Categories: CybersicherheitVirus

Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern

Ein nicht näher genanntes Unternehmen aus dem Bereich Automotive wurden offenbar mehrfach innerhalb kürzester Zeit das Opfer von Ransomware. Wie Forscher von Sophos berichten, griffen die Gruppen LockBit, Hive und BlackCat das Unternehmen an – die Attacken erstreckten sich über einen Zeitraum von insgesamt rund zwei Wochen.

Jede Bande verschlüsselte Dateien und hinterließ eine eigene Lösegeldforderung. In einigen Fällen wurden demnach Dateien sogar mehrfach verschlüsselt. Unklar ist, ob es sich um koordinierte Angriffe handelte oder die Cybererpresser nur zufällig dieselben Schwachstellen im Netzwerk ausnutzen. Die Forscher bezeichnen die Angriffe als “Nebeneffekt der zunehmenden Überfüllung und Kommerzialisierung des Markts” für Cybererpressung.

Der Analyse der Vorfälle zufolge begannen die Angriffe bereits am 2. Dezember 2021, als ein unbekannter Hacker in das Netzwerk des Unternehmens einbrach und für rund eine Stunde eine Remote-Desktop-Protocol-Verbindung zum Domain-Controller des Unternehmens aufbaute.

LockBit kopiert Daten auf einen Cloud-Speicher

Danach passierte mehrere Monate lang nichts, bis am 20. April die LockBit-Ransomware in das Unternehmensnetzwerk eingeschleust wurde – wahrscheinlich über dieselbe angreifbare RDP-Instanz. Die Hintermänner dieses Angriffs kopierten zudem Daten auf einen Cloud-Speicher, um das Unternehmen auch mit gestohlenen Daten erpressen zu können.

In den kommenden Tagen verbreiteten die Angreifer die Erpressersoftware im Netzwerk und erbeuteten Passwörter, um weitere Systeme zu kompromittieren. Sie verschlüsselten Dateien auf mindestens 19 Systemen und hinterließen auf jedem gehackten Computer eine Lösegeldforderung.

Noch während dieser Angriff lief, verschafften sich die Hintermänner der Hive-Ransomware ebenfalls Zugang zum Netzwerk des Unternehmens. Sophos vermutet, dass erneut die Anmeldedaten für den RDP-Zugang zum Einsatz kamen, die bereits im Dezember entwendet wurden. Die Hive-Hintermänner verschlüsselten dann in lediglich 45 Minuten mindestens 16 Rechner im Netzwerk des Unternehmens. Einige davon waren zuvor bereits von LockBit verschlüsselt worden.

BlackCat löscht zusätzlich Spuren der Angriffe

Zwei Wochen später drang mit BlackCat die dritte Ransomware-Gruppe in das Netzwerk ein, die ebenfalls mehrere Systeme kompromittierte und Dateien verschlüsselte. Die BlackCat-Angreifer löschten zudem Log-Dateien, um Spuren ihres Eindringens zu vernichten. Dabei wurden auch Aufzeichnungen zu Aktionen von LockBit und Hive entfernt. Erst danach bat das Unternehmen Sophos um Hilfe.

“Es ist schon schlimm genug, eine Ransomware-Nachricht zu erhalten, geschweige denn drei. Mehrere Angreifer schaffen eine ganz neue Ebene der Komplexität für die Wiederherstellung, besonders wenn Netzwerkdateien dreifach verschlüsselt sind”, sagte John Shier, Senior Security Advisor bei Sophos. “Irgendwann werden sich diese Gruppen entscheiden müssen, wie sie über eine Zusammenarbeit denken – ob sie sie weiter fördern oder mehr konkurrieren wollen – aber im Moment ist das Spielfeld offen für mehrere Angriffe von verschiedenen Gruppen.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

20 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

20 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

3 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

4 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

5 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

5 Tagen ago