{"id":296511,"date":"2024-06-19T01:49:34","date_gmt":"2024-06-18T23:49:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296511"},"modified":"2024-06-19T02:04:15","modified_gmt":"2024-06-19T00:04:15","slug":"gabelstapler-hersteller-crown-wohl-seit-10-juni-2024-opfer-einer-ransomware-attacke","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/19\/gabelstapler-hersteller-crown-wohl-seit-10-juni-2024-opfer-einer-ransomware-attacke\/","title":{"rendered":"Gabelstapler-Hersteller Crown wohl seit 10. Juni 2024 Opfer einer Ransomware-Attacke"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2024\/06\/19\/crown-equipment-corporation-victim-of-a-ransomware-attack\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Es hat sich wohl best\u00e4tigt, was ich bereits vor einer Woche vermutet hatte: Der Gabelstapler-Hersteller Crown Equipment Corporation hat es einen Cyberangriff gegeben. Ransomware hat deren Produktion und Verwaltung weltweit stillgelegt. In den USA laufen die Besch\u00e4ftigen Sturm, weil niemand etwas wei\u00df und der Hersteller keine L\u00f6hne zahlt.<\/p>\n<p><!--more--><\/p>\n<h2>Was bisher bekannt war<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/36785c6076bb439790a081e26ff5d597\" alt=\"\" width=\"1\" height=\"1\" \/>Die Crown Equipment Corporation ist der weltweit f\u00fcnftgr\u00f6\u00dfte Hersteller von Gabelstaplern, Flurf\u00f6rderern und Hochregalf\u00f6rderern. Der Hauptsitz des US-Unternehmens befindet sich in <a href=\"https:\/\/de.wikipedia.org\/wiki\/New_Bremen_(Ohio)\">New Bremen<\/a>, Ohio, Vereinigte Staaten. Auch in Deutschland gibt es wohl ein Werk, und ein Leser hatte mich darauf aufmerksam gemacht, dass dort wohl massive IT-Probleme bestehen. Die Belegschaft sei nach Hause geschickt worden, wobei die Gesch\u00e4ftsleitung nicht damit herausr\u00fcckte, was der Grund f\u00fcr die IT-Probleme sei.<\/p>\n<p><img decoding=\"async\" title=\"crown.com is temporarily unavailable\" src=\"https:\/\/i.postimg.cc\/25YrNgfJ\/image.png\" alt=\"crown.com is temporarily unavailable\" \/><\/p>\n<p>Ich habe kurz recherchiert, die Webseite von Crown (crown[.]com) ist ebenfalls nicht erreichbar. Was sich dann sehr schnell herauskristallisierte:<\/p>\n<ul>\n<li>Seit Montag, den 10. Juni 2024, steht die Produktion weltweit an allen Standorten des Gabelstaplerherstellers, also nicht nur in Roding (Landkreis Cham), Deutschland, sondern auch am Startort New Bremen, USA. Die Telefonzentrale des Unternehmens ist tot, der Hersteller also telefonisch nicht erreichbar.<\/li>\n<li>Meine Quellen berichteten, dass alle IT-Systeme abgeschaltet seien und daher auch kein Zugriff auf Ersatzteilkataloge oder andere IT-Leistungen gebe. Die wenigen Angestellten, die noch arbeiten, versuchen sich mit Papier und Bleistift durchzuwursteln.<\/li>\n<li>Vom Hersteller gab es keine offizielle Aussage des Management, was passiert ist. Im Internet auf reddit.com und auch in meinem Blog sammeln sich die Kommentare von US-Mitarbeitern, die einerseits im Unklaren gelassen werden, was passiert ist. Andererseits wird Arbeitern, die auf Stundenbasis besch\u00e4ftigt sind, wohl seit dem 10. Juni 2024 f\u00fcr die ausgefallenen Schichten kein Lohn ausgezahlt &#8211; was einige Familien in finanzielle Bedr\u00e4ngnis bringt.<\/li>\n<\/ul>\n<p>Ich hatte die bisherigen Information zum 13. Juni 2024 im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2024\/06\/13\/gabelstapler-hersteller-crown-webseiten-down-was-ist-da-los\/\">Cyber-Angriff auf Gabelstapler-Hersteller Crown: Webseiten down, was ist da los?<\/a> aufbereitet sowie im englischsprachigen Pendant zusammengefasst. Allerdings war unbest\u00e4tigt, was genau passiert war &#8211; ich habe auf einen Ransomware-Befall getippt &#8211; und es gab Stimmen, dass jemand eine Phishing-Mail ge\u00f6ffnet und ein Schadprogramm ausgel\u00f6st hat.<\/p>\n<p>Ich hatte in internen Nachrichten gelesen, dass die IT damit begonnen habe, den Zugriff auf deren interne IT-L\u00f6sung 360 (basiert wohl auf der Microsoft Cloud und Office 365) begrenzt hat. Nur noch Firmenger\u00e4te k\u00f6nnen auf SharePoint, die Office-Anwendungen oder OneDrive zugreifen. Eine Quelle teilte mir zwar mit, sie habe vom Freund eines Freundes, der einen kennt, der mal im Werk war, geh\u00f6rt, dass die Probleme auf einen \"Coding-Bug\" zur\u00fcckzuf\u00fchren seien. Der habe die Crown 360-L\u00f6sung in den digitalen Orkus bef\u00f6rdert &#8211; das Ganze hielt ich aber f\u00fcr eine Nebelkerze, die gezielt gestreut wurde (ich kennen die Kette, woher die Quelle die Infos bekam). Eine Anfrage meinerseits bei Crown auf deren Facebook-Seite ist seit einer Woche unbearbeitet.<\/p>\n<h2>Quellen best\u00e4tigen Ransomware-Infektion<\/h2>\n<p>Eine Quelle, die zwar nicht direkt f\u00fcr Crown Equipment in New Bremen arbeitet, aber \u00fcber Kontakte zur Belegschaft verf\u00fcgt, teilte mir gerade mit, dass das Crown-Management die Belegschaft offiziell informiert habe, dass man Opfer eines Ransomware-Angriffs geworden sei. In einer weiteren Nachricht schrieb diese Quelle, dass der Angriff \"von Innen\" erfolgte &#8211; ein Angestellter hat einem Unbefugten Zugriff auf das System gew\u00e4hrt.<\/p>\n<p>Ob dies per Phishing (bei dem eine Schadsoftware installiert wurde oder bei dem Zugangsdaten f\u00fcr einen VPN-Zugang abgegriffen wurden) erfolgte, ist mir bisher nicht bekannt. Einem deutschen Nutzer auf Twitter fiel auf, dass alle VPN-Zug\u00e4nge von Crown verschwunden waren, was darauf hindeutet, dass diese isoliert und vom Internet getrennt wurden.<\/p>\n<p>Von meiner Quelle habe ich noch erfahren, dass die Angreifer einen erfolgreichen Ransomware-Angriff gefahren haben. Ger\u00fcchte, dass der Angriff erkannt wurde, die System dadurch automatisch heruntergefahren wurden, haben sich so nicht best\u00e4tigt. Da scheint eine Ransomware kr\u00e4ftig im IT-System gew\u00fctet und alles verschl\u00fcsselt zu haben. Auf reddit.com ist mir die Information einer L\u00f6segeld-Forderung von 25 Millionen US-Dollar untergekommen &#8211; aber das ist unbest\u00e4tigt.<\/p>\n<p>Eine zweite Quelle, die bei Crown Equipment arbeitet, teilte mir vor Tagen nur mit, dass es bei Crown IT-Probleme geben. Die Telefone seien alle tot und Computer bzw. die IT funktionieren nicht. Die Quelle ist f\u00fcr die Ausgabe von Teilen f\u00fcr Serviceauftr\u00e4ge zust\u00e4ndig, und kann nun nicht mehr auf die Lagerstellen wo diese Teile liegen, zugreifen. Das Unternehmen hat keinen \u00dcberblick \u00fcber den Lagerbestand und die Lagerstellen, ist aber in allen Abl\u00e4ufen vollst\u00e4ndig digitalisiert. Selbst Ersatzteilkataloge liegen nur digital \u00fcber die Crown-Cloud vor. Da steht alles.<\/p>\n<p>Auch diese Quelle best\u00e4tigte, dass es wohl auch Zahlungsprobleme f\u00fcr L\u00f6hne gebe. Die Leute sollen Urlaub nehmen oder auf den Lohn f\u00fcr ausgefallene Schichten verzichten. Alle Kommunikation zwischen Crown und Mitarbeitern erfolgt \u00fcber Voice-Mail oder telefonisch. Bei einem Telefonat letzten Dienstag (11. Juni) wurde der Quelle am Ende des Gespr\u00e4chs mitgeteilt, dass sie arbeitslos sei &#8211; es fand aber wohl keine gr\u00f6\u00dfere Massenk\u00fcndigung statt. Wer sich arbeitslos meldet, bekommt in den USA wohl erst nach einer Karenzwoche Arbeitslosengeld.<\/p>\n<p>Diese Quelle gab zudem an, dass die IT damit begonnen habe, alle Passw\u00f6rter f\u00fcr Online-Zug\u00e4nge zur\u00fcckzusetzen. F\u00fcr Montag, den 18.6.2024 war der Wiederanlauf des Betriebs avisiert und dann sollten die Mitarbeiter, die Lohnzahlungen bekommen sollten, wohl manuell ausgestellte Gehaltsschecks erhalten. Mein aktueller Stand ist, dass der Wiederanlauf inzwischen auf den 24. Juni 2024 (also kommende Woche Montag) verschoben wurde.<\/p>\n<p>Zum 18. Juni 2024 hat auch diese Quelle best\u00e4tigt, dass die Belegschaft dar\u00fcber informiert wurde, dass die IT des Unternehmens durch international agierende Cyberkriminelle gehackt worden sei. Das FBI ist inzwischen in den Fall eingeschaltet. Momentan versucht die IT die Systeme bis zum 24. des Monats wieder lauff\u00e4hig zu bekommen. Ein \u00f6ffentliches Statement des Crown-Managements ist mir pers\u00f6nlich bisher nicht bekannt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Es hat sich wohl best\u00e4tigt, was ich bereits vor einer Woche vermutet hatte: Der Gabelstapler-Hersteller Crown Equipment Corporation hat es einen Cyberangriff gegeben. Ransomware hat deren Produktion und Verwaltung weltweit stillgelegt. In den USA laufen die Besch\u00e4ftigen Sturm, weil niemand &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/06\/19\/gabelstapler-hersteller-crown-wohl-seit-10-juni-2024-opfer-einer-ransomware-attacke\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-296511","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296511","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296511"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296511\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296511"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296511"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296511"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}