{"id":227385,"date":"2020-01-23T22:33:08","date_gmt":"2020-01-23T21:33:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227385"},"modified":"2023-06-23T01:02:32","modified_gmt":"2023-06-22T23:02:32","slug":"ransomware-befall-beim-automobilzulieferer-gedia","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/23\/ransomware-befall-beim-automobilzulieferer-gedia\/","title":{"rendered":"Ransomware-Befall beim Automobilzulieferer Gedia"},"content":{"rendered":"

[English<\/a>]Beim Automobilzulieferer Gedia hat es eine Infektion mit Ransomware gegeben. In Folge wurden die IT-Systeme abgeschaltet, weil der Erpressungstrojaner auch Daten verschl\u00fcsselte. Erg\u00e4nzung:<\/strong> Mir liegen Informationen vor, dass die Citrix ADC\/Netscaler Shitrix-Schwachstelle das Einfalls-Tor gewesen sein k\u00f6nnte.<\/p>\n

<\/p>\n

\"\"Die Gedia Automotive Group<\/a> besch\u00e4ftigt mehr als 4.300 Mitarbeiter\/innen an acht Produktionsst\u00e4tten\/innen und produziert Karosseriepressteile sowie Schwei\u00dfbaugruppen f\u00fcr die Automobilindustrie. Gedia operiert weltweit und hat unter anderem Produktionswerke in China, Mexiko und Polen.<\/p>\n

Ransomware-Angriff legt Sauerl\u00e4nder Unternehmen lahm<\/h2>\n

Vor einigen Stunden berichtete der Sauerland-Kurier in diesem Artikel<\/a>, dass der Automobilzulieferer Gedia in Attendorn Opfer eines schweren Hacker-Angriffs geworden sei. Das Unternehmen hat Donnerstagvormittag wohl eine Pressemitteilung dazu herausgegeben (auf der Unternehmensseite ist leider nichts dazu zu finden).<\/p>\n

Das Medium LokalPlus\u00a0 berichtete von einem Cyberangriff auf die Zentrale der Gedia Automotive Gruppe in Attendorn-Ennest (Sauerland). Der Angriff erfolgte in der Nacht von Montag auf Dienstag, den 21. Januar 2020. Gedia-Vertriebsleiter Markus Hammer wird von LokalPlus so zitiert, \"dass die Sicherheitssysteme des Unternehmens die Attacke sehr schnell bemerkt h\u00e4tten\". Angesichts des Umfanges des Angriffs haben sich die Verantwortlichen schnell zur Abschaltung aller IT-Systeme entschieden und umgehend externe Experten hinzugezogen.<\/p>\n

In der zentralen Verwaltung von Gedia in Attendorn-Ennest wurden 300 bis 350 Mitarbeiter dadurch in 'Zwangsurlaub' geschickt. Die Fehlzeiten sollen \u00fcber Gleichzeitkonten und Mehrarbeit sp\u00e4ter ausgeglichen werden. Die Produktion des Zulieferers soll aber weiter laufen, so LokalPlus.<\/p>\n

Sodinokibi Ransomware beteiligt?<\/h2>\n

Die Kollegen bei Bleeping Computer haben in diesem Artikel<\/a> heute, vor Ver\u00f6ffentlichung der Gedia-Pressemitteilung berichtet, dass die Sodinokibi Ransomware beteiligt sei und die Hinterm\u00e4nner mit der Ver\u00f6ffentlichung von Daten der Automotive Group drohten.<\/p>\n

Einstieg \u00fcber Citrix ADC\/Netscaler-Schwachstelle?<\/h2>\n

Erg\u00e4nzung:<\/strong> Ich hatte schon zum Fall in Potsdam (siehe\u00a0Potsdam offline\u2013Ungereimtheiten erzwingen Server-Shutdown<\/a>) den Hinweis gegeben, dass die Sicherheitsl\u00fccke im Citrix Netscaler eine Ursache f\u00fcr den erfolgreichen Angriff auf das Netzwerk gewesen sein k\u00f6nnte.<\/p>\n

\n

I examined the files #REvil<\/a> posted from https:\/\/t.co\/3wfGoNUqp4<\/a> after they refused to pay the #ransomware<\/a>.<\/p>\n

the interesting thing I discovered is that they obviously hacked Gedia via the #Citrix<\/a> exploit<\/p>\n

my bet is that all recent targets were accessed via this exploit.<\/p>\n

(1\/2) pic.twitter.com\/tWeUR7I1zj<\/a><\/p>\n

\u2014 Under the Breach (@underthebreach) January 24, 2020<\/a><\/p><\/blockquote>\n