Cyberkriminelle nehmen Industrieunternehmen zunehmend ins Visier
Böswillige Cyber-Angreifer stellen ernsthafte Bedrohung für industrielle Infrastruktur Europas dar.
Ein von der als BlackCat, ALPHV und Noberus bekannten Ransomware-Gruppe verwendetes Tool, deutet darauf hin, dass Cyberkriminelle zunehmend Industrieunternehmen ins Visier nehmen. BlackCat, die im Rahmen eines Ransomware-as-a-Service (RaaS)-Modells operiert, trat im November 2021 in Erscheinung und hat seitdem weltweit Unternehmen ins Visier genommen. In einem im Februar veröffentlichten Bericht erklärte das auf industrielle Cybersicherheit spezialisierte Unternehmen Claroty, dass Ransomware häufig industrielle Kontrollsysteme (ICS) oder andere OT-Umgebungen (Operational Technology) angreift, und dass die Auswirkungen oft erheblich sind.
Verbindungen zwischen BlackCat, BlackMatter und DarkSide
Mehrere Cybersicherheitsunternehmen haben Verbindungen zwischen BlackCat und den Ransomware-Aktivitäten von BlackMatter und DarkSide festgestellt. Es hat den Anschein, dass das BlackCat-Team aus verschiedenen Mitgliedern der RaaS-Gruppe besteht, darunter auch BlackMatter, und dass es sich nicht um eine Umbenennung von BlackMatter handelt.
Symantec beschreibt das Datenexfiltrationstool Fendr als ein benutzerdefiniertes Tool, mit dem BlackMatter-Betreiber auf einfache Weise wertvolle Daten aus kompromittierten Systemen stehlen konnten. Das Tool, das bisher nur bei BlackMatter-Angriffen zum Einsatz kam, wurde entwickelt, um bestimmte Dateitypen zu sammeln und sie auf die Server der Cyberkriminellen hochzuladen, bevor die Ransomware zur Dateiverschlüsselung eingesetzt wird. Die gestohlenen Daten können dann verwendet werden, um das Opfer zur Zahlung zu zwingen.
Regierungen warnen vor zunehmender Bedrohung industrieller Systeme
Bei einem kürzlich erfolgten BlackCat-Angriff auf ein Öl-, Gas-, Bergbau- und Bauunternehmen in Südamerika setzten die Hacker eine Version des Fendr-Tools ein. Im Vergleich zu dem bei BlackMatter-Angriffen entdeckten Tool hatte es dieser Angriff jedoch auf einige zusätzliche Dateitypen abgesehen, insbesondere auf solche, die typischerweise in industriellen Umgebungen vorkommen. Die Tatsache, dass sich eine Ransomware-Bande für Industrieunternehmen interessiert, ist nicht überraschend, und sowohl Regierungen als auch Cybersicherheitsunternehmen haben Organisationen gewarnt, dass Ransomware eine zunehmende Bedrohung für industrielle Systeme darstellt.