Am 3. Januar 2022 hatte die Ransomware-Bande Lockbit 2.0 einen Angriff auf den französischen Konzern Thales bekannt gegeben. Die für die doppelte Erpressung bekannten Cyberkriminellen drohten auch mit der Veröffentlichung von Daten.

In einer offiziellen Mitteilung hatte Thales damals gegenüber inside-it.ch erklärt: "Wir haben tatsächlich von einem angeblichen Angriff durch die Ransomware Lockbit auf Daten, die angeblich der Thales-Gruppe gehören, erfahren." Allerdings habe man noch keine konkreten Beweise für einen erfolgten Angriff und auch "keine direkte Lösegeldforderung" erhalten. Die Situation würde aber von einem Security-Team untersucht.

Am 17. Januar haben die Hacker nun Daten veröffentlicht. Die heute (18. Januar) nach wie vor im Darknet zugänglichen, und von inside-it.ch eingesehenen, Dateiordner haben unter anderem Titel wie "Thales SpaceOps" und "TAS-Telesat".

In einem Joint Venture mit dem italienischen Rüstungskonzern Leonardo entwickelt und baut Thales Alenia Space Lösungen für die Raumfahrt. Das kanadische Satellitenunternehmen Telesat wiederum hatte Thales Alenia Space Anfang 2021 mit dem Bau von Telekommunikationssatelliten im Wert von rund 3 Milliarden US-Dollar beauftragt.

Innerhalb der Ordner findet sich vor allem Developer-Code unter anderem für Gitlab. Auf eine entsprechende Anfrage von inside-it.ch zur Echtheit der Daten hat Thales bis jetzt nicht reagiert.

Gegenüber 'Le Parisien' bestätigte der Konzern aber, dass es zu einem Datenabfluss gekommen sei. Die meisten der gestohlenen Dateien seien "offenbar von einem Server für die Codeablage ("code repository") kopiert worden, der Daten mit geringer Sensibilität beherbergt und sich ausserhalb der wichtigsten Informationssysteme der Thales Gruppe befindet".

Gegenüber der französischen Zeitung sagte der Cybersecurity-Experte Guillaume Maguet von Deep Instinct, die Bande habe ihre Beute überbewertet, um einen prominenten Namen auf ihrer Liste zu haben: "Sie (Lockbit) gelten als seriös in der Technik, aber unglaubwürdig in ihren Informationen und grossmäulig."

Thales erklärte weiter: "Da der Schutz der Daten unserer Kunden unsere oberste Priorität ist, nehmen wir Kontakt mit den betroffenen Parteien auf, um uns zu besprechen und jede von ihnen über mögliche Korrekturmassnahmen zu informieren."

In einer weiteren Mitteilung bestätigte der Konzern, dass "Thales Digital Factory und Thales Alenia Space von dem Code-Leck betroffen sind". Es sei aber kein Quellcode beim Angriff modifiziert worden. "Zu diesem Zeitpunkt deuten alle Fakten auf die Kompromittierung eines einzelnen Benutzerkontos hin, was nur zum Diebstahl von Daten geführt hat, auf die der Benutzer zugreifen kann."Es seien bisher "nur 1% der Gitlab-Projekte" geleakt worden. Thales betonte weiter, dass "die IT-Systeme der Thales Digital Factory (Trustnet-Plattformen, Engineering Factories, Managed Laptops und Data Lake) für Thales und seine Kunden sicher bleiben".Update 20. Januar: Der Artikel wurde um das zweite Statement von Thales ergänzt.