Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern
Innerhalb von rund zwei Wochen kompromittieren die Gruppen LockBit, Hive und BlackCat das Netzwerk. Anscheinend nutzen sie jeweils dieselbe gehackte RDP-Verbindung. Erst nach dem dritten Angriff sucht das Unternehmen Hilfe bei Sophos.
Ein nicht näher genanntes Unternehmen aus dem Bereich Automotive wurden offenbar mehrfach innerhalb kürzester Zeit das Opfer von Ransomware. Wie Forscher von Sophos berichten, griffen die Gruppen LockBit, Hive und BlackCat das Unternehmen an – die Attacken erstreckten sich über einen Zeitraum von insgesamt rund zwei Wochen.
Jede Bande verschlüsselte Dateien und hinterließ eine eigene Lösegeldforderung. In einigen Fällen wurden demnach Dateien sogar mehrfach verschlüsselt. Unklar ist, ob es sich um koordinierte Angriffe handelte oder die Cybererpresser nur zufällig dieselben Schwachstellen im Netzwerk ausnutzen. Die Forscher bezeichnen die Angriffe als “Nebeneffekt der zunehmenden Überfüllung und Kommerzialisierung des Markts” für Cybererpressung.
Der Analyse der Vorfälle zufolge begannen die Angriffe bereits am 2. Dezember 2021, als ein unbekannter Hacker in das Netzwerk des Unternehmens einbrach und für rund eine Stunde eine Remote-Desktop-Protocol-Verbindung zum Domain-Controller des Unternehmens aufbaute.
LockBit kopiert Daten auf einen Cloud-Speicher
Danach passierte mehrere Monate lang nichts, bis am 20. April die LockBit-Ransomware in das Unternehmensnetzwerk eingeschleust wurde – wahrscheinlich über dieselbe angreifbare RDP-Instanz. Die Hintermänner dieses Angriffs kopierten zudem Daten auf einen Cloud-Speicher, um das Unternehmen auch mit gestohlenen Daten erpressen zu können.
In den kommenden Tagen verbreiteten die Angreifer die Erpressersoftware im Netzwerk und erbeuteten Passwörter, um weitere Systeme zu kompromittieren. Sie verschlüsselten Dateien auf mindestens 19 Systemen und hinterließen auf jedem gehackten Computer eine Lösegeldforderung.
Noch während dieser Angriff lief, verschafften sich die Hintermänner der Hive-Ransomware ebenfalls Zugang zum Netzwerk des Unternehmens. Sophos vermutet, dass erneut die Anmeldedaten für den RDP-Zugang zum Einsatz kamen, die bereits im Dezember entwendet wurden. Die Hive-Hintermänner verschlüsselten dann in lediglich 45 Minuten mindestens 16 Rechner im Netzwerk des Unternehmens. Einige davon waren zuvor bereits von LockBit verschlüsselt worden.
BlackCat löscht zusätzlich Spuren der Angriffe
Zwei Wochen später drang mit BlackCat die dritte Ransomware-Gruppe in das Netzwerk ein, die ebenfalls mehrere Systeme kompromittierte und Dateien verschlüsselte. Die BlackCat-Angreifer löschten zudem Log-Dateien, um Spuren ihres Eindringens zu vernichten. Dabei wurden auch Aufzeichnungen zu Aktionen von LockBit und Hive entfernt. Erst danach bat das Unternehmen Sophos um Hilfe.
“Es ist schon schlimm genug, eine Ransomware-Nachricht zu erhalten, geschweige denn drei. Mehrere Angreifer schaffen eine ganz neue Ebene der Komplexität für die Wiederherstellung, besonders wenn Netzwerkdateien dreifach verschlüsselt sind”, sagte John Shier, Senior Security Advisor bei Sophos. “Irgendwann werden sich diese Gruppen entscheiden müssen, wie sie über eine Zusammenarbeit denken – ob sie sie weiter fördern oder mehr konkurrieren wollen – aber im Moment ist das Spielfeld offen für mehrere Angriffe von verschiedenen Gruppen.”
