Categories: CybersicherheitVirus

Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern

Ein nicht näher genanntes Unternehmen aus dem Bereich Automotive wurden offenbar mehrfach innerhalb kürzester Zeit das Opfer von Ransomware. Wie Forscher von Sophos berichten, griffen die Gruppen LockBit, Hive und BlackCat das Unternehmen an – die Attacken erstreckten sich über einen Zeitraum von insgesamt rund zwei Wochen.

Jede Bande verschlüsselte Dateien und hinterließ eine eigene Lösegeldforderung. In einigen Fällen wurden demnach Dateien sogar mehrfach verschlüsselt. Unklar ist, ob es sich um koordinierte Angriffe handelte oder die Cybererpresser nur zufällig dieselben Schwachstellen im Netzwerk ausnutzen. Die Forscher bezeichnen die Angriffe als “Nebeneffekt der zunehmenden Überfüllung und Kommerzialisierung des Markts” für Cybererpressung.

Der Analyse der Vorfälle zufolge begannen die Angriffe bereits am 2. Dezember 2021, als ein unbekannter Hacker in das Netzwerk des Unternehmens einbrach und für rund eine Stunde eine Remote-Desktop-Protocol-Verbindung zum Domain-Controller des Unternehmens aufbaute.

LockBit kopiert Daten auf einen Cloud-Speicher

Danach passierte mehrere Monate lang nichts, bis am 20. April die LockBit-Ransomware in das Unternehmensnetzwerk eingeschleust wurde – wahrscheinlich über dieselbe angreifbare RDP-Instanz. Die Hintermänner dieses Angriffs kopierten zudem Daten auf einen Cloud-Speicher, um das Unternehmen auch mit gestohlenen Daten erpressen zu können.

In den kommenden Tagen verbreiteten die Angreifer die Erpressersoftware im Netzwerk und erbeuteten Passwörter, um weitere Systeme zu kompromittieren. Sie verschlüsselten Dateien auf mindestens 19 Systemen und hinterließen auf jedem gehackten Computer eine Lösegeldforderung.

Noch während dieser Angriff lief, verschafften sich die Hintermänner der Hive-Ransomware ebenfalls Zugang zum Netzwerk des Unternehmens. Sophos vermutet, dass erneut die Anmeldedaten für den RDP-Zugang zum Einsatz kamen, die bereits im Dezember entwendet wurden. Die Hive-Hintermänner verschlüsselten dann in lediglich 45 Minuten mindestens 16 Rechner im Netzwerk des Unternehmens. Einige davon waren zuvor bereits von LockBit verschlüsselt worden.

BlackCat löscht zusätzlich Spuren der Angriffe

Zwei Wochen später drang mit BlackCat die dritte Ransomware-Gruppe in das Netzwerk ein, die ebenfalls mehrere Systeme kompromittierte und Dateien verschlüsselte. Die BlackCat-Angreifer löschten zudem Log-Dateien, um Spuren ihres Eindringens zu vernichten. Dabei wurden auch Aufzeichnungen zu Aktionen von LockBit und Hive entfernt. Erst danach bat das Unternehmen Sophos um Hilfe.

“Es ist schon schlimm genug, eine Ransomware-Nachricht zu erhalten, geschweige denn drei. Mehrere Angreifer schaffen eine ganz neue Ebene der Komplexität für die Wiederherstellung, besonders wenn Netzwerkdateien dreifach verschlüsselt sind”, sagte John Shier, Senior Security Advisor bei Sophos. “Irgendwann werden sich diese Gruppen entscheiden müssen, wie sie über eine Zusammenarbeit denken – ob sie sie weiter fördern oder mehr konkurrieren wollen – aber im Moment ist das Spielfeld offen für mehrere Angriffe von verschiedenen Gruppen.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

20 Stunden ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

20 Stunden ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

2 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

2 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago