist weiter unbekannt. Laut „Bloomberg“ sollen mindesten 42 ION-Kunden betroffen sein, Finanzinstitute in Europa und den Vereinigten Staaten seien dazu gezwungen gewesen, ihren Derivatehandel teils manuell auszuführen. Die Cyberattacke hat etwa Händler in London unter Druck gesetzt, wie „Reuters“ schreibt. Gerade am Ende des Monats sind die Monatsberichte fällig, der Cyberangriff bei ION Medienberichten zufolge im Finanzsektor einiges durcheinandergebracht.

Laut „Reuters“ hat der Vorfall auch das FBI auf den Plan gerufen. So soll die US-Behörde in Kontakt mit dem ION-Management sein. Das Treasury der USA sieht derweil keine Risiken für den Finanzmarkt. Es seien eher kleinere und mittelgroße Firmen betroffen.

Supply-Chain-Angriff ist eine Gefahr

Gerüchte um einen Hackerangriff bei der ION Group waren zuerst am Dienstag bei Twitter aufgekommen, später hat ION die Informationen offiziell bestätigt. Der Bereich ION Cleared Derivatives, eine Einheit von ION Market, sei von einem „Cybersecurity Event“ betroffen, hieß es. Beschränkt ist der Vorfall laut ION auf eine bestimmte Umgebung, alle betroffenen Server seien abgeschaltet. Die Wiederherstellung der Dienste ist demnach im Gange. Laut „Reuters“ kann das noch einige Tage dauern.

Hackerangriffe sind speziell für IT-Dienstleister ein großes Problem. Hacker können bei einem sogenannten Supply-Chain-Hack auch die Systeme von Kunden infiltrieren. So war es auch bei dem US-Dienstleister Kaseya vor anderthalb Jahren, wodurch über tausend Kunden und mehrere hundert Unternehmen in Deutschland betroffen waren.

Treasurer und Unternehmen, die ION im Einsatz haben, sollten derzeit besonders vorsichtig sein und prüfen, ob auch sie von dem Cyberangriff betroffen sein könnten. Das Ausmaß des ION-Hacks dürfte erst in den kommenden Tagen und Wochen klar werden.

Eich[at]derTreasurer.de