{"id":315837,"date":"2025-09-18T05:16:45","date_gmt":"2025-09-18T03:16:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315837"},"modified":"2025-09-20T11:41:20","modified_gmt":"2025-09-20T09:41:20","slug":"ist-bmw-opfer-der-ransomware-gruppe-everest","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/18\/ist-bmw-opfer-der-ransomware-gruppe-everest\/","title":{"rendered":"Ist BMW Opfer der Ransomware-Gruppe Everest?"},"content":{"rendered":"

\"Sicherheit[German<\/a>]Ich bin gerade durch einen Leser auf eine Information hingewiesen worden, die noch verifiziert werden muss. Die Everest Ransomware-Gruppe Everest listet BMW als eines ihrer Opfer auf. Behauptet wird, dass man bei einem erfolgreichen Angriff auch interne Dokumente (z.B. zum Auditing) erbeutet habe. Der Vorfall geht auf den 14. September 2025 zur\u00fcck.<\/p>\n

<\/p>\n

Die Everest Ransomware-Gruppe<\/h2>\n

\"\"Die Ransomware Everest und die gleichnamige Gruppe ist seit Dezember 2020 aktiv und hat sich im Bereich der Cyberkriminalit\u00e4t einen \"Namen gemacht\". Zur Strategie der Grupp geh\u00f6rt es, hochkar\u00e4tige Ziele wie die NASA, die brasilianische Regierung oder aktuell\u00a0 des Kosmetik-Herstellers Clarins (siehe<\/a>) anzugreifen.<\/p>\n

Everest ist bekannt f\u00fcr seine Doppel-Erpressungstaktik: Es werden nicht nur die Daten der Opfer verschl\u00fcsselt. Die Ransomware zieht auch Daten ab und die Gruppe droht den Opfern mit der Ver\u00f6ffentlichung sensibler Informationen, wenn die L\u00f6segeldforderungen nicht erf\u00fcllt werden.<\/p>\n

Im April 2025 ist diese Seite<\/a> zum Schluss gekommen, dass sich Everest inzwischen zum Initial Access Broker (IAB) gewandelt habe, der anderen Gruppen Zugang zu Systemen verschafft.<\/p>\n

Die Seite enth\u00e4lt ein ausf\u00fchrliches Profil der Everest-Gruppe und verortet die Mitglieder mit einer starken Verbindung zu \"Operationen mit Sitz in Russland\", schreibt aber auch von einer Verbindung zur BlackByte-Ransomware-Gruppe. Allerdings ist das genaue Herkunftsland derzeit noch unbest\u00e4tigt.<\/p>\n

Die Opfer der Gruppe finden sich derzeit in den USA, in Kanada und in Europa. SocRadar beschreibt hier<\/a> ebenfalls ein Profil dieser Ransomware-Gruppe. In den fast f\u00fcnf Jahren hat die Gruppe es wohl auf um die 200 Opfer gebracht.<\/p>\n

Bez\u00fcglich der nachfolgenden Meldung sollte man wissen, dass die Everest Gruppe im April 2025 selbst wohl Opfer eines Hacks (von einem unbekannten Akteur) geworden ist und darauf hin mit der Tor-Seite offline ging. Security Affairs hat einige kurze Hinweise zum Vorfall<\/a> publiziert. Bei Golem gibt es einen umfangreicheren Artikel zu diesem Vorfall<\/a>. Die neuesten Opferbenennungen k\u00f6nnten der Versuch sein, sich wieder ins Gespr\u00e4ch zu bringen.<\/p>\n

BMW mutma\u00dfliches Everest Opfer<\/h2>\n

Ein Blog-Leser hat mich vor einigen Stunden \u00fcber eine private Nachricht auf meinen Social Media-Kan\u00e4len auf Berichte hingewiesen, dass \"BMW\" mutma\u00dfliches Everest Opfer geworden sei. Mir ist dann bei einer Recherche folgender Tweet<\/a> untergekommen, die diese Information beinhaltet.<\/p>\n

\"BMW<\/a><\/p>\n

Es sind also sehr wenig Informationen verf\u00fcgbar. Aktuell steht nur die Behauptung der Everest-Gruppe im Raum, die auf ihrer Onion-Darkweb-Seite die BMW-Group (bmw.com) als Opfer reklamiert.<\/p>\n

\"Everest<\/p>\n

Auf der Onion-Seite der Gruppe (siehe oben) findet sich in der Liste der behaupteten Opfer der Eintrag f\u00fcr Clarins (hatte ich oben im Text erw\u00e4hnt), und aktuell BMW. Als Datum des Zugriffs auf BMW-Systeme wird der 14. September 2025 genannt. Es wurden bisher keine Daten als Beleg f\u00fcr die Ransomware-Infektion gepostet, sondern es l\u00e4uft aktuell ein Count-Down, der besagt, dass kritische BMW Audit-Dokumente in ca. 12 Stunden (Stand beim Schreiben des Beitrags, 18.9.2025, 5:00 Uhr) ver\u00f6ffentlicht werden sollen.<\/p>\n

Ich werde mal versuchen, bei der BMW-Presseabteilung eine Stellungnahme zu dieser Behauptung von Everest einzuholen.<\/p>\n

\"Verzeichnisauflistung\"<\/p>\n

Erg\u00e4nzung<\/strong>: Bisher ist wenig wirklich brisantes durch Everest geleakt worden. Es sind Listings von Verzeichnissen wie oben den Dokumentnamen nach – speziell LCX Warehouse Audit (ist BMWs 2022 in Spartanburg, South Carolina, er\u00f6ffnetes neue Logistic Center), die auf ein Vorkommnis in den USA hindeuten. Und ich bin nicht sicher, ob es nicht einen Dienstleister wie change2target.com getroffen hat.<\/p>\n

Informationen zu BMW<\/h2>\n

Die Bayerische Motoren Werke Aktiengesellschaft (BMW<\/a>) ist ein b\u00f6rsennotierter Automobil- und Motorradhersteller mit Sitz in M\u00fcnchen, der auch als BMW Group auftritt. BMW geh\u00f6rt mit 142 Milliarden Euro Umsatz und rund 159.000 Besch\u00e4ftigten im Gesch\u00e4ftsjahr 2024 zu den gr\u00f6\u00dften Wirtschaftsunternehmen Deutschlands und z\u00e4hlt mit einem Jahresabsatz von 2,45 Millionen Automobilen und 210.385 Motorr\u00e4dern im Jahr 2024 zu den 15 gr\u00f6\u00dften Kraftfahrzeugherstellern der Welt sowie zu den Top 6 nach Umsatz.\u00a0Zur BMW Group\u00a0 geh\u00f6ren die Automarken Mini und Rolls-Royce sowie die BMW-Submarken BMW M und BMW i.<\/p>\n","protected":false},"excerpt":{"rendered":"

[German]Ich bin gerade durch einen Leser auf eine Information hingewiesen worden, die noch verifiziert werden muss. Die Everest Ransomware-Gruppe Everest listet BMW als eines ihrer Opfer auf. Behauptet wird, dass man bei einem erfolgreichen Angriff auch interne Dokumente (z.B. zum … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-315837","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315837"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315837\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}