Nach dem Angriff auf den Windenergie-Giganten Vestas haben die Kriminellen Daten veröffentlicht. Das neuste ihrer Opfer soll Schneider Electric sein. Der Konzern dementiert.
Am 19. November entdeckte der dänische Windenergie-Konzern Vestas einen Cyberangriff. IT-Systeme über mehrere Geschäftsbereiche und Standorte hinweg seien heruntergefahren worden, teilte das Unternehmen damals mit.
In einer weiteren Mitteilung schrieb Vestas am 6. Dezember, alle Systeme bis auf wenige Ausnahmen seien wieder betriebsbereit. "Die Arbeiten und Untersuchungen dauern noch an, und Vestas hat nach wie vor keine Anzeichen dafür, dass der Vorfall Auswirkungen auf die Abläufe bei Kunden und in der Lieferkette hat. Eine Ansicht, die von externen Experten bestätigt wird."
Während des Angriffs seien Daten illegal aus den IT-Systemen des Unternehmens entwendet worden. "Die Angreifer haben seitdem damit gedroht, die gestohlenen Daten zu veröffentlichen."
Vestas benennt die Angreifer nicht mit Namen, aber diese haben am 8. Dezember ihre Drohung wahr gemacht – und damit wird auch klar, wer vermutlich hinter der Attacke steckt: die Ransomware-Bande Lockbit 2.0. Diese bekannte sich zum Angriff und veröffentlichte auf ihrer Seite im Darknet einen Datensatz.
Vor allem Daten von Vestas-Angestellten gestohlen
Vestas reagierte umgehend mit einer weiteren Mitteilung: "Den Hackern ist es gelungen, Daten aus den kompromittierten internen File-Share-Systemen abzurufen und einen Teil der kompromittierten Daten öffentlich zu machen. Es gibt keine Hinweise darauf, dass personenbezogene Daten ausserhalb von Vestas internen Systemen kompromittiert wurden."
Beim Grossteil der erbeuteten Daten soll es sich um Informationen zu Mitarbeiterinnen und Mitarbeitern wie Namen, Adressen, Telefonnummern sowie teilweise Gehaltsangaben und Lebensläufe handeln. In einigen Fällen seien laut Vestas auch sensiblere Daten wie Pässe und Bankdaten abgerufen worden. Man werde die Betroffenen informieren. Der Konzern fordert alle Angestellten und Geschäftspartner auf, "weiterhin wachsam bei Hinweisen auf einen Missbrauch ihrer personenbezogenen Daten zu bleiben".
Lockbit 2.0 arbeitet mit dem Rasomware-as-a-Service-Modell und war zuvor unter dem Namen ABCD aktiv. Im Sommer 2021 sorgte die Bande mit einem Angriff auf Accenture für Aufsehen. Auch danach wurden im August Datensätze veröffentlicht, darunter seien aber kaum sensible Informationen, sondern hauptsächlich Marketing-Material gewesen, hiess es.
Bekanntgabe von Lockbit 2.0 im Darknet.
Schneider Electric: "Bisher keine Hinweise"
Ebenfalls in dieser Woche gab Lockbit 2.0 ein weiteres angebliches prominentes Opfer bekannt. Die Bande will den Elektrokonzern Schneider Electric angegriffen haben. Das französische Unternehmen ist mit rund 135'000 Mitarbeitenden in über 100 Ländern vertreten und verfügt auch über mehrere Niederlassungen in der Schweiz.
Laut der Site von Lockbit im Darknet sind erste Datensätze von Schneider Electric veröffentlicht worden. Publiziert wurde aber bis jetzt nur ein sehr kleiner Datensatz von unter 2MB, darunter befindet sich etwa das PDF eines Zertifikats der Registrierung der Firma in Indien von 2017.
Gegenüber der französischen Website 'LeMagIT' dementierte der Konzern bisher den Angriff. "Uns ist eine Behauptung bekannt, dass Schneider Electric Opfer eines Ransomware-Angriffs wurde. Derzeit gibt es keine Hinweise auf ein solches Ereignis. Unser Cybersicherheitsteam untersucht diese Behauptung", erklärte der Kommunikationschef von Schneider Electric.