Categories: SicherheitVirus

Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern

Ein nicht näher genanntes Unternehmen aus dem Bereich Automotive wurden offenbar mehrfach innerhalb kürzester Zeit das Opfer von Ransomware. Wie Forscher von Sophos berichten, griffen die Gruppen LockBit, Hive und BlackCat das Unternehmen an – die Attacken erstreckten sich über einen Zeitraum von insgesamt rund zwei Wochen.

Jede Bande verschlüsselte Dateien und hinterließ eine eigene Lösegeldforderung. In einigen Fällen wurden demnach Dateien sogar mehrfach verschlüsselt. Unklar ist, ob es sich um koordinierte Angriffe handelte oder die Cybererpresser nur zufällig dieselben Schwachstellen im Netzwerk ausnutzen. Die Forscher bezeichnen die Angriffe als “Nebeneffekt der zunehmenden Überfüllung und Kommerzialisierung des Markts” für Cybererpressung.

Der Analyse der Vorfälle zufolge begannen die Angriffe bereits am 2. Dezember 2021, als ein unbekannter Hacker in das Netzwerk des Unternehmens einbrach und für rund eine Stunde eine Remote-Desktop-Protocol-Verbindung zum Domain-Controller des Unternehmens aufbaute.

LockBit kopiert Daten auf einen Cloud-Speicher

Danach passierte mehrere Monate lang nichts, bis am 20. April die LockBit-Ransomware in das Unternehmensnetzwerk eingeschleust wurde – wahrscheinlich über dieselbe angreifbare RDP-Instanz. Die Hintermänner dieses Angriffs kopierten zudem Daten auf einen Cloud-Speicher, um das Unternehmen auch mit gestohlenen Daten erpressen zu können.

In den kommenden Tagen verbreiteten die Angreifer die Erpressersoftware im Netzwerk und erbeuteten Passwörter, um weitere Systeme zu kompromittieren. Sie verschlüsselten Dateien auf mindestens 19 Systemen und hinterließen auf jedem gehackten Computer eine Lösegeldforderung.

Noch während dieser Angriff lief, verschafften sich die Hintermänner der Hive-Ransomware ebenfalls Zugang zum Netzwerk des Unternehmens. Sophos vermutet, dass erneut die Anmeldedaten für den RDP-Zugang zum Einsatz kamen, die bereits im Dezember entwendet wurden. Die Hive-Hintermänner verschlüsselten dann in lediglich 45 Minuten mindestens 16 Rechner im Netzwerk des Unternehmens. Einige davon waren zuvor bereits von LockBit verschlüsselt worden.

BlackCat löscht zusätzlich Spuren der Angriffe

Zwei Wochen später drang mit BlackCat die dritte Ransomware-Gruppe in das Netzwerk ein, die ebenfalls mehrere Systeme kompromittierte und Dateien verschlüsselte. Die BlackCat-Angreifer löschten zudem Log-Dateien, um Spuren ihres Eindringens zu vernichten. Dabei wurden auch Aufzeichnungen zu Aktionen von LockBit und Hive entfernt. Erst danach bat das Unternehmen Sophos um Hilfe.

“Es ist schon schlimm genug, eine Ransomware-Nachricht zu erhalten, geschweige denn drei. Mehrere Angreifer schaffen eine ganz neue Ebene der Komplexität für die Wiederherstellung, besonders wenn Netzwerkdateien dreifach verschlüsselt sind”, sagte John Shier, Senior Security Advisor bei Sophos. “Irgendwann werden sich diese Gruppen entscheiden müssen, wie sie über eine Zusammenarbeit denken – ob sie sie weiter fördern oder mehr konkurrieren wollen – aber im Moment ist das Spielfeld offen für mehrere Angriffe von verschiedenen Gruppen.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Amazon Web Services führt virtuelle Ubuntu-Desktops ein

Sie basieren auf Ubuntu Pro 22.04 LTS. Amazon verlangt ab 23 Dollar pro Monat für…

7 Stunden ago

Las Vegas bekommt größtes privates 5G-Netzwerk in den USA

5G-Netzwerk soll Innovationen vorantreiben und als ein Modell für Städte und Unternehmen weltweit dienen.

8 Stunden ago

IT-Entscheidungen: Drum prüfe, wer sich ewig bindet

Internationale Studie von Gartner zeigt: Unternehmen bedauern oft ihre Kaufentscheidungen für IT-Lösungen.

9 Stunden ago

Deutsche Telekom unterstützt Ethereum Blockchain

Bereitstellung von Validierungsknoten für Ethereum-Netzwerk für Betrieb und Sicherheit von Blockchains.

9 Stunden ago

Gartner-Umfrage: Automatisierungsgrad steigt bis 2025 deutlich an

70 Prozent der Unternehmen werden bis 2025 Infrastruktur-Automatisierung implementieren.

9 Stunden ago

Sind synthetische Daten eine Alternative zu anonymisierten Daten?

"Traditionelle Verfahren der Anonymisierung funktionieren nicht mehr so gut", sagt Dr. Tobias Hann, CEO von…

10 Stunden ago