In den letzten Tagen waren Ransomware-Banden rund um die Welt äusserst aktiv. Unter ihren Opfern befand sich mit grosser Wahrscheinlichkeit auch der Helikopterhersteller Kopter, dessen Hauptquartier sich in der Schweiz befindet. Wie 'ZDnet' berichtet, sei die Ransomware-Gruppe LockBit in das Netzwerk von Kopter eingedrungen und habe Files verschlüsselt. Weil das Unternehmen kein Lösegeld bezahlen wollte, veröffentlichte die Bande gemäss 'ZDnet' am 4. Dezember interne Files von Kopter im Darknet.

Die Bande kontaktierte zudem 'ZDnet' direkt und behauptete, sie habe via eine VPN-Appliance in die Kopter-Systeme eindringen können. Die Appliance sei nur mit einem schwachen Passwort geschützt gewesen und habe keine 2-Faktor-Autorisierung gefordert.

Kopter selbst reagierte allerdings nicht auf Anfragen des US-Magazins und hat bisher keinerlei Informationen über einen Angriff bekannt gegeben.

Kopter ist nur eines der vielen Ransomware-Opfer der letzten Tage. Eine (wahrscheinlich unvollständige) Aufzählung:

Das Personalverleih-Unternehmen Randstad wurde von einer Gruppe namens Egregor angegriffen, wie das Unternehmen am 3. Dezember bekannt gegeben hat. Es sei allerdings nur eine begrenzte Anzahl von Servern betroffen gewesen, die Systeme des Unternehmens seien ohne Unterbrechung weiter gelaufen und es habe keine Betriebsunterbrechung gegeben. Auch Egregor hat interne Files von Randstad veröffentlicht.

Egregor scheint in letzter Zeit besonders aktiv zu sein. Allein seit Anfang Dezember wurden auch Egregor-Angriffe auf Kmart,  und Translink, die öffentlichen Verkehrsbetriebe von Vancouver, bekannt.

Ebenfalls Opfer von Ransomware wurden seit Anfang Dezember das Greater Baltimore Medical Center (das Spital musste deswegen Operationen verschieben) sowie die öffentlichen Schulen von Baltimore County und Huntsville (115'000 Schüler hatten einen Tag lang keinen Unterricht). Wer in diesen Fällen die Angreifer waren, ist den entsprechenden Medienberichten nicht zu entnehmen.

Über den Angriff auf den Flugzeughersteller Embraer haben wir am 3. Dezember berichtet.  Mittlerweile haben die Angreifer, vermutlich eine Gruppe namens RansomExx, eine Drohung wahr gemacht und interne Files von Embraer veröffentlicht.

Derweil haben Ransomware-Banden in den letzten Wochen auch eine neue Methode angewendet, um ihre Opfer noch stärker unter Druck zu setzen. Wie 'ZDnet' berichtet, rufen sie ihre Opfer nun direkt an, wenn sie den Verdacht haben, dass diese versuchen ihre Files aus Backups wiederherzustellen.

In einem von 'ZDnet' veröffentlichen Transkript eines solchen Anrufs behaupten die Angreifer, dass sie weiterhin in den Systemen des Opfers präsent seien und genau wüssten, was dort vorgehe. Der Versuch, durch eine Security-Firma eine neue Software installieren zu lassen, sei reine Zeitverschwendung. Und wenn das Unternehmen nicht mit den Angreifern in Kontakt trete, würden die Probleme im Netzwerk "niemals enden".