Cyberangriff auf Colt: Großer IT-Dienstleister seit Tagen beeinträchtigt
Der in London ansässige IT- und Telekommunikationsdienstleister Colt Technology Services ist Ziel einer Cyberattacke geworden. Auf seiner Statusseite(öffnet im neuen Fenster) hat sich das Unternehmen erstmals am 14. August zu dem Vorfall geäußert. Bis heute scheint Colt aber nicht in der Lage gewesen zu sein, seine Dienste vollständig wiederherzustellen. Berichten zufolge ist die Ransomwaregruppe Warlock für den Angriff verantwortlich.
Colt versicherte schon in seiner ersten Meldung, sofort Schutzmaßnahmen ergriffen und die zuständigen Behörden über den Vorfall informiert zu haben. In diesem Zuge nahm das Unternehmen auch einige seiner Systeme vom Netz und arbeitet nach eigenen Angaben zusammen mit externen Cybersicherheitsexperten an deren Wiederherstellung.
Wann die betroffenen Systeme wieder verfügbar sein werden, ist unklar. In seinem Update vom 26. August schreibt Colt, einige Support-Services wie das Colt-Online-Kundenportal und die Voice-API-Plattform seien nach wie vor nicht nutzbar. Jedoch versichert das Unternehmen, rund um die Uhr an der Wiederherstellung zu arbeiten.
Daten stehen zum Verkauf
Auf einer separaten Informationsseite(öffnet im neuen Fenster) liefert Colt weitere Einzelheiten zu dem Vorfall und den betroffenen Diensten. Darin betont das Unternehmen, dass nur interne Supportsysteme betroffen seien, nicht jedoch die davon getrennte Kundeninfrastruktur. Dennoch hatten die Angreifer den Angaben zufolge Zugriff auf bestimmte Kundendaten. Das genaue Ausmaß dieses Datenzugriffs ist jedoch noch Gegenstand laufender Ermittlungen.
Colt bestätigt auch, dass die Kundendaten bereits im Darknet aufgetaucht sind. Einem Bericht von Bleeping Computer(öffnet im neuen Fenster) zufolge wurden die Daten von der Ransomwaregruppe Warlock erbeutet und stehen in einem Hackerforum für 200.000 US-Dollar zum Verkauf. Angeblich geht es um eine Million Dokumente mit Finanzdaten, Mitarbeiterdaten, Kundenverträgen sowie Daten über Softwareprojekte und Netzwerkarchitekturen.
Angriff vermutlich über Sharepoint-Lücke
Colt selbst nennt zwar keine Details zur Vorgehensweise der Angreifer, der unabhängige Sicherheitsforscher Kevin Beaumont will jedoch Hinweise darauf gefunden haben(öffnet im neuen Fenster) , dass das Unternehmen über eine Sharepoint-Instanz attackiert wurde. Microsoft hatte schon im Juli vor gefährlichen Zero-Day-Lücken in Sharepoint gewarnt und später bestätigt(öffnet im neuen Fenster) , dass diese unter anderem von Warlock ausgenutzt wurden.
Colt Technology Services operiert in mehreren europäischen und asiatischen Ländern und verfügt auch in Deutschland über mehrere Standorte mit eigenen Datenzentren(öffnet im neuen Fenster) - unter anderem in Berlin, Düsseldorf, Dresden, Frankfurt am Main, Hamburg, Hannover, Köln, München und Stuttgart.