Cyber-Angriff auf dänischen Windkraftanlagenbauer Vestas (Nov. 2021)

[English]Vorige Woche Freitag, den 19. November 2021 hat es wohl einen Cyber-Angriff auf den dänischen Windkraftanlagenbauer Vestas gegeben. Das Unternehmen musste seine IT-Systeme als Folge herunterfahren und versucht gerade wieder die IT hochzufahren.

Vestas Wind Systems A/S hat seinen Sitz im dänischen Aarhus ist der nach Umsatz und installierter Kapazität weltgrößte Hersteller von Windkraftanlagen, so die Wikipedia. Das Unternehmen hatte Ende 2017 rund 23.000 Beschäftigte in 26 Ländern, darunter Dänemark, Deutschland, Schweden, Großbritannien, Italien, China, Japan, USA und Australien. Ich bin eben über folgenden Tweet von Thycotic auf einen Cyber-Vorfall bei Vestas aufmerksam geworden.

Am Samstag, den 20. November 2021, hat das Unternehmen einen Cyber-Sicherheitsvorfall auf seine Unternehmens-IT-System eingestanden. In der Mitteilung heißt es:

Vestas ist am 19. November 2021 von einem Cybersicherheitsvorfall betroffen gewesen. Um das Problem einzudämmen, wurden die IT-Systeme in mehreren Geschäftsbereichen und Standorten abgeschaltet.

Das Krisenmanagement des Unternehmens für Cybersicherheit arbeite mit  internen und externen Partnern zusammen, um das Problem vollständig einzudämmen und unsere Systeme wiederherzustellen, ließ das Unternehmen verlauten. Kunden, Mitarbeiter und andere Interessengruppen können von der Abschaltung mehrerer unserer IT-Systeme betroffen sein, so Vestas. In der heutigen Mitteilung vom 22. November 2021 hat das Unternehmen dann ein kurzes Update veröffentlicht.

Vestas entdeckte am 19. November 2021 einen Cybersicherheitsvorfall und arbeitet seither zusammen mit externen Partnern rund um die Uhr daran, die Situation einzudämmen und die Integrität seiner IT-Systeme wiederherzustellen.

Die vorläufigen Ergebnisse des Unternehmens deuten darauf hin, dass der Vorfall Teile der internen IT-Infrastruktur von Vestas betroffen hat und dass Daten kompromittiert wurden. Zum gegenwärtigen Zeitpunkt sind die Arbeiten und Untersuchungen noch nicht abgeschlossen.

Es gibt jedoch keine Anzeichen dafür, dass der Vorfall Auswirkungen auf den Betrieb von Dritten, einschließlich der Kunden und der Lieferkette, hatte. Die Produktions-, Konstruktions- und Serviceteams von Vestas konnten ihren Betrieb fortsetzen, obwohl mehrere operative IT-Systeme als Vorsichtsmaßnahme abgeschaltet wurden. Vestas hat bereits eine schrittweise und kontrollierte Wiederinbetriebnahme aller IT-Systeme eingeleitet.

Vestas tut sein Möglichstes, um alle Beteiligten über die Situation auf dem Laufenden zu halten, und wird nach Möglichkeit weitere Informationen zur Verfügung stellen.

Der Hinweis, dass die IT-Systeme schrittweise wieder hochgefahren werden, könnte bedeuten, dass der Angriff abgewehrt, frühzeitig erkannt bzw. begrenzt werden konnte. Es besteht aber auch die Möglichkeit, dass die Systeme weiterhin kompromittiert sind. Aktuell konnte ich bei einer Recherche keine weiteren Details herausfinden. Unklar ist beispielsweise, ob es nur ein Hack war, um Informationen abzuziehen, oder ob Ransomware aktiv war und Daten abgezogen wurden. Auch ist unklar, ob Kundendaten abgeflossen sind.

Ergänzung: Zehn Tage nach dem Vorfall bestätigt Vestas, dass es eine Infektion mit Ransomware war. Aber die meisten IT-Systeme sind wieder funktionsfähig.

Aarhus, 29 November 2021

Since the cyber security incident was discovered 19 November 2021, Vestas and our external partners have worked around the clock to re-establish normal operations. Having conducted extensive investigations, forensics, restoration activities and hardening of our IT systems and IT infrastructure, we are pleased to announce that almost all systems are up and running.

Henrik Andersen, President and Chief Executive Officer, says "We have been through some tough days since we discovered the cyber incident, and Executive Management and the Board of Directors are thus very pleased that the incident didn't impact wind turbine operations and almost all of our IT systems are running again. There is still a lot of work ahead of us to and we must remain extremely diligent towards cyber threats. I would already now like to take this opportunity to thank our customers, employees and external partners for their understanding and extraordinary support in these challenging circumstances."

Although Vestas is close to normal operations, the work and investigations are still ongoing. In that regard, Vestas maintains there is no indication that the event has impacted customer and supply chain operations, which is supported by the forensics investigation carried out with the assistance of third-party experts. The cyber incident, which our investigations indicate was ransomware, impacted Vestas' internal systems and resulted in data being compromised. The extent to which data has been compromised is still being investigated, but for now it appears that the data foremost relates to Vestas' internal matters.

Ähnliche Artikel:
Ransomware bei Münchner Modehaus Hirmer (9.11.2021)
Ransomware-Angriff auf Media Markt/Saturn
Media Markt/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ Lösegeldforderung
Ransomware-Angriff auf Arztdienstleister medatixx
Fünf Mitglieder der Sodinokibi/REvil Ransomware-Gruppe verhaftet
Kisters AG Opfer eines Ransomware-Angriffs (10./11. Nov. 2021)
Die wahren Kosten von Cybersicherheitsvorfällen
Sicherheitsvorfall bei Olympus EMEA?
SolarWinds-Angreifer nehmen Microsoft-Partner ins Visier – fehlende Cyber-Sicherheit bemängelt
Strukturen der Conti-Ransomware-Gruppe enttarnt – Payment-Infrastruktur offline
WordPress: Seiten über Plugin gehackt, zeigt Fake-Ransomware-Forderung (Nov. 2021)
ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)
Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe
BSI/CERT-Warnung: Kompromittierte Exchange-Server werden für E-Mail-Angriffe missbraucht (Nov. 2021)
Warnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet
ProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)