{"id":310235,"date":"2025-04-04T20:00:46","date_gmt":"2025-04-04T18:00:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=310235"},"modified":"2025-04-17T16:34:47","modified_gmt":"2025-04-17T14:34:47","slug":"rheinmetall-opfer-eines-cyberangriffs-der-babuk2-gruppe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/04\/rheinmetall-opfer-eines-cyberangriffs-der-babuk2-gruppe\/","title":{"rendered":"Rheinmetall Opfer eines Cyberangriffs der Babuk2-Gruppe?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ist der R\u00fcstungskonzern Rheinmetall Opfer eines Ransomware-Angriffs geworden? Zumindest behauptet die Babuk2-Ransomware-Gruppe einen erfolgreichen Angriff auf das Unternehmen ausgef\u00fchrt zu haben. Allerdings liegen mir derzeit noch sehr wenige Informationen vor, da die Seiten von Babuk2 aktuell nicht erreichbar sind. Zudem hat die Gruppe h\u00e4ufiger Falschnachrichten \u00fcber Hacks verbreitet.<\/p>\n

<\/p>\n

Babuk2 reklamiert einen Angriff<\/h2>\n

\"\"Es war eine kurze Frage auf Facebook, die ein Leser in einer privaten Nachricht stellte: \"Hast du was mitbekommen, dass Rheinmetall erneut ein Cyberangriff hatte?\". Hatte ich nat\u00fcrlich nicht, und dann war Sch\u00f6nheitsschlaf, Gartenarbeit und Spaziergang angesagt. Man g\u00f6nnt sich ja sonst nix.<\/p>\n

\"Rheinmetall<\/p>\n

Sp\u00e4ter kam dann noch die Information aus obigem Screenshot hinzu. Unklar bleibt aber, welcher Bereich des Technologieunternehmens, das in den Bereichen Automotive und Defense t\u00e4tig ist und Komponenten, Systeme und Dienstleistungen f\u00fcr die Sicherheits- und Zivilindustrie anbietet, betroffen ist. Bei einer Recherche gegen 19:30 Uhr bin ich auf X auf\u00a0 nachfolgenden Tweet mit gleicher Information gesto\u00dfen.<\/p>\n

\"Rheinmetall<\/p>\n

Im Tweet teilt VenariX mit, dass die Gruppe Babuk reklamiert, die IT-Systeme der Rheinmetall AG erfolgreich kompromittiert zu haben.<\/p>\n

<\/p>\n

Babuk behauptet, 750 GByte an Daten abgezogen und Zugriff auf E-Mail-Credentials erlangt zu haben. Die Gruppe hat angeblich ein Sample der von Rheinmetall Defence mit 1400 Dateien bereitgestellt. Die Beispiele sollten milit\u00e4rische Vertr\u00e4ge, E-Mails, gesch\u00e4ftliche Transaktionen, Produktabbildungen etc. zu beinhalten. Aktuell scheinen die Babuk-Seiten aber nicht erreichbar zu sein.<\/p>\n

VenariX schreibt: \"Es ist noch unklar, ob Daten abgeflossen sind oder ob durch den Vorfall materielle Verluste entstanden sind.\"<\/p>\n

Es ist der Dritte mutma\u00dfliche Fall<\/h2>\n

Rheinmetall ist bereits Opfer erfolgreicher Cyber-Angriffe geworden. Im September 2019 berichtete ich im Beitrag\u00a0Hackerangriff legt Rheinmetall lahm<\/a>, dass der R\u00fcstungskonzern Rheinmetall aus D\u00fcsseldorf Opfer eines Cyber- bzw. Hackerangriffs geworden sei. Der Angriff st\u00f6rte die Produktion des Unternehmens in Werken in Brasilien, Mexiko und den USA.<\/p>\n

Das R\u00fcstungsunternehmen Rheinmetall samt Tochterunternehmen war zudem im April 2023 von einem Cyberangriff betroffen. Am Freitag, den 14. April 2023, wurde der Angriff damals bekannt, auch wenn wenige Details \u00f6ffentlich wurden. Meinen Informationen nach steckte\u00a0 die Blackbasta-Ransomwaregruppe hinter diesem Angriff. Damals\u00a0betraf der Angriff ausschlie\u00dflich das zivile Gesch\u00e4ft des Konzerns.<\/p>\n

Das war seinerzeit bereits der zweite Angriff binnen weniger Monate im Jahr 2023. Vorher versuchte die russische Gruppe Killnet einen Angriff. Ich hatte im Blog\u2013Beitrag Cyberangriff auf Rheinmetall (April 2023) \u2013 Zivilgesch\u00e4ft betroffen<\/a> berichtet.<\/p>\n

Wer ist Babuk2?<\/h2>\n

Die Ransomware-Gruppe Babuk (Babyk) wurde erstmals im Januar 2021 aktiv entdeckt. Sie zielte laut dieser Quelle<\/a> in erster Linie auf gro\u00dfe Unternehmen und Regierungsbeh\u00f6rden in Europa und Nordamerika ab. Die haben Unternehmen im Transportsektor, Regierungen, und Organisationen aus dem Gesundheitswesen, Industrieausr\u00fcster und mehr angegriffen.<\/p>\n

Babuk nutzte das Ransomware-as-a-Service (RaaS)-Modell und verwendet eine doppelte Ransomware-Strategie (verschl\u00fcsselte Dateien und Datendiebstahl). Die Gruppe bevorzugte Ziele mit starken Zahlungsf\u00e4higkeiten und greift Windows, ESXi und NAS-Ger\u00e4te an.<\/p>\n

Ende April 2021 k\u00fcndigte Babuk die Einstellung seiner Aktivit\u00e4ten an und legte unter dem Druck der US-Strafverfolgungsbeh\u00f6rden einen Teil seines Quellcodes offen. Diese Ank\u00fcndigung wurde jedoch bald wieder gel\u00f6scht und die Gruppe k\u00fcndigte im Mai 2021 an, sich Datendiebstahl und der Erpressung zuzuwenden und eine Plattform f\u00fcr Datenlecks und Datenhandel einzurichten. Die Wirren um Babuk lassen sich auf der verlinkten Seiten nachlesen.<\/p>\n

Die Hackergruppe Babuk2 (Babuk Locker 2.0), auch bekannt als Bjorka oder SkyWave, ver\u00f6ffentlicht seit Januar 2025 geleakte Daten verschiedener Unternehmen und Organisationen auf ihrer Dark-Web-Seite und fordert von den Opfern L\u00f6segeld.<\/p>\n

Nach Untersuchungen handelt es sich bei Babuk2 nicht um eine Fortsetzung der urspr\u00fcnglichen Babuk-Ransomware-Gruppe. Vielmehr handelt es sich um eine unabh\u00e4ngige Hackergruppe namens Bjorka, die den Namen und die Angriffsvorlagen von Babuk \u00fcbernommen hat.<\/p>\n

Ein Problem ist, dass viele der angeblich erbeuteten Daten aus fr\u00fcheren Lecks anderer Ransomware-Gruppen (der urspr\u00fcnglichen Babuk, RansomHub, Sodinokibi und KillSec) stammen. Das Betriebsmodell von Babuk2 hat eine breite Kontroverse ausgel\u00f6st, weil es Datenbanken auf BreachForums und Telegram verkauft.<\/p>\n

Babuk2 k\u00fcndigte seine R\u00fcckkehr im Januar 2025 an und er\u00f6ffnete eine Datenleckseite im Dark Web, um Erpresserbotschaften an die Opfer zu senden. Mehrere Sicherheitsforscher, Analysten und Medien haben jedoch die Echtheit der Behauptungen in Frage gestellt (siehe auch<\/a>). Daher ist die obige Meldung mit Vorsicht zu genie\u00dfen, es k\u00f6nnten durchaus alte Daten sein. Erg\u00e4nzung:<\/strong> Es ist recht still um den Fall geworden und ich habe vernommen, dass Babuk2 mit \"Daten aus einem alten Fall\" segeln wollte.<\/p>\n

Wer ist Rheinmetall?<\/h2>\n

Die\u00a0Rheinmetall AG<\/a>\u00a0ist ein b\u00f6rsennotierter deutscher R\u00fcstungskonzern und Automobilzulieferer mit Sitz in D\u00fcsseldorf, der 2019 einen Umsatz von 6.255 Millarden Euro machte. Das bereits 1889 gegr\u00fcndete Unternehmen hatte 2022 rund 25.500 Mitarbeiter und erlebt im milit\u00e4rischen Bereich seit Anfang 2023 \u2013 durch den Ukraine Krieg \u2013 eine steile wirtschaftliche Entwicklung. Das Unternehmen wurde am 20. M\u00e4rz 2023 in den deutschen Leitindex DAX aufgenommen, nachdem es zuvor seit 1996 Gr\u00fcndungsmitglied im MDAX und seitdem ohne Unterbrechung in diesem Aktienindex notiert war.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nHackerangriff legt Rheinmetall lahm<\/a>
\nCyberangriff auf Rheinmetall (April 2023) \u2013 Zivilgesch\u00e4ft betroffen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ist der R\u00fcstungskonzern Rheinmetall Opfer eines Ransomware-Angriffs geworden? Zumindest behauptet die Babuk2-Ransomware-Gruppe einen erfolgreichen Angriff auf das Unternehmen ausgef\u00fchrt zu haben. Allerdings liegen mir derzeit noch sehr wenige Informationen vor, da die Seiten von Babuk2 aktuell nicht erreichbar sind. Zudem … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-310235","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310235","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=310235"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310235\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=310235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=310235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=310235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}