Categories: CybersicherheitVirus

Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern

Ein nicht näher genanntes Unternehmen aus dem Bereich Automotive wurden offenbar mehrfach innerhalb kürzester Zeit das Opfer von Ransomware. Wie Forscher von Sophos berichten, griffen die Gruppen LockBit, Hive und BlackCat das Unternehmen an – die Attacken erstreckten sich über einen Zeitraum von insgesamt rund zwei Wochen.

Jede Bande verschlüsselte Dateien und hinterließ eine eigene Lösegeldforderung. In einigen Fällen wurden demnach Dateien sogar mehrfach verschlüsselt. Unklar ist, ob es sich um koordinierte Angriffe handelte oder die Cybererpresser nur zufällig dieselben Schwachstellen im Netzwerk ausnutzen. Die Forscher bezeichnen die Angriffe als “Nebeneffekt der zunehmenden Überfüllung und Kommerzialisierung des Markts” für Cybererpressung.

Der Analyse der Vorfälle zufolge begannen die Angriffe bereits am 2. Dezember 2021, als ein unbekannter Hacker in das Netzwerk des Unternehmens einbrach und für rund eine Stunde eine Remote-Desktop-Protocol-Verbindung zum Domain-Controller des Unternehmens aufbaute.

LockBit kopiert Daten auf einen Cloud-Speicher

Danach passierte mehrere Monate lang nichts, bis am 20. April die LockBit-Ransomware in das Unternehmensnetzwerk eingeschleust wurde – wahrscheinlich über dieselbe angreifbare RDP-Instanz. Die Hintermänner dieses Angriffs kopierten zudem Daten auf einen Cloud-Speicher, um das Unternehmen auch mit gestohlenen Daten erpressen zu können.

In den kommenden Tagen verbreiteten die Angreifer die Erpressersoftware im Netzwerk und erbeuteten Passwörter, um weitere Systeme zu kompromittieren. Sie verschlüsselten Dateien auf mindestens 19 Systemen und hinterließen auf jedem gehackten Computer eine Lösegeldforderung.

Noch während dieser Angriff lief, verschafften sich die Hintermänner der Hive-Ransomware ebenfalls Zugang zum Netzwerk des Unternehmens. Sophos vermutet, dass erneut die Anmeldedaten für den RDP-Zugang zum Einsatz kamen, die bereits im Dezember entwendet wurden. Die Hive-Hintermänner verschlüsselten dann in lediglich 45 Minuten mindestens 16 Rechner im Netzwerk des Unternehmens. Einige davon waren zuvor bereits von LockBit verschlüsselt worden.

BlackCat löscht zusätzlich Spuren der Angriffe

Zwei Wochen später drang mit BlackCat die dritte Ransomware-Gruppe in das Netzwerk ein, die ebenfalls mehrere Systeme kompromittierte und Dateien verschlüsselte. Die BlackCat-Angreifer löschten zudem Log-Dateien, um Spuren ihres Eindringens zu vernichten. Dabei wurden auch Aufzeichnungen zu Aktionen von LockBit und Hive entfernt. Erst danach bat das Unternehmen Sophos um Hilfe.

“Es ist schon schlimm genug, eine Ransomware-Nachricht zu erhalten, geschweige denn drei. Mehrere Angreifer schaffen eine ganz neue Ebene der Komplexität für die Wiederherstellung, besonders wenn Netzwerkdateien dreifach verschlüsselt sind”, sagte John Shier, Senior Security Advisor bei Sophos. “Irgendwann werden sich diese Gruppen entscheiden müssen, wie sie über eine Zusammenarbeit denken – ob sie sie weiter fördern oder mehr konkurrieren wollen – aber im Moment ist das Spielfeld offen für mehrere Angriffe von verschiedenen Gruppen.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

16 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

17 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

18 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

4 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

5 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

5 Tagen ago