Am 3. Januar gab die Ransomware-Gruppe Lockbit 2.0 auf ihrer Darkweb-Seite bekannt, den französischen Konzern Thales Group angegriffen zu haben. Die Cyberkriminellen drohen auch damit, am 17. Januar mit der Veröffentlichung von angeblich gestohlenen Daten zu beginnen.

Lockbit steckt auch hinter dem Angriff auf den Wind-Energie-Konzern Vestas im November 2021. Das dänische Unternehmen bestätigte damals die Attacke: "Den Hackern ist es gelungen, Daten aus den kompromittierten internen File-Share-Systemen abzurufen und einen Teil der Daten öffentlich zu machen."

Die Kriminellen bezeichnen den Angriff als "big leak" und haben im Darknet bisher über 1 Terabyte Daten von Vestas veröffentlicht. Das Unternehmen erklärte, man sei nicht auf Forderungen eingegangen und habe unmittelbar nach dem Angriff Gegenmassnahmen eingeleitet: "Dazu gehörten eine gründliche forensische Untersuchung, das Herunterfahren der betroffenen IT-Systeme und die Bereinigung, Wiederherstellung und Härtung der Systeme, bevor sie wieder in Betrieb genommen wurden."

Ob Lockbit bei Thales allenfalls ein ähnlich grosser Datenklau gelungen ist, ist derzeit unklar. Auf die Anfrage von inside-it.ch teilt die französische Medienstelle von Thales mit: "Wir haben tatsächlich von einem angeblichen Angriff durch die Ransomware Lockbit auf Daten, die angeblich der Thales-Gruppe gehören, erfahren."

Allerdings habe man noch keine konkreten Beweise für einen erfolgten Angriff. "Obwohl wir keine direkte Lösegeldforderung erhalten haben, nehmen wir diese unbegründete Behauptung – unabhängig von ihrer Quelle – sehr ernst. Ein engagiertes Team von Sicherheitsexperten untersucht derzeit die Situation." Thales werde weiterhin Untersuchungen durchführen, "da die Sicherheit unserer Daten eine Priorität ist".

Der Konzern mit über 80'000 Mitarbeitenden weltweit und einem Umsatz von 17 Milliarden Euro im Jahr 2020 ist in verschiedenen Bereichen von Rüstung über Transport und Luftfahrt bis zu Cybersecurity tätig. In Frankreich soll Thales in einem Joint Venture mit Google auch eine "souveräne Cloud" bauen. In der Schweiz verfügt Thales über 7 Standorte mit rund 500 Mitarbeitenden und fokussiert sich unter anderem auf Richtfunk, Power Management Systeme für militärische Fahrzeuge und die Entwicklung von Sicherheitselementen für Reise- und Ausweisdokumente.

Sollte sich der neuste Angriff von Lockbit bestätigen, wäre der Bande mit Thales ein grosser Fisch im Teich der Cyberkriminellen ins Netz gegangen. Ein einiges kleinerer war der Westschweizer Verlag Slatkine, der im November 2021 ebenfalls von Lockbit attackiert wurde. Der Verlag verhandelte mit den Angreifern und bezahlte Lösegeld. Es habe sich dabei "weder um Millionen noch um Hunderttausende von Franken" gehandelt, so Slatkine. Ein Vorgang, von dem Security-Spezialisten und Behörden dringend abraten. Im Falle eines Ransomware-Angriffs sollten Unternehmen nicht auf Lösegeldforderungen eingehen.