[English]Merkwürdige Geschichte, die da gerade umgeht. Bei Mercedes Benz sollen Produktionsrechner in deutschen Werken mit der WannaCry-Ransomware befallen sein.
Anzeige
Erste Meldung nach Nutzerhinweisen
Die Meldung findet sich seit einigen Stunden bei heise.de im Artikel Daimler: WannaCry hat offenbar neue Opfer gefunden. Die Redaktion von heise beruft sich auf Mitteilungen unterschiedlicher Leser, dass die Produktion bei Daimler betroffen sei. Laut diesen Quellen soll eine WannaCry-Infektion in Mercedes-Benz-Werken wie Bremen, Hamburg und Untertürkheim stattgefunden haben. Es wird berichtet, dass Industrieroboter, mit Windows XP zur Steuerung, nicht mehr funktionsfähig waren. Auch die Firma Festo soll Bekanntschaft mit dem Trojaner gemacht haben.
Firmensprecher wissen von nix oder schweigen
Im Artikel von heise.de kommen Sprecher der Firmen Festo und Mercedes Benz zu Wort. Von Festo ist die Aussage, dass kein Angriffe bekannt sei. Bei Mercedes Benz erklärt man, dass die Produktion läuft – wobei keine Aussage über WannaCry getroffen wurde.
Bezüglich der Sachlage 'Infektion mit WannaCry, viele Monate, nachdem die Hauptinfektion im Mai 2017 stattfand' dürfte es aktuell keine Klärung geben – es sei denn, ein Blog-Leser trägt noch etwas dazu bei.
Anzeige
Wäre ja nicht der erste Fall für die Car-Maker
Generell hat der Wiper/Erpressungs-Trojaner ja in der Automobilindustrie zu einigen Ausfällen geführt. Bei Renault kam es im Rahmen der Erstinfektion im Mai 2017 zu Produktionsstillständen (siehe WannaCry: Die Lage am Montag), und auch Honda war von so etwas betroffen (siehe Sicherheitsinfos: WannaCry, Locky, Hacks und mehr). Und LG wurde in Südkorea noch im August 2017 Opfer von WannaCry (siehe WannaCry: Noch lebt die Ransomware …).
Eigene Ergänzungen und Nachträge …
Kleine Ergänzung: Eine annonym bleiben wollende (aber verlässliche) Quelle hat hat mir heute gesteckt, dass auch das Daimler-Werk in Rastatt betroffen war. Die Quelle sprach von 'ganz schön aufgeregter Stimmung'.
Und noch ein Nachtrag – die Informationen tröpfeln hier gerade ein – gibt ja die Möglichkeit, im Hinblick auf Quellenschutz, mir Mails (sehr anonym) über Einmal-Mails zukommen zu lassen. Eine Quelle hat sich dort mit folgender Info gemeldet:
… dafür aber zur Prod-IT von Daimler in Kölleda (Motorenwerk) und Kamenz (LiIon-Batterie-Werk) … die für sich fast schon aufatmeten, als es gestern gegen 9h hieß aus Untertürkheim: mehr als 1500 Fälle.
Betroffen sind massiv virtuelle Maschinen von Anlagenlieferanten, personenbezogene Messrechner und Anlagen im 24/7-Betrieb.
Zweiter Nachtrag – ich hatte bei der Daimler-Presseabteilung um ein Statement nachgefragt und habe Antwort bekommen.
Unsere Produktion läuft. Bitte haben Sie Verständnis, dass wir uns zu IT-Sicherheitsthemen grundsätzlich nicht äußern.
Bei Twitter gibt es einen weiteren aufschlussreichen Tweet eines Nutzers (wenn man den Kontext kennt und beachtet).
Auf Dads Arbeit wird das sogar für die Steuerung von Industrierobotern benutzt. Gestern wurde es von WannaCry befallen.
— Relaxo (@Flusslied) 30. September 2017
Ergänzende Info – inzwischen bin ich auf diesen Forenpost bei heise.de gestoßen. Etwas mysteriös, aber wenn die Vermutungen stimmen, wurden/werden bei bestimmten Unternehmen Daten wie E-Mail-Adressen (über leaks oder Fehler) abgezogen.
Mal schauen, vielleicht kommen noch weitere Informationen. Danke an die Tipp-Geber. Wäre auch interessant, ob es die alte WannaCry-Version oder eine modifizierte Variante ist, die da tobte.
BTW: Im Rahmen der Recherchen diesen Pressetext zur Einschätzung der WannaCry-Folgen in Großbritannien gefunden.
Ähnliche Artikel:
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Neue Versionen und mehr Neuigkeiten
WannaCry: Die Lage am Montag
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCry: Hinweise auf Lazarus-Gruppe
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry & Co.: EternalBlue Vulnerability Checker und Crysis Ransomware Decryptor
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
Sicherheitsinfos: WannaCry, Locky, Hacks und mehr
Wannycry: WCry-Decryptor für Windows XP
WannaCry Clone Ransomware befällt Systeme in der Ukraine
Sicherheitsinfos: WannaCry, Locky, Hacks und mehr
WannaCry: Noch lebt die Ransomware …
Anzeige
Dass in Produktionsnetzen mit der Anforderung 'die Anlage muss laufen' wie es die Pressemeldung andeutet, bzw. 'never touch a running system', wie es unter Meistern und Ingenieuren gelebt wird, zu größeren Sicherheitslücken kommen kann dürfte klar sein. Die Übergabe weiter Teile der Produktionsrechner mit bewusst abgeschaltetem automatischen Windowsupdate an o.g. Mitarbeiter mit produktionsnahem Interessenschwerpunkt ist bewusste Managemententscheidung. Was will man mit normalen 300€-Desktop-PC mit Steuerungsaufgaben auch anderes machen, als ein Festplattenimage ziehen, bewusst Updates einspielen um anschließend alle Anlagenteile ausgiebig zu testen und im Fehlerfall auf das Image zurückzugreifen?…
Genau das geht ja auch jetzt: auf das letzte funktionierende Image zurückgreifen, patchen und hoffen, dass die Anlage danach wieder läuft (also kein Mehraufwand). Doch halt, in den Produktionsnetzen infizieren noch tausende Rechner aus denen man sich ein Update ziehen müsste. Hilft nur ein USB-S…
Bleibt am Schluss nur: irgend ein Depp hat nen Wurm ins Produktionsnetz gelassen und mehr als ein Depp mit IT-Kenntnissen hat zugelassen, dass sich jener spezielle Wurm ungehindert von Standort zu Standort durch die Produktionsnetze bewegen kann. Der Skandal ist, dass es in verschiedenen Netzen gleichzeitig zum Angiff kommt.
Ja kommt. Es gibt ihn.
Hast Du einen Link zur Pressemitteilung?
"Bei Mercedes Benz erklärt man, dass die Produktion läuft – wobei keine
Aussage über WannaCry getroffen wurde."
Mal ehrlich: Welcher deutsche Autohersteller-/konzern gibt freiwillig noch
etwas zu oder sagt die Wahrheit? Welcher!?
Eben!
Gruss, Christian
Ist aber sehr kurzsichtig – die Infos werden leaken – und dann stehen die Automobilfritzen wieder mit heruntergelassener Hose da.