Cyberangriffe von Ransomware-Gruppen haben den Medizintechnik-Hersteller Richard Wolf GmbH getroffen und die Daten des Unternehmens verschlüsselt. Zudem wurde bekannt, dass die Ransomware-Gruppe Lockbit einen Angriff auf die Continental-Gruppe erfolgreich durchführen und 40 Terabyte an Daten des Unternehmens abziehen konnte. Ergänzung: Zudem gibt es eine Wiper-Schadsoftware, bei der sich die Kriminellen als Sicherheitsforscher tarnen. Und die russische Hackergruppe Killnet greigt Ziele an.
Anzeige
Datenklau bei Continental
Ich hatte es bereits seit einigen Tagen (3.11.2022) auf Twitter und bei den Kollegen von Bleeping-Computer gesehen: Die Ransomware-Gruppe Lockbit hatte sich zu einem Cyberangriff auf den multinationalen deutschen Automobilkonzern Continental bekannt. Die Gruppe behauptet, Daten aus den IT-Systemen von Continental gestohlen zu haben. Dabei wurde damit gedroht, diese Daten auf der Seite der Ransomware-Gruppe zu veröffentlichen, wenn das Unternehmen nicht innerhalb der nächsten 22 Stunden auf ihre Forderungen eingeht.
Der Cyberangriff fand bereits im August 2022 statt – in einer Pressemitteilung vom 24. August 2022 gab Continental bekannt, dass Angreifer in Teile der IT-Systeme von Continental eingedrungen sind. Das Unternehmen hat den Angriff Anfang August entdeckt und dann abgewehrt. Der Geschäftsbetrieb von Continental sei zu keinem Zeitpunkt beeinträchtigt worden, heißt es. Unmittelbar nach Bekanntwerden des Angriffs hat Continental alle notwendigen Abwehrmaßnahmen ergriffen, um die volle Integrität der IT-Systeme wiederherzustellen. Mit Unterstützung von externen Cybersecurity-Experten führt das Unternehmen eine Untersuchung des Vorfalls durch. Die Ermittlungen dauern an.
Continental hat die zuständigen Behörden über den Vorfall informiert und steht in engem Kontakt mit ihnen, auch mit den Sicherheitsbehörden. Das Unternehmen ist sich seiner datenschutzrechtlichen Verpflichtungen bewusst und ergreift – in Abstimmung mit den zuständigen Datenschutzbehörden – die notwendigen Maßnahmen, um diese vollständig zu erfüllen. Das Handelsblatt berichtet nun, dass die Lockbit-Gruppe bis zu 40 GByte an Daten bei diesem Angriff abgezogen habe. Jetzt bleibt abzuwarten, welche Folgen das hat und welche Daten veröffentlicht werden.
Anzeige
Die Continental AG, kurz Conti, ist ein börsennotierter deutscher Automobilzulieferer mit Sitz in Hannover. Der Jahresumsatz betrug 2020 insgesamt 37,72 Milliarden Euro.Die AG hat 190.000 Mitarbeiter weltweit.
Ransomware bei Richard Wolf GmbH
Die IT des Medizintechnikunternehmens Richard Wolf GmbH aus Knittlingen ist seit Donnerstag, den 3. November 2022, von einer Ransomware-Infektion betroffen. Dabei wurden die Daten des Unternehmens verschlüsselt.
Die Webseite des Unternehmens zeigt die obige Meldung an. Laut dieser Meldung wurden die Systeme abgeschaltet und das Unternehmen ist mit Behörden sowie IT-Sicherheitsberatern an der Analyse des Vorfalls.
Die Richard Wolf GmbH ist ein Unternehmen für Endoskope und endoskopische Systeme. Es hat seinen Sitz in Knittlingen, Enzkreis, bei Karlsruhe. Richard Wolf beschäftigt rund 1.400 Mitarbeiter weltweit, davon etwa 1100 in Deutschland. Der Umsatz beträgt ca. 167 Millionen Euro.
Wiper-Gruppe unter falscher Flagge
Ergänzung 1: Es gibt eine Gruppe von Cyberkriminellen, die eine Wiper-Schadsoftware (Azov) verteilen. Diese hat nur das Ziel, Dateien auf infizierten Systemen zu löschen und zu zerstören.
Doppelt fies an diesem Ansatz ist, dass in der Datei Restore_files.txt die Twitternamen von bekannten Sicherheitsforschern und Lawrence Abrams, der Besitzer von Bleeping Computer genannt werden (siehe obiger Tweet und diesen Artikel).
IT-Angriffe von Killnet
Ergänzung 2: Sicherheitsforscher von Check Point beobachteten am Wochende, dass die Russische Hacker-Bande Killnet ihre IT-Attacken gegen die USA fortsetzt. Das heißt, entgegen anderweitiger Äußerungen der Gruppe gehen die Angriffe im Rahmen des Ukraine-Krieges weiter.
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software Technologies, kommentiert die jüngste Attacke:
Im Verlauf des Wochenendes konnten wir beobachten, wie die Gruppe Killnet verkündete, dass sie mehrere erfolgreiche Cyber-Attacken gegen die USA vollbracht hätten. Diese sind: DDoS-Attacke gegen 8 USA-Flughäfen, Überflutung der CIA-Website mit Anfragen über das Kontaktformular, DDoS-Attacke gegen ein Portal der CISA (Behörde für die Sicherheit der IT und Infrastruktur), DDoS-Attacke gegen das Handelsministerium der USA.
Eigentlich hatte Killnet vor wenigen Wochen behauptet, die Angriffe gegen die USA ruhen zu lassen, um nicht weiteres Öl ins Feuer zu gießen und die Beziehung zwischen den USA sowie Rußland zu belasten, oder neue Sanktionen auszulösen. Diese Behauptung ist nun hinfällig. Außerdem ließ Killnet wissen, seine Opfer nicht mehr auf der Nachrichten-Plattform Telegram bekannt zu geben, sondern nur noch die Attacke allein. Eine Warnung entfällt damit.
Die pro-russischen Hacker sagen derzeit, sie hätten diese Taktik bereits gegen den Staat Polen eingesetzt. Check Point beobachtet die Aktivität der Hacker-Bande weiterhin.
Anzeige
Mich beschleicht das Gefühl, wie auch schon andern Orts gelesen, dass die meisten Firmen sich wegducken und so still verhalten, wie nur geht, um von solchen Cybergangs nicht wahrgenommen zu werden. Damit soll Geld gespart werden?
@Wil: Dein Gefühl – find ich – sollte man empirisch belegbares Wissen nennen.
Man duckt sich nicht nur weg – man ignoriert es stumpf. Geld (nachhaltig) sparen? Nein! Solang wie Management unter Risiko nur das Bilanzjahr durchhalten muss und kaum jemand verantwortlich ist…
Interessant hier: Eigentlich gelten für das Medizinunternehmen von Haus aus schon schärfere Vorgaben – neben dem allgegenwärtigen wie HGB, Wisikovorsorge etc – um nur eine zu nennen: ISO 13485 https://de.wikipedia.org/wiki/ISO_13485 oft nur gegen Geld beim Beuth Verlag einzusehen). Dies unter anderem mit klarem Fokus auf Produltischerheit und den ganzen nachgelagerten IT-Bereich, also auch IT-Systeme und Risikovorsorge etc.
Wahrgenommen werden – nun ja, find ich nur teilweise richtig. Machen wir uns nichts vor – wenn derzeit jemand von "wir sind Opfer einer Attacke" spricht – so sagt man das eher für die Öffentlichkeit und Versicherung. Nur meine interne Erfahrung: Wenns hochkommt ist maximal 1/4 wirklich Opfer einer (zielgerichteten) Attacke. Der Rest ist automatisierter, Sicherheitslücken-suchender Schleppnetzfang per VulScan, Userdummheit, Mail oder Plattformen sowie seltener interne Sabotage.
und 80% davon wären vermeidbar, wenn die verantwortlichen ihre Hausaufgaben machen würden. Gerade Malware und eindringen per Mail ist etwas, was absolut nicht sein muss. Es gibt keinerlei Gründe warum eMAils ungeschützt/ungeprüft beim Sachbearbeiter aufschlagen müssen.
Zerodays, interne Sabotage, da hast du einfach Pech gehabt, aber der Rest lässt sich verhindern.
Ich bin gespannt, wann die Hackergruppen entdecken, dass in Deutschland sämtliche Arbeitsämter und Jobcenter praktisch null an Sicherheit haben, geschweige denn sinnige Online-Plattformen.
Aber wenn diese gehackt werden und ordentlich Schaden entsteht, dann lache ich mich kaputt und sehe schadenfreudig zu.
Ich habe mehr als nur einmal gewarnt, hat nur keine Sau interessiert.
Selbst schuld.
Ist halt alles "Neuland"….
Mails, Malware? Natürlich planbar. Dies geht aber auch für Zerodays+Sabotage: Interne Kontrollsysteme+Organisation nur als Beispiel. Selbst Elon Musk hat's verstanden: Eine organisatorische Trennung (Freisetzung Mitarbeiter mit einhergehendem Rechteentzug bei IT) ist zB eine valide Vorgehensweise um Sabotage im letzten Moment zu verhindern.
Viel mehr ist somit planbar – wir haben mE extrem vielschichtigere Probleme, eine Arbeitstheorie: Die diametrale Distanz von "wahrgenommener IT, zB geprägt durch Bedarf,Erwartungshaltung und Schadensvorfall" und "Lösung mit technisch korrekter Umsetzung" vergrößert sich. Diesen Disput gibt es schon so lang es Technik gibt – jedoch noch nie in solch abstrakten Komplexitätsgrad.
Früher konnt ein Schiff kentern wenn der Zimmerer-"Admin"-Dienstleister beim Mastbau schlamperte. Das kann man verstehen und anfassen: Diametrale Distanz = gering.
Heute führt ein 1000km entfernt generiertes IP-Paket auf beliebigem Subsystem zur Rechteausweitung und zwingt Mitbearbeitern wiederum Schadcode auf – worauf als Folge mit legitimen Userrechten Fileserver verschlüsselt werden: Distanz zwischen Ursache, Folge und Schaden = hoch. Da ist es kommunizierbarer einen stabileren Mast zu bauen und den Zimmerer auszupeitschen.
Ebenso korrelieren solch Zwischenfälle wohl mit fehlendem Management und ebenso steigender Nutzung. Dies zum Beispiel getrieben durch „schlecht gesicherte" Endpunkte oder Anbindungen aka Homeoffice forciert während Pandemie.
Nur als Anregung ; wenn es in Szenarien „Destabilisierungs- oder Benefitstrategien" gibt: Wie würde man eine Konkurrenz, Volkswirtschaft oder Gegner besser destabilisieren und die Situation zum eigenen Vorteil nutzen – wenn nicht auch mittels hoher kausale Distanz zwischen Ursache, Schaden und verfolgtem Ziel? Geschwächte Wirtschaft und Unternehmen mit IT-Ausfall – Cui Bono?