Ransomware: Viele neue Opfer und eine neue Masche

7. Dezember 2020 um 14:07
  • international
  • security
  • cybercrime
  • breach
image

Unter den jüngsten Opfern befindet sich wahrscheinlich auch der Schweizer Helikopterhersteller Kopter.

In den letzten Tagen waren Ransomware-Banden rund um die Welt äusserst aktiv. Unter ihren Opfern befand sich mit grosser Wahrscheinlichkeit auch der Helikopterhersteller Kopter, dessen Hauptquartier sich in der Schweiz befindet. Wie 'ZDnet' berichtet, sei die Ransomware-Gruppe LockBit in das Netzwerk von Kopter eingedrungen und habe Files verschlüsselt. Weil das Unternehmen kein Lösegeld bezahlen wollte, veröffentlichte die Bande gemäss 'ZDnet' am 4. Dezember interne Files von Kopter im Darknet.
Die Bande kontaktierte zudem 'ZDnet' direkt und behauptete, sie habe via eine VPN-Appliance in die Kopter-Systeme eindringen können. Die Appliance sei nur mit einem schwachen Passwort geschützt gewesen und habe keine 2-Faktor-Autorisierung gefordert.
Kopter selbst reagierte allerdings nicht auf Anfragen des US-Magazins und hat bisher keinerlei Informationen über einen Angriff bekannt gegeben.
Kopter ist nur eines der vielen Ransomware-Opfer der letzten Tage. Eine (wahrscheinlich unvollständige) Aufzählung:
Das Personalverleih-Unternehmen Randstad wurde von einer Gruppe namens Egregor angegriffen, wie das Unternehmen am 3. Dezember bekannt gegeben hat. Es sei allerdings nur eine begrenzte Anzahl von Servern betroffen gewesen, die Systeme des Unternehmens seien ohne Unterbrechung weiter gelaufen und es habe keine Betriebsunterbrechung gegeben. Auch Egregor hat interne Files von Randstad veröffentlicht.
Egregor scheint in letzter Zeit besonders aktiv zu sein. Allein seit Anfang Dezember wurden auch Egregor-Angriffe auf Kmart,  und Translink, die öffentlichen Verkehrsbetriebe von Vancouver, bekannt.
Ebenfalls Opfer von Ransomware wurden seit Anfang Dezember das Greater Baltimore Medical Center (das Spital musste deswegen Operationen verschieben) sowie die öffentlichen Schulen von Baltimore County und Huntsville (115'000 Schüler hatten einen Tag lang keinen Unterricht). Wer in diesen Fällen die Angreifer waren, ist den entsprechenden Medienberichten nicht zu entnehmen.
Über den Angriff auf den Flugzeughersteller Embraer haben wir am 3. Dezember berichtet.  Mittlerweile haben die Angreifer, vermutlich eine Gruppe namens RansomExx, eine Drohung wahr gemacht und interne Files von Embraer veröffentlicht.

Drohung per Telefon

Derweil haben Ransomware-Banden in den letzten Wochen auch eine neue Methode angewendet, um ihre Opfer noch stärker unter Druck zu setzen. Wie 'ZDnet' berichtet, rufen sie ihre Opfer nun direkt an, wenn sie den Verdacht haben, dass diese versuchen ihre Files aus Backups wiederherzustellen.
In einem von 'ZDnet' veröffentlichen Transkript eines solchen Anrufs behaupten die Angreifer, dass sie weiterhin in den Systemen des Opfers präsent seien und genau wüssten, was dort vorgehe. Der Versuch, durch eine Security-Firma eine neue Software installieren zu lassen, sei reine Zeitverschwendung. Und wenn das Unternehmen nicht mit den Angreifern in Kontakt trete, würden die Probleme im Netzwerk "niemals enden".

Loading

Mehr erfahren

Mehr zum Thema

image

Schweizer Industriekonzern Hoerbiger von Ransom­ware getroffen

Hacker haben Daten von der Holdinggesellschaft gestohlen und verschlüsselt. Zeitweise musste deswegen die Produktion unter­brochen werden.

publiziert am 22.8.2024
image

Slack-KI bietet "Support" für Cyberkriminelle

Angreifer können dank Künstlicher Intelligenz über eine Sicherheitslücke an sensible Daten kommen, sogar aus Privatnachrichten.

publiziert am 22.8.2024
image

Bund arbeitet für Cybersicherheit enger mit EU zusammen

Der Bundesrat genehmigt die Mitgliedschaft bei der European Cyber Security Organisation sowie die Mitwirkung an einem EU-Projekt für gemeinsame Cyberverteidigung.

publiziert am 21.8.2024
image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024